Archiv verlassen und diese Seite im Standarddesign anzeigen : LAN-Kabel im Freien: Port am Switch verriegeln/Zugriffsbeschränkung?
Plutos
2016-03-09, 15:37:05
Hallo,
ich spiele mit dem Gedanken, eine Sat>IP-Installation vorzunehmen. Dazu müsste ich ein LAN-Kabel für die Sat-Antenne ins Freie legen. Soweit kein Problem, am Switch (Netgear M4100 "Fully Managed") ist schon noch was frei.
Aber was ist mit der Sicherheit? Im Grunde könnte sich ja während meiner Abwesenheit jeder in den Garten setzen, das Kabel aus der Sat-Antenne ziehen und in seinen Laptop stecken und ist damit sofort bei mir im LAN!? :eek: Ein einfacher MAC-Filter erscheint mir etwas "schwach" - aber was anderes kenne ich nicht. :redface:
Was habe ich denn für Möglichkeiten, den Port (an dem eben die Sat-Antenne hängt) so zu verrammeln, dass ein Angreifer eben nicht in mein Netz kommt? Die Kommunikation zwischen Sat-Antenne und den ebenfalls im Netzwerk befindlichen Fernsehern muss natürlich stattfinden können, und am Besten genau nur diese!
Im Bild sollte also der von außen zugängliche Port 7 irgendwie isoliert sein bzw. nur mit 1 & 2 kommunizieren können, aber natürlich nicht auf z.B. ein NAS an Port 5 (oder einen WLAN-AP bspw. an Port 4, nicht im Bild) zugreifen können. Schön wäre es selbstverständlich auch, wenn man gar nicht auf die Konfigurations-/Login-Seite vom Switch selber kommt, aber der hätte zumindest schonmal ein Passwort.
http://abload.de/img/unbenanntk6stb.png (http://abload.de/image.php?img=unbenanntk6stb.png)
RaumKraehe
2016-03-09, 15:39:12
Es gibt Switche die man konfigurieren kann und die z.B. per MAC-Adresse prüfen ob auch wirklich das richtige Gerät an dem Port hängt.
Sobald dort einmal der Stecker gezogen wird (link down) sperrt sich der Port dann automatisch und muss erst wieder durch den Admin geöffnet werden.
Das ist schon recht sicher.
Eine Alternative wäre es noch einen Router dazwischen zu schalten. Das sollte auch recht sicher sein.
Plutos
2016-03-09, 15:52:17
Es gibt Switche die man konfigurieren kann und die z.B. per MAC-Adresse prüfen ob auch wirklich das richtige Gerät an dem Port hängt.
Sobald dort einmal der Stecker gezogen wird (link down) sperrt sich der Port dann automatisch und muss erst wieder durch den Admin geöffnet werden.
Das ist schon recht sicher.
Das ist interessant, mal sehen ob meiner das kann. :smile:
Geht das Thema auch in Richtung VLAN und ACLs (http://www.schulnetz.info/vlan-teil5-access_lists/)? Also könnte ich z.B. die Antenne+TV-Geräte in ein VLAN packen und - wenn ich z.B. mal etwas per DLNA vom NAS streamen will - die TV-Geräte+NAS in ein anderes?
Warum ziehst du nicht einfach das Koax ins Haus und setzt dann auf IP um?
Plutos
2016-03-09, 16:24:32
Hm...wahrscheinlich ist das Overkill, aber könnte man das auch per 802.1x und Radius-Server lösen? Der Switch kann es, muss das auch von Sat-Antenne und den TVs explizit unterstützt werden (was sie schätze ich nicht tun)? :freak:
Warum ziehst du nicht einfach das Koax ins Haus und setzt dann auf IP um?
Weil Cat 6A schon überall im Haus liegt und auch direkt so aus der Antenne kommt. Die hätte zwar auch noch zwei Koax-Anschlüsse, aber damit bekomme ich ja auch nur zwei Clients versorgt, oder?
Zettabit
2016-03-10, 18:29:58
Da du schon einen Managed Switch hast:
Ja das müsstest du mit ACLs lösen können. Du sperrst deinem SAT-IP Gerät an Port 7 erstmal alles und erlaubst dann nur Zugriff auf die TV-Geräte. Fertig.
VLAN wäre auch möglich, dann müsste deine TV-Geräte aber zwei Netzwerkanschlüsse haben bzw. VLAN beherrschen (was sie wahrscheinlich nicht tun).
Plutos
2016-03-13, 22:28:13
Ich ging bisher davon aus, VLAN wäre eine reine "Switch-Sache" und für die angeschlossenen Geräte transparent; die Geräte müssten nur ins "physische (Gesamt-)LAN" und könnten dann vom Switch logisch in beliebige VLANs, also quasi "Teilmengen" einsortiert werden?
/dev/NULL
2016-03-14, 03:27:27
Schickes Bild!
Verstehe nicht ganz was Du meinst.. i.d.R. werden VLANs port basiert gesetzte, gleiche VLANs können kommunizieren, andere (ohne Router/L3Switch) nicht.
Vereinfacht: Ports in einem VLAN sind jeweils ein eigener Baumarkt Switch (obwohl alle in einem Gehäuse.. daher ja virtual LAN)
Wenn Du von deinen TV Geräten nicht aufs NAS willst (liegen da vielleicht die Urlaubsvideos?) dann ginge es mit nem eigenen IP-TV VLAN - ist es anders wird das schwer, weil kann der Port erstmal das IP TV als Hop benutzen (in nem Fernseher sind vermutlich ähnlich viele Lücken wie in nem 0815 Router -> Potentiell eher unsicher.
Mit ACLs kann man den Traffic weiter einschränken, dass ist aber je nach Hersteller mehr oder weniger spaßig zu konfigurieren. und auch hier: SAT auf TV, TV auf NAS, ggf PC auf TV (fernsteuern), TV ins Internet (updates/EPG) .. .. beliebig Komplex und vermutlich nicht abbildbar.
Radius/802.1x/MacAuth: Dein IP TV wird sich nicht per 802.1x authentifizieren können, daher bleibt nur die "Freischaltung/Beschränkung" auf MAC (802.1x-non-supplicant) - da man die MAC aber mit 2 Mausklicks ändern kann (und die vermutlich sogar am SAT Ding draufsteht) ist es als Sicherheitsfeature ungefähr so sinnvoll wie SSID verstecken. Den 0815 Hacker verunsichert es, jemand der sich Zugriff verschaffen will und dafür auf deinem Gelände Hausfriedensbruch begehen wird - den hält es nicht ab.
Vorschlag: SAT in 2,5m Höhe, da wird es dann schon deutlich auffälliger da ran zu kommen.
Ansonsten: Ja ein LAN-Port der im freien zugänglich ist (auch Besprechungsräume, Gänge etc in Firmen) ist ein Angriffspunkt.
Zettabit
2016-03-14, 09:08:03
Ich ging bisher davon aus, VLAN wäre eine reine "Switch-Sache" und für die angeschlossenen Geräte transparent; die Geräte müssten nur ins "physische (Gesamt-)LAN" und könnten dann vom Switch logisch in beliebige VLANs, also quasi "Teilmengen" einsortiert werden?
Ja, VLAN kann transparent sein.
Dein Problem ist aber: Du möchtest von den TV-Geräten sowohl nach draußen, als auch auf das NAS. Und entweder du machst nun alle TV-Geräte, Sat und NAS in ein VLAN - dann kommt man von draußen auch wieder auf dein NAS drauf. Oder du machst das VLAN nur für Sat und TV-Geräte - dann haben die keinen Zugriff auf das NAS.
Eigentlich bräuchtest du eine kleine Box, die VLAN versteht und dann den Traffic der TV-Geräte in beide VLANs schiebt. Anders wird es nciht kappen, oder eben ACL.
RaumKraehe
2016-03-14, 09:27:24
Ja, VLAN kann transparent sein.
Dein Problem ist aber: Du möchtest von den TV-Geräten sowohl nach draußen, als auch auf das NAS. Und entweder du machst nun alle TV-Geräte, Sat und NAS in ein VLAN - dann kommt man von draußen auch wieder auf dein NAS drauf. Oder du machst das VLAN nur für Sat und TV-Geräte - dann haben die keinen Zugriff auf das NAS.
Eigentlich bräuchtest du eine kleine Box, die VLAN versteht und dann den Traffic der TV-Geräte in beide VLANs schiebt. Anders wird es nciht kappen, oder eben ACL.
Erste Möglichkeit: Ein Router der zwischen die Vlans geschaltet wird.
Zweite Möglichkeit: Einen ordentlichen Switch kaufen. Der macht das dann einfach mit.
Zettabit
2016-03-14, 09:51:35
Zweite Möglichkeit: Einen ordentlichen Switch kaufen. Der macht das dann einfach mit.
Hat er ja, kann sogar ACL.
Also einfach Zugriff auf den Sat-Port nur von den TV-Geräten.
Muss nur hoffen, dass die TV-Geräte keine Sicherheitslücken haben ;)
hadez16
2016-03-14, 12:34:12
Was ist das denn für ein Produkt? Hat das LNB direkt nen RJ45-Anschluss??
https://www.conrad.de/de/beratung/multimedia/fernsehempfang/tv-empfang/sat-to-ip.html
Hier wird illustriert, dass der Multischalter hinter einem Quattro-LNB die Umsetzung macht und so würde ich mir das auch denken ohne die Illustration gesehen zu haben.
Tech_FREAK_2000|GS
2016-03-14, 20:02:42
ohne das jetzt aktiv im Einsatz zu haben, es gibt wohl auch Komponenten, um den physikalischen Zugriff zu erschweren.
http://www.panduit.com/heiler/ProductBulletins/SA-IDCB57%20(Network%20Conn.%20Sec.%20Solutions)%20WEB%2010-28-10.pdf
Zettabit
2016-03-15, 15:36:55
Wie unsinnig ist das Zeug denn?
Was hindert mich dran das LAN-Kabel zur Not eben abzuknipsen und neu zu crimpen?
Zettabit
2016-03-15, 15:40:22
Grad durch Zufall gesehen:
Mein TP-Link Switch kann auch Port Isolation, also Traffic von Port A kommt nur zu Port B und C und vice versa.
Das ist doch genau das, was du suchst?
RaumKraehe
2016-03-15, 15:46:03
Grad durch Zufall gesehen:
Mein TP-Link Switch kann auch Port Isolation, also Traffic von Port A kommt nur zu Port B und C und vice versa.
Das ist doch genau das, was du suchst?
Er hat doch VLan? Dachte ich zumindest.
Zettabit
2016-03-15, 16:03:15
Er hat doch VLan? Dachte ich zumindest.
Geht auch, Port Isolation ist aber natürlich deutlich einfacher handhabbar.
hadez16
2016-03-16, 09:12:00
Wie unsinnig ist das Zeug denn?
Was hindert mich dran das LAN-Kabel zur Not eben abzuknipsen und neu zu crimpen?
Daran hindern dich alle anderen verriegelten Ports, wo du mit deinem Guerilla-Kabel nicht reinkommst.
RaumKraehe
2016-03-16, 09:17:12
Daran hindern dich alle anderen verriegelten Ports, wo du mit deinem Guerilla-Kabel nicht reinkommst.
Dann schneide ich es eben in der Mitte durch und Crimpe mir da ne Buchse ran.
Zettabit
2016-03-16, 09:18:45
Daran hindern dich alle anderen verriegelten Ports, wo du mit deinem Guerilla-Kabel nicht reinkommst.
Das Kabel hängt ja drinnen am Switch beim TE. Das andere Ende halte ich in der Hand.
Was bringt da der "verriegelte" Stecker am Sat-IP-Gerät draußen?
Butter
2016-03-16, 09:33:57
Dann schneide ich es eben in der Mitte durch und Crimpe mir da ne Buchse ran.
Wie wahrscheinlich ist das denn? Möglich ist auch ins Haus einzusteigen und mich dort einzuklinken, aber wie wahrscheinlich ist das?
RaumKraehe
2016-03-16, 09:41:28
Wie wahrscheinlich ist das denn? Möglich ist auch ins Haus einzusteigen und mich dort einzuklinken, aber wie wahrscheinlich ist das?
Sehr.
Butter
2016-03-16, 10:05:21
Sehr.
Ist klar, Top Agenten aller Nationen crimpen im Garten fröhlich durch die Gegend, Drohnen surren über dem Haus und Mulder und Scully suchen nach der Wahrheit...
RaumKraehe
2016-03-16, 10:19:05
Ist klar, Top Agenten aller Nationen crimpen im Garten fröhlich durch die Gegend, Drohnen surren über dem Haus und Mulder und Scully suchen nach der Wahrheit...
Hä?
Zettabit
2016-03-16, 11:24:18
Ist klar, Top Agenten aller Nationen crimpen im Garten fröhlich durch die Gegend, Drohnen surren über dem Haus und Mulder und Scully suchen nach der Wahrheit...
Lies doch mal den Startpost.
Und ja, ich würde mir auch überlegen, wie ich sowas absichere.
Plutos
2016-03-16, 15:10:07
Danke für die vielen hilfreichen Beiträge, ich bin jetzt schon ein gutes Stück schlauer :smile:
Was ist das denn für ein Produkt? Hat das LNB direkt nen RJ45-Anschluss??
