LAN-Leitung "blockieren"

D

dirk11

Enthusiast
Thread Starter
Mitglied seit
07.07.2007
Beiträge
2.773
Hi Leute,

ich will mal zu Experimenten ("Jugend forscht" ;)) etwas in einem Bereich ausprobieren, der nicht mehr meiner alleinigen Kontrolle untersteht. Anders gesagt: dazu muss ein LAN-Kabel meine Wohnung verlassen (in's Gartenhaus). An das Kabel soll ein Endgerät angeschlossen werden.
Nun bestünde theoretisch (und auch praktisch) die Möglichkeit, daß jemand sieht "oh geil, ein LAN-Kabel, na da testen wir doch mal" und bekommt auf diese Weise Zugriff auf mein Intranet und auf das WAN.

Frage: kann ich das verhindern? Ich stelle mir das so vor, daß ich von intern zwar das Endgerät, was dort angeschlossen wird, erreichen kann, daß dieses Endgerät aber nichts in meine Richtung kann, außer es antwortet auf meine Anfragen. Unter Linux könnte man das sicherlich mit z.B. einem zwischengeschalteten RasPi und iptables-Regeln realisieren, aber sowas geht doch sicherlich auch anders!?

Geht sowas? Wenn ja, was für Hardware benötige ich dafür?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Meinem Verständnis nach müsste da ne klassiche Firewall zwischen, heißt mit dem Pi und iptables ließe sich sowas schon umsetzen.
Soll es ein bisschen mehr sein könnte man auch auf eine Art Authentifizierung setzen (RADIUS), bei dem der Nutzer sich erst authentifizieren muss bevor der Port freigeschaltet wird - dann könnte nur das Gerät welches dafür vorgesehen ist sich über dieses Kabel Zugang zu deinem Netz verschaffen. (IEEE 802.1X)
 
Einen managed Switch einsetzen und Port Security aktivieren.
 
Jo. Dazu mindestens an dem Port nur die gewünschten Mac's zulassen, und diese möglichst geheim halten.

Sind die Clients denn immer im Gartenhäuschen? Weil wenn jemand diese Mac Adresse herausfindet, kann er sie natürlich klonen/fälschen.
 
Ja, der Client wäre natürlich immer greifbar, auch für Dritte. Das ist ja der Anwendungsfall: Leitung aussen, Gerät aussen, also beide immer und unbeobachtbar durch Dritte angreifbar. Ich hatte da auch schon an einen managed-switch gedacht, aber wenn das damit nicht geht, ist die Anschaffung nutzlos. So was wie einen RasPi möchte ich eigentlich nicht dazwischensetzen müssen, das ist mir zu viel Aufwand.
 
dirk11 schrieb:
Ja, der Client wäre natürlich immer greifbar, auch für Dritte. Das ist ja der Anwendungsfall: Leitung aussen, Gerät aussen, also beide immer und unbeobachtbar durch Dritte angreifbar. Ich hatte da auch schon an einen managed-switch gedacht, aber wenn das damit nicht geht, ist die Anschaffung nutzlos. So was wie einen RasPi möchte ich eigentlich nicht dazwischensetzen müssen, das ist mir zu viel Aufwand.
Zum Vergrößern anklicken....

das klappt mit einem maneged Switch problemlos! Port deaktivieren und dann kann niemand Zugriff auf LAN/WAN sich an dem LAN Kabel verschaffen
 
Ihm gehts aber darum, dass er ja das Gerät draußen schon noch anfragen kann - bei deaktiviertem Port geht das nicht ohne weiteres bzw. müsste er manuell dann immer den Port aktiv schalten.
 
Einfach einen Layer3-Switch verwenden und dort die Ports entsprechend konfigurieren.
 
Wie soll das mit einem L3 Switch gehen?
Wenn der Client immer greifbar ist, wüsste ich spontan nicht wie man das ohne Authentifizierungen oder anderweitige Dinge (Zertifikate...) regeln könnte...
 
Zuletzt bearbeitet:
An dem Punkt ACL tät es aber auch nen kleiner Linux-Rechner der einfach dazwischen als Firewall arbeitet. Da könnte er dann Regeln erstellen, die dafür sorgen das von ihm zum Gerät jeder Traffic durchgeht und vom Gerät zu ihm alles blockiert wird.
Je nach benötigter Bandbreite täte es da ein Raspberry Pi oder dergleichen.
 
