Nachlese vom Franken-Stammtisch, mit freundlicher Unterstützung von blue_eib :)

Problem:
Mobotix und Co. im Außenbereich haben den sicherheitstechnischen Nachteil, dass das LAN-Kabel nach außen geführt werden muss. Dies hat möglicherweise gravierendere Folgen als eine im Außenbereich vorhandene EIB-Leitung (ohne eigene Linie).

Was tun im Standardhaushalt, ohne Schränke voll Router und Firewalls?

Folgende Lösungsmöglichkeit zur Diskussion:

Die IP-Kamera(s) im Außenbereich hängen an einem separaten Switch, der über eine geschaltete Steckdose versorgt wird.

Mittels zyklischer Aufrufe der Webseite der Kamera (z.B. über den HS ;) ) wird nun überwacht, ob die Kamera ansprechbar ist und ob es die eigene ist (MAC-Adresse).

Antwortet die Kamera nicht mehr, wird der Switch mit den nach außen geführten Leitungen abgeschaltet.

Vorteile:


einfach zu realisierenNachteile:


eine abmontierte Kamera legt auch die anderen lahmDen Abfragezyklus könnte man situationsbezogen einstellen, tagsüber bei Anwesenheit seltener als nachts bei Abwesenheit.

Ergänzungsfrage:

Welche (einfachen) Maßnahmen gäbe es noch, zu verhindern, dass sich jemand mit dem Laptop an meinen Kameraanschluss anstöpselt?

Möglichkeit wäre etwas mit Accesslisten auf Switchen/Routern zu machen. Da du ja eh einen Switch im Keller benötigst, kannst du z.B. was von Cisco nehmen. Ist zwar nicht ganz billig aber wirksam.
Accesslisten können je nach Gerät nach MAC adresse, IP adresse TCP/UDP Port und Protokoll Port aufgesetzt werden.

Was mir noch in den Sinn kommt, bezüglich Sicherheit (Naja vielleicht an den Haaren beigezogen, aber trotzdem).
Der gemeine und intelligente Hacker, kann ja den RJ45-Stecker aussen an einen Switch stecken und daran die Kamera und seinen Laptop anschliessen....

Die Frage ist, was für Horrorszenarien du dir ausmalst und der gemeine Verbrecher anstellen kann.

hallo matthias,

ein switch kostet ja kein geld mehr. bei pearl gibts
die ab 12.00 €.

man könnte also, den kamaras die zugänglich sind, einen eigenen spendieren.

gruss

günther

Eine Möglichkeit wäre ein ifupdown Daemon und eine Linuxbox. Die Idee dahinter ist, das der Link up/down Status überwacht wird. Und je nach Stauts kann man eine Bridge aufbauen. Zieht jemand die Kamera raus geht der Linkstatus runter -> Kamera aus der Bridge entfernen. Ein entsprechner Linux Minirechner würde ca. 150 EUR kosten.

Oder einfach die Kamara an einen Switch anbringen und die Link LED abgreifen. Das auf einen Binäreingang legen und die Stromversorgung für den Switch darüber schalten. Durch den Binäreingang könnte man auch gleich einen Alarm auslösen.

Woran man auch denken muss. Es könnte jemand richtig Saft auf das LAN Kabel schicken um z.B. das LAN an sich lahm zu legen. Daher würde ich evtl. das LAN Kabel noch über ein LWL Umsetzer schicken (so werde ich das machen).

Bei vorhanden sein einer linux box könnte man auch mit iptables bzw. ebtables nur traffic von
ip/mac cam > HS oder PC mit Zugriff.
Oder gleich beim ganzen Netzsegment "aussen" nur anfragen von innen nach aussen zulassen und keine anfragen von aussen nach innen.
Ich hab für sowas mal nen Asus WLAN Router WL-500GX mit modifizierten FW benutzt.

Hallo,

mal abgesehen vom IP technischen würde ich aus eigener schlechter Erfahrung auch zu einer elektrischen Entkoppelung (Glasfaser oder Optokopler) raten. Wenn da jemand Spannung auf das Ethernet gibt ist sonst ne ganze Menge Hardware verbraten. Im wahrsten Sinne des Wortes.

samosir

um dir die kosten zu sparen kannste ja auch gleich wireless nehmen.

um dir die kosten zu sparen kannste ja auch gleich wireless nehmen.

