Access Point Outdoor mit MAC Schützen

Es gibt 21 Antworten in diesem Thema, welches 4.662 mal aufgerufen wurde. Der letzte Beitrag () ist von KJL.

    Moin,

    bin gerade auf ein Problem gestossen und finde nirgends eine Lösung.


    An meinem USW Pro 48 Port POE Switch hängt (unter anderem) ein UAP AC Pro Outdoor.

    Damit niemand dieses Lan-Kabel von aussen her nutzen kann, hab ich den Port auf der USW Pro mit der MAC des UAP "whitegelistet".

    Klappt auch, aber nun bekommen die Endgeräte an dem UAP keine Internetverbindung. Sobald ich whiteliste wegmache geht wieder alles..

    Kann ich das nicht anders einstellen, dass ich die MAC-Sicherheit habe, aber trotzdem das WLAN nutzen kann?


    Ich komme nicht drauf.

    Danke.



    Gruß Marc

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Hallo,


    wer genug kriminelle Energie hat, den AP draussen abzubauen und sich versucht per LAN-Kabel ins Netzwerk einzuhacken, für den ist auch ein MAC-Filter keine große Hürde. MAC-Adressen kann man faken und praktischerweise stehen die auf den Geräte auch immer drauf.


    Spare die daher den Aufwand und investiere die Zeit lieber in das Absichern per Firewallregeln, so das aus dem Management Netz niemand in andere Netze reinkommt.

    MACs sind alle weggekratzt...

    Hab auch Switch draussen stehen, denen muß ich das Management LAN freigeben. Wie sollte da ne Firewallregel aussehen?

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Ich habe das noch nie ausprobiert, ich dachte aber für genau diesen Fall gibt es den Schalter "Topology change notification" in der Profilen.

    Moin pio007,


    schau mal hier in dem Wiki-Eintrag von EJHome.


    Gruß hommes

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz

    Zitat von noexpand

    Ich habe das noch nie ausprobiert, ich dachte aber für genau diesen Fall gibt es den Schalter "Topology change notification" in der Profilen.

    nein, geht leider auch nicht.....



    Zitat von hommes

    Moin pio007,


    schau mal hier in dem Wiki-Eintrag von EJHome.


    Gruß hommes

    die Regeln habe ich natürlich auch alle, aber genau da ist ja das Problem:

    Regel 2 „allow admin LAN to access all VLANs“

    Wenn ich den AP nicht im LAN lasse, erreiche ich ihn nicht mehr (wird ja auch darüber gemanged).

    Wer also das Kabel in der Hand hat, hat Zugang zum LAN und durch die obige Regel auch Zugang zu allen VLANs...

    Wie soll ich das also per Firewall Regel verhindern? Das ist mir unklar.


    Grüße

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Ok, vielleicht hatte ich auch nur einen Denkfehler, kannst du nicht nur deinen PC bzw. dein Handy z.B. freigeben für das Management LAN also die beiden Geräte whitelisten? Denn sonst braucht doch keiner darauf zugreifen, oder? Wäre mein Gedankengang zumindest und das einer deine MAC-Adresse genau dieser Geräte wüsste bezweifle ich sehr stark.

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz

    hab das mal versucht, nur Mac und Handy als Manager, Rest gesperrt.

    Mal schauen, ob jemand meckert und nicht mehr geht..

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Gefällt mir 1

    naja unverhältnissmäßig? Hab nen KNX Haus, wer Zugriff bekommt kann quasi alles machen...

    Da ist es mir schon wichtig alles zu tun....

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Zitat von hommes

    Ok, vielleicht hatte ich auch nur einen Denkfehler, kannst du nicht nur deinen PC bzw. dein Handy z.B. freigeben für das Management LAN also die beiden Geräte whitelisten? Denn sonst braucht doch keiner darauf zugreifen, oder? Wäre mein Gedankengang zumindest und das einer deine MAC-Adresse genau dieser Geräte wüsste bezweifle ich sehr stark.

    übrigens finde ich diese Lösung auch am besten. wäre interessant zu wissen, ob das beim TE so funktioniert (langfristig)

    Zitat von pio007

    naja unverhältnissmäßig? Hab nen KNX Haus, wer Zugriff bekommt kann quasi alles machen...


    Nur weil eventuell jemand einen LAN Zugang hat kann er noch nicht dein Haus steuern. Gefährlicher ist da ein Zugriff über deinen Provideranschluß.

    Zitat von thghh

    Nur weil eventuell jemand einen LAN Zugang hat kann er noch nicht dein Haus steuern. Gefährlicher ist da ein Zugriff über deinen Provideranschluß.

    leider falsch. LAN bedeutet Zugriff. Provider ist über eine Gira S1 abgesichert, da passiert nix...

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Ich habe auch eine vollständige Haus-Automatisierung und bei mir kann keiner über das LAN irgendetwas machen, weil der Steuerungsserver natürlich abgesichert ist.

    Zitat von pio007

    mein Programmierer sagt was anderes... Werde da nochmal nachhaken...


    Ja mach das und sollte ja auch grundsätzlich geklärt werden.

    Zitat von pio007

    naja unverhältnissmäßig? Hab nen KNX Haus, wer Zugriff bekommt kann quasi alles machen...

    Da ist es mir schon wichtig alles zu tun....

    Und wie hasst du deinen KNX-Bus im Außenbereich geschützt ?

    Der Standart ist dort, das diese Bereich in einem eigenen Strang liegen und per Router vom Rest des Busse getrennt werden und Zugriffe eingeschränkt werden.


    Machs beim WLAN genauso - mechanischen Schutz halte ich garnicht mal so verkehrt, das hätte aber direkt bei der Planung gemacht werden müssen.

    Kameras, WLAN-Ap ausserhalb der Reichweite montieren ist schon mal der erste Weg, so das man da nicht mal eben dran kommt.

    Dann verhinderst du Zugriffe von deinem WLAN-Netz aussen eben per Firewall auf relevante Komponenten. Es muss nicht jeder Netzwerk-Client auf jedes System zugreifen können - aber das setzt wiederum voraus, man macht sich vorher einen Plan, was man braucht und notwendig ist.


    Wie rät die Polizei immer, es dem Einbrecher so schwer wie möglich machen.


    Kleines Beispiel:

    Beim Bekannten vor mir hängen die Aussen-AP so gut versteckt, das man die zum einem nicht sieht und zum anderen man ohne entsprechende Leiter da eh nicht dran kommt.

    Die Kameras sind alle in min. 2,50m Höhe angebaut und zudem noch gesichert per Alarmanlage.

    Das Netzwerk der Kamera ist komplett getrennt von allen anderen, Zugriffe auf den Videoserver haben nur 2 Notebooks aus dem internen Netz und auch nur, wenn diese per Kabel angeschlossen sind, also nicht mal per WLAN.

    Das selbe gilt für das SmartHome-Netz mit KNX-Server usw., eigenes VLAN, komplett getrennt vom Rest, Zugriff von Extern nur per VPN für Steuerung, für Konfig nur von zwei Notebooks im internen LAN.

    KNX Bus im Aussenbereich ist ne gute Frage, hake ich auch da mal nach.

    Kameras sind alle im extra VLAN und gesperrt.

    KNX Technik ebenfalls extra VLAN und bis auf ein paar Ausnahmen isoliert.

    APs sind auch einigermassen versteckt und hoch, aber da hab ich halt die meisten Bedenken...

    Hab jetzt erstmal LAN-Zugriff alle anderen VLANs gesperrt (bis auf 2 Managementgeräte) und interVLAN sowieso. Wo geht auch noch MAC Whitelist.

    UDMPro <-- USW Pro 48 POE <-- USW Pro 24. Dazu: USW-FlexMini, USW-Lite-8-POE, UAP-AC-Pro, UAP-AC-LR, UAP-FlexHD

    Ich würde mir an deiner Stelle erstmal das / die Angriffsszenarien bzw. Angriffsvektoren überlegen und DANN handeln.


    Das was wir hier im Thread machen ist stochern im Heuhaufen und wenig bis gar nicht effektiv!


    Ein EINBRECHER wird sich mit Sicherheit nicht um deinen LAN Anschluß kümmern, sondern "einbrechen". Bestenfalls reißt er die Kabel raus, aber auch das kostet Zeit und hat eigentlich keinen großen Nährwert für ihn.


    Ein Hacker interessiert schon eher dein LAN, allerdings ganz sicher nicht deine LAN Kabel, sondern eher deine WLAN Infrastruktur bzw. greift gleich aus Richtung Internet (von zu Hause) an. Da hat er alle Zeit der Welt und die maximale Bequemlichkeite.


    Dein Heimautomatisationsnetz bietet hier den größten Unsicherheitsfaktor und aus Erfahrung kann ich Dir schon jetzt sagen, dass hier die größten Lücken zu erwarten sind.

    Aber am Ende sollte man immer die Verhältnismäßigkeiten und Risiken gegeneinander abwägen. Wenn Du nicht gerade "Goldbarren" zu Hause lagerst, dann ist Vieles eher als "akademisch" zu betrachten.


    Sollte das Szenario eher beruflich / Firma sein, dann gelten völlig andere Regeln und Maßnahmen. Da empfehle ich Dir aber eher professionelle Hilfe in Anspruch zu nehmen, denn da sind deutlich tiefere Kenntnisse notwendig.


    Deshalb halte ich deine Maßnahmen - zumindest die hier im Thread angesprochenen - für irrelevant.

    Viele Dinge sind übrigens auf den BSI Seiten nachzulesen. Ein Grundschutz ist IMMER gut und diesen sollte man auch tunlichst einhalten.

    Die größte Gefahr geht übrigens meist von - unbedachten - Innentätern aus.

    ------

    vg

    Franky

    Gefällt mir 2