Veiligheidslek bij POE deurbel?

[Razornord]

Ik ben van plan om een Yoosee deurbel te installeren. Ik wil deze isoleren in het netwerk door deze in een aparte VLAN onder te brengen en via een firewall-regel enkel met een VM contact te laten maken om de beelden op te nemen (RTSP is ondersteund). Alleen kan ik internet niet ontzeggen via de firewall omdat ik anders geen notificatie meer krijg op de smartphone als er iemand aanbelt.

Mijn vraag: kan ik in pfSense een IP-adres laten toewijzen aan één specifiek MAC-adres (i.e. de YooSee) ? Of is er een andere oplossing om te vermijden dat iemand aan de voordeur mijn netwerk binnen breekt door de LAN-kabel aan te sluiten?

[Splitter]

=> deurbel een eigen vlan geven
=> dhcp uitzetten, fixed ip geven aan de deurbel (of desnoods dhcp met static assignment)
=> firewall rule maken die de vlan toelaat naar de vm te gaan
=> firewall rule maken die enkel dat ip op die vlan enkel naar internet toelaat (in de rapte: iets a la NOT from ip, deny en vervolgens from ip, NOT intern net, allow - let wel op volgorde van verwerking van de rules)
=> eventueel als je een managed switch hebt, daar nog een beperking per mac insteken (maar wss staat mac adres op de deurbel, en dat kan gespoofed worden, dus weinig meerwaarde)

ik zou nog extra toevoegen dat die eventueel enkel naar specifieke IPs en/of poorten naar buiten kan

misschien nodeloos toe te voegen: maar gebruik zeker nooit de toegangscontrole opties in een parlofoon of deurbel zoals deze,
want dan kunnen ze niet enkel op je netwerk maar ook gewoon binnenkomen door de voordeur

[MClaeys]

Hmm, als je deze ontvangt, kan je dan ook eens kijken welke connecties deze allemaal nodig heeft?
Ik ga eens wat reviews bekijken van die "1080p smart video doorbell/intercom". Een video deurbel altijd interessant gevonden, maar deurcontrole heb ik er niet bij nodig. En de prijzen van Yoosee kan ik precies nog mee leven voor een deurbel

[devilkin]

Afhankelijk van je infrastructuur kan je evt kijken of je 802.1x kan activeren - port authentication op basis van evt user/pw of MAC.

Wat je ook nog zou kunnen bekijken is de poort te deactiveren van zodra de link wegvalt op de kabel - maar dit vereist al wat meer werk / monitoring infrastructuur op je switchpoorten.

[profke]

Misschien domme vraag, maar: kan je die deurbel niet "enkel met de VM" laten spreken;
en dan die VM zelf de internet access laten forwarden ? dan kan je op die VM met iptables nogal veel doen...

[Razornord]

...
=> dhcp uitzetten, fixed ip geven aan de deurbel (of desnoods dhcp met static assignment)
...
misschien nodeloos toe te voegen: maar gebruik zeker nooit de toegangscontrole opties in een parlofoon of deurbel zoals deze,
want dan kunnen ze niet enkel op je netwerk maar ook gewoon binnenkomen door de voordeur

Bedankt voor deze setup. Ik denk dat die regel met de dhcp de truc wel moet kunnen doen. Ik ga de toegangscontrole niet gebruiken omdat ik vooral geïnteresseerd ben in het deurbel de functie als veiligheidscamera. De deur blijft enkel toegankelijk met een sleutel. Uit interesse: zijn deze toegangscontroles dan zo makkelijk te hacken?

... 802.1x kan activeren - port authentication op basis van evt user/pw of MAC.
...poort te deactiveren van zodra de link wegvalt op de kabel...

Ik kan niet terugvinden of de Yoosee het 802.1x-protocol ondersteunt. De switch die ik gekocht heb, is een Ubiquiti POE 16 swtch die dat wel ondersteunt. Bedankt ook voor deze suggesties.

Weer wat nieuwe zaken geleerd.

Hmm, als je deze ontvangt, kan je dan ook eens kijken welke connecties deze allemaal nodig heeft?
... En de prijzen van Yoosee kan ik precies nog mee leven voor een deurbel

Mss gaat deze Yoosee wel iets zijn voor u. En wat betreft de connecties: ik zag een setupvideo op Youtube (0'38") waarin 2 connecties te zien zijn: één voor voeding en één RJ45.

[profke]

Bedankt voor deze setup. Ik denk dat die regel met de dhcp de truc wel moet kunnen doen. Ik ga de toegangscontrole niet gebruiken omdat ik vooral geïnteresseerd ben in het deurbel de functie als veiligheidscamera. De deur blijft enkel toegankelijk met een sleutel. Uit interesse: zijn deze toegangscontroles dan zo makkelijk te hacken?

watch and learn...
[youtube]KHvfwpnPwwU[/youtube]

[Splitter]

Uit interesse: zijn deze toegangscontroles dan zo makkelijk te hacken?

valt niet echt iets aan te hacken: ding losvijzen, kabeltje tegen elkaar houden, deur gaat open.
is een probleem van deze en veel andere parlofoons: de volledige besturing en controle zit aan de buitenkant en is dus totaal niet veilig.

als je iets van toegangscontrole wil, altijd zorgen dat de controle aan de binnenkant van de ruimte zit.

[Razornord]

...

watch and learn... https://www.youtube.com/watch?v=KHvfwpnPwwU&t=0s

WTF...

Alweer iets geleerd. Het gaat precies nog een productieve dag in isolatie worden als het zo verder gaat.

... die deurbel niet "enkel met de VM" laten spreken;
en dan die VM zelf de internet access laten forwarden ?...

