8
Externen Netzwerkanschluss absichern
Hallo,
folgende Situation:
Es gibt eine IP-Kamera, die ausserhalb eines Gebäudes installiert ist.
Diese legt Alarmbilder auf einer SAMBA-Freigabe (NAS) im Gebäude ab.
Man sollte aus dem internen LAN auf das Webinterface gelangen können (Livebilder).
Nun sehe ich das Problem, dass jemand über das LAN-Kabel in das interne Netz gelangen kann.
Das möchte ich verhindern
Welche Lösung kommt dafür in Frage?
Ich denke z.B. an einen TP-Link TL-SG3210 (VLAN + ACL).
Damit könnte man den Zugriff passend beschränken.
Hat jemand eine "bessere"/"preiswertere" Idee?
Uwe
folgende Situation:
Es gibt eine IP-Kamera, die ausserhalb eines Gebäudes installiert ist.
Diese legt Alarmbilder auf einer SAMBA-Freigabe (NAS) im Gebäude ab.
Man sollte aus dem internen LAN auf das Webinterface gelangen können (Livebilder).
Nun sehe ich das Problem, dass jemand über das LAN-Kabel in das interne Netz gelangen kann.
Das möchte ich verhindern
Welche Lösung kommt dafür in Frage?
Ich denke z.B. an einen TP-Link TL-SG3210 (VLAN + ACL).
Damit könnte man den Zugriff passend beschränken.
Hat jemand eine "bessere"/"preiswertere" Idee?
Uwe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316289
Url: https://administrator.de/contentid/316289
Printed on: April 26, 2024 at 14:04 o'clock
8 Comments
Latest comment
Hallo Peter,
auf dem NAS habe ich zwar auch einen RADIUS Server, aber die Kamera hat keinen entsprechenden Client.
Es sollte doch genügen, die Netzwerkverbindung auf das Minimum einzuschränken.
Im dümmsten Fall gibt sich jemand als Kamera aus (gleiche MAC und IP) und sollte dann maximal nur die SAMBA-Freigabe erreichen können. Das sollte doch mit VLAN und ACLs im Switch machbar sein?
Uwe
auf dem NAS habe ich zwar auch einen RADIUS Server, aber die Kamera hat keinen entsprechenden Client.
Es sollte doch genügen, die Netzwerkverbindung auf das Minimum einzuschränken.
Im dümmsten Fall gibt sich jemand als Kamera aus (gleiche MAC und IP) und sollte dann maximal nur die SAMBA-Freigabe erreichen können. Das sollte doch mit VLAN und ACLs im Switch machbar sein?
Uwe
Hallo,
Wenn du dies meinst.
Gruß,
Peter
Wenn du dies meinst.
Diese legt Alarmbilder auf einer SAMBA-Freigabe (NAS) im Gebäude ab.
Mach eine DMZ und lass niemand aus der DMZ aufs LAN zugreifen, nur vom LAN in die DMZ.Nun sehe ich das Problem, dass jemand über das LAN-Kabel in das interne Netz gelangen kann. Das möchte ich verhindern
Erfordert halt etwas Aufwand und Technik. Wenn eins von beiden fehlt....Gruß,
Peter
Das möchte ich verhindern
Eine klassische DMZ mit einer kleinen Firewall:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder einem preiswerten Router (z.B. Mikrotik) mit IP Accesslisten:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
löst das sicher und im Handumdrehen ohne großen Aufwand.
Das was du da machst ist in der Tat gefährliche Fricklei aus Sicherheitssicht !
Hallo aqui,
aktuell "mache" ich noch gar nichts, sondern suche eine gute Lösung
Bisher hat mir noch keiner von Euch dargelegt, warum man das mit einem "Managed Switch", der VLAN und ACLs unterstützt, nicht machen kann. Damit sollte sich doch so eine DMZ einrichten lassen?
Uwe
aktuell "mache" ich noch gar nichts, sondern suche eine gute Lösung
Bisher hat mir noch keiner von Euch dargelegt, warum man das mit einem "Managed Switch", der VLAN und ACLs unterstützt, nicht machen kann. Damit sollte sich doch so eine DMZ einrichten lassen?
Uwe
Die gute Lösung hast du ja nun
Auch ein Switch geht der ACLs und Layer 3 (Routing) kann.
Allerdings muss man bei einem simplen Switch immer beachten das dessen ACLs nicht stateful sind und so immer noch ein latentes Risiko beinhalten.
Kommt also drauf an wie hoch deine Ansprüche sind !
Bisher hat mir noch keiner von Euch dargelegt, warum man das mit einem "Managed Switch", der VLAN und ACLs unterstützt, nicht machen kann.
Natürlich kann man das damit machen. Wenn dir ein paar Ports (5) reichen nimmst du einen Mikrotik RB750G oder hexLite und realisierst das damit. Der ist quasi Switch, Router und Firewall in einem.Auch ein Switch geht der ACLs und Layer 3 (Routing) kann.
Allerdings muss man bei einem simplen Switch immer beachten das dessen ACLs nicht stateful sind und so immer noch ein latentes Risiko beinhalten.
Kommt also drauf an wie hoch deine Ansprüche sind !
Hallo,
soweit ich es nun verstehe, wird der Mikrotik Router (RB750G) für meinen Zweck vermutlich die "beste" Lösung sein.
Danke soweit
Uwe
soweit ich es nun verstehe, wird der Mikrotik Router (RB750G) für meinen Zweck vermutlich die "beste" Lösung sein.
Danke soweit
Uwe
...oder dessen Nachfolger der hexLite. Die RB750er laufen aus bei MT.
GUI usw. sind aber weiter identisch. Werkelt nur leistungsfähigere HW intern. Die beste Lösung ist und bleibt es natürlich auch für dich
GUI usw. sind aber weiter identisch. Werkelt nur leistungsfähigere HW intern. Die beste Lösung ist und bleibt es natürlich auch für dich