Ja. Selfsat IP36. (https://www.megasat.tv/produkte/selfsatip-36/)
Grad durch Zufall gesehen:
Mein TP-Link Switch kann auch Port Isolation, also Traffic von Port A kommt nur zu Port B und C und vice versa.
Das ist doch genau das, was du suchst?
Er hat doch VLan? Dachte ich zumindest.
Geht auch, Port Isolation ist aber natürlich deutlich einfacher handhabbar.
Ich finde in der Dokumentation bisher nur "protected ports", die im Prinzip wohl genau das machen, dazu gibt es auch eine ellenlange Installationsanleitung (http://kb.netgear.com/app/answers/detail/a_id/21795/~/how-do-i-configure-a-protected-port-to-isolate-ports-using-the-web-interface-on) (ab Punkt 4 wird's für mich dann noch ein bisschen schwammig), im Grunde funktioniert das scheinbar eben via VLAN.
hadez16
2016-03-16, 15:27:00
Danke für die vielen hilfreichen Beiträge, ich bin jetzt schon ein gutes Stück schlauer :smile:
Ja. Selfsat IP36. (https://www.megasat.tv/produkte/selfsatip-36/)
https://www.megasat.tv/wp-content/uploads/2015/06/selfsat_ip_36_flachantenne_lan_anschluss.png
Ist das nur ein Schutz gegen Feuchtigkeit, oder ist das schon eine Art Absicherung?
Zumindest muss der nerdige digitale Einbrecher auch nen 17er Schlüssel dabei haben.
RaumKraehe
2016-03-16, 15:40:57
Jetzt lachen noch alle. Ich habe arbeitstechnisch recht viel mit smart Homes zu tun. Nicht solch RWE Zeug sondern richtige Smart Homes. Das waren in der Regel auch nicht nur ein Haus sondern Anwesen mit mehrere Häusern die natürlich auch alle im System integriert waren. Somit verliefen dort auch LAN-Kabel zwischen den Häusern. Und natürlich sind diese Kabel ein super Angriffspunkt. Was da Mulder und Scully mit zu tun haben ist mir da unklar.
Und dort ist meist das Türschloss, die Garage auch elektromotorisch. Des öfteren ist in der Bauphase auch mal die Tür zugeflogen. Tja, die konnte man dann super per LAN/WLAN halt auch wieder aufmachen.
Klar das man in solchen Häusern das Netzwerk als zentrale Stelle der Kommunikation der Komponenten wirklich sehr gut absichern muß. Da helfen dann halt sperrbare Ports und Vlans usw ungemein.
Aber es ist ja wie es immer ist: Hat man keine Ahnung von der Materie kann man es ja nur ins lächerliche ziehen.
Plutos
2016-03-16, 16:04:03
Mir geht's halt drum, dass dieser Anschluss als Single Point of Failure nicht nur mechanisch abgesichert ist, sondern eben auch elektrisch noch irgendwie. Am liebsten wäre mir ja wirklich die Funktion Link down -> Port tot (bis zur "Inhouse-Wiederbelebung") im Switch, aber ich habe noch nicht rausgefunden wie sich diese Funktionalität in meinem Switch nennt (wenn es sie gibt).
https://www.megasat.tv/wp-content/uploads/2015/06/selfsat_ip_36_flachantenne_lan_anschluss.png
Ist das nur ein Schutz gegen Feuchtigkeit, oder ist das schon eine Art Absicherung?
Zumindest muss der nerdige digitale Einbrecher auch nen 17er Schlüssel dabei haben.
Die Rede ist von einer "Schutzverschraubung", ich denke das dient vor allem dem Witterungsschutz. Lässt sich werkzeuglos rein- und rauschrauben, so wie ich das sehe.
RaumKraehe
2016-03-16, 16:19:57
Das sollte irgend wie "Port Security" heißen. Oder so. ;)
Drunky
2016-04-04, 22:31:30
Bau dir ein TV-Vlan.
Sat-IP ist ja nicht nur für TVs interessant, wenn du es einmal hat willst du plötzlich auch mit deinem Handy/Tablet zugreifen können.
Wenn VLan zu kompliziert bau ein separates Netz mit zweitem Router und lasse nur die Art von Verkehr durch die du haben willst. Je nach Switch kannst du via SNMP auch Port-Down Befehle absetzen die du dir auf nen Touchscreen o.ä. Im Haus legst.
vBulletin®, Copyright ©2000-2025, Jelsoft Enterprises Ltd.