Netzwerkanschluß im Außenbereich ein Sicherheitsrisiko?!

    Ich habe vor, vor meiner Haustür eine Webcam http://http://forum.qnapclub.d…&t=14260&start=20#p107103 über PoE in das Netzwerk einzubinden. Nun stellt ein außerhalb des Gebäudes installierter Netzwerkanschluß nach meinem Empfinden ein Sicherheitsrisiko dar. Denn jeder könnte die Webcam abstöpseln und statt dessen sein Notebook an den Anschluss hängen und wäre schon in meinem Netzwerk. Das möchte ich selbstverständlich vermeiden.


    Welche effektiven Möglichkeiten gibt es, so ein Problem zu unterbinden - und wie können diese umgesetzt werden?


    Die Webcam hängt wegen der PoE-Fähigkeit an einem Netgear GS110TP. Dieser widerum hängt an einem HP1810G-24 ProCurve. Der widerum an der FritzBox angeschlossen ist.


    Wenn ich das richtig verstanden habe, kann ich am Netgear Switch einen MAC-Adressen Filter aktivieren. Aber der, der so etwas tut, weiss, wie man schnell die MAC der Cam findet und kann seine Netzwerkkarte entsprechend maskieren. Dies wäre somit kein wirklich wirksamer Schutz, denke ich.


    Ich hoffe ihr könnt mir bei der Lösung des Problems helfen.


    Frank

    Eine Idee wäre, sofern das die CAM das mitmacht,...


    zwar den Strom für die CAM über das Netzwerkkabel zu beziehen, aber die Datenanbindung über WLAN (WPA2) abzufangen. Und dein Netgear GS110TP vom PROCURVE abzustöpseln.


    Dann ist das LAN-Kabel zur CAM nur noch Stromversorgung.

    Die Idee wäre gut, wenn ich denn regelmäßig das WLan in Betrieb hätte und den Netgear nur für diese eine Cam nutzen würde. Leider trifft beides nicht zu. Das WLan ist nur im Bedarfsfall eingeschaltet und am Netgear hängen unter anderem noch weitere Cams, die über PoE angeschlossen sind.


    Wie verhält sich das denn mit VLans? Wäre das eine Lösung? Aber wie funktioniert sowas? Ich möchte die Kamera über das Internet erreichen können, sie muss eMails senden können und sie muss auf das NAS schreiben können. Auch möchte ich direkten Zugriff auf die Webcam haben, ohne den Umweg über das Internet gehen zu müssen. Zur Zeit befindet sich alles in einem Lan 192.168.0.xxx


    Frank

    Wenn Du einen HP-1810G hast, richte ein seperates VLAN für die Webcam ein,
    vergib eine Fest IP und Nutze einen MAC-Filter. Ferner den Netzwerkanschluß versiegeln und regelmäßig prüfen.
    (Im Zweifelsfall nimm Heißkleber um das Kabel einzukleben ;) )


    100%ige Sicherheit wirst Du in dieser Konstellation eh nicht hinkriegen.
    Grüße
    Jody

    Die Idee mit dem Versiegeln ist gut. Das werde ich machen. Ich habe noch Hologramm-Siegel-Aufkleber rumliegen. Die Geschichte mit dem Heißkleber werde ich überdenken. Den MAC-Adressen Filter werde ich dann wohl auch aktivieren. Ich hoffe ich kann das portweise machen. Ansonsten müsste ich von allen Geräten im Netz die MAC-Adressen raussuchen.


    Aber nun nochmal zu dem VLAN: Da ich kein DHCP nutze, hat jedes Gerät in meinem Netzwerk eine feste IP. Wie müßte ich beispielhaft die IP Bereiche einrichten, damit:


    - ich die Webcams innerhalb meines Netzwerkes vom Notebook aus erreichen kann
    - die Webcams auf das NAS schreiben können
    - die Webcams auch über das Internet erreichbar sind?


    Ich habe einen Artikel über VLANs gelesen. Wenn ich es richtig verstanden habe, ist jeder VLAN Bereich für sich und ich kann nicht von einem anderen VLAN darauf zugreifen. Oder habe ich das falsch verstanden?


    Frank

    Wenn Du ein NAS mit zwei Schnittstellen hast, kannst Du zwei Ports des Switches einem VLan zuordnen. Dann richtest Du auf dem NAS den Zugangsfilter ein (Leider sieht man alle freigaben auf allen Interfaces...) und vergibst weder der Webcam, noch dem NAS in dem Netz ein Standard Gateway. Dann musst zwar immer über das NAS gehen um auf die Webcam zugreifen zu können, kannst aber auf dem Wege den Zugang zu Deinem Netz recht sicher machen.


