Veiligheidslek bij POE deurbel?

Gebruikersavatar
Razornord
Pro Member
Pro Member
Berichten: 251
Lid geworden op: 14 Jun 2007
Bedankt: 14 keer
Uitgedeelde bedankjes: 92 keer

Veiligheidslek bij POE deurbel?

Berichtdoor Razornord » 1 week 5 dagen 16 uur geleden (23 Mar 2020, 21:10)

Ik ben van plan om een Yoosee deurbel te installeren. Ik wil deze isoleren in het netwerk door deze in een aparte VLAN onder te brengen en via een firewall-regel enkel met een VM contact te laten maken om de beelden op te nemen (RTSP is ondersteund). Alleen kan ik internet niet ontzeggen via de firewall omdat ik anders geen notificatie meer krijg op de smartphone als er iemand aanbelt.

Mijn vraag: kan ik in pfSense een IP-adres laten toewijzen aan één specifiek MAC-adres (i.e. de YooSee) ? Of is er een andere oplossing om te vermijden dat iemand aan de voordeur mijn netwerk binnen breekt door de LAN-kabel aan te sluiten?

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3820
Lid geworden op: 10 Mar 2010
Bedankt: 385 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 53 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor Splitter » 1 week 5 dagen 14 uur geleden (23 Mar 2020, 23:05)

=> deurbel een eigen vlan geven
=> dhcp uitzetten, fixed ip geven aan de deurbel (of desnoods dhcp met static assignment)
=> firewall rule maken die de vlan toelaat naar de vm te gaan
=> firewall rule maken die enkel dat ip op die vlan enkel naar internet toelaat (in de rapte: iets a la NOT from ip, deny en vervolgens from ip, NOT intern net, allow - let wel op volgorde van verwerking van de rules)
=> eventueel als je een managed switch hebt, daar nog een beperking per mac insteken (maar wss staat mac adres op de deurbel, en dat kan gespoofed worden, dus weinig meerwaarde)

ik zou nog extra toevoegen dat die eventueel enkel naar specifieke IPs en/of poorten naar buiten kan

misschien nodeloos toe te voegen: maar gebruik zeker nooit de toegangscontrole opties in een parlofoon of deurbel zoals deze,
want dan kunnen ze niet enkel op je netwerk maar ook gewoon binnenkomen door de voordeur
ooit zal hier iets nuttigs staan

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 5410
Lid geworden op: 16 Feb 2011
Bedankt: 312 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 333 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor MClaeys » 1 week 5 dagen 5 uur geleden (24 Mar 2020, 08:10)

Hmm, als je deze ontvangt, kan je dan ook eens kijken welke connecties deze allemaal nodig heeft?
Ik ga eens wat reviews bekijken van die "1080p smart video doorbell/intercom". Een video deurbel altijd interessant gevonden, maar deurcontrole heb ik er niet bij nodig. En de prijzen van Yoosee kan ik precies nog mee leven voor een deurbel :beerchug:
Xbox Live: MClaeys

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2693
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 124 keer
Recent bedankt: 24 keer
Uitgedeelde bedankjes: 265 keer
Contact:

Re: Veiligheidslek bij POE deurbel?

Berichtdoor devilkin » 1 week 5 dagen 5 uur geleden (24 Mar 2020, 08:14)

Afhankelijk van je infrastructuur kan je evt kijken of je 802.1x kan activeren - port authentication op basis van evt user/pw of MAC.

Wat je ook nog zou kunnen bekijken is de poort te deactiveren van zodra de link wegvalt op de kabel - maar dit vereist al wat meer werk / monitoring infrastructuur op je switchpoorten.
Orange Love Trio -- using Ubiquiti USG-3
Orange Dolphin & Proximus (corporate) -- Using OnePlus 6 (ROM: Stock)

profke
Member
Member
Berichten: 58
Lid geworden op: 14 Aug 2010
Bedankt: 3 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor profke » 1 week 5 dagen 5 uur geleden (24 Mar 2020, 08:40)

Misschien domme vraag, maar: kan je die deurbel niet "enkel met de VM" laten spreken;
en dan die VM zelf de internet access laten forwarden ? dan kan je op die VM met iptables nogal veel doen...

