Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 2 answers
  • Subscribers 5 subscribers
  • Views 1076 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Anfängerfrage : interne Geräte vor dem Internet beschützen am Beispiel WebCam

Chakoe80

Hallo zusammen,

 

ich probiere aktuell die Sophos UTM9 mit der Home Lizenz aus. Ich habe diverse Einstellungen und Freigaben in der Firewall ( bspw. WhatsApp ) hinbekommen, ebenso geht der

RemoteZugriff via L2TP usw...

 

Nun habe ich im internen LAN eine WebCam im Kinderzimmer, um halt beim Babyphone auch mal ein Bild zu haben. Ich möchte aber vermeiden, dass die Kamera direkt aus dem Internet erreichbar ist oder irgendwie wird, weil diese Cams ja gerne auch mal nach Haus zu Ihrer Cloud funken möchten.

 

Wie stelle ich das am besten an, dass die Kamera nur aus dem internen LAN und via VPN/L2TP erreichbar ist , ansonsten aber irgendie abgeschottet ist. Muss ich das überhaupt ? Sollte man irgendeine Regel erstellen, die jegliche andere Kommunikation ( nach draussen / von draussen ) dropped ?

 

Danke und Grüße

 

Sebastian



This thread was automatically locked due to age.
  • 0

    Das kann man jetzt nicht pauschal beantworten, da es auch davon abhängt, welche Dienste der UTM aktiv sind.

    Wenn die Web Protection im transparenten Modus aktiv ist gilt diese auch erst mal für die Webcam und "nach Haus telefonieren" über http/s wäre möglich, selbst wenn Du die Firewall für die Quell-IP der Kamera komplett dicht machst in Richtung Internet. Damit das nicht passiert müsstest Du die IP der Webcam zusätzlich noch in der "Transparent Mode Skiplist", genauer der "Skip Transparent Mode Source Hosts/Nets" hinzufügen. Für die IPs in dieser Liste wird der transparente Proxy quasi ausgeschaltet, danach gelten nur noch rein die Firewallregeln.

    Wenn die Kamera nicht über irgendeine "App auf dem Handy" aufgerufen werden muss (wo die Verbindung über einen Cloudserver des Anbieters erfolgt) und auch keine Firmwareupdates braucht kannst Du sicher jeglichen Internetzugriff für sie deaktivieren.

    Was die andere Richtung betrifft kommt es eigentlich nur darauf an, wie Du und ob Du NAT-Regeln definiert hast. Ist nur die Standard Masquerading-Regel aktiv wird lediglich das interne Netz auf die IP-Adresse des WAN-Interfaces umgesetzt, was ausgehenden Traffic betrifft, aus dem Internet sind dann erst mal nur die Ports der UTM aktiv, wie Webadmin, SSH o.ä., bei denen wäre es noch wichtig, die Default "Any" Quelle zu entfernen und z.B. nur für das interne Netz/VPN-Netz den Zugriff zu erlauben.

    Damit der Zugriff auf die Kamera via VPN funktioniert müssen die IPs und Dienste für den Remote-Zugriff in der Firewall erlaubt sein. Das heißt einmal im Profil des VPNs und dann natürlich noch als Firewall-Regel. Die "automatische Firewall" erlaubt standardmäßig alle Ports für die definierten Netze, daher würde ich die eher nicht verwenden.

    Ich würde Dir aber ohnehin eher den SSL Remotezugriff auf OpenVPN-Basis empfehlen, der ist meiner Erfahrung nach weniger "störanfällig". OpenVPN-Clients gibt es für alle gängigen Betriebssysteme und Mobilfunkgeräte, die entsprechende ovpn-Config lässt sich z.B. einfach per Mail auf die entsprechenden Geräte bringen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0

    ich hatte ähnliches Problem mit der WebCam im Kinderzimmer gehabt.

     

    Sperre einfach die IP von der Cam mit any > internet

    Meine hat permanent versucht über HTTP!!! zu chinesischen Servern (Cloud) sich zu verbinden...

  • 0 in reply to dimon

    Das funktioniert aber nur, wenn der WebProxy/Filter nicht verwendet wird für das besagte Netz, da andernfalls die Firewallregeln hierfür erstmal nicht gelten und greifen.

    Stimme hier kerobra voll und ganz zu.

  • 0

    Hallo Sebastian,

    der Zugriff von extern nach intern muss explizit eingerichtet werden.  Sollange du keine WAF oder NAT Regel die den Zugriff von extern gewährt, eingerichtet hast, brauchst du nichts weiter tun. Standardmäßig werden alle Zugriffe von extern geblockt.

    Wenn du die Kommunkation von intern nach extern nicht zulassen möchtest kommt es natürlich darauf an, wie hier schon erwähnt, ob du einen Proxy nutzt oder nicht und ob es bereits eine Firewallregel gibt die alles raus läßt oder ein Proxy Profil das den Zugriff zuläßt. Aber auch hier wird standdardmäßig erst mal alles gedroppt was nicht explizit erlaubt ist.

    vg

    mod

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML