31
German - Deutsch / Re: Absicherungsidee IP-Türklingel
« on: January 17, 2022, 08:04:07 am »was für ne Hütte hast Du, dass Du nicht mitbekommen würdest, dass da einer die Klingel raus reißt? Wenn Du im Urlaub bist vielleicht oder sowas, ok...Durch die sinkenden Besucherzahlen war Schloss Schwanstein recht günstig abzugeben...
Da versucht dann aber glaub kaum jemand Deine Tür zu "hacken", sondern dringt wahrscheinlich anders ein. Ok egal, wollte jetzt nicht klug daher reden, Sinn macht eine Absicherung allemal.Das habe ich mir auch schon überlegt, ob ich es ggf. übertreibe. Die Tür wird nicht das Haupteinfallstor sein, das ist mir klar. Meist reissen sie die Klingel raus, um ggf. die Drähte vom Summer kurzzuschliessen, wenn der schlecht angebunden ist (so wie bei unserer alten Tiefgarage mit dem Schlüsselschloss damals). Aber man schläft halt doch besser...
Würde das definitiv in ein separates VLAN packen ("IoT" oder "SmartHome", o.ä.). Erlaubte Zieladressen im Inet dann auf die vom Hersteller der Klingel empfohlenen Seiten beschränkt.Ich habe bereits solch ein VLAN für Heizung, Smarthome-Server etc. Entweder packe ich es da dazu oder eben noch mal separat. Entweder baue ich entsprechende Regeln um Klingel und Steuergerät zu trennen oder ein komplett eigenes VLAN. Was findest du sinnvoller?
Von den zwei Clients wirst Du auch was freigeben müssen, wobei wohl eher vom neuen VLAN (Klingel) zu den Clients in den anderen VLANs, damit der Videocall funktioniert (SIP?). Auch hier nur mit Quelle und Ziel + Port.Das kann ich noch nicht genau sagen, aber ich denke auch, dass eher von den Clients zur Klingel/Steuergerät was nötig wird, zwischen Klingel und Steuergerät, sowie Klingel und Internet (Push-Benachrichtigung). Aber das wird auf jeden Fall auf Portscan und Trafficmonitoring hinaus laufen, um das sauber einzugrenzen.
Die Regel kann man dann vielleicht auch noch zeitgesteuert deaktivieren in der Nacht? Fällt mir gerade mal so ein...
Weitere Ideen:
- simples Monitoring per ping: falls die Klingel länger als 30 Sekunden offline ist (wie lange dauert ein Neustart nach Update?), gibt es eine SMS, bei weiteren 30 Sekunden wird per SNMP der entsprechende Port auf dem Switch deaktiviert oder isoliert.
- MAC-Adressenfilterung ist klar
- Erschütterungssensor oder Reedkontakt in der Klingel, was allerdings für mich eher aufwändig ist
- Sicherheitsschrauben, die man aufbohren muss.
Danke für deinen Input!