Aussenkamera an Managed Switch

Moudi

Moudi

SuperFan
27. Mai 2007
2.454
199
63
Hallo liebe ITler

aktuell hängen meine IPcams im Aussenbereich an einem unmanaged Switch.

sollte jemand auf die Idee kommen, das Kabel aus der Cam zu ziehen und einen PC anzuschliessen,

hätte er Zugang zum Netzwerk.....

Nun muss also ein Managed Switch her. 

VLANs wäre dann die eine Methode, wobei mein Router diese nicht unterstützt.

Wie schaut es mit der Funktion MAC Adressen Tabelle aus ?

Kann ich dem Switch damit sagen, welche MAC Adresse an welchem Port hängt und ansonsten sperrt er den Port ?

Wie würdet oder habt ihr das gelöst, ohne Unmengen an Geld aus zu geben ?

Ein TP Link oder DLink Switch mit 24 Ports gibts bereits ab 90 chf.

Merci für eure Ideen und Gruss, moudi

 
Ich nutze aktuell mehrere Huawei S5720 Managed Switches. (S5720-56C-EI-AC)

Diese können pro Port MAC Adressen definieren. 

Natürlich gibt es auch günstigere Switches, die das können. Aber man muss halt danach suchen.

Eine billige Variante könnte z.B. der D-Link DGS-1100-24 sein. Wobei ich aktuell nicht auswendig weiss, ob der Port Security / MAC filtering unterstützt. 

Vermutlich schon.

 
Zuletzt bearbeitet von einem Moderator:
Ich würde das auf jeden Fall über ein komplett getrenntes VLAN mit einem RADIUS-server lösen (zb Ubiquiti), alles andere wäre mir zu unsicher. Du registrierst dann die MAC-adresse oder Login/Pwd jeder Webcam im RADIUS-server (die Software läuft zB auf deinem Router oder als service auf einem externen Rechner). Danach muss sich jede Webcam zuerst beim Radius-server anmelden und kriegt dann eine IP-adresse. Einen managed switch brauchst du, damit er deine VLan's handhaben kann - kannst einen mit Power over Ethernet nehmen, dann sparst du dir auch viel Verkabelung. Brauchbare gibts ab 100.-, gute ab 200.- 

 
Radius-Server.......ich möchte nicht mit Kanonen auf Spatzen schiessen. 

Am einfachsten wäre es natürlich die Stecker in der Cam zu verkleben.

Dann wäre das Problem gelöst... ;-)

Merci aber für den Tip.

Gruss moudi

 
Meines Wissens ist es möglich MAC Adressen beliebig zu modifizieren. Somit kann jemand einfach die MAC Adresse der Kamera (entweder ausgelesen oder abgelesen) übernehmen. 

Ist es nicht einfacher, wenn dein Netzwerk geschützt ist (was sowieso sein sollte)? Dh die relevanten services haben ein Passwort?

Wahrscheinlich merkst du sowieso nach ein zwei Tagen, wenn die Kamera abgehängt wird. Bzw. Du kannst dir einen alert einstellen, wenns sie abgeschalten/ausgezogen wird. 

 
muraxi9001 schrieb:
Meines Wissens ist es möglich MAC Adressen beliebig zu modifizieren. Somit kann jemand einfach die MAC Adresse der Kamera (entweder ausgelesen oder abgelesen) übernehmen. 

Ist es nicht einfacher, wenn dein Netzwerk geschützt ist (was sowieso sein sollte)? Dh die relevanten services haben ein Passwort?

Wahrscheinlich merkst du sowieso nach ein zwei Tagen, wenn die Kamera abgehängt wird. Bzw. Du kannst dir einen alert einstellen, wenns sie abgeschalten/ausgezogen wird. 
Zum Vergrößern anklicken....


Du hast recht, es ist relativ einfach MAC Adressen zu fälschen, deshalb ist der wichtigste Punkt, dass die Kameras in einem separaten VLAN unterwegs sind. Also zB VLAN1 für alle Netzwerkkameras, VLAN2 für alle anderen Benutzer. Das geht alles über dieselbe physische Verkabelung (also du brauchst kein physisch unabhängiges Netzwerk) und ist mit einer vernünftigen Firewall/Router einfach einzurichten. Dem managed switch brauchst du dann nur noch zu sagen, auf welchen Ports VLAN1/VLAN2 sind, eine Firewallregel einfügen, die den VLAN1-Traffic regelt und fertig. Damit kann dir zwar jemand die Webcam ausstöpseln und sich selber auf deinem Netzwerk einhängen, kommt aber nicht weiter als VLAN1 - das gilt auch, falls deine Webcams gehackt werden sollten.

Wenn du noch einen Schritt weitergehen  willst, brauchst du einen Authentifizierungsmechanismus, also zB durch einen Radiusserver, der vielfach auf vernünftigen Router/Firewalls bereits installiert ist und auch keine Hexenwerk zum aktivieren ist. Das einzige was der macht, ist verkabelte Ethernetanschlüsse authentifizieren, d.h. du kannst kein Ethernetkabel einfach einstecken, sondern das Gerät, welches die IP-Adresse angefordert hat, muss sich zuerst anmelden.

Mehr Sicherheit macht mE keinen Sinn.

 
Liebe ITler

Merci für eure Tips. Leider lässt sich nicht jeder Vorschlag mit der gegebenen Hardware realisieren.

Kommen wir zur gegebenen Hardware:

Router: Internetbox von Swisscom, Fritzbox wäre auch noch vorhanden

Switch: D-Link 1210-24 (Eine PoE Switch mit 24 Ports gibr es leider nicht für 100 Euro :) )

NAS: Synology DS 118

Mein 16 Port unmanaged Switch war voll belegt und es musste ein neuer her, darum die 24 Port.

Comin soon: 4 Vivotek CAMS im Aussenbereich, die über das NAS (Surweillance Station) laufen.

Nun sollen die LAN Anschlüsse im Aussenbereich "geschützt" werden.

Die Lösung mit dem Radius Server ist mir zu kompliziert und aufwändig, wenn auch die sicherste.

Gruss moudi

 
Wie gesagt, realisieren lässt sich 1) gute Passworte für de Router und das NAS, 2) ab und zu kontrollieren ob deine Kameras noch richtig funktionieren. 

 
Als erstes würde ich den Swisscom router aus Privacygründen auf als ein reines Modem degradieren (in Bridge modus versetzen). Kenne zwar deine Fritzbox nicht, ist aber sicher besser, diese als Firewall/Router einzusetzen. Gemäss Datenblatt deines Switches kannst du dann, soweit deine Fritzbox im Stande ist, VLAN's zu definieren, dieselben im Switch angeben und ein spezielles VLAN für deine Cams festlegen - und das wars eigentlich. Falls du dem Swisscom router behalten willst und ihm traust, musst du schauen, ob man in den Router Einstellungen sowas wie VLAN's definieren kann.

Im Übrigen brauchst du keinen 24-port switch mit PoE auf allen ports. Was du eventuell machen könntest, wäre einen 4-PoE-port switch kaufen und deine 4 cams dranhängen (dann mit dem 24-port switch verbinden), damit du die Energieversorgung einfach gelöst hast (dann VLAN's definieren wie oben). Ansonsten die Cams, falls externe Energieversorgung der Cams über Netzgerät möglich, an den alten 16-port switch hängen und dann wiederum an den 24-port switch - dann wieder VLAN's wie oben.

Lösungen wären also zB:

1. Swisscom Router -> 24-port switch, cams dran und fertig, sofern externe Energieversorgung der Cams über Netzgerät möglich. Ohne VLAN, ohne Mac-filter

2. Swisscom Router -> 24-port switch, cams dran und fertig, sofern externe Energieversorgung der Cams über Netzgerät möglich. Falls möglich im Swisscom-router, VLAN's definieren.

3. Swisscom Router degradieren auf Modem -> Fritzbox -> 24-port switch, cams dran sofern externe Energieversorgung der Cams über Netzgerät möglich, VLAN's in der Fritzbox definieren.

4. Swisscom Router degradieren auf Modem -> Fritzbox -> 24-port switch -> neuen 4-port-PoE switch für cams, VLAN's in der Fritzbox definieren.

5. Swisscom Router -> 24-port switch -> neuen 4-port-PoE switch für cams. Falls möglich im Swisscom-router, VLAN's definieren

6. Swisscom Router -> 24-port switch -> alten 16-port switch für cams, Energie für cams über Netzgerät.

Hoffe, das war nicht zu verwirrend.
 

 
  • Like
Reaktionen: CyruS1337
Salü zusammen

Zuerst mal habe ich noch nie von einem Einbrecher gehört, der mit dem Laptop daherkommt.....zudem gehe ich davon aus, dass dein NAS mit einem gescheiten Passwort geschützt ist. Selbst wenn er also ins LAN kommt, müsste er zuerst noch das Passwort des NAS erraten, damit er an die Daten rankommt.

Ansonsten sind die Ansätze hier ziemlich richtig, ein vlan-fähiger (managebarer) Switch, die Kameras in ein separates VLAN und den Rest in ein eigenes VLAN. Die Frage ist halt nun, wo speichern die Kameras die Daten ab, wenn auf dem NAS, dann müsste das ja ebenfalls im VLAN "Kamera" sein und die Sache bringt wieder nichts mehr. Ausser du hast ein eigenes NAS für die Kameras.

Mac-Adressen auf Ports definieren wäre wohl das einfachste um den 0815-Hacker oder Lausbuben abzuhalten

Eine andere Idee könnte noch sein, die Kameras mit WLAN anzubinden und den WLAN-AP physisch zu sichern, dann wären gar keine Kabel im unsicheren Bereich. So hab ichs gelöst.

Gruss Lukas

 
Merci euch allen für die Tips

Ich habe mich nun für Cams von Vivotek entschieden.

Die Cams hängen in der Regel am Dach. Somit kein Zugang möglich.

Die Cam am Eingang habe ich mechansich gesichert.

Kabelverbindung im Camgehäuse und das Camgehäuse verschraubt, wobei die Schrauben gesichert sind.

Somit ist ein Zugang zum LAN nur mit Gewalt möglich.

Dann noch MAC Adressen zugewiesen und Passwort am NAS.

Wer dennoch drauf will, kommt sowieso dran.

Gruss moudi

 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

A
Heltun (Switch) Schalter Erfahrungen
Antworten
0
Aufrufe
354
Home Automation, Home Cinema
ara_tatanka
A
Moudi
PoE Switch vs Injector
Antworten
2
Aufrufe
947
Home Automation, Home Cinema
Moudi
Moudi
Amarcarni
PoE, injector, switch.... :O
Antworten
6
Aufrufe
2K
Home Automation, Home Cinema
Amarcarni
Amarcarni
K
Doppeldose RJ45 mit 1 Kabel (integrierter Switch) für Gigabit
Antworten
3
Aufrufe
4K
Home Automation, Home Cinema
Xcoder
X
S
Wie verbinden: Modem, Router, Switch ?!
Antworten
6
Aufrufe
9K
Home Automation, Home Cinema
Guest
G

Statistik des Forums

Themen
27.514
Beiträge
257.817
Mitglieder
31.796
Neuestes Mitglied
charlottege
Oben Unten
Zurück