Absicherungsidee IP-Türklingel

[Ben.]

Hallo,
Ich plane den Einsatz einer IP-Türklingel und denke gerade über die bestmögliche Absicherung nach.

Die Türklingel ist per Ethernet angebunden (PoE) und kommuniziert über einen Switch mit einem separaten Türsteuergerät, das am gleichen Switch hängt.

Die Klingel braucht Internetzugang und die Clients aus zwei verschiedenen VLANs brauchen Zugriff darauf (Gegensprechen mit Videobild).

Die Liste der Devices mit Zugriff wird per MAC-Adresse reguliert, was aber kein sehr hoher Schutz ist. Nun überlege ich, ob es Sinn macht die Klingel mit Steuergerät in ein separates VLAN zu legen. Ich denke aber, dass ich auch per einzelnen IP-Regeln eine ähnliche Absicherung hinbekommen sollte.

Habt ihr ähnliche Szenarien schon mal umgesetzt?

Mögliche Risiken (hauptsächlich):
1) Jemand reisst die Klingel raus und verbindet seinen Laptop. Dann darf er nur in einen kleinen Teil, eher unwichtigen Teil des Netzes gelangen. Allerdings bestünde natürlich auch Zugriff auf das Türsteuergerät. Im Idealfall kann ich den Port abschalten, sobald ich eine Manipulation erkenne.

2) Jemand dringt von aussen in mein LAN ein und kann darüber mein Haustürschloss ansteuern. Das könnte dann nach meiner geplanten Absicherung nur via 5-10 iOS-Devices passieren, die als Clients für die Gegensprechanlage dienen und Zugriff auf das Steuergerät hätten.

Habt ihr Ideen und Tipps für mich?

Alles hängt an einem Unifi L2/L3 Switch, könnte aber auch an einem managed Netgear betrieben werden (falls nötig).

PS: Anbindung per WiFi wäre auch möglich, aber ich denke nicht, dass das ein Sicherheitszugewinn ist, nur weil kein Kabel dran hängt.

[RicAtiC]

Hallo Ben.,

was für ne Hütte hast Du, dass Du nicht mitbekommen würdest, dass da einer die Klingel raus reißt? Wenn Du im Urlaub bist vielleicht oder sowas, ok...

Da versucht dann aber glaub kaum jemand Deine Tür zu "hacken", sondern dringt wahrscheinlich anders ein. Ok egal, wollte jetzt nicht klug daher reden, Sinn macht eine Absicherung allemal.

Würde das definitiv in ein separates VLAN packen ("IoT" oder "SmartHome", o.ä.). Erlaubte Zieladressen im Inet dann auf die vom Hersteller der Klingel empfohlenen Seiten beschränkt.

Von den zwei Clients wirst Du auch was freigeben müssen, wobei wohl eher vom neuen VLAN (Klingel) zu den Clients in den anderen VLANs, damit der Videocall funktioniert (SIP?). Auch hier nur mit Quelle und Ziel + Port.

Die Regel kann man dann vielleicht auch noch zeitgesteuert deaktivieren in der Nacht? Fällt mir gerade mal so ein...

HTH

Gruß J

Gesendet von meinem SM-G998B mit Tapatalk

[Ben.]

was für ne Hütte hast Du, dass Du nicht mitbekommen würdest, dass da einer die Klingel raus reißt? Wenn Du im Urlaub bist vielleicht oder sowas, ok...

Durch die sinkenden Besucherzahlen war Schloss Schwanstein recht günstig abzugeben...

Da versucht dann aber glaub kaum jemand Deine Tür zu "hacken", sondern dringt wahrscheinlich anders ein. Ok egal, wollte jetzt nicht klug daher reden, Sinn macht eine Absicherung allemal.

Das habe ich mir auch schon überlegt, ob ich es ggf. übertreibe. Die Tür wird nicht das Haupteinfallstor sein, das ist mir klar. Meist reissen sie die Klingel raus, um ggf. die Drähte vom Summer kurzzuschliessen, wenn der schlecht angebunden ist (so wie bei unserer alten Tiefgarage mit dem Schlüsselschloss damals). Aber man schläft halt doch besser...

Würde das definitiv in ein separates VLAN packen ("IoT" oder "SmartHome", o.ä.). Erlaubte Zieladressen im Inet dann auf die vom Hersteller der Klingel empfohlenen Seiten beschränkt.

Ich habe bereits solch ein VLAN für Heizung, Smarthome-Server etc. Entweder packe ich es da dazu oder eben noch mal separat. Entweder baue ich entsprechende Regeln um Klingel und Steuergerät zu trennen oder ein komplett eigenes VLAN. Was findest du sinnvoller?

Von den zwei Clients wirst Du auch was freigeben müssen, wobei wohl eher vom neuen VLAN (Klingel) zu den Clients in den anderen VLANs, damit der Videocall funktioniert (SIP?). Auch hier nur mit Quelle und Ziel + Port.

Die Regel kann man dann vielleicht auch noch zeitgesteuert deaktivieren in der Nacht? Fällt mir gerade mal so ein...

Das kann ich noch nicht genau sagen, aber ich denke auch, dass eher von den Clients zur Klingel/Steuergerät was nötig wird, zwischen Klingel und Steuergerät, sowie Klingel und Internet (Push-Benachrichtigung). Aber das wird auf jeden Fall auf Portscan und Trafficmonitoring hinaus laufen, um das sauber einzugrenzen.

Weitere Ideen:
- simples Monitoring per ping: falls die Klingel länger als 30 Sekunden offline ist (wie lange dauert ein Neustart nach Update?), gibt es eine SMS, bei weiteren 30 Sekunden wird per SNMP der entsprechende Port auf dem Switch deaktiviert oder isoliert.
- MAC-Adressenfilterung ist klar
- Erschütterungssensor oder Reedkontakt in der Klingel, was allerdings für mich eher aufwändig ist
- Sicherheitsschrauben, die man aufbohren muss.

Danke für deinen Input!

[Tuxtom007]

Hallo,

mir würde da auf die Schnelle folgendes einfallen, weil wir das bei einem Bekannten gemacht haben:

- VLAN für die Türklingel und das Steuergerät
- MAC-Filter
- Limitierung der Zugriffe aus diesem VLAN aus das absolut minimale begrenzen ( warum braucht die Türklingel Internetzugang - währe schon ein NoGo für den Kauf )
- Zugriff aus anderen Netzen / VLANs auch auf das absolut notwendige begrenzen.

[JeGr]

> Ich habe bereits solch ein VLAN für Heizung, Smarthome-Server etc. Entweder packe ich es da dazu oder eben noch mal separat. Entweder baue ich entsprechende Regeln um Klingel und Steuergerät zu trennen oder ein komplett eigenes VLAN.

Da wäre ich subjektiv am Änderung vorschlagen. VLAN für IoT - auf jeden Fall. Heizung, Türklingel etc. Aber: NUR die Clients also Geräte da rein. Den Smarthome Server würde ich da rausholen und extra wegpacken. Bei Heizung, Licht etc. ist das recht unwichtig, aber bei Türklingel oder Kamera außen, wo ggf. dann ein Kabel irgendwo hängt, könnte sich eben jemand anstöpseln und ein einziger kurzer fping/nmap durchs Netz sieht er die Geräte und den Server.

Das kommt aber dann natürlich wieder auf die Quali der Geräte an. Können die das ab, dass der Server nicht im gleichen Netz steht etc. etc. oder braucht das wieder irgendwelche Multicast Magic was sinnvoll nur im gleichen Subnetz geht.

Ansonsten geht noch MAC Filter, wenn man da aber schlau ist - und dankbarer weise ist ja inzwischen MAC o.ä. auf den Geräten aufgedruckt - geht das auch recht fix auszuhebeln. Muss man aber natürlich auch dran denken, dass kaum jemand die Zeit dafür hat, sich vor die Tür zu setzen, Kabel rausreißen, MAC Addy spoofen und dann in Ruhe das Netz zu scannen. Ist also schon eine Risiko-Abwägung.

Andernfalls eben in ein extra IoT Netz hängen, VLANs sind ja günstig Dass die Türklingel Internet braucht ist eben auch so ein Ding. Potentiell dann auch so ein Gerät wie kürzlich beim Kollegen beim AWS/Google Cloud Ausfall, dass dann keine Klingel, keine Cam, keine Alexa mit Licht mehr geht? Wenn ja (oder mehr wie Notification dran hängt) würde ich mir stark überlegen das Ding überhaupt zu nutzen.

Cheers

[Ben.]

( warum braucht die Türklingel Internetzugang - währe schon ein NoGo für den Kauf )

Wie integrierst du mobile Clients ohne Internetzugang? Push-Meldungen bspw.? Hast du da eine Idee?

Internet braucht die Klingel nur für Push-Notifications. Der Rest funktioniert im LAN. Einen Tot muss ich sterben.

Den Smarthome Server würde ich da rausholen und extra wegpacken.

Denke ich mal drüber nach, danke.

[Tuxtom007]

Wie integrierst du mobile Clients ohne Internetzugang? Push-Meldungen bspw.? Hast du da eine Idee?
Internet braucht die Klingel nur für Push-Notifications. Der Rest funktioniert im LAN. Einen Tot muss ich sterben.

Mein Bekannter nutzt VPN für die Clients ausserhalb des Hausnetzes.
Die Türklingel meldet sich nur an der Haustelefonanlage und die signalisiert dann erst die Smartphones, das es klingelt.
Das Smartphone geht dann per VPN ins Hausnetz aus das Videosystem und somit die Türkamera.