    Ein andere Variante wäre einen Router zu kaufen, der sowohl VPN als auch mehrere interne Netze unterstützt (Fällt mir gerade nur ein USG 200/100/50 zu ein), dann kannst Du internes Routing nutzen und das ganze noch über die eingebaute Firewall absichern.


    Grüße Jody

    Zitat von "jody"

    Wenn Du ein NAS mit zwei Schnittstellen hast, kannst Du zwei Ports des Switches einem VLan zuordnen. Dann richtest Du auf dem NAS den Zugangsfilter ein (Leider sieht man alle freigaben auf allen Interfaces...) und vergibst weder der Webcam, noch dem NAS in dem Netz ein Standard Gateway. Dann musst zwar immer über das NAS gehen um auf die Webcam zugreifen zu können, kannst aber auf dem Wege den Zugang zu Deinem Netz recht sicher machen.


    Ein andere Variante wäre einen Router zu kaufen, der sowohl VPN als auch mehrere interne Netze unterstützt (Fällt mir gerade nur ein USG 200/100/50 zu ein), dann kannst Du internes Routing nutzen und das ganze noch über die eingebaute Firewall absichern.


    Grüße Jody


    Also Variante zwei scheidet im Moment mangels Masse aus ;) Da muss die FritzBox reichen.


    Zurück zu Variante eins. Ich habe das nun mehrmals gelesen, bin aber ehrlich, richtig verstanden habe ich das nicht. Zur Zeit sind die beiden Ports des NAS so eingestellt, dass einer den Upload und einer den Download erledigt. Ich habe das Menue des NAS nicht vor Augen, daher kann ich mit dem Fachbegriff grad nicht dienen (trunk?). Wenn ich die Tage dazu komme, werde ich das mal in aller Ruhe ausprobieren. Aber vorab schon mal ein paar Fragen:


    1) Welche IP soll das eine VLan dann haben? Wäre 192.168.2.0/24 sinnvoll?
    2) Falls das sinnvoll wäre, hätte das NAS dann nur eine IP? Zum Beispiel 192.168.2.1?
    3) Wie komme ich dann noch aus dem aktuellen IP-Bereich 192.168.0.0/24 auf das NAS?


    Frank


    P.S. Ich habe mir in der Mittagspause schon mal eine Lektüre organisiert. ct 01/11 (extra) Netzwerke. Da ist ein ausführlicher Artikel über VLan drin. Ich hoffe damit weiter zu kommen.

    So...


    Nun mit etwas mehr Zeit...
    Da Variante zwei leider ausscheidet, versuchen wir mal Lösung 1 zu optimieren ;)


    Fangen wir mal mit dem "externen Netzwerkanschluß"an:
    Wenn dieser so angebracht wird, dass man sich da mit einem Notebook etc einfach so ankabeln kann, kannst Du Dir die Kamera dort auch klemmen, da diese auch recht schnell unbrauchbar (gemacht) würde. D.h. ich würde den Netzwerkanschluß so anbringen, dass er wenigstens in einem spritzwassergeschütztem und bestenfalls fest verschraubten Wandgehäuse verlegt wird. (Dann erübrigt sich auch der Heißkleber ;) )


    VLAN bzw. Routing:
    Wenn es für einen genannten Router nicht reicht, sollte das Taschengeld wenigstens einen "Baumarkt-(dsl)-Router" hergeben. Mit diesem könntest Du dann eine Netztrennung ermöglichen. Durch Portforwarding könntest Du vom internen Netz auch auf die Webcam zugreifen, das mit der Dateiablage auf dem NAS wird dann zwar etwas anspruchsvoller, ist aber machbar. Damit ließe sich auch der Filter entsprechend fein einstellen. VLANS wären dann obsolet.
    VLANs (entsprechenden Router vorausgesetzt, Lösung 2) hätten den Charme, dass der Traffic nur weiterkommt, wenn die Datenpakete richtig getaggt (also die richtige VLAN-ID haben) sind. Jeder unbedarfte Notebookeinstöpsler wäre damit außen vor und Du sicher... (solange es keine weitere Möglichkeit gibt in dieses Netz hinein zu horchen, denn dann hätte man die ID recht schnell)


    Für den Zugriff vom Web auf die CAM empfehle ich mal VPN, oder VPN, ggf. VPN! Aber dazu gibt es hier im Forum genügend Hinweise ;)


    Meine Empfehlung ist und bleibt jedoch ein ordentlicher Router mit den genannten Features, ein vernüftiges Routing, eine sichere Firewallkonfiguration, ggf. Einsatz von Zertifikaten und VPN.


