Kameras über zweite Netzwerkschnittstelle (TS-251+) sicher ins Netzwerk integrieren?

    Hallo zusammen,


    ich bin aktuell verzweifelt auf der Suche nach Beschreibungen/Tutorials/Dokumente/Foreneinträge usw. die beschreiben wie ich mit meiner Fragestellung bzw. meinem Vorhaben umgehen soll. Ich habe auch bereits das Forum durchsucht und bin bislang nicht fündig geworden.


    Ich habe aktuell vier Kameras in mein Standardnetzwerk eingebunden. Alle über direktem LAN-Anschluss (i.d.R. POE) und nicht per WLAN. Dies bedeutet im worst case natürlich, dass ein möglicher "Angreifer" auch einfach diesen LAN-Port nutzen könnte um sich mehr als einfach in mein Netzwerk einzuklinken.


    Nun habe ich mir schon Gedanken zu VLANs gemacht, aber Netzwerk ist nicht so ganz mein Fall, auch wenn ich sonst einigermaßen fit im Bereich IT bin. Außerdem spiele und teste ich ungern in einer produktiven Umgebung rum, sonst könnte ich ja einige Szenarien einfach mal versuchen. Die Gefahr ist allerdings relativ hoch, dass dann überhaupt nichts mehr funktioniert :rolleyes: ... und das wäre natürlich unvorteilhaft.


    Ganz kurz verbal erklärt:
    Ich hätte gerne eine sichere Anbindung meiner Netzwerkkameras in mein Netzwerk. Muss allerdings auch von innerhalb meines Netzwerkes (von extern über FritzBox VPN) auf meine Kameras schauen können bzw. muss mein Homeautomation-Server (in dem Fall openHAB auf einer Linux-VM innerhalb der Virtualization Station des QNAP realisiert) aktuelle Kamerabilder abgreifen können um sie mir per Nachricht zusenden können (z.B. wenn es klingelt und nicht Zuhause bin o.ä.).


    Nun wäre da noch mein Ansatz die zweite Netzwerkschnittstelle der TS-251+ zu nutzen. D.h. die Kameras versorgt über den POE-Switch direkt nur an die zweite Netzwerkschnittstelle anzuschließen, ohne diesen mit dem anderen Netzwerk (Internet-) Switch zu verbinden. Das sollte grundsätzlich doch schon mal funktionieren, oder? Soviel ich gesehen habe, lässt sich in der Surveillance Station auch einstellen, dass diese über den zweiten Netzwerkanschluß ("Netzwerkhahn" :D ) läuft.


    Nur komme ich dann noch irgendwie auf die Kameras bzw. die Bilder und den Videostream der Kameras drauf und kann mir die zum einen aus meinem regulären Heimnetzwerk mit der QNAP-Cam App ansehen und auch mit meinem Homeserver per API o.ä. abgreifen? Und zweitens: Kommt ein möglicher Angreifer dann auch nicht auf mein anderes Netzwerk, sondern max. bis zur Surveillance Station des QNAP?


    Ich habe auch nochmal eine Zeichnung meines aktuellen Aufbaus angehängt.


    Ich sage schon mal vielen Dank im voraus für eure Hilfe!


    Netzwerk.JPG

    Einmal editiert, zuletzt von Lordas ()

    An meiner Hochschule gab es einen Computerraum mit einem ähnlichem Problem, auch wenn da keine Kameras im Spiel waren.


    Jedoch waren einige Rechner per LAN verkabelt und es war nicht erwünscht, dass man sein eigenes Notebook an die LAN-Kabel der Rechner hängt.


    Das ganze wurde dann so gelößt dass der LAN Port einfach abgeschaltet wurde so bald nicht die richtige MAC Adresse mit dem Port verbunden war.


    Natürlich kann man die MAC Adresse eines Rechners auch ändern. Es ist also keine Hundertprozentige Sicherheit. Aber man muss erst mal wissen, dass das die Ursache ist. Und die Lösung sah vor, dass die Ports auch von Hand wieder eingeschaltet werden müssen. Sprich ein Angreifer der sein Rechner mit dem Lankabel der Kamera verbindet könnte es nicht einfach noch einmal mit einer geänderten MAC-Adresse versuchen.


    Jetzt kommt der Haken an der Sache. Ich habe leider keine Ahnung wie genau das umgesetzt wird. Ich nehme an man benötigt einen Managed Switch und kann dann möglicherweise ein Script auf dem Switch selbst dafür hinterlegen. Eigentlich muss ja nur beim einstecken des LAN-Kabels überprüft werden, ob die MAC-Adresse die richtige an dem Port ist. Wenn nicht wird der Port abgeschaltet.