OT: Die 72 + 12 Ports sind aber nicht allein für ein EFH?

Kameras in ein eigenes VLAN. VLAN mit einer Firewall gegen das übrige Netz abschotten und dafür sorgen dass aus dem Kamera-VLAN nur auf den Bildspeicher zugegriffen werden kann.

Zusätzlich Port Security zu konfigurieren schadet zumindest nicht.

Über SNMP kannst Du (bei einem ordentlichen Switch) feststellen ob ein Port disconnected wird - selbst wenn die Osteuropäischen Enteignungsspezialsten in Eurer Gegend so gut sind dass sie direkt die MAC der Kamera rauskriegen und auf ihrem Laptop konfigurieren kriegen sie ihr Endgerät nur ans Netz wenn sie die Kamera abstöpseln - SNMP auswerten, Port disabeln und fertig ...

So richtig toll sind die 1910 auch nicht was die Konfigurierbarkeit angeht, spannend wird es ab 26xx aufwärts, das sind dann Switches für Männer.

Für sowas macht sich auch die Port Security ganz gut. Sobald eine andere MAC Adresse auf dem Port gesehen wird gibts entweder shut oder Quarantäne VLAN.

Hi zusammen,

@Evo, es sind "nur" 72+8
Und ja, alles in unserem EFH.

@Markus, du hattest mir mal ne gute Hardware-Firewall genannt,
finde meinen Aufschrieb nur gerade nicht. Welche war das noch gleich?

@Sves, das geht aber nur wenn die Cams nicht am TP Link POE
hängen würden, sondern direkt am HP...

Ich hätte halt gleich die richtigen Switches genommen RouterBoard.com : CRS226-24G-2S+RM

Kosten plusminus das Gleiche wie die HPs, haben aber 10 GbE-SFP-Ports so dass man die Switches untereinander mit einer fetten Leitung verbinden kann, konfigurationstechnisch kann ich damit jeden Cisco oder HP an die Wand spielen und im Vergleich zu den HPs brauchen die gerade mal 1/3 der elektrischen Energie.

Firewall geht da auf Layer 2 und Layer 3.

Abgesehen davon müssten die HPs von Haus aus IP-ACLs auf den VLANs können, d.h. eine einfache Zugriffsbeschränkung sollte man damit ohne weitere Materialschlacht hinkriegen.

Ach ja, mit "Authorized IP" solltest Du Dich noch beschäftigen, und wenn Du Deine Frau über den Winter möglichst wenig sehen möchtest und die Kameras das unterstützen könntest Du Dich noch mit 802.1X, PKI und RADIUS beschäftigen, dann ist der Laden dicht und die können einstöpseln was sie wollen ..., mag aber etwas oversized sein.

Steht alles schön im Handbuch beschrieben http://h20628.www2.hp.com/km-ext/kmc...02965327-7.pdf

Meine Holde sieht mich momentan eh kaum..
Vom Technikraum die Treppe rauf und runter, mehr ist nicht

Hab heute den Keller PM endlich inbetrieb genommen.
Garage hat jetzt eine Cam mehr und und und.

Danke für deine Links, klingt echt nach einem Winterprojekt.

Grüße

Eine recht einfache Methode wenn du nur sehr wenige Außen-LAN-Anschlüsse hast:

Bei meiner Türsprechanlage und Webcam ist der Anschluss nicht direkt auf den Switch gepatched, sondern auf einen Linux-Server (z.B. Raspi). Dort hab ich USB-LAN-Ports im Einsatz (die Geschwindigkeit reicht mir hier völlig). Der Server leitet den Traffik entsprechend über einen weiteren Netzwerkanschluss ins "Hausinterne-LAN".

Auf dem Server läuft ein Tool (http://linux.die.net/man/8/netplugd) das die externen Netzwerkports überwacht. Wird draußen vor der Tür ein Gerät demontiert und der Stecker abgezogen, so erkennt das das Tool und deaktiviert per Scriptaufruf den Netzwerkport komplett. Fertig. Der Einbrecher kann nun machen was er will: Der Port ist tot. Gleichzeitig bekomme ich vom Script noch eine Email mit dem Sabotage-Hinweis.

Ist einfach, effektiv und kann nur seeeehr schwer (oder gar nicht) umgangen werden. Aber bei mehreren Anschlüssen wird es schnell rentabel einen passenden Switch der das Problem direkt löst einzusetzen.

Ist die Frage, ob sich die Mühe wirklich lohnt... Dein WLAN ist schließlich ein viel praktischeres einfallstor für böse Jungs. Und nach wie vor relativ leicht zu knacken, wenn genug Zeit zum mitschneiden vorhanden ist. Ich glaube kaum, dass sich jemand die Mühe machen würde deine lan-kabel freizulegen, Laptop dranhängen, und dann... Ja was eigentlich dann?! Auf die Windows-Freigaben zugreifen?

Im WLAN hängt nichts sicherheitsrelevantes. KNX IP Router hat sein eigenes abgesichertes Netz.

Das will ich sehen wie du in absehbarer Zeit WPA2 AES-CCMP mit einem 63-stelligen, zufällig generierten Passwort knackst...

Und selbst wenn: Der Rest im Netz (Freigaben etc.) ist ebenfalls nicht ungeschützt.

Hab kein Windows. Gibt's bei mir nicht.

--------------

Aber darum geht's hier ja gar nicht. Eine Kamera (oder eine Sprechanlage) die die Netzwerkdose verdeckt ist in wenigen Sekunden abgeschraubt und lahmgelegt bzw. das Netzwerk freigelegt.
Daran ein mobiler Hotspot mit LAN-Anschluss und schon kann sich der böse Bube wieder verkriechen und in aller Ruhe das Netz auskundschaften.

Das ist kein Hexenwerk und braucht weder Spezialwissen noch besonders viel Zeit und macht, je nachdem wo die Netzwerkdose sitzt, auch kein Aufsehen.

Das ist einfacher und schneller als langwierig ein kompliziertes Passwort zu hacken.

Oder einfach eine Tür/Fenster aushebeln oder einen Stein in ein Fenster werfen... genau, darum geht es hier nicht. Die Diskussion über Sinn und Unsinn solcher Sicherheitsmaßnahmen wurde bereits zur Genüge geführt. Konsens daraus: Kann man machen, muss man aber nicht. Aber allein an der Fragestellung kann man wohl ausmachen, dass sich der TE bestimmt auch schon zur WLAN Sicherheit Gedanken gemacht hat. Warum also immer solche Diskussionen führen und nicht mal zielgerichtet helfen? Ich würde sagen, wir gehen mal wieder Back to Topic.

Hab ich doch. Siehe: https://knx-user-forum.de/424934-post8.html


Jawohl.


Als Alternative zu meinem genannten einfachen Ansatz, wäre IEEE 802.1X ? Wikipedia das mittel meiner Wahl. Leider erfordert das entsprechende Unterstützung im Endgerät und einen passenden Switch.

Nebenfrage: War jemand schon so paranoid und hat das im Eigenheim eingesetzt?

Sorry, war nicht auf dich bezogen... hätte ich vielleicht dazu schreiben sollen

Manchmal kann ja auch eine andere Denkweise hilfreich sein, geht mir zumindest oft so - gelegentlich sieht man ja mal den Wald vor lauter Bäumen nicht.

Das hat mit Paranoia nichts zu tun, da geht es schlicht darum, seine eigene Infrastruktur zu kontrollieren. Der Aufwand für die Implementierung ist relativ hoch, aber wenn es mal läuft gehts eigentlich ganz gut.

Lästig und aufwendig sind die Geräte die 802.1X (offiziell) nicht können, meine Synology z.B. musste ich per Shell überreden.

Andererseits ist das für die User ganz praktisch, die können sich z.B. mit ihrem Domänenaccount auch am WLAN anmelden. VLANs werden dynamisch zugewiesen, wenn jemand sein Notebook an einem anderen Port einstöpselt wird der auf dem Switch automatisch spezifisch für diesen User einem VLAN zugewiesen usw.

Daher bin ich bezüglich der ursprünglichen Fragestellung in diesem Thread bei meinem Haus relativ entspannt, meine Axis- und Mobotix-Kameras können 802.1X und wenn jemand sein Gerät an einem Port einstöpselt an dem eigentlich ein Kamera sein sollte ist mir das relativ egal - zumindest muss ich dann nicht in Hektik ausbrechen wegen irgendwelcher Gegenmassnahmen, der Port ist und bleibt dicht bis zur erfolgreichen Authentifizierung mit Benutzername, Passwort und Zertifikat.

Für Gäste gibt es ein eigenes WLAN mit Tickets für acht Stunden, wenn mal jemand länger da ist kriegt er halt ein zweites Ticket oder ich verlängere die Gültigkeit entsprechend.