Genau, Matthias, mach doch die Kameras der ganzen Welt zugänglich... :D

Hallo Matthias,
dieser Gedanke beschäftigt mich seit Monaten. Aufgrund bekannter Entwicklungen blieb es derzeit nur bei dem Gedanken.

Es macht Sinn die Kamera in zycklischen festen Abständen (IP) abzufragen und festzustellen ob im Netz. Bei mir ging eine Mobotix durch einen Kabelbruch vom Netz und ich merkte es erst Tage später.

Es macht Sinn sofort eine Meldung, einen Hinweis akustisch oder per SMS abzusetzen. Bei den Mobotix kommt es öfters vor, dass diese, bei Ablage der Bilder auf einem Server, die Verbindung verlieren und später wieder herstellen.
Auszuschließen ist aber der Rebootvorgang der Kamera (einmal am Tag zu einem bekannten Zeitpunkt).

Es würde Sinn machen einen billigen Switch z.B. 5 Port von LevelOne für 12 € einzusetzen und dann
nach einer gewissen Zeit abzuschalten.
Es macht aber auch Sinn diesen Switch wieder zu beleben und erneut einen Versuch zu machen.
Vielleicht zeitlich versetzt 3 Stück, bis letztlich die Fehlerbehebung per Hand erfolgen sollte.

Das einer sich mit Laptop an der Kamera zu schaffen macht glaube ich weniger. Das diese geklaut wird schon mal eher und deshalb sollte das Passwort und die interne Seriennummer vorgehalten werden. Eine Reaktivierung kann nur Mobotix vornehmen und da schließt sich wieder der Kreis.

Das ganze macht nur Sinn zur Erhöhung der Sicherheit des Gebäudes und zum Schutz des Netzwerkes, welches eine Verbindung nach außen aufmacht.

Beobachte die Entwicklung dieses Themas mal mit und mache mich mal schlau wie dies z.B. bei einer VPN-Lösung für diese Kamera ausschauen könnte.
Melde mich hierzu wieder

wer soll denn die cams anzapfen?? der der eben noch startkstrom durchs cat jagen wollte???
abgesehen kann man wireless relativ sicher machen. Wenn's die cams hergeben ipsec oder 802.1x. Allerdings sind die cams ja ehe über den hs erreichbar und wenn da jemand interesse hätte wäre der bestimmt zu hacken und man könnte sichs Garagentor selber aufmachen.

Vorschlag:
1. Mit der Mobotix zeitgesteuert per UDP einen Text senden und im Homeserver prüfen ober dieser Text ankommt.
2. Falls kein LAN verwendet werden soll, dann WLAN verwenden, z.B.: http://www.freebirdshop.de/shop/catalog/product_info.php?cPath=65_50&products_id=815

Viele Grüße,
Siegfried

ich denke gerade auch darüber nach, kenn mich in der hinsicht nicht sonderlich gut aus(netzwerk schon, aber nicht sicherheit), deswegen endschuldige ich mich hiermit für eventuelle unqualifizierte Meinungen.
Man könnte doch eine Art Kasten um eine Kamera bauen(nur hinten, wo die anschlüsse sind)
Dann noch einen microtaster oder ähnliches, sowie einen Binärausgang, kann man bei Öffnung dieses Gerätes sofort einen Alarmauslösen.
(ich weiß, schwachsinnige Idee, mir ist aber gerade langweilig)

ich denke gerade auch darüber nach, kenn mich in der hinsicht nicht sonderlich gut aus(netzwerk schon, aber nicht sicherheit), deswegen endschuldige ich mich hiermit für eventuelle unqualifizierte Meinungen.
Man könnte doch eine Art Kasten um eine Kamera bauen(nur hinten, wo die anschlüsse sind)
Dann noch einen microtaster oder ähnliches, sowie einen Binärausgang, kann man bei Öffnung dieses Gerätes sofort einen Alarmauslösen.
(ich weiß, schwachsinnige Idee, mir ist aber gerade langweilig)


Aus der Sicht der Sichrheitstechnik (Ich meine CCTV Ueberwachung, Einbruch und dergleichen), ist Gehäuseüberwachung (Mikroschalter als Sabotage) Standard. Also die Idee ist nicht so schwachsinning, wenn auch Aufwendig als Nachbau.

Hallo,

sehe das interne Hausnetz als "Sicherheitszelle" an, in die es nur definierte Zugangspunkte geben darf. In Deinem Fall bedeutet das:
- Aufbau einer Firewall (z.B. mit einem Minirechner und einem "Schmalspur-Linux" (Fli4L) oder natürlich auch kommerzielle Lösungen)
- Das "kalte" Ende (grünes Netz) mit Deinem Hausnetz verbinden
- Das "heisse" Ende (rotes Netz) auf einen extra Switch führen
- Die Cam ebenfalls an diesen externen Switch anschliessen
- Zugriff von HS auf CAM auf IP-Adress- oder MAC-Ebene in der Firewall erlauben (je nachdem vielleicht sogar mit Port-Beschränkung)

Mit dieser Installation ist Dein Hausnetz gegen Angriffe von aussen relativ gut gesichert (sowohl gegen Hacking, als auch gegen Hochspannung ;) ).
Die weiteren Möglichkeiten wurden ja schon genannt: galvanische Trennung der Netze, WLAN (hat auch galvanische Trennung ;) ), Sabotageschutz

Gruß
Michael

Edit: Ergänzung bei Firewall

Vielleicht bin ich ja viel zu altmodisch, aber ich habe bei mir neben der FBAS-Siedle-Kamera in der Sprechanlage noch zwei konventionelle FBAS-Kameras (Panasonic) im bezeizten Außengehäuse installiert.

Alle drei gehen auf einen 4-fach IP-TV-Server (Axis), welcher sich in meinem Rack neben dem Switch in Sicherheit befindet. So habe ich zum einen die Möglichkeit, die FBAS-Bilder direkt auf allen TV-Geräten im Haus zu betrachten und kann die Bilder trotzdem per Internet abrufen oder digital archivieren.

Das ganze ist ziemlich sicher und nicht teuerer als 3 Mobotix-Kameras.

Gruß Lutz

Mögen denn "normale" Notebook-LAN-Anschlüsse auch Power-over-Ethernet?
Wenn nicht, wird gleich das Notebook "gebraten", sofern die Kamera darüber versorgt wurde :D .

kein Problem kannste anschliessen.
ist inzwischen quasi standard auf neueren cisco workgroup switches wegen VoIP Tel's

ich denke gerade auch darüber nach, kenn mich in der hinsicht nicht sonderlich gut aus(netzwerk schon, aber nicht

Also ich entwickle langsam das Gefühl, dass wir uns in irgendwelche Eventualitäten verlieren. Versuchen wir mal zu analysieren und bleiben beim Vorschlag von Matthias und bei Mobotix M10, M12 (Nachfolger M10 und baugleich M22) oder M22 (M1 kenne ich nicht).

Die Kamera sitzt im Außenbereich an exponierter und vorerst mal sicherer Stelle (schwer ohne Leiter zu erreichen). Die Anschlüsse sind ohne Werkzeug nicht zugänglich. Ausnahme u. U. Zuleitung.

Die Kamera speichert jegliche Bewegung in ihrem Umfeld und sendet, wenn eingestellt eine Mail, SMS o.ä. weg. Wir bekommen in der Regel eine Vorwarnung. Im Normalfalle sind wir zu Hause und wenn wir weg sind wären wir erreichbar. Somit wäre schon etwas Schärfe weg.
Den Deckel der Kamera abschrauben geht nur mit einem Imbus. Stellt man eine direkte Verbindung mit Laptop und Netzwerk her, dann ist Laptop u.U. futsch, da in der Zuleitung der Kamera die Stromversorgung mitgeliefert wird. Diese kann z.B. bereits nach dem Switch im Hause erfolgen. Aus meiner Sicht (prüfe das noch genau) scheidet eine derartige Nutzung aus. Mit Ausnahme, dass diese geklaut wird.
Ich hoffe jetzt, dass keiner schreibt was ist wenn jetzt einer kommt und bereits einen Adapterstecker in der Hose hat, wo er das Netzwerk abgreifen und durch schnüffeln kann.

Sowas braucht Zeit und ich glaube kaum, dass jemand diese Zeit verschwenden wird. In der Regel sucht man die schächste Stelle am Haus und schenll rein. Eine Kamera nimmt hier nur eine untergeordnete Rolle wahr, ggf. eine Außerbetriebsetzung durch durchtrennen von Kabel.

Meine Kameras gehen nicht auf bzw. über den Homeserver. Hiervon halte ich nicht sehr viel. Sie sind alle übers Internet erreichbar bzw. gibt es einschlägige sehr gute Software wie z.B. go1984, welche allen Anspürchen gerecht wird. Zu empfehlen die Bildablage auf einem Server. Hier werden die Bilder und die Videostreams vorgehalten und von der Kamera nach Ablauf der Frist automatisch gelöscht.
Die Software der Kamera kann nur über die Kennung des Admin-Passwortes ausgelesen werden. In der Regel ist die Kamera, auch eine geklaute für einen Dritten wertlos. Die Mobotix Hotline schaltet sich sofort bei Vorlage einer geklauten Kamera ein.

Jetzt wieder zum Thema und zurück zu Matthias. Hier verweise ich auf meine Ausführungen vorstehend und fasse zusammen. Für mich macht das ganze nur einen Sinn in der Rückmeldung und Sicherstellung der Funktionsfähigkeit, sprich Betriebsbereitschaft meiner Kamera.

Siehe auch vorstehend die Ausführungen von Michel, welche wieder einmal den Nagel auf den Kopf treffen.

Mögen denn "normale" Notebook-LAN-Anschlüsse auch Power-over-Ethernet?
Wenn nicht, wird gleich das Notebook "gebraten", sofern die Kamera darüber versorgt wurde :D .

Guten Abend Michael,
hab´s überlesen und nochmal gechrieben. Bei Mobotix zutreffend:Prost:

Hallo,

eine MAC-Adresse als Filterkriterium für eine Firewall (oder was auch immer) zu verwenden ist in diesem Fall sinnlos - die MAC-Adresse kann jeder Angreifer auf seinem Laptop einstellen...

just my 2c,
__
/homas

Das trifft für IP's in dem Fall dann erst Recht zu.
Also Sicherheit kann nur gegeben werden mit 802.1x und ipsec. Was dann aber bei Kabelgebunden Geräten (Switches) schon in die höhere Preis Region bringt, bei wireless ist es bei den meisten Geräten möglich

Hallo zusammen,

ich bin ja jetzt nicht so der Netzwerkspezialist.

Aber ich werfe hier mal einfach was zur Diskussion ins Rennen:

Die Außenkameras laufen in einem eigenen Subnetz (sind also per Router vom internen Hausnetz getrennt).

Verbindung vom Kamera-Subnetz ins interne Netz läuft über passwortgeschützte VPN.

Der Router gibt nur VPN Verbindung ins interne Netz weiter - alles andere wird geblockt.


Hängt jetzt jemand ein Notebook ans Kamera-Subnetz, dann ist er nur im Subnetz, kommt aber nicht ins interne Netz (ist ja geblockt).

Selbst wenn er nun aus der Kamera VPN-Zertifikate / -Keys auf sein Notebook kopiert, könnte er mit entsprechendem Aufwand evtl. eine VPN-Verbindung ins interne Netz aufbauen - aber jetzt fehlt ihm immer noch das Passwort.

Wäre so eine Lösung nicht ausreichend sicher?

Ciao

Olaf

Daran habe ich auch gedacht! Allerdings noch nicht ganz umfassend klären können.
Unterstelle aber, dass dann die Funktionalität der Kamera Richtung Internet verloren geht und das wäre dann aber schon Wesentlich.

http://www.mobotix.com/ger_DE/services/user_forum/installation_network/ip_adresse_uebertragen

http://www.schmitz-regensburg.de/oem.html

Thema wird interessant. Lösungen sind gefragt!

Lt. Hotline von Mobotix soll trotz Spannungversorgung der Kamera über PIN 7 und 8 kein Schaden am Netzwerk entstehen!!!????

Die Netzwerkverbindung läuft über PIN 1+2 und 3+6.
Die Spannungsversorgung der Mobotix über 7 + 8. Siehe auch
http://de.wikipedia.org/wiki/RJ-XX
1. Paar= Pin 4+5

2. Paar= Pin 1+2
3. Paar= Pin 3+6
4. Paar= Pin 7+8


Ein VPN Tunnel für die Kamera einzurichten ist nicht zu empfehlen, da hierbei die lokale Übertragungsrate nach unten geht.


Fakt:
Posting von Matthias ist derzeit noch nicht beantwortet. Es sind Netzwerksspezialisten gefragt.


Trost:
Soweit eingerichtet, alle Kameras können telefonieren, auch im Alarmfall. Dies kann geschehen mit ISDN oder SIPP.
Man stelle sich vor, dass man dann in der Lage wäre eine Gegensprechverbindung mit dem "Fremdmonteur" herzustellen und egal von welchem Platz auf der Welt diesem dann aus der Ferne noch ein paar nützliche Tipps geben kann.:D :D :D :D


Am Thema Netzwerk bin ich noch dran.

Hallo zusammen,

das ist ein schönes Thema, aber ganz schön schwere Kost.
Schade das ich am Stammtisch nicht kommen konnte.

Bei dem Thema Sicherheit im IT-Umfeld wird ja sehr gerne mit den Ängsten gespielt und anschließend in Regionen ausgeholt, die absolut unwahrscheinlich sind und eigentlich nie eintreffen.
Wir sollten also die Wirklichkeit und das Ziel eines Angreifers nie aus den Augen verlieren.
Deshalb mal die Frage, was will ein Hacker im Netz eines Privathaushaltes?

Ich würde vorschlagen das Thema mal von ganz vorne aufzurollen.
An erster Stelle steht die Wahrscheinlichkeit eines Angriffs gegen das betreffende Objekt.

Privathaushalt:
Angriff über Internet: Ja, ist in jedem Fall gegeben
Geschützt wird über Firewall
Angriff über Telefon: Sehr unwahrscheinlich
Geschützt wird über Telefonanlage
Angriff direkt am Haus (Beispiel Kamera im Aussenbereich): Sehr, sehr unwahrscheinlich.
Schutz notwendig?
Firmen:


Angriff über Internet: Ja, ist in jedem Fall gegeben
Geschützt wird über Firewall
Angriff über Telefon: Sehr unwahrscheinlich
Geschützt wird über Telefonanlage
Angriff direkt am Haus (Beispiel Kamera im Aussenbereich): Wahrscheinlich. Schutz notwendig. Realisation erläutere ich später
Manche Privathaushalte haben vielleicht ein höheres Angriffsrisiko wie andere, muss also jeder für sich entscheiden.

Setzen wir mal voraus ein Risiko ist gegeben.
Jetzt sollte sich jeder über die Höhe des Risikos gedanken machen um sich nicht, wie redstar schon geschrieben hat, in Eventualitäten zu verlieren. Ein Restrisiko ist nie auszuschließen und auch der beste Schutz ist zu überwinden, fragt sich nur mit wieviel Aufwand.
Oder glaubt wirklich jemand, dass ein Hacker mit Leiter bewaffnet zu einem Privatgebäude fährt, dort an der Wand zur Überwachungskamera hochsteigt, das Netzwerkkabel abgreift, sich die MAC-Adresse besorgt, über MAC-Adress Spoofing in das LAN begibt um dann die Urlaubsbilder oder die letzte Steuererklärung zu kopieren?

aber es wäre ja möglich ;) :
Was kann ich also tun:
1. Kamera an geschützter Stelle
2. Ich nenne es mal: Physischer Zugriffsschutz
Ich meine damit, dass die Kamera nicht einfach abschraubbar oder abbrechbar sein sollte.
3. evtl. Kabel direkt mit Kamera verbinden und auf RJ-45 Stecker verzichten um es falls 1+2 nicht geholfen haben nochmals zu erschweren
Alles weitere ist eigentlich schon ganz schön unrealistisch aber möglich.

4. Switchport mit MAC-Adress Filterung und Portfilterung, können mittlerweile teilweise auch billige Switches. 3COM 300,- € Switches auf jeden Fall und wenn die Kamera schon 800,- € kostet ist das auch nicht mehr so schlimm.
Galvanische Trennung ist meines erachtens uninteressant, da hier mutwillige Zerstörung das Ziel ist, da ist Fenstereinschlagen oder Graffiti wahrscheinlicher.