    Zu Deinen Fragen

    Zitat von "Frank online"


    1) Welche IP soll das eine VLan dann haben? Wäre 192.168.2.0/24 sinnvoll?
    2) Falls das sinnvoll wäre, hätte das NAS dann nur eine IP? Zum Beispiel 192.168.2.1?
    3) Wie komme ich dann noch aus dem aktuellen IP-Bereich 192.168.0.0/24 auf das NAS?


    1. Sofern wirklich nur 2 Geräte in dieses Netz sollen, nimm eine 30er Maske (also 225.225.225.252) damit bleiben nur 2 nutzbare Adressen im Netz übrig.
    (für Dein Beispiel blieben dann die 192.168.2.1 für das NAS und die x.x.2.2 für die CAM)
    2. Nein, Du kannst Deinem NAS auf jeder Schnittstelle eine eigene IP verpassen, dass hat aber zur Folge, dass Dir nur eine Bandbreite von einem GBit in Dein internes Netz bleibt und Du das "Loadbalancing" bzw. den Trunk vergessen kannst!
    3. Du bleibst mit Deinem normalen Geräten im internen Netz und greifst entweder von der Shell des NAS auf die Webcam zu, oder über die Webcamseite des NAS, sollte eigentlich funktionieren, das die CAM und das NAS in einem (Sub)-Netz sind und Du mit dem Rest der Hardware über die andere Schnittstelle auf das NAS zugreifen kannst.


    Grüße
    Jody

    Das ist eine Menge Stoff für jemanden, der das Netzwerkeln nur zum Spaß betreibt. Erst einmal werde ich versuchen, deine Tips zur Montage umzusetzen. Wahrscheinlich wird es nun doch eine M3114-VE werden. Diese, so habe ich es zumindest geplant, werde ich direkt auf die Leerdose in der Decke setzen. Somit kommt man an den Netzwerkanschluss nur heran, indem man die Kamera komplett demontiert.


    Einen zusätzlichen Router werde ich mir nicht zulegen. Daher muss die vorhandene Hardware ausreichen. Es wird also eine Lösung mit Vlans werden. Wie beschrieben, möchte ich damit lediglich erreichen, dass niemand "mal eben" von der außen gelegenen Netzwerkdose auf das NAS kommt.


    Bisher realisiere ich den Zugriff aus dem Internet auf die bereits vorhandene Cam so, dass ich der Cam eine feste IP und einen Port zugewiesen habe. In der FritzBox habe ich die Dyndns-Daten eingegeben und den Port (HTTP) der Cam freigegeben. Zusätzlich muss beim Zugriff auf die Cam noch User/Passwort eingegeben werden. Kann das bis auf die zu ändernden IPs so bleiben?


    Frank

    Hallöle,


    wenn ich mich nicht irre, kann man in der Fritzbox eine Art DMZ einrichten. Diese ließe sich hervorragend für Deine Zwecke nutzen.
    Du solltest dann die Webcam(s) in die DMZ verlegen (IP-technisch) und den Schreibzugriff auf das NAS nur der festen IP erlauben.
    Der Zugriff vom Web dürfte dann auch kein Problem sein.
    Alles weitere hatten wir ja schon (du kannst Dir dann auch das Subnetting und die VLANs sparen.


    Grüße
    Jody

    Sicherlich ein Sicherheitsrisiko. Manche Anbieter im WLAN Bereich binden Ihre APs über KOAX an. Zum Beispiel Cisco liefert für die Outdoor-APs einen Konverter von Standard-Ethernet auf Dual-Coax. Dieser Anschluss bringt den "bösen Buben" in der Regel erstmal wenig.

    Das wäre doch mit einfacheren Mitteln risikoarm hinzugriegen:
    1. Router mit DMZ-Funktion, separates IP-Netz dafür muss konfigurierbar sein
    2. IP-Bereich DMZ klein, z.B. 239.173.254.188 /30 (255.255.255.252). Dann hätte man genau 2 Adressen, Router 239.173.254.189 und Kamera 239.173.254.190. Weil kein DHCP aktiv, muss man erstmal auf die eine Adresse kommen. Solange der Hacker die Kamera-Einstellung nicht ausliest, müsste man schon tieferes TCP-Verständnis haben umd mit einem Sniffer dahinter zu kommen.
    3. Es wird aus der DMZ der Zugriff ausschließlich auf die NAS erlaubt. Der Kamera darf man nur Schreibrechte geben. Also keine Lösch- und Leserechte. Welche Möglichkeiten die NAS dazu bietet, weiß ich nicht. Wenn mandas einrichten könnte, dass die Kamera Benutzername und Passwort für das Share mitgeben muss, dann muss der Angreifer auch noch das hacken...


    Ganz sicher geht es nie. Je mehr Sicherheit, desto weniger Komfort :D
    Man kann dem Angreifer wenigstens das Leben schwerer machen.


    glady

    sieht ehr nach ner Schlosserarbeit aus,... :)