Gebruikersavatar
Razornord
Pro Member
Pro Member
Berichten: 251
Lid geworden op: 14 Jun 2007
Bedankt: 14 keer
Uitgedeelde bedankjes: 92 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor Razornord » 1 week 5 dagen 4 uur geleden (24 Mar 2020, 08:49)

Splitter schreef:...
=> dhcp uitzetten, fixed ip geven aan de deurbel (of desnoods dhcp met static assignment)
...
misschien nodeloos toe te voegen: maar gebruik zeker nooit de toegangscontrole opties in een parlofoon of deurbel zoals deze,
want dan kunnen ze niet enkel op je netwerk maar ook gewoon binnenkomen door de voordeur


Bedankt voor deze setup. Ik denk dat die regel met de dhcp de truc wel moet kunnen doen. Ik ga de toegangscontrole niet gebruiken omdat ik vooral geïnteresseerd ben in het deurbel de functie als veiligheidscamera. De deur blijft enkel toegankelijk met een sleutel. Uit interesse: zijn deze toegangscontroles dan zo makkelijk te hacken?

devilkin schreef:... 802.1x kan activeren - port authentication op basis van evt user/pw of MAC.
...poort te deactiveren van zodra de link wegvalt op de kabel...


Ik kan niet terugvinden of de Yoosee het 802.1x-protocol ondersteunt. De switch die ik gekocht heb, is een Ubiquiti POE 16 swtch die dat wel ondersteunt. Bedankt ook voor deze suggesties.

Weer wat nieuwe zaken geleerd. :-)

Hmm, als je deze ontvangt, kan je dan ook eens kijken welke connecties deze allemaal nodig heeft?
... En de prijzen van Yoosee kan ik precies nog mee leven voor een deurbel :beerchug:


Mss gaat deze Yoosee wel iets zijn voor u. En wat betreft de connecties: ik zag een setupvideo op Youtube (0'38") waarin 2 connecties te zien zijn: één voor voeding en één RJ45.
Laatst gewijzigd door Razornord op 24 Mar 2020, 09:09, 1 keer totaal gewijzigd.

profke
Member
Member
Berichten: 58
Lid geworden op: 14 Aug 2010
Bedankt: 3 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor profke » 1 week 5 dagen 4 uur geleden (24 Mar 2020, 08:57)

Razornord schreef:
Bedankt voor deze setup. Ik denk dat die regel met de dhcp de truc wel moet kunnen doen. Ik ga de toegangscontrole niet gebruiken omdat ik vooral geïnteresseerd ben in het deurbel de functie als veiligheidscamera. De deur blijft enkel toegankelijk met een sleutel. Uit interesse: zijn deze toegangscontroles dan zo makkelijk te hacken?


watch and learn...

YouTube: https://www.youtube.com/watch?v=KHvfwpnPwwU

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3820
Lid geworden op: 10 Mar 2010
Bedankt: 385 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 53 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor Splitter » 1 week 5 dagen 4 uur geleden (24 Mar 2020, 09:00)

Razornord schreef:Uit interesse: zijn deze toegangscontroles dan zo makkelijk te hacken?


valt niet echt iets aan te hacken: ding losvijzen, kabeltje tegen elkaar houden, deur gaat open.
is een probleem van deze en veel andere parlofoons: de volledige besturing en controle zit aan de buitenkant en is dus totaal niet veilig.

als je iets van toegangscontrole wil, altijd zorgen dat de controle aan de binnenkant van de ruimte zit.
ooit zal hier iets nuttigs staan

Gebruikersavatar
Razornord
Pro Member
Pro Member
Berichten: 251
Lid geworden op: 14 Jun 2007
Bedankt: 14 keer
Uitgedeelde bedankjes: 92 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor Razornord » 1 week 5 dagen 4 uur geleden (24 Mar 2020, 09:14)

profke schreef:
Razornord schreef:...


watch and learn... https://www.youtube.com/watch?v=KHvfwpnPwwU&t=0s


WTF...

Alweer iets geleerd. Het gaat precies nog een productieve dag in isolatie worden als het zo verder gaat. :banana: :beerchug:

... die deurbel niet "enkel met de VM" laten spreken;
en dan die VM zelf de internet access laten forwarden ?...


Hoe zou ik een die VM kunnen configureren opdat als er iemand op de deurbel duwt, de VM een notificatie of een video-call gaat sturen? In dat geval kan internet helemaal uitgesloten worden van de deurbel natuurlijk.

CCatalyst
Elite Poster
Elite Poster
Berichten: 2895
Lid geworden op: 20 Jun 2016
Bedankt: 254 keer
Recent bedankt: 28 keer
Uitgedeelde bedankjes: 14 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor CCatalyst » 1 week 5 dagen 4 uur geleden (24 Mar 2020, 09:19)

Razornord schreef:WTF...


Sloten/access control zijn alleen maar bedoeld om eerlijke mensen buiten te houden, elk systeem valt te omzeilen hoor. Geen enkele fysieke beveiliging mag volledig afhangen van een slot.

Razornord schreef:Hoe zou ik een die VM kunnen configureren opdat als er iemand op de deurbel duwt, de VM een notificatie of een video-call gaat sturen?


Notificatie: kijken welke pakketten hij precies stuurt wanneer er op de knop gedrukt wordt, en dan iets programmeren dat op de interface van de bel luistert, op deze pakketten wacht en vervolgens een handeling naar keuze uitvoert.

Eenvoudig is het mogelijks wel niet, temeer daar de bel misschien (?) niet zal functioneren als hij zich niet eerst kan "aanmelden" in de cloud omdat de internettoegang geblokkeerd is. Met trial/error kan je dit uitzoeken.

Video: als RTSP oid beschikbaar is op de camera kan je dit gebruiken in combinatie met het vorige. Als het volledig proprietair werkt zal het moeilijker worden. Mogelijks kan je ook met "onvif" aan de slag?

Als je dit overweegt zou je in principe beter zelf iets in elkaar knutselen met een knop en een camera die open protocollen ondersteunt, dat lost dan ook meteen het beveiligingsvraagstuk grotendeels op.

Als je het bij deze cloud-camera houdt, dan zou ik het persoonlijk gewoon goed beveiligen en segmenteren op de manier die Splitter hierboven al beschreven heeft. Werken met VM en eigen notificatiesystemen etc wijkt nogal sterk af van KISS en de complexiteit zal meer dan eens de reden zijn dat het plots niet meer werkt.

Gebruikersavatar
Razornord
Pro Member
Pro Member
Berichten: 251
Lid geworden op: 14 Jun 2007
Bedankt: 14 keer
Uitgedeelde bedankjes: 92 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor Razornord » 1 week 5 dagen 1 uur geleden (24 Mar 2020, 12:34)

CCatalyst schreef:...
Notificatie: kijken welke pakketten hij precies stuurt wanneer er op de knop gedrukt wordt, en dan iets programmeren dat op de interface van de bel luistert, op deze pakketten wacht en vervolgens een handeling naar keuze uitvoert.
...

Video: als RTSP oid beschikbaar is op de camera kan je dit gebruiken in combinatie met het vorige. Als het volledig proprietair werkt zal het moeilijker worden. Mogelijks kan je ook met "onvif" aan de slag?

Als je dit overweegt zou je in principe beter zelf iets in elkaar knutselen met een knop en een camera die open protocollen ondersteunt, dat lost dan ook meteen het beveiligingsvraagstuk grotendeels op.

Als je het bij deze cloud-camera houdt, dan zou ik het persoonlijk gewoon goed beveiligen en segmenteren op de manier die Splitter hierboven al beschreven heeft. Werken met VM en eigen notificatiesystemen etc wijkt nogal sterk af van KISS en de complexiteit zal meer dan eens de reden zijn dat het plots niet meer werkt.


Bedankt voor de tip maar gezien ik in een branche werk die nog niet eens een beetje aansluit bij IT, ga ik hiervoor moeten passen omdat mij de kennis, kunde en tijd ontbreken om dat te leren, op te zetten en te onderhouden. :-) Ik ga idd via ONVIF en RTSP gaan werken via de hoger vermelde tips. Als er een handige configuratie was met een VM, zou ik het proberen maar ik hoor dat er redelijk veel ontwikkelwerk bij komt kijken.

profke
Member
Member
Berichten: 58
Lid geworden op: 14 Aug 2010
Bedankt: 3 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor profke » 1 week 5 dagen 36 minuten geleden (24 Mar 2020, 13:08)

wat ik bedoelde met "doorheen de vm" is het volgende:

1-) maak je virtueel machine aan met 2 netwerkadapters. 1 in de vlan van je bel, 1 in de gewone vlan.
2-) zorg dat ip forwarding aanstaat (met ander woorden: zorg dat je deurbel als default gateway je vm heeft; en dat die vm het verkeer "doorstuurt" naar de andere vlan die wel naar internet mag
3-) configureer met iptables (of windows firewall) dat enkel en alleen DAT naar het internet mag wat ook daar thuishoort.

Het andere verhaal (reverse engineering wat de deurbel stuurt, en dan iets gelijkaardigs zelf programmeren) is inderdaad super complex

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3820
Lid geworden op: 10 Mar 2010
Bedankt: 385 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 53 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor Splitter » 1 week 5 dagen 19 minuten geleden (24 Mar 2020, 13:24)

profke schreef:wat ik bedoelde met "doorheen de vm" is het volgende:

1-) maak je virtueel machine aan met 2 netwerkadapters. 1 in de vlan van je bel, 1 in de gewone vlan.
2-) zorg dat ip forwarding aanstaat
3-) configureer met iptables


waarom zou je dat specifiek door de vm laten afhandelen en niet door de firewall? hij zegt dat hij een pfsense heeft staan,
pfsense/opnsense zijn meer dan capabel dat voor je in orde te brengen (en alles op 1 plaats geeft een beter overzicht)

daarbovenop, stel dat die vm (of host) ineens even offline zou zijn, dan is de deurbel ook volledig weg.
en dat hoef je niet noodzakelijk dadelijk op te merken, dus kan nog extra problemen veroorzaken "down the road".
tegenover als je het door je firewall laat regelen, en die offline gaat... dat zal je vermoedelijk erg snel merken :)
ooit zal hier iets nuttigs staan

profke
Member
Member
Berichten: 58
Lid geworden op: 14 Aug 2010
Bedankt: 3 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor profke » 1 week 5 dagen 14 minuten geleden (24 Mar 2020, 13:29)

het stukje "pfsense" was me ontgaan.
mentaal had ik precies gelezen dat hij met de "firewall" pagina van zijn gewone router zou spelen.

correcte opmerking dan
negeer mijn idee.

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 5410
Lid geworden op: 16 Feb 2011
Bedankt: 312 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 333 keer

Re: Veiligheidslek bij POE deurbel?

Berichtdoor MClaeys » 1 week 4 dagen 22 uur geleden (24 Mar 2020, 15:02)

Razornord schreef:Mss gaat deze Yoosee wel iets zijn voor u. En wat betreft de connecties: ik zag een setupvideo op Youtube (0'38") waarin 2 connecties te zien zijn: één voor voeding en één RJ45.

Dat model had ik op het oog inderdaad ;), met connecties bedoelde ik netwerkconnecties naar buiten :), in mijn geval zou het met POE zijn vandaar.
Xbox Live: MClaeys


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten