Dahua VTO2000A und Türöffner

Das stimmt nicht.
Ich traue mir zu, die IP deiner VTO in <1 Min. rauszufinden, wenn ich sie rausgeschraubt und gebootet hab (mit ext. Netzteil).
Für meine VTO habe ich am Switch die s.g. "Port-Security" aktiviert - da hat der "Einbrecher" doch einige weitere Hürden mehr und ohne Spezialequipment keine Chance mehr.
Rund 18 Millionen Adressen in unter eine Minute in einem 100 MBit-LAN-Port scannen? Okay, keine Ahnung, wie Du das machst, aber: Respekt.
 
Auch wenn wir hier nun schon etwas vom Thema abdriften:
Wenn eine statische IP eingetragen wurde: Notebook mit Wireshark an die VTO stöpseln, Strom dran. Voilà, schon hab ich die IP vom ersten Request (Gratious ARP,...).

Bei (fixer) DHCP Zuweisung: Hub dazwischen und mit Wireshark mitschauen, welche IP die VTO zugewiesen bekommt. Die MAC-Adresse (Port-Security!!) hab ich in beidem Fällen auch gleich damit.

Mehr Sicherheit bietet hier nur 802.1x - was die VTO angeblich unterstützen soll (siehe Bild), ich aber auch in den Settings der allerletzen Firmware Version (2020/03/13) nicht gefunden habe.
1616483286948.png

Aber man muss auch auf dem Boden bleiben: Wer wohnt schon im Serverraum einer Bank, dass er 802.1x daheim "braucht"?

Viel einfacher und sicherer ist es, das Gerät mit ordentlicher Port-Security und Asterisk zu betreiben. Wenn der Sabotage Kontakt anschlägt wird die "Centre Call No." angerufen und man kann da einen Alarm auslösen. Damit kommt der Einbrecher gar nicht mehr dazu, sich mit dem Netzwerk zu spielen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Mierscheid
Auch wenn wir hier nun schon etwas vom Thema abdriften:
Wenn eine statische IP eingetragen wurde: Notebook mit Wireshark an die VTO stöpseln, Strom dran. Voilà, schon hab ich die IP vom ersten Request (Gratious ARP,...).
Vergiss es Alter, ich bin wohl durch den ganzen Ärger mit dem VDP total im Arsch und kann nicht mehr denken. Du hast natürlich vollkommen recht, ich soll Dich auch ganz lieb vom OSI Schichtenmodell grüßen. Das kommt davon, wenn man die eigene Ausbildung vergisst, weil man seit 15 Jahren nicht mehr als ITler unterwegs ist. Unauffälliger, kleiner, geiler und einfacher – aber natürlich massiv teurer – als ein Notebook ist da natürlich ein schönes Fluke. Irgendwie blende ich aus, dass wir auch vor der Tür vollen Hardwarezugriff auf das LAN bieten und nicht nur über das Internet. Bin verstrahlt, sorry.

Mein Vertrauen in Switche habe ich etwas verloren, nachdem ich einmal (immerhin nur einmal) den Fall hatte, dass ein Switch einfach die VLAN-Konfig verlor und alle Devices plötzlich mit dem Modem im LAN hingen. Sowas bleibt im Gedächtnis und hinterlässt ein ganz mieses Gefühl.

Wie Du auch schon angedeutet hast, ist das alles für einen Privathaushalt voller Overkill, weil irgendwelche durch die Lande ziehenden Banden vielleicht mal ne Sidle kurzschließen, aber sonst eher auf Brecheisen und Lockpicker setzen. Zugriff auf das LAN bedeutet ja noch lange nicht, dass man die Smarthomezentrale dazu überreden kann, den Schlossantrieb zu öffnen. Das dauert alles länger als zwei Minuten, die die wohl maximal einplanen, um in ein Haus einzudringen.

Wer in sicherheitssensiblen Bereichen als Geheimnisträger arbeitet, Bürgerrechtler oder Politiker ist, für den mag aber ein MAC-Adressenfilter durchaus sinnvoll sein. Dann sollte er aber auch die passive Sicherheit auf einen deutlich höheren Level setzen und sich seine(n) Türzylinder nicht gerade im Internet oder vor Ort bestellen. :D
 
  • Like
Reaktionen: riogrande75
Was wird der Switch alles können...? Wohl auch nicht mehr, als ein handeslüblicher (semiprof.) Switch mit Port Security. Nur dass er einige unnütze Funktionen hat und nur 5 Ports.
Für 470€ ist das m.M.n. Bauernfängerei!

Ich hab erst kürzlich einen gebr. 24 Port D-Link Gigabit-Switch in Top Zustand mit tollen Sicherheitsfunktionen für 30€ erworben.
Da werden nicht nur falsche MAC's blockiert (ist ja praktisch keine Hürde, da man die ganz einfach spoofen kann), sondern auch einTrap an meine SNMP Server geschickt, sobald der Port down geht (z.b. wenn der böse Einbrecher die VTO runterschraubt und seine eigene ansteckt). Sobald er mal down ist, bleibt er down, weil mein Management per SNMP den Port down setzt (einfaches Script).
Erst wenn ich den administrativ wieder auf UP setze, funktioniert die VTO wieder.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: fanavity
Was wird der Switch alles können...? Wohl auch nicht mehr, als ein handeslüblicher (semiprof.) Switch mit Port Security.

Etwas mehr schon, er schaltet den entsprechenden Port ab und ggf. die separate Spannungsversorgung (ein handelsüblicher Switch mit Port-Security bietet das nicht). Also beinahe das was du deiner Beschreibung nach umgesetzt hast aber eben ohne zusätzliches "Management". Und genau so was suche ich (etwas günstiger versteht sich), aber bitte ohne ein zusätzlich notwendiges "Management".
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.