Einzelne Ports auf Ubiquiti Switch isolieren

Es gibt 19 Antworten in diesem Thema, welches 4.925 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo zusammen,


    ich habe 2 Ubiquiti 24 Port Poe Switche und habe unter anderem Überwachungskamera draußen und auch 2 Lan Dosen draußen.


    Habe ich über den Unifi Controller eine Möglichkeit die Ports so einzustellen, dass wenn sich jemand von außen per Kabel mit einem anderen Gerät anschließen würde und die Kamera demontieren würde, die Ports nur für die Kamera freizugeben oder das Port zu isolieren.


    Isolieren dürfte dann schwierig werden, da die Kamera ja noch mit anderen Komponenten kommunizieren muss.

    - VLAN's einrichten

    - MAC-Adress Filter nutzen

    - restriktive Firewall-Regel zwischen den VLAN


    Das sind die Grundregeln für eine Installation

    In der Regel wird dafür Radius/802.1X genutzt. Da gibt es verschieden Ansätze was dann wie passiert.


    IEEE 802.1X – Wikipedia
    de.wikipedia.org

    Klar aber MAC Adressen können auch manipuliert werden aber im privaten Umfeld sehe ich da kein Problem. @Tuxtom007 hat dazu ja schon einige Anmerkungen geschrieben.

    In der Regel stehen diese auf den Geräten drauf

    Zitat von SaschaQ

    Nee ist bei mir nicht der Fall, dann sollte das doch ausreichen oder?

    Dann reicht das aus ja,


    Dennoch macht es sinn ein CCTV / Kamera VLAN zu erstellen

    Sobald defcon Zeit hat werde ich das auch bei mir noch machen :face_with_tongue:

    Danke für Euren Input.


    VLAN anlegen habe ich mir gerade mal angeschaut. Ist ja keine Kunst.


    Jetzt frage ich mich gerade nur, wie ich die FW Regel aufbaue. Die Kamera muss ja grundsätzlich noch zu bestimmten Komponenten im LAN kommunizieren können.

    Wenn sich dann draußen jemand an das Kabel hängt, kann auch der zu diesen Komponenten zugreifen oder?

    Du solltest dir hier die Anmerkungen zu den FW Regeln durchlesen. Es gibt einige die du unbedingt anlegen solltest damit z.B. auch der Verkehr zwischen den VLANs geblockt wird. Es gibt auch bei Youtube eine Videos dazu.


    [Externes Medium: https://youtu.be/NC2Q6jfTSFU]


    Wenn du das dann erledigt hat, erstellst du neue regeln die du für deine Kommunikation benötigst.


    Z.B. habe ich eine Regel die es einem VoIP Telefon aus dem VoIP VLAN erlaubt, die Bilder der Kamera aus dem Video VLAN abzurufen. Das machst du dann ja nach Bedarf.

    Hallo,


    ich habe jetzt ein VLAN angelegt und möchte nun eine Regel anlegen, dass vom VLAN ins LAN keine Kommunikation außer SMB geht. Vom LAN ins VLAN soll aber alles möglich sein.


    Ich habe diverse Rules ausprobiert (LAN IN,LAN OUT) Irgendwie nichts was den Erfolgt bringt.

    Beschreibe doch bitte einmal was du genau möchtest. Aus welchem VLAN soll welche IP was machen?

    Huhu,


    ich habe ein VLan 192.168.2.X das habe ich nur meinen beiden Kameras auf den beiden Poe Switchen zugewiesen.


    Nun möchte ich erreichen, dass die Kameras nicht mehr in das normale 192.168.178.X LAN kommunizieren können, außer SMB. Die Kameras sollen nur per SMB auf die Synology im LAN schreiben.


    Vom LAN zu den Kameras soll die Kommunikation möglich sein.

    Hast du denn die Grundregeln z.B. aus dem Video angelegt?

    Zitat von SaschaQ

    Nee ist bei mir nicht der Fall, dann sollte das doch ausreichen oder?

    Kamera und generelle WLAN/LAN Geräte im Aussenbereich gehören in einen eigenen Netzsegment rein, welches dann per Firewallregeln massiv abgeschotten wird vom Rest des Netzwerke.


    Grundregel:

    - alles verbieten

    - nur wirklich das erlauben ( Port + Quell-/Ziel-IP ) was benötigt wird.


    Beim Bekannte hab ich das genauso gemacht, Kameras, Türsprechanlagen usw. sind in einem eigenen VLAN und das ist komplett dicht gemacht. Die Kameras kommen nur zum Videoserver, vor die Aufzeichnungen gemacht werden und die Türsprechanlagen nur zu Telefonanlage.

    - Source-IP, Ziel-IP und Port in den Firewallregeln

    - IP-Reservierung per MAC-Adresse

    - MAC-Filter auf dem Switch

    - ein einziges Gerät kann vom Netzwerk ins diese VLAN rein, das ist das Notebook vom Bekannten damit er ggf. die Konfig der Kameras usw. ändern und Software updaten kann.


    Vergleich: KNX-Smarthomesysteme werden genauso aufgebaut, Geräte die im Aussenbereich am KNX-Bus hängen, bekommen ein eigenes Netzsegment mit Router dazwischen und der blockt alles was nicht erlaubt wird. Das ist das selbe Problem, theoretisch kann jemand, der sich ins KNX-System reinhängt das Haus steuern - Türen öffnen, Alarmanlage ausschalten usw.

    Hallo Tuxtom007,


    genauso habe ich es jetzt auch gemacht.


    Kameras sind im separatem VLAN. Die Ports sind auf die MAC Adresse gefiltert, sodass nur noch die Übertragung der Kamerabilder auf die Synology ins LAN rein funktioniert.


    Wir haben auch ein KNX. Beim KNX stellt sich das alles aber etwas schwieriger dar. Weil du theoretisch die genaue Projektierung des Hauses kennen musst um da etwas zu schalten oder auszulösen. Ansonsten siehst du zwar was auf dem Bus das etwas passiert, aber eben nicht mit Bezeichnungen. Glaube da musst du sehr lange am Bus Kabel hängen um auszuprobieren auf welcher Adresse du gerade etwas schalten kannst.


    Grundsätzlich hast du aber recht. Nur beim KNX ist es nicht so einfach wie in einem Netzwerk. Es gibt ja jetzt auch KNX Secure, das wurde ja zur Absicherung gemacht.

    Ich hätte noch eine Frage.


    Ich habe jetzt eine Rule erstellt, in der das Kamera VLAN nur noch zur IP der Synology kommunizieren darf.


    Ich möchte aber noch gerne weiter einschränken, indem ich nur das SMB Port freigebe.


    Wie mache ich das?


    Ich habe jetzt mal mit Network und Port Group gearbeitet. Das funktioniert aber irgendwie nicht.

    Zitat von SaschaQ

    Grundsätzlich hast du aber recht. Nur beim KNX ist es nicht so einfach wie in einem Netzwerk. Es gibt ja jetzt auch KNX Secure, das wurde ja zur Absicherung gemacht.

    War auch nur als Vergleich, bei KNX trennt man per KNX-Router externe BUS-Linie im Aussenbereich komplett von den internen.

    Aber ja, es ist möglich sich an den BUS an zuklemmen und den Traffic mitzuschneiden.