VLAN über Traffic Rules nur für bestimmte Geräte freigeben?

Es gibt 5 Antworten in diesem Thema, welches 1.753 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Guten Tag,
    ich hab mich jetzt in den letzten Tagen etwas in die Unifi VLAN Umsetzung eingelesen, großen Dank an das Forum hier!
    Das Unifi UX ist da echt irreführend, die alte Version hilft mir da mehr zu verstehen was man mit den Einstellungen eigentlich macht.

    Nun möchte ich das VLAN in dem die Kameras hängen gerne absichern.
    Das VLAN wird über 2 Switches wired 2 Kameras zur Verfügung gestellt, und es hängen auch noch 2 Kameras über Wifi drin.
    Also Network "Protect" eingerichtet, das zugehörige WLAN "Protect" das über insgesamt 4 AP gebroadcastet wird.
    Ich bin erstmal darüber gestolpert dass ich für jeden Switch an denen die AP hängen auch das entsprechende Switch Profile wählen muss.
    Aber ich denke ich hab jetzt soweit alles hinbekommen.


    Ich blicke nun nicht durch wie ich die Traffic Rules aufsetzen muss.

    Ziel: Die Kameras über die Protect App sollen nur über 2 mobile Geräte erreichbar sein. Dabei soll es keine Rolle spielen ob sich die beiden Geräte im gleichen Netzwerk befinden (anderes VLAN im Netzwerk), oder remote zugreifen.


    Ist diese Regel überhaupt so möglich?

    Viele Grüße

    Lars

    Hallo Lars,


    willkommen im Forum! Grundsätzlich kann man "alles" über Filterregeln bauen. Als knappe und übersichtliche Basis-Lektüre solltest Du hier mal reinschauen.


    Die Frage ist nun aber, was genau Du erreichen willst. Den Zugriff auf das VLAN "Protect" einzuschränken, ist nicht sehr schwer (siehe unten). Allerding läuft der Zugriff auf Deine Kameras ja über die Protect-App, das hat dann nichts mit Firewall-Regeln zu tun, sondern mit Benutzerrechten auf der UDM-SE.


    Kleine Anleitung für die Firewall, Du brauchst in absteigender Reihenfolge:


    1. Allow Port/IP-Group to "Protect VLAN"-Regel

    2. Allow Established/Related-Regel

    3. Block Inter VLAN Traffic-Regel


    Erläuterung zu 1: Die beiden Geräte, die Zugriff haben sollen, musst Du für alle Netzwerke, in denen sie sich befinden können, mit statischen Adressen über DHCP ausstatten. Eine Erkennung über MAC-Adressen, die leichter wäre, unterstützt Unifi derzeit leider nicht. Dann packtst Du alle diese Static DHCP-Adressen in eine Gruppe und gewährst dieser Gruppe Zugriff auf Dein VLAN "Protect".

    Außerdem sollten die Kameras natürlich auch uneingeschränkt mit der UDM reden können.


    Regel 2 ist als Rückkanal anzusehen, damit Deine Kameras dem Gerät antworten dürfen, welches sie anspricht.


    Regel 3 ist dafür da, dass die Kommunikation zwischen VLANs überhaupt verhindert wird. Unifi ist nämlich im Standard für alles offen, es wird nichts nicht blockiert.



    Du kannst ja mal schreiben, ob Dir dies schon weiterhilft. Wenn es, wie ich befürchte, um den Zugriff auf die Protect-App geht, kannst Du meine anleitung natürlich links liegen lassen.

    Dann wie gesagt über Benutzerrechte gehen.

    Hallo zusammen,


    ich möchte mich hier mal mit meiner Frage anschließen, da sie auch den Traffic von "außenliegenden" Netzwerkanschlüssen wie z.B. Kameras in den Rest des Netzwerks blockieren soll.


    Könnte man nicht in deinem Beispiel Networker mit böser Absicht ein anderes Endgerät an das LAN-Kabel einer Cam hängen und probiert dann ein paar IP-Adressen durch, bis man die der Cam trifft und hat dann lokalen Zugriff auf die UDM-SE? Klar braucht man dann noch Passwort und ggf. MFA, aber wäre möglich, oder? Also besser nur bestimmte Ports freigeben?


    Und reicht die "Block Inter VLAN Traffic-Regel" als "LAN IN" aus, oder muss man zusätzlich noch eine "LAN LOCAL" mit Action "Drop" anlegen, die den Zugriff vom Kamera VLAN auf alle anderen VLANs blockiert?

    Wenn sich jemand mit den außenliegenden Netzwerk-Anschlüssen verbindet, bekommt es natürlich dieselbe Konfiguration und dieselben Zugriffsparameter wie die Kamera, die dort eigentlich hängen sollte. Der Angreifer wäre im obigen Szenario also im "Kamera-Netz".

    Ich bin bei Ubiquiti-Kameras nicht so tief drin, aber ich glaube, die Kamera selbst kann man vielleicht anpingen, aber sie hat wohl keinen Webserver o.ä. . Daher sehe ich hier keine echte Gefahr.

    Den Zugriff auf die UDM kann man recht einfach verhindern, indem man über eine von Dir schon angesprochene LAN Local-Regel einige Ports blockt. Siehe z.B. hier.

    Zugriff auf die UDM vollständig zu blocken, wäre keine gute Idee, denn dann könnten die Kameras nicht mehr verwaltet werden.


    Als Paranoia-Szenario (welches durchaus sinnvoll ist, nur mehr Arbeit macht) legt man alternativ für jede Kamera ein eigenes Subnetz an. Dadurch kann ein Angreifer sich nur in einem minimalen, isolierten Bereich bewegen, wenn er sich anstelle der Kamera anstöpselt.

    Gerne. Als Ergänzung: Man kann prinzipiell auch mit MAC-Adress-Filtern arbeiten, Unifi scheint das schon grundsätzlich zu unterstützen - ich habe es allerdings selbst nicht ausprobiert.

    Dies würde zunächst einmal verhindern, dass ein anderes Gerät als die angeschlossene Kamera Zugang zum Netzwerk erhält.

    Da MAC-Adressen aber gespooft (kopiert) werden können, ist dies wie alle anderen Maßnahmen auch nur ein Baustein auf dem Weg zu einem sichereren Netzwerk. Keinesfalls "sicher".