Surveillance Station Sicherheit im Netzwerk bei externen IP Kameras

[Stuggi]

Ich baue gerade eine Kameraüberwachung eines privaten Grundstücks auf.
Es sollen IP Kameras mit Lan-Kabel zum Einsatz kommen. Gespeichert wird auf einem Synology-System.

Die Kameras hängen außen an den Gebäuden und sind z.T. einfach über Leitern zugänglich.
Somit sind auch die Lan-Kabel „zugänglich“ und damit mein komplettes Netzwerk.

Was gibt es hier für Schutzlösungen bzw. wie sichert man sein Netzwerk ab?

Was Netzwerktechnik betrifft habe ich eher nur Grundkenntnisse. Könnt Ihr mir sagen was ich hier zum Schutz zu tun habe?

Möchte einfach vermeiden, dass durch die Lan-Kabel an den Kameras quasi mein Netzwerk von außen recht einfach anzugreifen ist. Bzw. der Fall eintreten kann, dass jemand eine Kamera „entfernt“ und sich dann übers Lan-Kabel Zugang zu den Daten verschafft.

Muss ich alle Lan-Kabel unterputz verlegen oder womöglich in Metallrohre legen die nur mit großer Gewalt das Lan-Kabel freigeben? Oder kann ich irgendwo in den Router an dem die ganzen Kameras hängen einen „Schutz“ einbauen?

 

[mega]

So ein Schutzgerät hätte ich auch gerne, gibt es aber nicht wiklich.
Außer ggf in wirtlichen Profi-Routern, wo man nur ggf bestimmte MAc-Adressen oder Bestimmte Ziel-Geräte zulässt.

Baudisch hat einen Secure-LAN-Adapter, der aber nur hilft, wenn die Kabel sicher verlegt sind um das Außengehäuse zu schützen (Sabotage-Kontakt, wird der bei Gehäuseöffnung Unterbrochen, wird das LAN abgeschaltet). Nur muss man nach Stromausfall an dem Teil einen Knopf drücken, und es ist reichlich teuer (ca 250 EUR).

Dabei kann es doch nicht so schwer sein, einen LAN-Unterbrecher zu bauen, der einfach auslöst wenn das Kabel unterbrochen wurde...

Bzw auch in einfacheren Routern einen LAN-Port mit MAC-Filter ausstatten, der dann ne eMail sendet, sollte dort ein falsches Gerät auftauchen (und dann den Port abschalten).
Schlag das mal AVM vor.

Ansonsten kann man ggf ne Synology mit 2 x LAN nehmen und die Kameras an den 2ten LAN-Port und das ganze so einstellen das es von dort nicht in den Rest vom Netz geht.
Die Synology selbst ist dann aber erreichbar. Es muss also alles auf der geschützt sein.


Also alles recht umständlich.
also besser Metallrohre oder gleich Unterputz nehmen und die Kameras in ausreichender Höhe anbringen.
So wichtig sind ein paar Daten oder kostenloses Internet auch nicht, das sich der Aufwand für Kriminelle noch lohnt.
Die Synology schickt ne eMail, wenn eine Kamera ausfällt. Ggf kann man auch durch diese eMail und ne HomeMatic-Steuerung dann den Switch der Kameras vom Strom nehmen...

 

[warry]

Einen Mac-Filter haben heutzutage allerdings schon recht viele Router. Habe hier versch. D-Link Router, die können das auf jeden Fall.

Wobei es dann immer noch Mittel und Wege gibt (Mac-Spoofing)

 

[jahlives]

und wieso ned einen zweiten Router der ein eigenes Sub für die Cams aufbaut? Dann kann man den Traffic von diesem Router an den Router mit der DS recht gut reglementieren z.B. nur die Cam Ports zulassen und nur definierte Macs

 

[mega]

Diese MAC-Filter beziehen sich nur auf WLAN-Geräte. Und da man bei WLAN die erlaubten MACs schon vorab rausbekommt ist es dort recht sinnlos. Bzw, wenn man nur schnüffeln will, ist der MAC-Filter eh egal.
Bei Verkabelung muss man ja erstmal die Cam abmontieren und ggf an was eigenes anschließen um die MAC zu haben (oder ablesen, wenn die auf der Cam draufsteht).

Das mit dem 2ten Router, ist ggf auch was.

Generell ist wichtig, alle LAN-Geräte abzusichern. also Das man Geräte nur mit sicherem Passwort administrieren kann (z.B. Router, APs, Cams, IP-Telefone, Haussteuerung, Sat-Receiver, ...)

Und im Fall der Cams in der Surveillance-Station die eMail-Benachrichtigung bei Unterbrechung und bei Alarm aktiveren. Alarm ist ein Signal, das die Kamera senden kann (über deren Alarm-Eingang, Tamper o.ä.)
Die Cam-eigene Tamper-Detection (erkennt verdecken der Linse) sollte man aktiveren, falls vorhanden.