Den er ja leider nicht einsetzen will. Ich wäre auch den Weg über iptables gegangen.

Ich wäre beim Endgerät hier von einer Kamera ausgegangen. Dafür sollte es der Pi im Traffic dicke tun, bei moderatem Verbrauch und Anschaffung.
 
...blöde Frage, aber kann man das nicht einfacher machen und das Gerät an den "Gastzugang auf LANx" legen?
Dann kommt das Gerät nicht ins Heimnetz, kommt aber ins I-Net.
Frage wäre, was man verbiegen muss, damit man vom Heimnetz aufs Gastnetz kann

...im Zweifel eine einfache iptables Rule?
...oder immer via VPN-Zugang, quasi von aussen?
In einer Fritte sollte das sogar recht einfach möglich sein, da dort Heim- und Gastnetz eigene, getrennte IP-Netze haben.
 
hominidae schrieb:
...blöde Frage, aber kann man das nicht einfacher machen und das Gerät an den "Gastzugang auf LANx" legen?
Zum Vergrößern anklicken....

In die Richtung (Gastzugang/ Gäste-Wlan) hätte ich auch "geforscht", gehe davon aus, dass Bandbreite nicht das Thema ist, unterstelle niedrige Energiekosten und geringstes Investment (außer Zeit).

Anbieten würde sich ein vorhandener Router mit 3rd Party Firmware (Client Mode) der in der Lage ist als WISP Client zu agieren oder einfache Router die das out of the box können (12-20€/1.5W/Std. BR-6228Ns v1/6428Ns v1). Das Szenario gestaltet sich ähnlich einer Routerkaskade (Lan in WAN) bei der man jedoch in diesem Fall vom Client im Gartenhaus Zugriff auf das Intranet hätte (denn die Clients wissen was vor der Firewall des Routers passiert).

Der WISP Client loggt sich ins Gäste-Wlan oder Routerkaskade über Gastzugang/Wan eines vorhandenen Wlan-Routers ein, die empfangene IP ist seine WAN IP, damit die Firewall und QoS komplett konfigurierbar sind.

Halbwegs aktuelle Router trennen das Gäste-Wlan vom Rest des LAN/Wlan.
So entsteht bspw. aus einem 0815 Router mit 192.168.2.1-254 default ein Gäste-Wlan mit bspw. 192.168.252.1 bis 254 (Gateway/DNS 192.168.252.1) ohne Zugriff auf das gesamte "Heimnetzwerk" (weder Lan noch Wlan Clients).

Dieser WISP Client steht im Haus und dort mündet das Kabel vom Gartenhaus. Zugriff auf das Endgerät hätte man via Wlan (der WISP Client baut bei Bedarf sein eigenes Wlan auf) oder via Lan vom Haus aus.

Für das Wlan (muss man ja nicht nutzen) gibt es einen MAC Filter ebenso wie für den integrierten Lan Switch, beide MAC Filter sind getrennt konfigurierbar, so kann man zwei Geräte MACs setzen (Endgerät im Gartenhaus und Client für Konfiguration). Über QoS kann man up/-download bis runter auf ein leidiges Minimum von einem kbit/s reduzieren und ggfs. zusätzliche URL Filter verwenden, was weiß ich............ ;)

Keine Ahnung was @dirk11s "Jugend forscht" Projekt an Risikomanagement erforderlich macht :cool:
 
Zuletzt bearbeitet:
Cool, hatte ich gar nicht bedacht. DD-WRT macht es möglich. Gute Idee.
 
Hi!

Sassicaia schrieb:
gehe davon aus, dass Bandbreite nicht das Thema ist, unterstelle niedrige Energiekosten und geringstes Investment (außer Zeit).
Zum Vergrößern anklicken....
Richtig. Es geht um folgendes: es geht tatsächlich um eine Kamera, und da, wo die hängen soll, reicht mein WLAN einfach nicht hin (und wird es niemals, 50cm Betondecke). Also bleibt ja nur ein Kabel. Und da gehe ich jetzt mal von folgender Voraussetzung aus:
mein LAN ist vom Grundprinzip her erstmal "sicher", denn das einzige Einfallstor wäre über (a) den Router (aus dem WAN) oder (b) via WLAN. (c) "Mechanisch" geht da gar nix, denn dafür müßte jemand in die Wohnung einbrechen.
Wenn ich momentan prinzipiell annehme/definiere, daß (a) und (b) "sicher" sind, dann will ich mir einfach kein neues Einfallstor (c) öffnen, in dem ich einfach ein Kabel quasi "der Welt" zur Verfügung stelle, ungesichert, ungeschützt.

Und meine Hoffnung war jetzt, daß ich "einfach" einen switch nehme, dem ich sagen kann "auf Port 07 wird nur ausgehender Traffic und Antworten darauf (das nennt sich wohl stateful) zugelassen." Eingehender sonstiger Traffic jeglicher Couleur wird geblockt. MAC-Filter wäre mir zu unsicher.

Keine Ahnung was @dirk11s "Jugend forscht" Projekt an Risikomanagement erforderlich macht :cool:
Zum Vergrößern anklicken....
Na, siehe oben. Ich will mir halt einfach kein Einfallstor schaffen, welches ich nicht mehr unter Kontrolle habe. Aus demselben Grund würde ich übrigens auch keine Kamera im quasi öffentlich zugänglichen Bereich via WLAN anbinden wollen - die preiswerten Chinakracher speichern ein WLAN-Passwort angeblich sogar im Klartext. Muss man also nur unbeobachtet Zugriff erlangen, auslesen, und schwupps hat man Zugriff auf das WLAN und es muss als kompromittiert gelten.

Mir fällt dabei gerade etwas wichtiges ein, vielleicht hast Du, Sassiceia (natürlich ist auch jeder andere gefragt ;) ), ja eine Idee: mein Netz hier besteht aus einem "Haupt"-Router mit WLAN (Buffalo AirStation mit openWRT BarrierBreaker rc3) (und zwei Switches). Daran angeschlossen sind aber auch noch zwei D-Link DIR-825 (ebenso openWRT BB rc3). Die beiden DIR825 sind auch nur inhäusig (also keine Zugriffsmöglichkeit für Dritte) und dienen der Erweiterung des WLAN. An einen von denen käme vermutlich sowieso das LAN-Kabel nach unten in den "Betonbunker" dran! Kann man da nicht irgendwas "stricken", daß ein LAN-Port dieses AP genau das macht, was ich brauche? Der AP ist momentan so angeschlossen, daß er über einen der vier LAN-Ports mit meinem Netz verbunden ist, der WAN-Port liegt brach.
 
Zuletzt bearbeitet:
Wenn du da einen Router stehen hast, dann häng die Kamera einfach an den WAN-Port, anderes IP-Netz und auf deinem Rechner die entsprechende Route einrichten.
 
Interessant, wenn das gehen würde, wäre es ja die Lösung meiner Fragestellung! Muß ich nur noch herausfinden, wie genau das geht mit openWRT...
 
Das musst du eigentlich nicht viel einrichten, den WAN-Port auf "Static IP" setzen und eine IP vergeben, die selben Einstellungen an der Kamera durchführen und auf deinem Rechner die entsprechende Route einrichten.
 
Ok. D.h., WAN und Kamera bekommen eine IP aus einer anderen Range als mein "normales" Netz, also der WAN-Port bekommt beispielsweise 192.168.2.4, die Kamera 192.168.2.5 und dann muss ich meinem Desktop-Rechner nur noch eine Route dorthin und natürlich auch eine IP in dieser Range (z.B. eth0:1 192.168.2.2) vergeben. Habe ich das so richtig verstanden?
 
Dein Rechner braucht nur die Route dahin, den Rest macht der Router. ;)
 
Was meinst du damit? Das macht er nur, wenn der DHCP-Server eine Adresse in der Range vergibt, oder nicht? Oder meinst du damit, ich brauche grundsätzlich keine IP in dieser Range?
 
Du brauchst keine IP in der Range, mit DHCP hat das auch nichts zu tun.

Dein Rechner braucht nur eine Route zu dem Adressbereich, damit er weiß, an welches Gateway (in dem Fall der Router) er die Pakete schicken muss.
 
Was ist mit WLan? Da würde es doch mit der Kindersicherung der Fritzbox funktionieren.
 
WLAN geht nicht.
Wurde auch schon genannt.

Find die Idee mit einem zweiten Netz gut (Geht das nicht auch mit nem VLAN?) nur muss das Ganze nicht komplett geroutet werden weil die Kamera dauernd Zeugs dadurch schickt? Oder ruft man irgendwie ein Webinterface der Kamera so im Browser auf?


Oder kapier ich garnix?
 
Zuletzt bearbeitet:
Ist oftmals so, dass du auf die IP der Kamera aufrufst und dort den Stream hast.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh