Hallo Community, ich habe im Garten eine IP-Kamera via DLAN installiert. Der Aufstellungsort der Kamera, wird leider nicht mehr von dem WLAN Signal abgedeckt. Jetzt mache ich mir weiter Gedanken, falls sich dort ein Unbefugter ins Netzwerk einklinkt. Ich nutze zwei FritzBoxen 7170. Die erste Box übernimmt die Internetkommunikation, stellt das WLAN zur Verfügung, sowie DHCP für LAN und WLAN. Die zweite FritzBox wird als Switch für den Rest des Netzwerkes genutzt und als WLAN-AccesPoint für den Außenbereich. An dieser Box hängt auch der andere DLAN-Adapter (gleiche Phase, wie der Adapter an der Kamera). Jetzt habe ich mit der Kindersicherungsoption rumgespielt an der zweiten FritzBox rumgespielt. Die unbefugte Person würde zwar eine IP von der ersten FritzBox bekommen, hätte aber keinen Zugriff auf das Internet. Soweit ja noch ok, aber über die Weboberfläche der zweiten FritzBox habe ich einfach einen Werksreset gemacht und die Filterung war weg. Auf der ersten FritzBox kann ich die Kindersicherungsoption aus diversen Gründen leider nicht aktivieren. Ich suche nun also eine Firewall für das interne Netz. Wäre die Freetz-Firmware mit IP-Tables eine Möglichkeit? Eine simple MAC-Filterung halte ich für unzureichend. MfG Hans
Hans schrieb: > Jetzt mache ich mir weiter Gedanken, falls sich dort ein Unbefugter ins > Netzwerk einklinkt. Wieso? Stehen deine Fritzboxen im Garten oder Hausflur? DLAN ist wie WLAN auch verschlüsselt, da kommt man nicht einfach so rein. Außer du vergibst Trivialpaßwörter.
Hans schrieb: > Soweit ja noch ok, aber über die Weboberfläche der zweiten FritzBox habe > ich einfach einen Werksreset gemacht und die Filterung war weg. Dann sorg doch dafür, daß die Weboberfläche nicht zugänglich ist -- dann geht auch der Werksreset nicht.
Im Außenbereich ist nur ein DLAN-Adapter vorhanden, die beiden Adapter sind untereinander verschlüsselt. Darum geht es mir aber auch nicht. Da der eine Adapter von außen zugänglich ist, ziehe ich einfach das Netzwerkkabel aus der Kamera und Hänge mich mit meinem Notebook dran und schon bin ich in meinem Netzwerk. Danke für den Tipp mit dem Sperren der Weboberfläche, das werde ich heute mal austesten.
Dann wäre es evtl. auch eine Option einen Switch zu kaufen bei dem man einstellen kann welche MAC-Adressen an welchem Port erlaubt sind. Dann müsste ein potenzieller Angreifer zumindest erstmal die MAC-Adresse der Kamera in Erfahrung bringen.
Schade das ich bei der FritzBox keine Ports innerhalb des LANs sperren kann, sonst hätte ich nur den Kamera-Port freigegeben.
D. I. schrieb: > Dann > müsste ein potenzieller Angreifer zumindest erstmal die MAC-Adresse der > Kamera in Erfahrung bringen. was ja auch wahnsinnig schwer ist, wenn man die Kamera ein reichweite hat? wenn es sicher sein soll, dann hilft nur 802.1X - leider könnnen das die meisten konsumer geräte nicht.
Hi Du must einfach den DHCP server begrenzen, und keine neuen Geräte mehr zulassen. Geht bei der Fritzbox meines Wissens auch via Lan und nicht nur wlan. Somit solte dann nur noch Geräte mit bekannter mac Adresse laufen. sven
Sven F. schrieb: > Du must einfach den DHCP server begrenzen, > und keine neuen Geräte mehr zulassen. > Geht bei der Fritzbox meines Wissens auch via Lan und nicht nur wlan. > Somit solte dann nur noch Geräte mit bekannter mac Adresse laufen. und das soll sicher sein? Dann vergebe ich die IP von hand und bin drin. vorher lese ich kurz mit welches netzt das ist. Es kommen immer mal irgendwelche Broadcast vorbei. Oder ich nehme einfach die MAC und IP der Kamara - steht meist sogar auf dem Typenschild.
Du könntest auch linux flashen, openwrt oder ddwrt. dann könntest du ne firewall aufm router aufsetzen. für die lans sowie für den ap.
Am Besten Du ziehtst um die Kamera ein paar "Trip-Wire" bzw. Sabotagekontakte rum, so dass dem DLAN im Haus der Strom abgedreht wird, wenn jemand an der CAM bastelt, bzw. den Netzwerkstecker der CAM zieht. Alternativ eine 230V Relaissteckdose, die per PC (o.ä.) geschaltet werden kann, dann einen zyklischen Ping auf die CAM. Bleiben mehrere Pakete hintereinander aus, dann den Stromkreis trennen.
Wie wäre es mit einer leichten Overkill Lösung: Die Hardware für diese Lösung ist relativ flexibel: Die Kamera-Einheit muss so abgeschottet sein, dass kein Zugriff unbemerkt darauf möglich ist von physikalischer Seite, gleiches gilt für die Gegenseite. Dann werden die Daten der Kamera innerhalb der Kamera-Einheit verschlüsselt und signiert (dafür genügt ein selbst ausgestelltes Zertifikat, Bit Länge 2^Paranoia) und die Empfangsseite erhält auch entsprechende Zertifikate zum Verschlüsseln und Signieren. Die Empfangsseite entschlüsselt dann transparent den Datenverkehr der Kamera und leitet diesen ins Lan weiter, bzw auch umgekehrt natürlich. Den Austausch der Zertifikate würde ich mit einem USB-Stick und einer Maschinenpistole durchführen - denn die Zertifikate dürfen nicht gestohlen werden. Bei einem Einbruch können jetzt folgende Dinge passieren: Kabel wird getrennt/umgesteckt: mh joa, dann geschieht halt einfach kein Datenverkehr mehr, mangels korrekter Signierung kommt aber kein Traffic ins Lan und der Traffic aus dem Lan kann nicht entschlüsselt werden. Die Kamera wird geöffnet: Das sollte man erkennen und die Zertifikate unwiderbringlich zerstören, gleichzeitig, ggf noch eine Nachricht raus schicken, dass die Zertifikate der Kamera widerrufen sind (um im Notfall falls die Zertifikate doch erbeutet werden doch auf der sicheren Seite zu sein) Da die Empfangsseite im Haus liegt sollte alles andere reichlich egal werden.- Doof nur wenn man ins Haus einbricht, aber dann kann man sich da direkt ins Lan einklinken. Dieser Beitrag kann Spuren von Ironie enthalten, beschreibt aber im Allgemeinen wie Daten über ein öffentliches Netzwerk (richtig wie der Datenverkehr von der Sende zur Empfangsstelle abläuft ist jetzt egal, den dürfte sogar jeder mit kriegen) gesendet werden sollten. Ich denke mal mit einer MAC-Filterung+Portfilterung, ggf Paketscanning, solltest du aber ausreichend weit kommen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.