 

[Stuggi]

@mega:
Schade, dass es dafür keine einfache und fertige Lösung gibt. Wie Du schreibst sollten doch noch mehr vor dem Problem stehen.

Ich halte die Wahrscheinlichkeit auch für gering, dass jemand wirklich eine Kamera entfernt und das Lan anzapft. Dazu muss schon jemand viel Erfahrung haben und erst mal erkennen, dass es eine IP Kamera ist und wie er ins Netz rein kommt. Außerdem müssten dann die Daten sehr interessant sein… Dennoch möchte ich die grundsätzliche Möglichkeit (einfach) erschweren. Habe einfach kein gutes Gefühl wenn außen quasi ungeschützt Netzwerkleitungen zugänglich sind.

Leider kann ich nicht alle Kameras in Höhen von über 3 Meter platzieren und es wird Stellen geben wo man Kameras (von hinten/ der Seite) ran kommt bevor man gefilmt wird. An diesen Stellen könnte man sich unbemerkt am Lan zu schaffen machen.

Die Idee bei Manipulation das Lan per „Kontaktschalter“ zu unterbrechen gefällt mir richtig gut. Wie ich das umsetze muss ich mir jedoch noch überlegen, da ich folgende Probleme sehe.

Ich wollte die Kameras nur über Lan-Kabel mit PoE anbinden. Daher werden alle 8 Adern im Kabel bereits belegt sein. Bekommt man Kabel mit 10 Adern die als Lan-Kabel geeignet sind? Dann könnte ich 2 davon nehmen und den Klemmenkasten neben der Kamera und quasi das ganze Kabel überwachen. Bei Unterbrechung gibt’s Alarm bzw. eine Aktion.

Ansonsten müsste ich das ganze per Funk (HomeMatic) lösen wenn ich ein Kabel mit 8 Adern nehme. Macht das ganze dann aber viel teurer und aufwendiger.

Oder ich bleibe bei einem Lan-kabel mit 8 Adern und gehe nicht auf den PoE Standard, sondern baue mir ein eigens und verwende für den Strom nur 1 Litzenpaar und eines für die „Alarm-Leitung“. Gefällt mir auch nicht so wirklich da eine aufwendige und spezielle Lösung. Besonders wenn man mal es erweitern/ reparieren muss ist nichts mehr nach „Standard“.

Ein weiters Problem sehe ich in der „Aktion“ gleich den ganzen Router vom Netz zu nehmen an dem die Kameras hängen. Dann würden ja sofort alle Kameras gleichzeitig „ausfallen“, auch wenn nur an einer manipuliert wird. Wäre überhaupt nicht gut, denn genau dann sollen die anderen ja so viel wie möglich aufzeichnen…
Lösung 8 einzelne Router?!? Oder gibt’s „Schalter“ die Lan-Kabel unterbrechen können und dafür geeignet sind?

Meine Vivotek Kamera hat auch so eine Funktion um Manipulationen (verdrehen, abkleben usw.) zu erkennen. Die kann ich jedoch nur aktivieren und „Sekunden“ einstellen. Verstanden hab ich das Ganze noch nicht. Was stelle ich mit den Sekunden ein bzw. wo und wie meldet die Kamera die Manipulation. Und an was erkannt die Kamera, dass sie z.B. verdreht wurde?


@warry:
Kannst Du mir ein paar Router nennen die das können? Wie schätzt Du die Sicherheit ein von den Mac-Filtern? Da müsste jemand doch schon etwas mehr Erfahrung haben um das zu Überwinden, oder?


@jahlives:
Kannst Du mir (als Netzwerkanfänger) das ein wenig genauer erklären wie das funktioniert bzw. wie ich das aufbaue und welche Router ich dazu benötige?



In der Anleitung meiner Vivotek Kamera habe ich was von 802.1x gelesen? Verstanden habe ich nicht viel. Nur so viel , dass man damit wohl auch was „absichern“ kann.
Wäre das eine Lösung für mich?

 

[warry]

Hallo, ich hab hier z.B. einen D-Link DIR-645 Router. Hier mal ein Zitat aus der Hilfe:

NETZWERKFILTER (MAC-ADRESS-FILTER)

Verwenden Sie MAC-Filter, um Computern innerhalb des LAN den Zugang zum Internet zu verweigern. Das ist entweder manuell möglich, indem Sie eine MAC-Adresse hinzufügen, oder Sie wählen die MAC-Adresse von der Liste der Clients, die zum aktuellen Zeitpunkt mit der Einheit verbunden sind.
Wählen Sie 'MAC-Filterung EINSCHALTEN und Zugriff auf das Netzwerk für Computer mit den unten aufgelisteten MAC-Adressen ZULASSEN', wenn nur ausgewählte Computer Netzwerkzugriff haben sollen, und alle anderen Computer nicht.

Da steht auch nix davon, dass das nur für WLAN gültig wäre, hab's aber nicht ausprobiert.

MAC-Spoofing, also das fälschen der eigenen MAC, ist keine Kunst, allerdings bräuchte ein Eindringling dann erstmal eine für das Netzwerk gültige MAC. Die sollte man dann also auf jeden Fall nicht offen auf der Kamera stehen haben ;-)

 

[mega]

Man könnte auch jede Kamera per eigenem Switch machen, den man vom Strom nimmt.

Oder einfach selber drauf reagieren, wenn ne Kamera-Ausfall-eMail kommt...

Und damit es nicht zu einfach geht, eben das LAN-Kabel geschützt verlegen (Metallrohr oder UP und dann direkt in ein Kameragehäuse mit geschützter Kabelführung)

 

[zottelthebest]

etwas alst der thread, aber es bestehen imme rnoch die probleme, dass man bei emailbenachrichtigung nachts um 3 nicht zeitnah reagieren kann. um das ganze zu erschweren kannst du den clients neben den ip adressen auch noch einen speziellen port zuweisen. so wird es zumindest nochmal etwas erschwert zugriff auf andere clients, hdds etc. zu erhalten aus dem eigenen netzwerk.

 

[mega]

Sofern einen Fehlalarme nicht schrecken, könnte man auch nachts etwas rabiater alarmieren...:
- Spezielle eMAil-Adresse, die auch nachts das Handy mit geeignetem Ton klingeln lässt, während der Rest nachts nicht stört.
- Per HomeMatic oder einem anderen geeignetem Haussteuersystem (muss extern Steuerbar sein oder selber IP-Geräte überwachen können oder auf eMail reagieren) und einem PHP-Script auf der Synology die Existenz der Kamera regelmäßig prüfen und im Fehlerfall dann Licht und/oder Klingel im Schlafzimmer auslösen.
- Gleiche Idee wie HomeMatic, aber mit dem Snom PA1 oder einem Snom VoIP-Telefon: Die lassen sich auch per Script steuern und können das Telefon am Bett/alle klingeln lassen.

 

[molfa]

Lösungen

- am elegantesten und einfachsten ist es tatsächlich, eine Synology Diskstation zu benutzen, die zwei LAN-Anschlüsse hat (z.B. DS214+). Der erste Synology-Port hängt ganz normal im Heimnetzwerk mit dem Internetzugangsrouter, am zweiten hängen die IP-Cams (so habe ich das auch gemacht). Die Ports dürfen dann natürlich nicht im Bridge-Modus miteinander verbunden sein, aber das sind sie standardmäßig auch nicht.
- die zweitbeste Lösung wäre m.E., die Sicherheit durch eine VLAN-Segmentierung zu erhöhen. Die IPCams sollten sich dann im gleichen VLAN wie die Synology Diskstation befinden, können aber Rechner und Geräte in anderen VLANs nicht sehen. Die Synology Diskstation ist dabei Mitglied in mehreren VLANs, damit andere Rechner auch Zugriff auf die Diskstation haben (das Konzept heißt dann Private VLAN und wird von den meisten Consumer-Switches unterstützt); keine Angst, die Einrichtung eines VLANs ist kein Hexenwerk, zumindest haben alle managebaren Consumer-Switche, die ich kennengelernt habe, eine übersichtliche, grafisch unterstützte, Webkonfiguration zugelassen; ein preiswerter POE-Switch mit VLAN-Unterstützung wäre z.B. folgender:

http://www.amazon.de/gp/product/B00FQ8AWU4

Da sich in allen Fällen die Synology Diskstation immer noch im gleichen Subnetz wie die IP-Cams befindet (und damit für einen Angreifer sichtbar wäre), ist es unbedingt empfehlenswert, die Synology Firewall entsprechend scharf zu schalten (Web-UI->Sicherheit).

 

[beachsurfer]

Hallo!

Ich stehe genau vor der gleichen Frage: wie sichere ich mein Heim-Netz am besten ab, wenn ich die IP-Cams per LAN anbinden.

@molfa: Deine Lösung finde ich ideal und würde das gerne auch so machen.
Kurze Frage noch dazu: Habe ich dann irgendeine Chance die Videostreams in meinem Heimnetz trotzdem anzusehen oder landen die dann nur auf der Diskstation? Ich würde zB gerne mein IPhone nutzen, um mir zu Hause das Video der Kameras anzusehen (Tür klingelt, wer steht davor?)
Gibt das eine "Diode", die die Daten in die eine Richtung durchlässt oder kann ich mit dem IPhone auf die DS zu greifen?

Danke und Grüße
Simon

 

[molfa]

Antwort

@beachsurfer:
ich nehme an, von meinen 2 empfohlenen Lösungen meinst Du erstere, nämlich den Einsatz einer Diskstation mit 2 LAN-Anschlüssen. Du musst Dir da keine Gedanken machen, wie du auf die Streams von extern zugreifen kannst, sofern Du von extern Zugriff auf die Diskstation hast. Die Diskstation ist ja typischerweise über den zweiten LAN-Anschluss ins Heimnetz integriert. Insofern hast du da vollen Zugriff auf Surveillance Station der DS.