Hoe zou ik een die VM kunnen configureren opdat als er iemand op de deurbel duwt, de VM een notificatie of een video-call gaat sturen? In dat geval kan internet helemaal uitgesloten worden van de deurbel natuurlijk.

[CCatalyst]

WTF...

Sloten/access control zijn alleen maar bedoeld om eerlijke mensen buiten te houden, elk systeem valt te omzeilen hoor. Geen enkele fysieke beveiliging mag volledig afhangen van een slot.

Hoe zou ik een die VM kunnen configureren opdat als er iemand op de deurbel duwt, de VM een notificatie of een video-call gaat sturen?

Notificatie: kijken welke pakketten hij precies stuurt wanneer er op de knop gedrukt wordt, en dan iets programmeren dat op de interface van de bel luistert, op deze pakketten wacht en vervolgens een handeling naar keuze uitvoert.

Eenvoudig is het mogelijks wel niet, temeer daar de bel misschien (?) niet zal functioneren als hij zich niet eerst kan "aanmelden" in de cloud omdat de internettoegang geblokkeerd is. Met trial/error kan je dit uitzoeken.

Video: als RTSP oid beschikbaar is op de camera kan je dit gebruiken in combinatie met het vorige. Als het volledig proprietair werkt zal het moeilijker worden. Mogelijks kan je ook met "onvif" aan de slag?

Als je dit overweegt zou je in principe beter zelf iets in elkaar knutselen met een knop en een camera die open protocollen ondersteunt, dat lost dan ook meteen het beveiligingsvraagstuk grotendeels op.

Als je het bij deze cloud-camera houdt, dan zou ik het persoonlijk gewoon goed beveiligen en segmenteren op de manier die Splitter hierboven al beschreven heeft. Werken met VM en eigen notificatiesystemen etc wijkt nogal sterk af van KISS en de complexiteit zal meer dan eens de reden zijn dat het plots niet meer werkt.

[Razornord]

...
Notificatie: kijken welke pakketten hij precies stuurt wanneer er op de knop gedrukt wordt, en dan iets programmeren dat op de interface van de bel luistert, op deze pakketten wacht en vervolgens een handeling naar keuze uitvoert.
...

Video: als RTSP oid beschikbaar is op de camera kan je dit gebruiken in combinatie met het vorige. Als het volledig proprietair werkt zal het moeilijker worden. Mogelijks kan je ook met "onvif" aan de slag?

Als je dit overweegt zou je in principe beter zelf iets in elkaar knutselen met een knop en een camera die open protocollen ondersteunt, dat lost dan ook meteen het beveiligingsvraagstuk grotendeels op.

Als je het bij deze cloud-camera houdt, dan zou ik het persoonlijk gewoon goed beveiligen en segmenteren op de manier die Splitter hierboven al beschreven heeft. Werken met VM en eigen notificatiesystemen etc wijkt nogal sterk af van KISS en de complexiteit zal meer dan eens de reden zijn dat het plots niet meer werkt.

Bedankt voor de tip maar gezien ik in een branche werk die nog niet eens een beetje aansluit bij IT, ga ik hiervoor moeten passen omdat mij de kennis, kunde en tijd ontbreken om dat te leren, op te zetten en te onderhouden. Ik ga idd via ONVIF en RTSP gaan werken via de hoger vermelde tips. Als er een handige configuratie was met een VM, zou ik het proberen maar ik hoor dat er redelijk veel ontwikkelwerk bij komt kijken.

[profke]

wat ik bedoelde met "doorheen de vm" is het volgende:

1-) maak je virtueel machine aan met 2 netwerkadapters. 1 in de vlan van je bel, 1 in de gewone vlan.
2-) zorg dat ip forwarding aanstaat (met ander woorden: zorg dat je deurbel als default gateway je vm heeft; en dat die vm het verkeer "doorstuurt" naar de andere vlan die wel naar internet mag
3-) configureer met iptables (of windows firewall) dat enkel en alleen DAT naar het internet mag wat ook daar thuishoort.

Het andere verhaal (reverse engineering wat de deurbel stuurt, en dan iets gelijkaardigs zelf programmeren) is inderdaad super complex

[Splitter]

wat ik bedoelde met "doorheen de vm" is het volgende:

1-) maak je virtueel machine aan met 2 netwerkadapters. 1 in de vlan van je bel, 1 in de gewone vlan.
2-) zorg dat ip forwarding aanstaat
3-) configureer met iptables

waarom zou je dat specifiek door de vm laten afhandelen en niet door de firewall? hij zegt dat hij een pfsense heeft staan,
pfsense/opnsense zijn meer dan capabel dat voor je in orde te brengen (en alles op 1 plaats geeft een beter overzicht)

daarbovenop, stel dat die vm (of host) ineens even offline zou zijn, dan is de deurbel ook volledig weg.
en dat hoef je niet noodzakelijk dadelijk op te merken, dus kan nog extra problemen veroorzaken "down the road".
tegenover als je het door je firewall laat regelen, en die offline gaat... dat zal je vermoedelijk erg snel merken

[profke]

het stukje "pfsense" was me ontgaan.
mentaal had ik precies gelezen dat hij met de "firewall" pagina van zijn gewone router zou spelen.

correcte opmerking dan
negeer mijn idee.

[MClaeys]

Mss gaat deze Yoosee wel iets zijn voor u. En wat betreft de connecties: ik zag een setupvideo op Youtube (0'38") waarin 2 connecties te zien zijn: één voor voeding en één RJ45.

Dat model had ik op het oog inderdaad , met connecties bedoelde ik netwerkconnecties naar buiten , in mijn geval zou het met POE zijn vandaar.