Kameraüberwachnung/ Einschränken der Kommunikation in grün

Wie kann man das Konfigurieren?
Post Reply
sparkplug
Posts: 5
Joined: January 17th, 2016, 5:40 pm

Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by sparkplug » February 9th, 2019, 8:13 pm

Hallo,

ich versuche mit ipfire mein Kamerasystem abzusichern. Die Kameraüberwachung besteht aus einem Zoneminderserver und mehreren Kameras. ich habe eine Fritzbox und dahinter den ipfire. Zur Zeit hängen die Kameras, der Server und die "normalen" Desktops alle an grün. Ich kann nun den Kameras den Weg ins Internet über Firewallregeln versperren.
Ich würde aber auch gern den Kameras verbieten intern(in grün) mit anderen Teilnehmern (außer dem Zoneminderserver) zu kommunizieren. Das geht aber nicht innerhalb von grün? Blau wird bei mir bereits verwendet. Gibt es ein "best practice"?

Besten Dank.

BeBiMa
Posts: 2672
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by BeBiMa » February 9th, 2019, 8:33 pm

Ich würde es mit zwei FW-Regeln versuchen
  1. Kameragruppe -> Server erlaubt
  2. Kameragruppe -> Grün gesperrt
Wichtig ist die Reihenfolge.
Image
Unitymedia Cable Internet ( 32MBit )

sparkplug
Posts: 5
Joined: January 17th, 2016, 5:40 pm

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by sparkplug » February 11th, 2019, 2:24 pm

BeBiMa wrote:
February 9th, 2019, 8:33 pm
Ich würde es mit zwei FW-Regeln versuchen
  1. Kameragruppe -> Server erlaubt
  2. Kameragruppe -> Grün gesperrt
Wichtig ist die Reihenfolge.
Danke für deine Antwort. So schnell habe ich damit gar nicht gerechnet.

Das habe ich versucht. Meine Versuche sahen folgendermaßen aus:
Grundoption: alle Verbindungen verboten

Kameras-> Desktops in grün verboten

Dann habe ich einen Laptop in die Kameragruppe eingefügt und habe gepingt und bin durchgekommen.
Auch Kameras können ohne Erlaubnis auf den Server zugreifen. Deswegen die Frage, ob Kommunikation in grün (von grün zu grün) überhaupt eingeschränkt werden kann.
Die Kameras und auch die Desktops kommen ohne Erlaubnis aber nicht in rot(so sollte es sein).

BeBiMa
Posts: 2672
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by BeBiMa » February 11th, 2019, 2:34 pm

Danke für Deine weitergenden Überlegungen und Deine Frage bzgl. der Möglichkeit des Sperrens.

Das hatte ich natürlich übersehen, dass bei einem normal aufgebauten Netz ( über Switches etc. ) in Grün, die Kommunikation zwischen den einzelnen Geräten gar nicht über IPFire laufen muss. Und damit sind alle FW-Regeln wirkungslos.
Image
Unitymedia Cable Internet ( 32MBit )

fredym
Posts: 430
Joined: November 14th, 2016, 2:45 pm

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by fredym » February 11th, 2019, 3:44 pm

sparkplug wrote:
February 9th, 2019, 8:13 pm
Hallo,

ich versuche mit ipfire mein Kamerasystem abzusichern. Die Kameraüberwachung besteht aus einem Zoneminderserver und mehreren Kameras. ich habe eine Fritzbox und dahinter den ipfire. Zur Zeit hängen die Kameras, der Server und die "normalen" Desktops alle an grün. Ich kann nun den Kameras den Weg ins Internet über Firewallregeln versperren.
Ich würde aber auch gern den Kameras verbieten intern(in grün) mit anderen Teilnehmern (außer dem Zoneminderserver) zu kommunizieren. Das geht aber nicht innerhalb von grün? Blau wird bei mir bereits verwendet. Gibt es ein "best practice"?

Besten Dank.
Hmm Kameras, die nicht abgefragt werden sollen ;-) ...
ansonsten könntest du über Subnetting (im grünen Netz) nachdenken. (ggfs nach CIDR suchen)

Fred

sparkplug
Posts: 5
Joined: January 17th, 2016, 5:40 pm

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by sparkplug » February 11th, 2019, 4:23 pm

Das macht Sinn. Ich hätte noch einen Nic am Ipfire frei. Habe aber kein "Netzwerk" (blau, grün) mehr bis auf orange. Dort läuft aber die Firewall nicht. Ich brauche also im Prinzip eine zweites blau oder grün für die Kameras. Einen 2ten Switch (POE) habe ich auch. Jemand eine Idee?

sparkplug
Posts: 5
Joined: January 17th, 2016, 5:40 pm

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by sparkplug » February 11th, 2019, 4:36 pm

fredym wrote:
February 11th, 2019, 3:44 pm
sparkplug wrote:
February 9th, 2019, 8:13 pm
Hallo,

ich versuche mit ipfire mein Kamerasystem abzusichern. Die Kameraüberwachung besteht aus einem Zoneminderserver und mehreren Kameras. ich habe eine Fritzbox und dahinter den ipfire. Zur Zeit hängen die Kameras, der Server und die "normalen" Desktops alle an grün. Ich kann nun den Kameras den Weg ins Internet über Firewallregeln versperren.
Ich würde aber auch gern den Kameras verbieten intern(in grün) mit anderen Teilnehmern (außer dem Zoneminderserver) zu kommunizieren. Das geht aber nicht innerhalb von grün? Blau wird bei mir bereits verwendet. Gibt es ein "best practice"?

Besten Dank.
Hmm Kameras, die nicht abgefragt werden sollen ;-) ...
ansonsten könntest du über Subnetting (im grünen Netz) nachdenken. (ggfs nach CIDR suchen)

Fred
Würde der Switch nicht trotzdem die IPs vorwegnehmen und selbständig die Pakete verteilen, wenn er weiß wo das Subnet angeschlossen ist?

fredym
Posts: 430
Joined: November 14th, 2016, 2:45 pm

Re: Kameraüberwachnung/ Einschränken der Kommunikation in grün

Post by fredym » February 12th, 2019, 7:55 am

sparkplug wrote:
February 11th, 2019, 4:36 pm

Würde der Switch nicht trotzdem die IPs vorwegnehmen und selbständig die Pakete verteilen, wenn er weiß wo das Subnet angeschlossen ist?
Und wen interessiert das - wenn eh keiner hinhört ?

Du kannst natürlich - wenn die Kameras da mitspielen - auch mit VLANs arbeiten, aber ... auch da quaken wieder alle auf allen Switchports.

Etwas unklar was du in deinem lokalen Netrtz erreichen willst ...
Gehen die Kameras denn "von allein" ins Internet ? Wenn ja - blocken, solange es nötig ist.

Fred
ps: du kannst in deine Blechkiste auch noch 2..3 weitere Netzwerkkarten einbauen - mußt dem Karm dann eben "zu Fuß" verwalten!
Alles per Cli ..ganz einfach!

Post Reply