5. Die Lösung von Matthias ist SUPER:
Abfrage des Bildes und wenn keine Antwort den Switch stromlos machen.
Als Erweiterung die Lösung von Redstar: Alle x Minuten den Switch wieder mit Strom versorgen und sehen ob wieder etwas gesendet wird.
Eventuell würde ich die Kamera (wenn nicht mit PoE versorgt) ebenfalls Stromlos machen.

Aber mehr würde ich nie machen.

Jetzt hab ich aber die Firmen vergessen.
Da ist festzustellen
1. Dass meistens das Gelände mit einem Zaun gesichert ist.
2. Die Kameras innerhalb des Zaunes ist
3. Mehr Geld vorhanden ist, deshalb würde ich hier auf jeden Fall:
3.1. Die Kameras an einen eigenen Switch in ein eigenens SubNet hängen
3.2. Alles hinter eine Firewall stellen

Das ist jetzt ein ganz schön langer Thread.
Sorry.

Ich hoffe ich konnte ein paar kleine Erläuterungen geben und bin für Anregungen gerne offen.
Für Fragen stehe ich gerne zur Verfügung.

Viele Grüße
Volker

wenn ihr Geld überhabt besorgt euch nen switch der private VLAN's kann.

http://www.hp.com/rnd/support/config_examples/primary_vlan.pdf

Angriffs gegen das betreffende Objekt.

Privathaushalt:
Angriff über Internet: Ja, ist in jedem Fall gegeben
Geschützt wird über Firewall
Angriff über Telefon: Sehr unwahscheinlich
Geschützt wird über Telefonanlage
Angriff direkt am Haus (Beispiel Kamera im Aussenbereich): Sehr, sehr unwahrscheinlich.
Schutz notwendig?

Was macht denn deine Firewall um HS und Kameras zu schützen???
Da du ja warscheinlich eh nur private IP's hast ist das wohl eher ein explicit zuweisen Ports zu HS...
was dann ja wohl weniger Sicherheit schaffen als Sicherheit entfernen ist. Oder hat jemand ne aktive Firewall dazwischen die bis auf App layer runter Angriffe auf den HS etc verhindert?
Telefon wolln wir mal ganz ausschliessen.
Angriff am Haus ist doch wohl die warscheinlichste Form eines ernstzunehmenden Angriffs der auch wirklich gegen dich gerichtet ist.

Hi,

so teuer sind die gar nicht.
Bei so 250,-€ fangen die VLAN-fähigen glaub ich an.

Die HP haben sogar noch einen großen Vorteil:
Die schauen GEIL aus!!! :Prost:

Gruß
Volker

Ich mein nicht nur VLAN sondern private VLAN's.
Da kannste sagen welcher Netzwerkport in welche Richtung mit welchem zweiten Netwerkport Daten austauschen kann.
http://www.cisco.com/warp/public/473/90a.gif

Das mit den privaten VLAN´s meine ich schon auch.



Was macht denn deine Firewall um HS und Kameras zu schützen???

Hier meinte ich eigentlich die eingebauten Firewalls in den DSL-Routern.
Also, keinen Verbindunsaufbau von aussen zulassen.
Nur bestimmte Ports geöffnet.
Ein NAT von der I-Net IP auf den Privaten Adressbereich.

Oder steh ich jetzt auf dem Schlauch?

Gruß
Volker

Ich hab mal unsere CCTV Projekt Jungs gefragt, wie diese das Problem lösen.

- Kabelgeschützte Gehäuse (Vandalengehäuse)
- IT Massnahmen (MAC adressen, Port settings etc.)
- Kameras werden regelmässig gepollt.

Also im Prinzip die Vorschläge die hier schon gemacht wurden.

@Matthias
Nur aus Gwunder: Wie löst du es?

Hallo Filo,

ich werde mir einen Switch beschaffen, wo ich feszelegen wann, wer dranhängt oder nicht.

Zusätzlich noch eine Verkleidung für die Kamera. damit man nicht so schnell rankommt. Der Bereich ist ohnehin mittels BWM überwacht.

Das zyklische Abfragen der Kamera habe ich schon mal umgesetzt.