Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 2 answers
  • Subscribers 5 subscribers
  • Views 1077 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Anfängerfrage : interne Geräte vor dem Internet beschützen am Beispiel WebCam

Chakoe80

Hallo zusammen,

 

ich probiere aktuell die Sophos UTM9 mit der Home Lizenz aus. Ich habe diverse Einstellungen und Freigaben in der Firewall ( bspw. WhatsApp ) hinbekommen, ebenso geht der

RemoteZugriff via L2TP usw...

 

Nun habe ich im internen LAN eine WebCam im Kinderzimmer, um halt beim Babyphone auch mal ein Bild zu haben. Ich möchte aber vermeiden, dass die Kamera direkt aus dem Internet erreichbar ist oder irgendwie wird, weil diese Cams ja gerne auch mal nach Haus zu Ihrer Cloud funken möchten.

 

Wie stelle ich das am besten an, dass die Kamera nur aus dem internen LAN und via VPN/L2TP erreichbar ist , ansonsten aber irgendie abgeschottet ist. Muss ich das überhaupt ? Sollte man irgendeine Regel erstellen, die jegliche andere Kommunikation ( nach draussen / von draussen ) dropped ?

 

Danke und Grüße

 

Sebastian



This thread was automatically locked due to age.
Parents
  • 0

    Das kann man jetzt nicht pauschal beantworten, da es auch davon abhängt, welche Dienste der UTM aktiv sind.

    Wenn die Web Protection im transparenten Modus aktiv ist gilt diese auch erst mal für die Webcam und "nach Haus telefonieren" über http/s wäre möglich, selbst wenn Du die Firewall für die Quell-IP der Kamera komplett dicht machst in Richtung Internet. Damit das nicht passiert müsstest Du die IP der Webcam zusätzlich noch in der "Transparent Mode Skiplist", genauer der "Skip Transparent Mode Source Hosts/Nets" hinzufügen. Für die IPs in dieser Liste wird der transparente Proxy quasi ausgeschaltet, danach gelten nur noch rein die Firewallregeln.

    Wenn die Kamera nicht über irgendeine "App auf dem Handy" aufgerufen werden muss (wo die Verbindung über einen Cloudserver des Anbieters erfolgt) und auch keine Firmwareupdates braucht kannst Du sicher jeglichen Internetzugriff für sie deaktivieren.

    Was die andere Richtung betrifft kommt es eigentlich nur darauf an, wie Du und ob Du NAT-Regeln definiert hast. Ist nur die Standard Masquerading-Regel aktiv wird lediglich das interne Netz auf die IP-Adresse des WAN-Interfaces umgesetzt, was ausgehenden Traffic betrifft, aus dem Internet sind dann erst mal nur die Ports der UTM aktiv, wie Webadmin, SSH o.ä., bei denen wäre es noch wichtig, die Default "Any" Quelle zu entfernen und z.B. nur für das interne Netz/VPN-Netz den Zugriff zu erlauben.

    Damit der Zugriff auf die Kamera via VPN funktioniert müssen die IPs und Dienste für den Remote-Zugriff in der Firewall erlaubt sein. Das heißt einmal im Profil des VPNs und dann natürlich noch als Firewall-Regel. Die "automatische Firewall" erlaubt standardmäßig alle Ports für die definierten Netze, daher würde ich die eher nicht verwenden.

    Ich würde Dir aber ohnehin eher den SSL Remotezugriff auf OpenVPN-Basis empfehlen, der ist meiner Erfahrung nach weniger "störanfällig". OpenVPN-Clients gibt es für alle gängigen Betriebssysteme und Mobilfunkgeräte, die entsprechende ovpn-Config lässt sich z.B. einfach per Mail auf die entsprechenden Geräte bringen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

Reply
  • 0

    Das kann man jetzt nicht pauschal beantworten, da es auch davon abhängt, welche Dienste der UTM aktiv sind.

    Wenn die Web Protection im transparenten Modus aktiv ist gilt diese auch erst mal für die Webcam und "nach Haus telefonieren" über http/s wäre möglich, selbst wenn Du die Firewall für die Quell-IP der Kamera komplett dicht machst in Richtung Internet. Damit das nicht passiert müsstest Du die IP der Webcam zusätzlich noch in der "Transparent Mode Skiplist", genauer der "Skip Transparent Mode Source Hosts/Nets" hinzufügen. Für die IPs in dieser Liste wird der transparente Proxy quasi ausgeschaltet, danach gelten nur noch rein die Firewallregeln.

    Wenn die Kamera nicht über irgendeine "App auf dem Handy" aufgerufen werden muss (wo die Verbindung über einen Cloudserver des Anbieters erfolgt) und auch keine Firmwareupdates braucht kannst Du sicher jeglichen Internetzugriff für sie deaktivieren.

    Was die andere Richtung betrifft kommt es eigentlich nur darauf an, wie Du und ob Du NAT-Regeln definiert hast. Ist nur die Standard Masquerading-Regel aktiv wird lediglich das interne Netz auf die IP-Adresse des WAN-Interfaces umgesetzt, was ausgehenden Traffic betrifft, aus dem Internet sind dann erst mal nur die Ports der UTM aktiv, wie Webadmin, SSH o.ä., bei denen wäre es noch wichtig, die Default "Any" Quelle zu entfernen und z.B. nur für das interne Netz/VPN-Netz den Zugriff zu erlauben.

    Damit der Zugriff auf die Kamera via VPN funktioniert müssen die IPs und Dienste für den Remote-Zugriff in der Firewall erlaubt sein. Das heißt einmal im Profil des VPNs und dann natürlich noch als Firewall-Regel. Die "automatische Firewall" erlaubt standardmäßig alle Ports für die definierten Netze, daher würde ich die eher nicht verwenden.

    Ich würde Dir aber ohnehin eher den SSL Remotezugriff auf OpenVPN-Basis empfehlen, der ist meiner Erfahrung nach weniger "störanfällig". OpenVPN-Clients gibt es für alle gängigen Betriebssysteme und Mobilfunkgeräte, die entsprechende ovpn-Config lässt sich z.B. einfach per Mail auf die entsprechenden Geräte bringen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML