[Kaufberatung] Cisco SG350/SG350X - IP Kameras sinnvoll absichern möglich?

E

eehm

Enthusiast
Thread Starter
Mitglied seit
13.09.2011
Beiträge
591
Hallo Zusammen,

ich benötige für mein Netzwerk ein 24 Port Switch (inkl. PoE) mit der Möglichkeit meine IP-Außen-Kameras abzusichern.
Ich liebäugle hier mit einem managed Switch wie dem Cisco SG350. Wäre hier der MAC Filter und ein separates VLAN für die Kameras eine sinnvolle und sichere Möglichkeit um die Kameras vom Hauptnetzwerk zu trennen?
Der 350X hätte für später noch die Option ein NAS mit 10Gbit anzubinden.
Wäre ein SG350/350X für meinen Zweck im EFH eine sinnvolle Lösung oder ist das wie mit Kanonen auf Spatzen schießen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was ist denn der genaue Einsatzzweck? Es sollen für ein Einfamilienhaus Kameras über POE angebunden werden und via RADIUS automatisch einem VLan zugewiesen werden, oder soll dazu noch verhindert werden, dass ein anderes Gerät von dem Port aus irgend etwas macht?
Was ist die bestehende Infrastruktur und wie viele PoE-Ports werden benötigt, muss Stacking mit von der Partie sein?

Ich vermute, dass ein SG350X-24P mit etwa 900€ etwas arg überzogen ist. Ein einfacher 24-Port-Switch, wie der Netgear GC728X (~300€) oder ein mikrotik CSS326-24G-2S+RM (~150€). Auch der FS S3900-24T4S ist mit 325€ interessant, da dieser 4x SFP+ als lüfterloser 24-Port Switch bereit stellt. Dazu dann etweder einzelne PoE-Injektoren, oder einen Multi-Injektor. Je nach Kamera-Anzahl kann auch eine kleinere Lösung reichen, wie der NETGEAR GS110TPP (~200€ mit PoE, ohne 10g) oder vergleichbares.

Kannst du versuchen, deinen Aufbau etwas genauer zu beschreiben? Im normalfall sind die meiste IP-Kameras mit 100mbit zufrieden, können aber unterschiedliche Mengen an Strom vertragen. Bei 4 Kameras a 25W ist ein Switch mit 1G Upling fast immer ausreichend und das PoE-Budget ist mit 100W moderat ausgelegt. Aber unterschiedliche Kameras sehen das anders, es kann zB. zwingend auch PoE++ benötigt werden und bei bestimmten Kameras auch ein höherer Durchsatz. Im privaten Umfeld würde ich zur Kostenersparnis die PoE-Versorgung einzeln machen und einen normalen Managed Switch dazwischen setzen. 10G kann interessant sein, aber wenn es noch nicht gebraucht wird, vor allem für die Kameras, würde ich da noch von absehen. In naher Zukunft werden vermutlich mehr Geräte kommen, die auch zumindest 2,5GBit unterstützen, was bezahlbarer und vermutlich auch sinnvoller ist.
 
Zuletzt bearbeitet:
Beinfreiheit schrieb:
Was ist denn der genaue Einsatzzweck? Es sollen für ein Einfamilienhaus Kameras über POE angebunden werden und via RADIUS automatisch einem VLan zugewiesen werden, oder soll dazu noch verhindert werden, dass ein anderes Gerät von dem Port aus irgend etwas macht?
Was ist die bestehende Infrastruktur und wie viele PoE-Ports werden benötigt, muss Stacking mit von der Partie sein?
Zum Vergrößern anklicken....
Der Einsatzzweck ist im Einfamilienhaus.
Es wäre gut, wenn ich die Kameras in ein separates VLAN packen könnte und der Port so gesichert wäre, dass er auf der einen Seite nur Zugriffe von einer MAC-Adresse (z.B. IP-Kamera) erlaubt und nach Abstecken des Netzwerkport dieser Port solange deaktiviert wird, bis er wieder von innen her geöffnet wird.
PoE-Ports würde ich wenigstens 5 (3 x IP-Kamera und 2 WLAN Access Points) benötigen. PoE würde für die Kameras (AXIS M3058-PLVE) noch ausreichen und PoE+ wäre nicht nötig.
Stacking wäre auch nicht nötig.

Beinfreiheit schrieb:
Kannst du versuchen, deinen Aufbau etwas genauer zu beschreiben?
Zum Vergrößern anklicken....
Es gibt im Haus 18 Doppelnetzwerkdosen und 3 Außenkameras. Davon sollen allerdings nur jeweils 1 Port belegt werden, mehr benötige ich sicher nicht. Es müsste theoretisch zu Anfang nicht einmal jede Dose angeschlossen werden, aber der Aufpreis von 16 auf 24 Ports ist nicht die Welt.
Der Switch soll mit dem NAS im Keller stehen. Dort laufen auch alle Netzwerkkabel zusammen.
Lautstäke ist ebenfalls überhaupt kein Kriterium.
 
eehm schrieb:
Es wäre gut, wenn ich die Kameras in ein separates VLAN packen könnte und der Port so gesichert wäre, dass er auf der einen Seite nur Zugriffe von einer MAC-Adresse (z.B. IP-Kamera) erlaubt und nach Abstecken des Netzwerkport dieser Port solange deaktiviert wird, bis er wieder von innen her geöffnet wird.
Zum Vergrößern anklicken....
Das verstehe ich so, dass eine Mac Adresse einem bestimmten VLan zugewiesen ist. Dieses ist über Dynamic VLan möglich. Dort kannst du einer Mac Adresse das VLan einstellen. Alle anderen Mac Adressen wandern in ein anderes angegebenes VLan.

Bei 5 PoE Geräten empfehle ich einzelne PoE Adapter. Die AT Variante in Ubiquiti sind bei mir viel im Einsatz und kosten sehr wenig. Der U-POE-at-EU mit 30W ist mit aktuelle 12,13€ sehr günstig, wenn er vorhanden ist.

Bei der Menge an theoretischen Ports würde ich zu einem Switch mit Stacking empfehlen, damit die VLan Einstellungen auch bei einer theoretischen Erweiterung bleiben.

Von den Möglichkeiten würde ich den S3900-24T4S empfehlen, welcher eine gute Weboberfläche hat, lieferbar und auch mit der Konsole bedienbar ist. Aber Alternativen für einen 24port Switch mit Stacking gibt es von vielen Herstellern in unterschiedlichen Ausführung und Preisen.
 
Beinfreiheit schrieb:
Aber Alternativen für einen 24port Switch mit Stacking gibt es von vielen Herstellern in unterschiedlichen Ausführung und Preisen.
Zum Vergrößern anklicken....
Stacking denke ich, brauche ich nicht wirklich.
Wäre auch ggf. eine Option aus einem managed 24 Port 100Mbit Switch (https://geizhals.de/cisco-sf350-rackmount-managed-switch-sf350-24-k9-a1844025.html?hloc=de) und einem "günstigen" 10 Gbit Switch wie dem https://geizhals.de/netgear-prosafe-xs500m-desktop-10g-switch-xs508m-100-a1685835.html?hloc=de für die NAS und PC/Notebooks eine sinnvolle Option?
Oder sind zwei Switches immer unpraktischer als einer?
 
Zwei Switche sind doppelter Konfigurierungsaufwand und ich vermute, dass ein volles 10g Kupfer-Netz eher noch in den Sternen steht. ;)

Die 350er Reihe von Cisco ist gut, da muss wenig zu gesagt werden. Da es auch die SMB Version ist, gibt es fortlaufende, kostenfreie Updates. Mit meinem Einwand meinte ich aber eher, dass ein 10/100er Switch gebraucht mit PoE. Bei einer schnellen Suche --> https://www.ebay-kleinanzeigen.de/s-anzeige/poe-switch-24-port-3-stueck-/1830940682-225-1154 für je 20€ + Versand. Die unterstützen alles Notwendige und bieten PoE-AF auf allen 10/100er Ports und haben eine Weboberfläche für das Management und zumindest 1g Uplinks.

Ansonsten sollte für etwa 300€ einiges zu Finden sein. Meine obrige Empfehlung bleibt bestehen, aber auch die 500er Serie von Netgear ist gut. In der 700er hat Netgear noch den GC728X in der Preisklasse zu bieten. Für die 10G-Ports können auch einfach 10G Base T module gekauft werden. Viele davon unterstützen auch Multi-G --> https://www.servethehome.com/sfp-to-10gbase-t-adapter-module-buyers-guide/
 
eehm schrieb:
Hallo Zusammen,

ich benötige für mein Netzwerk ein 24 Port Switch (inkl. PoE) mit der Möglichkeit meine IP-Außen-Kameras abzusichern.
Ich liebäugle hier mit einem managed Switch wie dem Cisco SG350. Wäre hier der MAC Filter und ein separates VLAN für die Kameras eine sinnvolle und sichere Möglichkeit um die Kameras vom Hauptnetzwerk zu trennen?
Der 350X hätte für später noch die Option ein NAS mit 10Gbit anzubinden.
Wäre ein SG350/350X für meinen Zweck im EFH eine sinnvolle Lösung oder ist das wie mit Kanonen auf Spatzen schießen?
Zum Vergrößern anklicken....
Jeder Switch der 802.1X oder Isolation beherrscht, dürfte dafür ausreichend sein. Die Frage ist hier eher, traust du dir zu sowas auch umzusetzen ? (RADIUS/Diameter, evtl. PKI-Infra/LDAP,...).
MAC-Filter + separates VLAN dürfte "zu wenig" sein. Könnte sogar sein, das deine Kameras 802.1X beherrschen, das wäre dann das sicherste Konzept (EAP-TLS).

*edit* laut Datenblatt können deine Kameras 802.1X, ja dann...
 
sch4kal schrieb:
Die Frage ist hier eher, traust du dir zu sowas auch umzusetzen ? (RADIUS/Diameter, evtl. PKI-Infra/LDAP,...).
Zum Vergrößern anklicken....
Ich befürchte eher nicht. Ich mein ich bin zwar nicht ganz fachfremd, aber hab mit Netzwerk nicht viel am Hut .... Das wäre sicher ein langer Leidensweg bis das laufen würde! :(

sch4kal schrieb:
MAC-Filter + separates VLAN dürfte "zu wenig" sein
Zum Vergrößern anklicken....
Nur zum Verständnis, dass ich es nicht falsch interpretiere.
Bei einem MAC Filter müsste der Angreifer doch entweder die entsprechende MAC-Adresse kennen oder diese noch von der Kamera auslesen und dann emulieren?
Ist das nicht fast unmöglich im Außenbereich eines Hauses?

Und gibt es noch andere Möglichkeiten die Kameras ohne RADIUS Server sicher vom restlichen Netz zu entkoppeln?
Wäre ggf. eine Firewall für die zwei Kameras auf Basis eines Raspi etwas?
 
MAC Adressen lassen sich bei vielen Geräten manuell einstellen, daher nicht besonders sicher. Ein Radius Server schafft auch nicht mehr Sicherheit. Eine DMZ könnte für die Ports eingerichtet werden, um die Trennung zu persistieren
Die Sicherheit kommt über die Integration der Kameras in dem NVR System. Entweder, wenn die Kameras via FTP mit Zugangsdaten oder über Zertifikat/Login als direkte Einbindung.

Die Sicherung über VLans kommt, wenn das Kamera VLan nur Zugriff auf das NVR und die Kameras hat, das Default VLan als Gäste-Netz nur Internet Zugriff hat und der Rest in einem internen VLan ist.

Wofür willst du noch mehr abkoppeln?
 
Beinfreiheit schrieb:
Ein Radius Server schafft auch nicht mehr Sicherheit.
Zum Vergrößern anklicken....
Kannst du noch kurz ausführen, wieso ein Radius Server nicht mehr Sicherheit bringt?
Trifft das nur für den Fall zu, dass man den Server auf dem Switch laufen hat?

Ja das wäre die nächste Frage dann.
Wenn ich jetzt 3 VLANs mache:

1. Außen-VLAN (IP-Kameras)
2. Privat-VLAN (Alle Netzwerkports)
3. WLAN-VLAN (für WLAN Geräte)

Wie kann ich dann überhaupt sicher auf aus dem Privat-VLAN oder WLAN-VLAN auf das Außen-VLAN zugreifen?
Bräuchte ich für diesem Fall auf jeden Fall eine DMZ mit RASPI oder ähnlichem?
 
Lassen wir die Erklärung zu unterschiedlichen Ansätzen zu Radius Server Mal hier raus und sagen, dass ein Port-Vlan für die Außengeräze die sicherste Möglichkeit ist. Dazu noch die einfachste zum konfigurieren 😉

Für die VLans würde ich die Aufteilung ander gestalten und nicht zwischen WLAN und LAN Unterscheiden.
Ein Vorschlag wäre:
  • VLAN 1: guest mit DHCP
  • VLAN 2: intern mit DHCP
  • VLAN 5: Management
  • VLAN 10: Kameras

VLAN 1 und 2 können vom Router aus angesprochen werden und sind über dynamisches VLAN belegt, VLAN 5 und 10 sind statische VLANs, die den/die Switche, den NVR und die Kameras enthalten. Der Datenpfad der Kameras am besten im VLAN 10 Kapseln.
Der NVR, wenn ich raten darf ein NAS, sollte VLANs und einen Reverse Proxy unterstützen und damit sind auch die Freigabe von Management Ports in ein bestimmtes VLAN kein Problem. Für das Management der Accesspoints und das weitergeben der VLans an die Clients muss geprüft werden, was unterstützt wird. Bei Accesspoints kann es sein, dass keine Mac Authentifizierung für ein Netzwerk gültig ist, sondern nur die Netzwerk Authentifizierung.

Eine leicht Gruppierungen der VLans:
  • Router: 1,2 für DHCP
  • Nas: 2,5,10
  • Accesspoints: 1,2,5 wenn ein Management über VLan möglich ist, ansonsten 1,2
  • Kameras: 10,5 bei einem VLAN Tunnel oder einem zweiten Netzwerkports, ansonsten nur 10 und über Reverse Proxy an das VLAN 5 Durchreichen
  • Bekannte Clients: 2 mit optionalen VLAN 5/10
  • Rest: 1

Dieses ist nur ein Vorschlag, anderes konfigurieren sind immer möglich 😁
 
eehm schrieb:
Bei einem MAC Filter müsste der Angreifer doch entweder die entsprechende MAC-Adresse kennen oder diese noch von der Kamera auslesen und dann emulieren?
Ist das nicht fast unmöglich im Außenbereich eines Hauses?
Zum Vergrößern anklicken....
Genau das muesste er tun.

Und man kann soweit ich weiß den Switchport so konfigurieren, dass dieser offline genommen wird sobald man eine andere MAC Adresse an den Port haengt.
Der Angreifer muss also im Vorfeld wissen dass er nur mit der gespooften MAC an diesen Port ran darf. Sonst ist die Leitung tot.

Wer soviel Kriminelle Energie aufbringt, der wirft einfach ein Fenster ein und latscht in deine Bude. Just my 2 cents.
 
p4n0 schrieb:
Wer soviel Kriminelle Energie aufbringt, der wirft einfach ein Fenster ein und latscht in deine Bude. Just my 2 cents.
Zum Vergrößern anklicken....
Die AXIS Kameras können neben PoE auch mit DC betrieben werden, was ein auslesen der Mac sehr einfach macht. Notwendig dafür ist ein 5,5 auf 2,1mm DC Stecker mit 12v, wenn diese nicht sogar auf dem Etikett steht.
 
Ich will hier nur einen etwas realistischen Blick auf das Thema werfen, bevor es unnoetigerweise komplett overengineered wird.

Wenn man sich beruflich damit beschaeftigt, kann man gerne ne PKI Infrastruktur fuer 802.1x etc.. aufbauen und das 'richtig' machen.
Dafuer stellt der TE jedoch die falschen Fragen. (No offense @TE!)
Und dann artet das fuer einen Fachfremden relativ schnell aus. Er kann das alleine nicht sinnvoll aufbauen / betreiben / debuggen.

Idr kommt kein IT'ler wegen nem Einbruch an die Bude, der Lust hat erstmal die Cams zu ueberlisten.
 
p4n0 schrieb:
Dafuer stellt der TE jedoch die falschen Fragen. (No offense @TE!)
Zum Vergrößern anklicken....
Nein ich bin dankbar für eine leicht andere Betrachtungsweise.
Ich muss da glaube ich auch nochmals nachdenken, was am Ende am wichtigsten ist.
Ich halte es nicht für unmöglich, dass ich es auch mit 802.1x usw. hinbekomme, aber das würde mir sicher ein dutzend Wochenenden kosten.
Die Frage ist hat, ob der MAC-Filter etc. nicht auch ausreicht.
Gibt es ggf. die Möglichkeit den Port zu deaktivieren sobald das Netzwerkkabel nur abgesteckt wird? - Also nicht nur dann deaktivieren, wenn eine andere MAC Adresse angeschossen wird.
 
Die Cam wird doch normalerweise dort Platziert, wo man schlecht rankommt.
Wenn man nun einen RJ45 Stecker aufs Verlegekabel packt und damit in die Cam faehrt ist Ende im Gelände.

Port deaktivieren bei 'offline' wuerde ich nicht tun.
Wenn mal nen FW Update die CAM restartet darfst du wieder am Switch rumfummeln, sofern es diese Funktion ueberhaupt gibt.
Habe bisher noch nie davon gehoert.
 
p4n0 schrieb:
Die Cam wird doch normalerweise dort Platziert, wo man schlecht rankommt.
Zum Vergrößern anklicken....
Ist leider ein Bungalow. Also Kameras sind maximal auf so 2,2 m ... also nicht besonders hoch! :(

p4n0 schrieb:
Wenn mal nen FW Update die CAM restartet darfst du wieder am Switch rumfummeln, sofern es diese Funktion ueberhaupt gibt.
Zum Vergrößern anklicken....
Die Mühe würde ich mir sogar gerne machen. Leider habe ich die Funktion auch noch nicht direkt so gefunden ... auch wenn es mich ein wenig wundert, dass es das nicht gibt! ;)
 
community.cisco.com

Switch - Force port to shutdown after interface status down

Hi, Is there a way to force a switch interface to be administratively down (shutdown) if it becomes physically down? (for example to prevent the network cable to be disconnected and reconnected). i.e. a mix between port security and link state tracking Thanks!
community.cisco.com community.cisco.com
Die Lösung müsste jeweils für den Switch angepasst werden. Dazu muss der Switch zumindest ein CLI-Terminal haben und für den jeweiligen Hersteller herausfinden, was gemacht werden muss.
 
Beinfreiheit schrieb:
community.cisco.com

Switch - Force port to shutdown after interface status down

Hi, Is there a way to force a switch interface to be administratively down (shutdown) if it becomes physically down? (for example to prevent the network cable to be disconnected and reconnected). i.e. a mix between port security and link state tracking Thanks!
community.cisco.com community.cisco.com
Die Lösung müsste jeweils für den Switch angepasst werden. Dazu muss der Switch zumindest ein CLI-Terminal haben und für den jeweiligen Hersteller herausfinden, was gemacht werden muss.
Zum Vergrößern anklicken....
Mit ekelhaftem Handstand über SNMP, das hab ich mir schon gedacht.

@TE: entweder du schiebst weiter full-panic oder du konfigurierst einfach mit einer Whiteliste und, wie im Cisco Thread beschrieben, Max-Allowed Learned MACs auf 1. Das sollte reichen.
Ansonsten gibts nichts Sichereres als 802.1X (ivm anderen Security Features wie DHCP-Snooping, IP Source Guard, etc.) mit EAP-TLS und Zertifikaten.
 
sch4kal schrieb:
entweder du schiebst weiter full-panic oder du konfigurierst einfach mit einer Whiteliste und, wie im Cisco Thread beschrieben, Max-Allowed Learned MACs auf 1. Das sollte reichen.
Zum Vergrößern anklicken....
Ja ich kenne mich leider langsam gar nicht mehr aus! :(
Einer sagt die Lösung reicht aus und auf der anderen Seite wird gesagt, dass damit Tür und Tor offen ist! :(
Ich glaube die Wahrheit liegt dazwischen, aber was mach ich nun damit! :(
 
Die Antwort darauf lautet wie so oft:
Es kommt drauf an!
Was willst du mit der/den Cams genau erreichen?
Fort Knox sichern?
Dann sprechen wir von hoeheren Anfoderungen.

Willst du einfach nur n bisschen dein Grundstueck ueberwachen? Dann reicht auch ne 08/15 Loesung.
Wenn jemand in deine Bude eindringt traegt er vllt ne Sturmhaube/Muetze etc.. dann bringt dir dir Cam zur Aufklaerung sowieso kaum etwas.
Zur Praevention schon gar nicht.
 
p4n0 schrieb:
Was willst du mit der/den Cams genau erreichen?
Zum Vergrößern anklicken....
Eigentlich nur das Grundstück überwachen und sehen wer an der Tür ist bevor man öffnet.
p4n0 schrieb:
Fort Knox sichern?
Zum Vergrößern anklicken....
Gewiss nicht.
Wichtig wäre mir halt nur, das keiner in mein Netzwerk kommt.
Aber ich gebe euch recht .... wer will da erst mal rein und was gibt es da zu holen .... Das Potential solle also eher gering sein, dass sich da jemand die Mühe macht.
Trotzdem wäre natürlich so sicher wie für mich machbar gut! :d
 
Anmelden, um zu antworten.

Ähnliche Themen

T!tr0
Heimnetzwerkplanung EFH Neubau
Antworten
7
Aufrufe
754
Proph
Proph
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh