Absicherung von Ports im Außenbereich

Es gibt 9 Antworten in diesem Thema, welches 488 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

    Hallo zusammen,


    ich bin gerade dabei mein Unifi-Netzwerk aufzubauen und daher noch Anfänger. Das meiste läuft schon, ich habe aber Probleme meine Ports am USW-Flex im Garten abzusichern.


    Meine Geräte:

    Vigor 167 —> UCG-Ultra —> USW-Pro-Max-16-PoE —> USW-Flex —> (1) PoE-Kamera, vlan 13 (2) U6 Mesh, vlan 1


    Das funktioniert auch soweit alles wunderbar.

    Es geht nun um die Absicherung der Ports am USW-Flex. Ich möchte, dass dort nur die PoE-Kamera und der U6 Mesh dran darf. Die noch leeren Ports 4+5 habe ich deaktiviert.

    Da ja der Flex keine Mac-Adresse pro Port festlegen kann, habe ich versucht das am Pro-Max zu machen und ein Port-Profil mit Mac-Adress-Filterung angelegt und dann dem Port an, dem der Flex hängt zugewiesen. In dem Profil habe ich die Mac-Adressen von Kamera, U6 Mesh und USW-Flex hinterlegt. Das funktioniert prinzipiell.


    Das Problem ist aber, dass dann die ganzen WLAN-Clients, die sich über den U6 einwählen, nicht durchkommen. Wohl weil Sie nicht in der Mac-Filter-Liste sind. Soweit bin ich gekommen. Ich habe jetzt aber keine Idee, wie ich das anders realisieren kann, ohne jeden Client einzeln in die Mac-Liste (oder sonstige Liste, etwa RADIUS) einzutragen.


    Ich würde mich über Anregungen freuen!

    Danke,

    Apollon

    Ich habe das so.. das die Kameras aussen nur an die UDM SE Speicherung kommen... keine Verbindung ins Netz ..

    Da gibt es hier wohl eine Anleitung im Wiki... Sorry, bin gerade auf DR und kann nicht schauen.

    Anders wird es nicht gehen, als mit der Firewall das Ganze ordentlich dicht zu machen. Beim Kameranetz dann ggf. Mit festen IPs arbeiten und in selbigen Netz DHCP Server deaktivieren. Ein MAC Filter ist da leider auch nicht wirklich hilfreich, stehen doch die MACs in der Regel auf den Cams und APs drauf und dann eben das Problem mit den WLAN Clients.


    Mit etwas gefummel hätte man beim Accesspoint das native LAN auf none setzen können. Dazu müsste aber das Management LAN der Unifis ein zusätzliches VLAN sein und der Flex Mini kann die Ports glaube ich auch nicht entsprechen eingestellt bekommen.

    Hm. Danke für die Ideen. Ich wüsste jetzt nicht, wie ich das mit Firewall-Regeln hinbekommen sollte, weil ja über den U6 Mesh clients aus verschiedenen vlans sich anmelden können sollen. Mir ist auch klar, dass eine mac-Filterung nicht 100% sicher ist. Es geht nur darum, dass nicht einer einfach was dranstecken kann.


    Es ist übrigens ein Flex, kein Flex mini, portbasiertes vlan und Profile gehen also grds.


    Ich kann noch nicht ganz verstehen, warum das so kompliziert ist. Ist doch eine Anforderung, die sehr verbreitet sein sollte: Firma betreibt einen AP an einem Port, über den viele Clients sich einwählen können sollen. Es soll aber niemand den AP einfach ausstecken und seinen Laptop anstecken können…

    Zitat von Apollon

    Ich kann noch nicht ganz verstehen, warum das so kompliziert ist. Ist doch eine Anforderung, die sehr verbreitet sein sollte: Firma betreibt einen AP an einem Port, über den viele Clients sich einwählen können sollen. Es soll aber niemand den AP einfach ausstecken und seinen Laptop anstecken können…

    Eine Grundregel in Sachen IT Sicherheit ist allerdings auch schon, den physischen Zugriff zu unterbinden. Darum ist IT ja auch normalerweise recht gut verschlossen. Gerade der Zugriff auf Switche, schon alleine damit dort niemand rumpatcht.

    Zitat von Apollon

    Ich kann noch nicht ganz verstehen, warum das so kompliziert ist. Ist doch eine Anforderung, die sehr verbreitet sein sollte: Firma betreibt einen AP an einem Port, über den viele Clients sich einwählen können sollen. Es soll aber niemand den AP einfach ausstecken und seinen Laptop anstecken können…

    Siehe DoPe


    Kein Problem:

    nimm Geld in die Hand und gehe z.B bei CISCO einkaufen. Switch / Access Point / WLAN Controller /Service Vertrag

    + noch nen Radius dazu. Die Geräte können sich dann mit Username und Passwort (und nicht das MAC Fallback gedöns)

    anmelden. Die AP und Switchports können dann im Surogate Mode das/die nötige VLANs dann aktivieren oder

    halt ganz dichtmachen.


    Mit Unifi ? Da wird billiger... Hänge ih hoch genug und klebe ihn fest :smiling_face:

    Nen Switch der draußen hängt kommt wieder rein, Langes Kabel durch die Wand in die "Sichere Zone"

    UN wenn du nen U6 Mesh mit den Fingern begrabbeln kannst, hängt der eh zu niedrig.

    Ja. Man muss halt mit den baulichen Gegebenheiten leben. Ist ein Altbau. Hab mit Mühe ein LAN-Kabel in der Fußleiste im Schlafzimmer und mit Fensterdurchführung draussen zur Kamera am Balkon (1.OG) bekommen. Dann dachte ich halt, ich häng da nen Flex dran und da dann neben der Kamera (keine Unifi) den U6 Mesh für Garten, Garage und Dachboden (2.OG). Da kommt jetzt nicht jeder hin. Man müsste schon übern Zaun aufs Grundstück und dann den Balkon hochklettern. Switch ins Schlafzimmer wird meine Frau nicht dulden…

    Zitat von Apollon

    Ich kann noch nicht ganz verstehen, warum das so kompliziert ist. Ist doch eine Anforderung, die sehr verbreitet sein sollte: Firma betreibt einen AP an einem Port, über den viele Clients sich einwählen können sollen. Es soll aber niemand den AP einfach ausstecken und seinen Laptop anstecken können…

    So wäre das für mein Verständnis korrekt und nützlich. Wie es Ubiquiti umsetzt, ist das für viele nicht zu gebrauchen, zumal ein AP halt mehrere VLANs verteilen soll.

    Zitat von Peterfido

    So wäre das für mein Verständnis korrekt und nützlich. Wie es Ubiquiti umsetzt, ist das für viele nicht zu gebrauchen, zumal ein AP halt mehrere VLANs verteilen soll.

    Ich hab doch gesagt, dass es für Accesspoints kein Thema ist. Man kann alle VLANs die relevant sind getaggt zum Accesspoint bringen und das native LAN (da wo man landet wenn man ein Endgerät anschliesst) steht auf none ... da ist also gar kein Netzwerk.


    Kameras sind halt eine andere Sache, weil die in der Regel nichts mit getaggten Netz anfangen können. Da muss man dann halt anderweitig dicht machen.


    Ich wüsste auch nicht wer mit Leiter auf einen Balkon klettert für Internetzugang ... und sich dabei aufzeichnen lässt.

    Einmal editiert, zuletzt von DoPe ()

    Zitat von DoPe

    Eine Grundregel in Sachen IT Sicherheit ist allerdings auch schon, den physischen Zugriff zu unterbinden. Darum ist IT ja auch normalerweise recht gut verschlossen. Gerade der Zugriff auf Switche, schon alleine damit dort niemand rumpatcht.

    Das ist die aller erste Grundregel, gilt allerdings auch für jedes Eigenheim - mechanische Schutz ist wichtiger als elektronischer Schutz.


    Du kannst du auch in dein Haus ne Video- + Alarmanlage installieren, das wird keinen Einbrecher davon abhalten, einen Einbruchsversucht zu starten. Wenn aber deine Türen und Fenster aber so gesichert sind, das der nur mit viel Mühe und Aufwand, da rein kommt, wird der sehr schnell das weite suchen.


    Genauso ist es in der IT, in unsere Serverräume und Netzwerk-Unterverteilung kommt nur eine Handvoll Leute rein, die da auch ggf. rein müssen und vom Rechenzentrum reden wir mal garnicht erst.


    Zitat von Apollon

    Ich kann noch nicht ganz verstehen, warum das so kompliziert ist. Ist doch eine Anforderung, die sehr verbreitet sein sollte: Firma betreibt einen AP an einem Port, über den viele Clients sich einwählen können sollen. Es soll aber niemand den AP einfach ausstecken und seinen Laptop anstecken können…

    Ich kenne keine Firma, wo man einfach mal eben nen AP abnehmen kann - da braucht es mind. schon mal ne Leiter und die schleppt jeder Bösewicht ja als Klappmodell in der Tasche mit sich herum. :winking_face:

    Als Installateuer achtet man auch auf sowas, das AP's ausser Reichweite hängen, wo man nicht "so" dran kommt. Ich hab manche Installationen live gesehen, da frage ich mich, welche Fachmann Überwachungskamera's im Außenbereich in 2m Höhe hängt. Ist doch das erst was ein Einbrecher macht, die von der Wand schlagen oder mit Farbe oder Bauschaum zukleistern - alles schon gesehen.