Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik

Normale Version: Generelle Frage zur Sicherheit von IP Video-Sprechanlagen
Sie sehen gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Ich bin aktuell auf der Suche nach einer IP-fähigen Video Sprechanlage (ich brauche eigentlich nur eine Türstation), um diese in meine Hausautomation einzubinden.
Die Anlagen werden per WLAN oder LAN mit PoE angeschlossen. WLAN Verbindungen scheinen in dem Bereich aber nicht sehr stabil zu laufen, weshalb ich LAN bevorzugen würde. Ich habe allerdings Sicherheitsbedenken, da das LAN-Kabel direkt an der Türstation angeschlossen werden muss und somit mein Netzwerk nach außen ungeschützt ist. Falls sich jemand am Gerät zu schaffen macht und das Kabel freilegt, könnte er sich problemlos mit meinem Netzwerk verbinden.
Welche Möglichkeiten habe ich den Zugang auf mein internes Netz zu begrenzen ?
Ich könnte mir vorstellen an diesem Anschluß nur eine vordefinierte MAC Adresse zu erlauben, aber diese Funktionalität bieten meistens nur höherpreisige Router (z.B. LANCOM).
Ich kann deine Bedenken zwar nachvollziehen, aber der "MAC-Filter", den Du ansprichst, ist sicherheitstechnisch auch nix besonderes und kann leicht umgangen werden.

---------------
Vollzitat entfernt
Ollik
Welche Möglichkeiten hätte ich dann ? Ich meinte nicht den WLAN MAC-Filter, wie er bei Fritz Boxen usw. vorhanden ist, sondern die Zuweisung verschiedener LAN Segmente abhängig von der MAC-Adresse.
Bei unseren LANCOM Routern im Betrieb gibt es z.B. mehrere Netzwerksegmente. Die Zuweisung erfolgt aufgrund der MAC-Adresse. Dadurch wird z.B. der Zugriff von Handys auf das Internet erlaubt, der Zugriff auf das Lokale Netz - durch das andere IP-Segment - unterbunden.
Eigentlich hast Du Dir die Frage ja selbst beantwortet. Wenn Du das Geld für den LANCOM nicht investieren willst, hast Du entweder ein offenes Netzwerkkabel an der Türstation, oder aber Du nimmst ein autarkes System.
Dann verliere ich aber die Möglichkeit über Hausautomation oder Handy/Tablet auf die Anlage zuzugreifen - oder ?
LANCOM hat mir übrigens empfohlen den RJ-45 Port, an dem die Anlage hängt als selbstständiges IP Netz zu betreiben und per Firewall-Regel nur die von der Anlage benötigten Ports an den Automationsserver bzw. den Internet Router freizuschalten. Zusätzlich könnte man auch noch einen MAC-Filter einsetzen. Selbst wenn der MAC-Filter dann ausgehebelt wird, ist der Netzwerkzugriff immer noch sehr eingeschränkt. Für dieses Szenario könnte man laut LANCOM auch einen managebaren Switch oder eine Hardware Firewall verwenden.
Mich würde ja mal interessieren, wie andere User das lösen - ein LANCOM schlägt auch mit ca. 500-600€ zu Buche und der Verwaltungsaufwand kommt noch dazu..
Vorstellbar wäre noch ein Szenario, bei dem die Türstation z.B. per BUS mit einer Innenstation verbunden ist, und nur die Innenstation direkt am Netzwerk hängt. Hab aber leider keine Ahnung, ob so ein System existiert.
habe ich bei mir realisiert mit ner Dahua Mehrstationen-Einheit.
Türstation: 2draht auf Mastermonitor, Webinterface für alle drei Türsstationen und Weiterleitung von meinem Privathaus auf meine Videoüberwachung in der Firma via VPN.
Der interne Speicher war mir zu klein und zu schnell überschrieben. Hätte es auch auf das NAS zuhause machen können, aber ich wollte mal wissen, wie lange das stabil funktioniert. Big Grin
Leider noch keine Erfahrung, habe es erst im Okt. 2015 installiert, bis jetzt keine AusfälleAngry
Mist, das Zeugs funktioniert.
Das gibt es schon, z.B. von TCS, Busch Jäger usw...
Allerdings rufen die alle Preise ab 1500€ aufwärts auf - ohne Innenstation !

Dahua hatte ich auch gefunden, allerdings nirgends lieferbar ... hast du zufällig einen Shoplink ?
ich weiss nicht, ob die auch schon im Netz verschleudert werden oder ob das nur über den Fachhandel gehen soll
infos kriegst du über ssamdotcom
Preislich wird das mit einer Türstation, Webinterface und Mastermonitor auch bei 900 - 1000 Euro rauskommen. Müsste ich morgen mal kalkulieren.
Einen Mastermonitor brauche ich nicht, da ich Android Tablets für die Hausautomation verwende. Das System soll auch von unterwegs per App auf Handy/Tablet erreichbar sein.
(08-03-2016 15:04)dt2510 schrieb: [ -> ]Für dieses Szenario könnte man laut LANCOM auch einen managebaren Switch oder eine Hardware Firewall verwenden.
Mich würde ja mal interessieren, wie andere User das lösen - ein LANCOM schlägt auch mit ca. 500-600€ zu Buche und der Verwaltungsaufwand kommt noch dazu..
Die Empfehlungen von LANCOM sind richtig.
1) Zwei physikalisch getrennte Netzsegmente
Zwischen internem Netz und der Leitung zur Video-Türstation kommt eine Hardware oder Software-Firewall welche die beiden Netzsegmente trennt.

2) Virtual Local Area Network (VLAN)
Dabei wird EIN physikalisches Netwerk in MEHRERE logische Netzwerksegmente geteilt, beispielsweise ein VLAN für die Video-Sprechanlage und ein VLAN für das hausinterne Netzwerk. Auf einem zentralen VLAN-fähigen Switch werden die gewünschten VLANs konfiguriert. Die VLANs sind aus Sicherheitsgründen von einander getrennt, benötigte Zugriffe zwischen den einzelnen VLANs können explizit freigeschaltet werden (integrierte Mini-Firewall).

Kleine 16-Port Switches mit VLAN kosten ab ca 80€, sonst gibt es von bis je nach Port-Anzahl und Features. Ein gute und kostengünstige Lösung ist damit möglich.

Beim Thema Video-Türstation tendiere ich derzeit auch zu einer IP-basierten Lösung. Und selbstverständlich ohne Sicherheitslücke im Netz. Ich werde bei mir ein VLAN aufbauen um Haus-Netzwerk, Video-Sprechanlage und Gäste-WLAN von einander zu trennen. Später kommt eventuell ein eigenes VLAN für eine Videoüberwachung oder das Gartenhäuschen dazu. Die Flexiblität in der Strukturierung des Netzwerkes in Verbindung mit den erforderlichen Security Features sind für mich die maßgebenden Argumente für diese Lösung.

LG Harry

PS: Welche IP-fähigen Video Sprechanlage ist dein Favorit?
Der Router muss mit den VLANs umgehen können. Du befindest dich da in Lager 3.

Layer 3.
Referenz-URLs