Dahua HDCVI DVR Receiver 7208

[Mick]

(16-08-2017 11:39)funkistnichtalles schrieb:  Die Fritzbox ist eigentlich nur ein erster Schritt in ein sichereres Netzwerk. Wenn du dann noch schön die Netzwerksegmente in ein eigenes Konstrukt abseits der Werkskonfigurationen legst, kann das auch mit AVM was werden.

Klar, eigentlich ist die Fritzbox für Einsatzzwecke mit erhöhtem Sicherheitsbedürfnis sogar völlig ungeeignet. Mit der Original-Firmware ist kein VLAN Tagging möglich, nicht einmal unterschiedliche SSIDs. Nur ein Gastnetz mit eingeschränkten Rechten über LAN-Port 4 kann man anbinden, falls nötig mit eigenem AP. So eine richtige Segmentierung geht damit also gar nicht, wenn man die Fritte nicht nur als Modem verwendet und hintendran was Gescheites zB von Bintec setzt (sofern nicht wie bei der Digibox P von der Telekom kontrolliert ).

Ist also die Frage, wie man die Risiken gegen das Sicherheitsbedürfnis und den Aufwand gewichtet. Von außen ist für einen Angreifer bei aufgespanntem VPN mit sicherem Passwort und geschlossenen Ports mit Standard-Angriffen nicht viel zu reißen. Innen verzichte ich zwar auf Noname-IoT, habe keine Kinder mit einem lockeren Verhältnis zum Urheberrecht und anderen Internetgefahren und mit upnp habe ich mich auch schon vor 10 Jahren abschließend ausgetobt. Andererseits habe ich in meinem Netz aber auch nichts, was über SSL auf dem NAS hinaus besonderen Schutz erfordern würde und was ich bei erhöhten Gefahren nicht in dem Gastnetz unterbekäme (zB den Staubsaugerroboter). Was Sicherheitstechnik angeht ist die EMA komplett autark, allenfalls die Kameras wären intern evtl. manipulierbar und auch die laufen erst einmal über SSL mit eigenem Zertifikat.

Wenn sich einer im Vorfeld derartige Mühe macht, habe ich wohl ohnehin schlechte Karten. Dann kommen die bösen Buben auch mit der Säbelsäge und schneiden sich einfach eine Tür in meine Ytong-Wand und drin bekomme ich dann eine CZ Scorpion an die Backe gehalten .

Ausgehend vom Problem und der Infrastruktur des TE würde ich daher viel eher in Richtung VPN denken, als Ports zu öffnen, vor allem wenn Dahua tatsächlich Probleme mit anderen als den Standardpassworten hat. Könnte aber sein, dass der TE mit diesen Hinweisen nicht so wahnsinnig viel anfangen kann, nachdem er sich schon länger nicht gemeldet hat.