Das ist nicht einfach umzusetzen, weil die Systeme da mitspielen müssen.

[Ben.]

Ich bin mir nicht sicher, ob ich das jetzt verstanden habe.

Ein mobiler Client (iPhone) ist im WLAN zuhause. Die Türklingel ruft per SIP die Telefonanlage "von aussen" an, die den Anruf dann auf den Client signalisiert. Dann baut der Client eine Verbindung per VPN "von aussen" in das Türklingel-Netz auf?

Das klingt für mich erstmal etwas umständlich. Wie lange ist denn dann die Verzögerung zwischen Klingel drücken und Signalisation?

Mein Setup wäre so, dass die Klingel eine Pushmeldung via Apple-Server auf die Clients schickt. Einer drückt auf die Meldung und es wird per LAN/WLAN eine Verbindung vom iPhone zur Klingel hergestellt. Den Umweg per VPN kann man sich hier wohl sparen, da ich meinem Netz ja vertraue.

Ich habe es jetzt mal so geplant, dass das Türklingelnetz ein eigenes VLAN ist. Das kommt nur ins Internet zu bestimmten Ports und auch Hosts. Ins lokale Netz kommt das Gerät nicht.
MAC-Adresse darf nicht auf der Klingel stehen und wird zudem geprüft. Wenn die Klingel zuverlässig im Netz ist und nicht ständig offline ist, baue ich eine Ping-Überwachung ein. Wenn die fehlschlägt wird die Klingel via SNMP bzw. Firewallregel isoliert. Ich muss aber zumindest per VPN-Verbindung die Isolation aufheben können, sonst sperre ich ich aus. Der Türcontroller steuert mein Türschloss.

[Tuxtom007]

Ein mobiler Client (iPhone) ist im WLAN zuhause. Die Türklingel ruft per SIP die Telefonanlage "von aussen" an, die den Anruf dann auf den Client signalisiert. Dann baut der Client eine Verbindung per VPN "von aussen" in das Türklingel-Netz auf?

Die Türsprechanlagen sind SIP-Client mit Videofunktion.
Ein Anruf vom der Türe geht eben per SIP-Call geht über die Telefonanlage u.a. auch an iPhone im WLan und das ist verzögerungsfrei genausoschnell wie zu einem SIP-Telefon im LAN.
Ausserhalb des WLan ist das ein normale Anrufs aufs Handy - das dauert auch nur wenige Sekunden.

Für die Videoverbindung wird eine VPN-Verbindung aufgebaut, das geht sehr schnell ( keine 2 Sekunden )

[Ben.]

Noch ein Nachtrag: Ich habe ein "Schloss" gefunden, mit dem man LAN-Kabel in Ports "einsperren" kann, sodass sie nicht einfach entfernt werden können.

Das würde in meinem Falle bedeuten, dass jemand zwar die Klingel aus der Wand reissen, dann aber erstmal das Kabel durchschneiden müsste (oder mit Gewalt das Schloss zerstören, was wohl den Stecker auch zerstört). Wie stabil das Schloss ist muss ich noch herausfinden, ich habe es noch nicht.

Dann müsste er das Kabel erstmal wieder mit Stecker versehen etc. Das dauert etwas.

Wenn das Schloss etwas taugt und nicht nur ein "versehentlich-aussteck-Schutz" ist, wäre das ggf. auch was für PoE-Aussenkameras.

[bimbar]

Der einzige Schutz ist ein Türschloß, das sich beim Einklappen selbst verriegelt. Das geht dann natürlich nicht mehr remote öffnen.

[Ben.]

Der einzige Schutz ist ein Türschloß, das sich beim Einklappen selbst verriegelt. Das geht dann natürlich nicht mehr remote öffnen.

Ein Türschloss für die Klingel? Oder wie meinst du das?

[bimbar]

Der einzige Schutz ist ein Türschloß, das sich beim Einklappen selbst verriegelt. Das geht dann natürlich nicht mehr remote öffnen.

Ein Türschloss für die Klingel? Oder wie meinst du das?

Ich meine, daß, wie oben auch thematisiert, man meistens die Klingelanlage abschrauben und mit einem 12V akkupack den Türöffner manuell aktivieren kann.
Das heißt, die Tür ist nur dann sicher, wenn abgeschlossen ist.

[Ben.]

Du bräuchtest nicht mal ein Akkupack, einfach mit einer Büroklammer kurzschliessen reicht.

Bei uns ist das Relais aber im Haus verbaut. Ein Kurzschliessen bringt nichts, ausser, dass es ggf. die Elektronik der Steuereinheit beschädigt.

[chemlud]

Was sagt eigentlich die Hausratversicherung zu solchen security features? Klingt ja einigermassen gruselig...

Ich muss da immer an das hier denken:

https://www.reddit.com/r/technology/comments/532gmg/my_neighbor_just_let_himself_into_my_locked_house/