Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
10-06-2020, 10:10
Beitrag: #1
Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
Da ich nicht so der Netzwerkspezialist bin Confused , wende ich mich nun auch mal in dieser Rubrik an das Forum und hoffe auf Eure Hilfe:

An einer Fritzbox 7490 (am S0 eine Eumex und auf Lan2 ein Telenot-Comxline) hängt auf Lan1 ein nachgeschaltetes HP1920-Switch (an dem wiederum das ganze Hausnetz aufgelegt ist), wobei sich alles im Netzwerk 192.168.178.xx befindet (Fritzbox auf 192.168.178.1).

Nachdem ich nunmehr visuell aufgerüstet (Hikvision NVR + Kamera) und das BHE Merkblatt „Cyber Security bei Videoanlagen“ entdeckt habe, will ich nun mein keines Netzwerk bestmöglich von innen nach außen und von außen nach innen schützen.

Hierzu schwebt mir vor, den Lan4 (Gastzugang der Fritzbox, weil dieser unabhängig in einem anderen Netzwerk - 192.168.179.xx – läuft, zu nutzen. Allerdings habe ich irgendwo gelesen, dass die Fritzbox die IP der dort angeschlossenen Geräte selbst festlegt und diese nach irgendwelcher (einzustellender) Zeit „aufgibt“ und andere vergibt. Dies wäre denkbar ungünstig und ich will ja auch nicht ständig den Countdown des automatischen IP-Wechsel im Auge behalten müssen.

Zusätzlich wollte ich zur Sicherheit in dem HP-Switch ein port-basiertes VLan einrichten.
Also vom Lan4 (Gastzugang) auf den HP-Switch (port-basiertes VLan) und von dort auf den NVR, an dem die Kameras hängen.

Meine Fragen Huh hierzu:

Ist diese Konfiguration sinnvoll?

Ist diese Konfiguration möglich bzw. in wie weit treffen meine Äußerungen zu dem Lan4 der Fritzbox zu und was kann man dagegen tun?

Kann ich bei dieser Konfiguration per App von außen auf den NVR / die Kameras zugreifen?

Welche zusätzlichen bzw. anderen/besseren Sicherungen/Konfigurationen sind unter Berücksichtigung der vorhandenen Geräten (Fritzbox/Switch/Hausnetz/NVR/Kameras/…) und dem App-Zugriff sinnvoll/möglich?

Wie würde VPN in dieser Konfiguration funktionieren bzw. was würde das bringen?

Ganz schön viele Fragen Huh . Ich hätte auch nicht gedacht, dass mein Vorhaben solche Ausmaße annimmt. Undecided Allerdings will ich durch die visuelle Aufrüstung nicht die Funktionsfähigkeit bzw. Manipulationsmöglichkeit meiner EMA (die ja auch über eine App zu steuern ist) aufgeben bzw. möglich machen Big Grin
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
13-06-2020, 14:21
Beitrag: #2
RE: Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
Kann es wirklich sein, dass niemand hier im Forum meine Fragen beantworten kann Huh

Auch die Beantwortung nur einer der Fragen würde mich zumindest wieder ein kleines Stück weiter bringen ... Lightbulb

D a n k e !
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
14-06-2020, 07:02
Beitrag: #3
RE: Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
ich persönlich halte dieses Merkblatt des BHE für existent. Mehr nicht.
Ich unterscheide massiv zwischen Privat und Gewerbe.
Bei Gewerbe mache ich genau das, was der IT-Verantwortliche vorgibt. Nicht mehr und nicht weniger.
Bei Privat gebe ich zumeist folgende Ratschläge, welche absolut meine persönliche Meinung widerspiegeln. In meiner Firma warten wir seit Gründung auf einen Cyber-Angriff. Dieser wird von einer Firewall gemeldet und auch protokolliert. Einen verirrten Ping wird es immer mal geben, hier kann man schon entgegenwirken. Auch auf das habe ich bewusst verzichtet, um zu sehen, was passiert denn tatsächlich auf dem Anschluss. Darüber kann man mit IT-lern trefflich philosophieren, jedoch sieht es ein befreundeter IT-Spezialist, den ich gelegenlich konsultiere, so wie ich. Mit diesen Fragen wird sehr viel Geld verdient. Vieles ist nicht nötig. Auch die viel diskutierten Portöffnungen sind viel harmloser als hier gelegentlich kolportiert wird.
Man muss immer bedenken: was löst diese Portöffnung aus? Du kommst nach Überwindung des Eingangstores auf die Frage der Passwörter: nimmst du hier Admin und 1234, bist du selbst schuld.
Nimmst du was richtig gutes, verlässt der virtuelle Eindringling schnell das Feld, weil er nur Standarts abfragt. Genauso sehe ich die Netzwerkverteilung der Standartrouter. Die wenigsten ändern den IP- Kreis ihres Routers, der identifiziert sich teilweise noch im Netz und somit weiss man, welchen IP-range man abfragen muss. Ich ändere dies immer in differente Kreise a la 192.168.123.254. Auf das dritte Segment kommt es an. Du kannst noch weiter gehen und eigentlich alles verändern, macht aber keinen Sinn.
Im Netz werden Standarts abgefragt, wenn dann einfach reinzukommen ist, KANN es passieren. Deshalb dann die starken Passwörter. Bei den EMA zugängen kurze Timeouts programmieren, damit nicht längerfristig probiert werden kann. Passwortabfrage nach 3 mal sperren. Geht bei den meisten Anlagen. Hier sehe ich das wenigste Potenzial. Schlimmer sehe ich Muttis Smartphone, das offen rumliegt und zum schnellen einfachen Zugriff auch noch über wenig sinnvolle Passwörter verfügt.
Bei Video benutzen wir ebenfalls dezidierte Netzwerke, das schon seit ich Video baue und das zu dieser Zeit auch richtig schwer zu realisieren war.
Auch hier wieder: starke Passwörter und kurze Timeouts, hier verlieren 99,9 % der Spassvögel dann die Lust und auch das Können, hier weiterkommen zu wollen.
VLANs sind eine gute Möglichkeit, erfordert aber das entsprechende Wissen.
Cloudlösungen im Video sind was für Einfachanwender, die es nicht schaffen, es anders hinzukriegen. (Auch nur meine Meinung, die ich vertrete)
Den LAN 4 der Fritzbox nutze ich in deiner beschriebenen Weise nicht, da ich die Einschränkungen nicht gebrauchen kann (und will)

Sehe es mal pragmatisch: lasse dich nicht von allem ins Bockshorn jagen und geniesse das Leben. erstens kannst du nicht alles verhindern und zweitens muss es nicht sein, dass du für jeden interessant bist. Ich glaube nicht, dass dein Nachbar derartiges Knowhow hat, dir in deinen Ängsten ans Bein zu pinkeln.Lightbulb
Bist du eine Person des öffentlichen Lebens und/oder hast du andere Notwendigkeiten, ist das Forum nur ein Zeitvertreib. Alles andere sollten dann die Spezialisten für dich erledigen.
Schönen Sonntag!

P.S: an alle die anders darüber denken: der Beitrag ist eine rein persönliche Meinung zu diesem Thema.
Jeder der es will, kann sich seine VPns einrichten.
Jeder kann sich seine Firewall aufbohren.
Jeder kann alle technischen Möglichkeiten nutzen.

Ich habe aber aufgehört, zusätzlich zu meinem Gürtel Hosenträger zu benutzen. Auch den Taucheranzug lasse ich im Schrank, den Schutzhelm benutze ich nur beim Motorradfahren und in Skigebieten, wo er vorgeschrieben ist. Ansonsten weht mir der freie Wind um die Haare.

Wahre Männer lesen keine Bedienungsanleitung!
Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
14-06-2020, 09:19
Beitrag: #4
RE: Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
Da stimme ich FINA in allen Punkten zu.
Auch ich habe mir deinen Post durchgelesen und mir Gedanken dazu gemacht, bin aber zu keinem brauchbaren Schluss gekommen, sonst hätte ich schon was dazu geschrieben.
Es ist wirklich so, das man die Kirche im Dorf lassen sollte. Klar, Schutz muss sein, aber man kann den auch soweit ausbauen, das die Benutzung des eigenen Netzwerkes keinen Spass mehr macht, weil man vor lauter Passworttippen nicht mehr zur eigentlichen Arbeit kommt. Es ist wirklich fraglich, in wie weit das für Privatanwender Sinn macht. Wenn man damit experimentieren will, dann wird man um eine Hardware Firewall nicht herumkommen. Wie ich in einem anderen Post schon geschrieben habe, ich habe mir aus Neugierde so etwas aufgebaut und ohne die anfängliche Unterstützung von unserem IT Mensch wäre das im Chaos geendet und ich hätte das Projekt wieder verworfen. Die Firewall besteht aus einem kleinen Desktop Rechner mit Linux und IPfire, der hat 4 Netzwerkkarten in unterschiedlichen Ranges, jedes Routing muss extra eingerichtet werden, jede Berechtigung ist dediziert... aber für Privatkunden ist das nicht sinnvoll.
Es ist wirklich so wie FINA sagt ein guter Passwortschutz bringt dir da mehr. Die wenigsten "Hacker" im Netz verfügen, wie FINA es bereits sagte, über das know how diese zu überwinden sondern geben an diesem Punkt auf.
@ Martina H.:
Ich habe den Aufbau, so wie ich ihn dir vorgeschlagen hatte bei uns in der Firma nachgebaut und es funktioniert Blush

Auch da möchte ich mich FINA anschließen, dies ist meine persönliche Meinung, wer es anders sieht - von mir aus.

Viele Fehler sind RTFM Fehler - Read The Fucking Manual
Telenot, Daitem, UTC, Hikvision AxPro, Lupus, AVS
www.peteralarm.de
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
14-06-2020, 12:07
Beitrag: #5
RE: Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
Zuerst Euch einmal ein ganz dickes Heart DANKESCHÖN. Ihr beiden seid auf die Problematik eingegangen und habt (das sehe ich an Umfang und Inhalt Eurer Antwort) Bezug auf meine Angst genommen, die sich daraus ergibt, dass ich neben der EMA-App auch im Online-Banking zu Hause bin. Und genau aus diesen beiden (schwergewichtigen) Gründen ist mein Angst-Level relativ hoch.

Was nutzt eine achtfach-verriegelte Tür, wenn ich den Schlüssel auf dem Zylinder stecken lasse? Nichts! Und die gleiche Annahme hatte ich auch zu meiner Absicherung: Was nutzt mir die EMA, wenn einer sich über das Internet einloggt und unscharf schaltet.

Und ob man von wo weiss ich bei uns hinter´s Haus sieht, kann mir egal sein, denn die visuelle Überwachung soll ja nur aktiv sein, wenn die EMA scharf ist (und dann ist i. d. R. keines der Familienmitglieder draußen, um als Modell zu flanieren).

Im Grunde geht es mir nur darum, dass ich durch die angebundene visuelle Technik nicht Tür und Tor für jedermann öffne. Vielleicht ticken da Frauen etwas anders Huh . Wenn aber - wie von Euch Profis - die Meinung vertreten wird, dass man "die Kirche im Dorf" lassen soll, dann mache ich mir vielleicht zu viele Gedanken. Confused

Die Leut´chen, die das notwendige know-how haben, um entsprechend tätig zu werden, sitzen i. d. R. im Ausland und werden sich hoffentlich andere Ziele (Donald John, Vladimir Vladimirovich, William gen. Bill Henry, ...) suchen als unser Gartengrundstück. Die, die nicht im Ausland sitzen, arbeiten im Staatsdienst und heben irgendwelche Darknet-Bunker-Ganoven aus, suchen Kinderschänder oder gehören einem Cha...Com...Clu... an, um auf Schwachstellen hinzuweisen.

Also nochmal Danke Exclamation , dass Ihr meine Angst relativiert habt. Ich will eben alles relativ gut machen, auch wenn hierfür mehr Zeit investiert und ich die Kenntnisse erst durch viel Selbststudium inhalieren muss. Da spart man natürlich eine Menge Zeit, wenn man entsprechend praxisbezogene Hinweise erhält.

Ich habe also Eure Beitrage gelesen und verstanden Wink
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
14-06-2020, 12:43
Beitrag: #6
RE: Cyber Security bei Videoanlagen; Fritzbox, Switch, VLan, VPN, ...
Deine Bedenken in Bezug auf EMA und Online Banking kann ich sehr gut verstehen und die sind auch nicht ganz von der Hand zu weisen. Und das man sich Gedanken über die Sicherheit seines Internetzugangs und Netzwerkes macht ist auch richtig so.
Jedoch bei der EMA, da du ja keine "Billiganlage" mit irgendwelchen Cloud Zugängen hast, bist du hier doch auf der relativ sicheren Seite. Was passiert, wenn sich wirklich einer in dein Netzwerk hacken sollte? Spätestens, wenn der Schlüssel der EMA nicht vorhanden oder falsch ist, trennt die EMA die Verbindung. Den 16-stelligen Schlüssel zu knacken, ist fast nicht möglich. (ja, ich weis nichts ist unmöglich) Die dafür notwendige Technik würde egal wer nur einsetzen (oder überhaupt besitzen) der vorhat das Pentagon zu hacken. Tongue
Mit dem Banking hast du heute in der Regel die 2 Faktoren Authentifizierung, selbst wenn mit viel Glück eine Hürde genommen ist, spätestens an der zweiten scheitert der Versuch und deine Kennwörter hast du mit Sicherheit nicht in einer Text Datei mit dem Namen "Passwörter" gespeichert.
Von daher habe ich keine Bedenken, selbst wenn jemand eine meiner Kameras hacken würde, wünsche ich ihm viel Vergnügen damit, bestenfalls sieht er einen unserer Hunde darauf und wird sich dann 3mal überlegen uns unangemeldet zu besuchen Big Grin
In sofern lehne ich mich beruhigt zurück und ich finde, das solltest du auch tun Wink

Viele Fehler sind RTFM Fehler - Read The Fucking Manual
Telenot, Daitem, UTC, Hikvision AxPro, Lupus, AVS
www.peteralarm.de
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 


Möglicherweise verwandte Themen...
Thema: Verfasser Antworten: Ansichten: Letzter Beitrag
  Alarmanlage für EFH am analogen Anschluß einer Fritzbox 7270 hsgipsy 16 27.358 11-03-2024 17:49
Letzter Beitrag: funkistnichtalles
  Speedport Hybrid Pro VPN oder Alternative Privateruser 0 3.755 29-05-2020 19:42
Letzter Beitrag: Privateruser
  Terxon Wählgerät am analogen Port der fritzbox 55xxxAlarm 2 8.299 20-07-2018 16:03
Letzter Beitrag: 55xxxAlarm
question Switch an FritzBox: In Übersicht nicht (immer) sichtbar...? Probleme mit Mobotix-Cam. kermit330ci 7 28.377 14-04-2016 21:31
Letzter Beitrag: kermit330ci
  Ip Kameras an Switch(kein poe) Miran 10 23.538 27-09-2015 16:23
Letzter Beitrag: heimtek



Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste