Rund 18 Millionen Adressen in unter eine Minute in einem 100 MBit-LAN-Port scannen? Okay, keine Ahnung, wie Du das machst, aber: Respekt.
Dahua VTO2000A und Türöffner
- Ersteller tlpb3
- Erstellt am
riogrande75
Aktives Mitglied
- Mitglied seit
- 30 Okt 2017
- Beiträge
- 1,396
- Punkte für Reaktionen
- 275
- Punkte
- 83
Auch wenn wir hier nun schon etwas vom Thema abdriften:
Wenn eine statische IP eingetragen wurde: Notebook mit Wireshark an die VTO stöpseln, Strom dran. Voilà, schon hab ich die IP vom ersten Request (Gratious ARP,...).
Bei (fixer) DHCP Zuweisung: Hub dazwischen und mit Wireshark mitschauen, welche IP die VTO zugewiesen bekommt. Die MAC-Adresse (Port-Security!!) hab ich in beidem Fällen auch gleich damit.
Mehr Sicherheit bietet hier nur 802.1x - was die VTO angeblich unterstützen soll (siehe Bild), ich aber auch in den Settings der allerletzen Firmware Version (2020/03/13) nicht gefunden habe.
Aber man muss auch auf dem Boden bleiben: Wer wohnt schon im Serverraum einer Bank, dass er 802.1x daheim "braucht"?
Viel einfacher und sicherer ist es, das Gerät mit ordentlicher Port-Security und Asterisk zu betreiben. Wenn der Sabotage Kontakt anschlägt wird die "Centre Call No." angerufen und man kann da einen Alarm auslösen. Damit kommt der Einbrecher gar nicht mehr dazu, sich mit dem Netzwerk zu spielen.
Wenn eine statische IP eingetragen wurde: Notebook mit Wireshark an die VTO stöpseln, Strom dran. Voilà, schon hab ich die IP vom ersten Request (Gratious ARP,...).
Bei (fixer) DHCP Zuweisung: Hub dazwischen und mit Wireshark mitschauen, welche IP die VTO zugewiesen bekommt. Die MAC-Adresse (Port-Security!!) hab ich in beidem Fällen auch gleich damit.
Mehr Sicherheit bietet hier nur 802.1x - was die VTO angeblich unterstützen soll (siehe Bild), ich aber auch in den Settings der allerletzen Firmware Version (2020/03/13) nicht gefunden habe.
Aber man muss auch auf dem Boden bleiben: Wer wohnt schon im Serverraum einer Bank, dass er 802.1x daheim "braucht"?
Viel einfacher und sicherer ist es, das Gerät mit ordentlicher Port-Security und Asterisk zu betreiben. Wenn der Sabotage Kontakt anschlägt wird die "Centre Call No." angerufen und man kann da einen Alarm auslösen. Damit kommt der Einbrecher gar nicht mehr dazu, sich mit dem Netzwerk zu spielen.
Zuletzt bearbeitet:
Vergiss es Alter, ich bin wohl durch den ganzen Ärger mit dem VDP total im Arsch und kann nicht mehr denken. Du hast natürlich vollkommen recht, ich soll Dich auch ganz lieb vom OSI Schichtenmodell grüßen. Das kommt davon, wenn man die eigene Ausbildung vergisst, weil man seit 15 Jahren nicht mehr als ITler unterwegs ist. Unauffälliger, kleiner, geiler und einfacher – aber natürlich massiv teurer – als ein Notebook ist da natürlich ein schönes Fluke. Irgendwie blende ich aus, dass wir auch vor der Tür vollen Hardwarezugriff auf das LAN bieten und nicht nur über das Internet. Bin verstrahlt, sorry.
Mein Vertrauen in Switche habe ich etwas verloren, nachdem ich einmal (immerhin nur einmal) den Fall hatte, dass ein Switch einfach die VLAN-Konfig verlor und alle Devices plötzlich mit dem Modem im LAN hingen. Sowas bleibt im Gedächtnis und hinterlässt ein ganz mieses Gefühl.
Wie Du auch schon angedeutet hast, ist das alles für einen Privathaushalt voller Overkill, weil irgendwelche durch die Lande ziehenden Banden vielleicht mal ne Sidle kurzschließen, aber sonst eher auf Brecheisen und Lockpicker setzen. Zugriff auf das LAN bedeutet ja noch lange nicht, dass man die Smarthomezentrale dazu überreden kann, den Schlossantrieb zu öffnen. Das dauert alles länger als zwei Minuten, die die wohl maximal einplanen, um in ein Haus einzudringen.
Wer in sicherheitssensiblen Bereichen als Geheimnisträger arbeitet, Bürgerrechtler oder Politiker ist, für den mag aber ein MAC-Adressenfilter durchaus sinnvoll sein. Dann sollte er aber auch die passive Sicherheit auf einen deutlich höheren Level setzen und sich seine(n) Türzylinder nicht gerade im Internet oder vor Ort bestellen.
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,702
- Punkte für Reaktionen
- 2,298
- Punkte
- 113
Es gäbe auch noch eine verbesserte "Port-Security", die über einen MAC-Filter hinausgeht (denn einen MAC-Filter muss einen ja nicht unbedingt hindern, siehe oben):
https://www.baudisch.com/kaufen/shop/zubehoer/lan-secureswitch/
Bzw. für nur einen Port:
https://www.baudisch.com/kaufen/shop/zubehoer/lan-secure-adapter/
Und damit die Frage, kennt jemand vergleichbare Geräte (für vielleicht etwas geringere Preise)? Von (proprietären) 2-Draht Schnittstellen mal abgesehen.
https://www.baudisch.com/kaufen/shop/zubehoer/lan-secureswitch/
Bzw. für nur einen Port:
https://www.baudisch.com/kaufen/shop/zubehoer/lan-secure-adapter/
Und damit die Frage, kennt jemand vergleichbare Geräte (für vielleicht etwas geringere Preise)? Von (proprietären) 2-Draht Schnittstellen mal abgesehen.
riogrande75
Aktives Mitglied
- Mitglied seit
- 30 Okt 2017
- Beiträge
- 1,396
- Punkte für Reaktionen
- 275
- Punkte
- 83
Was wird der Switch alles können...? Wohl auch nicht mehr, als ein handeslüblicher (semiprof.) Switch mit Port Security. Nur dass er einige unnütze Funktionen hat und nur 5 Ports.
Für 470€ ist das m.M.n. Bauernfängerei!
Ich hab erst kürzlich einen gebr. 24 Port D-Link Gigabit-Switch in Top Zustand mit tollen Sicherheitsfunktionen für 30€ erworben.
Da werden nicht nur falsche MAC's blockiert (ist ja praktisch keine Hürde, da man die ganz einfach spoofen kann), sondern auch einTrap an meine SNMP Server geschickt, sobald der Port down geht (z.b. wenn der böse Einbrecher die VTO runterschraubt und seine eigene ansteckt). Sobald er mal down ist, bleibt er down, weil mein Management per SNMP den Port down setzt (einfaches Script).
Erst wenn ich den administrativ wieder auf UP setze, funktioniert die VTO wieder.
Für 470€ ist das m.M.n. Bauernfängerei!
Ich hab erst kürzlich einen gebr. 24 Port D-Link Gigabit-Switch in Top Zustand mit tollen Sicherheitsfunktionen für 30€ erworben.
Da werden nicht nur falsche MAC's blockiert (ist ja praktisch keine Hürde, da man die ganz einfach spoofen kann), sondern auch einTrap an meine SNMP Server geschickt, sobald der Port down geht (z.b. wenn der böse Einbrecher die VTO runterschraubt und seine eigene ansteckt). Sobald er mal down ist, bleibt er down, weil mein Management per SNMP den Port down setzt (einfaches Script).
Erst wenn ich den administrativ wieder auf UP setze, funktioniert die VTO wieder.
Zuletzt bearbeitet:
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,702
- Punkte für Reaktionen
- 2,298
- Punkte
- 113
Etwas mehr schon, er schaltet den entsprechenden Port ab und ggf. die separate Spannungsversorgung (ein handelsüblicher Switch mit Port-Security bietet das nicht). Also beinahe das was du deiner Beschreibung nach umgesetzt hast aber eben ohne zusätzliches "Management". Und genau so was suche ich (etwas günstiger versteht sich), aber bitte ohne ein zusätzlich notwendiges "Management".
Zuletzt bearbeitet:
Neueste Beiträge
-
[Frage] uuuralte "Multibox 7270 NGN" als Router im Heimnetz?- Letzte: NDiIPP
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024- Letzte: Grisu_
-
[Sammlung] Fritz!Box 5690Pro, Inhaus/Labor 7.90, Pfad 'Smart24P1FCS'
- Letzte: mastercb
-
FRITZ!Box 4060 - Labor 7.90 - Sammelthema- Letzte: Kasifix
-
[Frage] Eigener VDSL2 Master / DSLAM ?
- Letzte: gamerpaddy2
-
[Sammlung] FRITZ!Box 4050, 5690 Pro, 6860 5G und 7690
- Letzte: darki2017
-
Schnurlostelefone im größeren Gebäude mit zwei Arbeitsplätzen - Mögliche Lösungen
- Letzte: DeTeWe-Chris