Poort-instelling firewall voor Camera`s

[Eddie the Eagle]

Ik heb mijn Hikvision camera`s in een IoT Vlan hangen. Dat werkt allemaal prima; ik kan ze lokaal benaderen en ook via VPN. Nu is het alleen zo dat die camera`s ook nog hun weg naar het internet vinden, dat zie ik omdat de cloud access ook blijft werken zonder VPN. Mao en zijn vriendjes kunnen dus meekijken. Dat kun je dus mooi oplossen door daar een 'drop' firewall regel voor te maken op alle poorten voor de betreffende camera`s (op IP adres). Zo gezegd zo gedaan, nu zijn de camera`s onbereikbaar van buitenaf en omgekeerd.

Echter, nu werkt ook de smtp mailservice via poort 587 (die gebruik ik voor alerts) en de NTP service via poort 123 niet meer en da`s juist weer handig voor automatische klok-sync. Dus ik dacht dit te kunnen oplossen door alleen de bekende poorten (stuk of 6, opgezocht in de GUI van het apparaat), te blokkeren via een poort groep maar dan blijft ie verbinding met die cloud dienst zoeken en vinden. Ik mis dus blijkbaar iets. Is er ergens een manier in de gateway om dat onbekende verkeer van hieronder nader te bekijken om te zien welke poorten daarbij gebruikt worden ?

 

[erik]

Waarom zet je de cloud connectie niet gewoon uit
Je kan ze ook lokaal toevoegen aan de app
En dan via vpn

Hoef je niets teblokkeren ook

 

[PcRene]

Zijn ze bedraad aangesloten? Anders op een sitch even een MIRROR poort aanmaken en kijken met wireshark welke poorten die hikvision nu echt gebruikt.

 

[Eddie the Eagle]

Waarom zet je de cloud connectie niet gewoon uit
Je kan ze ook lokaal toevoegen aan de app
En dan via vpn

Hoef je niets teblokkeren ook

Ja dat kan natuurlijk maar daarmee staat die verbinding niet dicht; is niet de veilige methode zeg maar.

 

[Hofstede]

Maar waarom maak je niet een paar firewall regels om alleen de poorten die je wilt (587 en 123) toe te staan en de rest te laten vallen?

 

[Eddie the Eagle]

Zijn ze bedraad aangesloten? Anders op een sitch even een MIRROR poort aanmaken en kijken met wireshark welke poorten die hikvision nu echt gebruikt.

Inderdaad, bekabeld. Ik hoopte eigenlijk dat zoiets in DPI te vinden was.

 

[Eddie the Eagle]

Maar waarom maak je niet een paar firewall regels om alleen de poorten die je wilt (587 en 123) toe te staan en de rest te laten vallen?

dat kwam ook bij me op, dus ik had inderdaad in diezelfde firewall regel als test een poort groep gemaakt van 1-586 en 588-65353 maar toen werd ook de mail niet uitgestuurd (net zoals bij alle poorten blokkeren) dus niet het gewenste effect.

 

[Hofstede]

Ik heb het over verschillende regels
- 1e regel staat poort 587 toe
- 2e regel staat poort 123 toe
- 3e regel blokkeert alles.

In die volgorde kan dus al het verkeer van en naar poort 587 en 123 plaatsvinden, de rest niet.

Overigens is NTP openen niet bepaald veilig, dus mogelijk kun je beter naar een interne NTP server verwijzen?

 

[Eddie the Eagle]

Ik heb het over verschillende regels
- 1e regel staat poort 587 toe
- 2e regel staat poort 123 toe
- 3e regel blokkeert alles.

In die volgorde kan dus al het verkeer van en naar poort 587 en 123 plaatsvinden, de rest niet.

Overigens is NTP openen niet bepaald veilig, dus mogelijk kun je beter naar een interne NTP server verwijzen?

even getest met 2 regels, gek genoeg kan ik dan toch geen testmail uitsturen, die poort 587 staat als stmp poort in de GUI van de cam.

edit: ook NTP blijft onbereikbaar ik mis iets (?) Als ik die 2 regels uitzet werkt NTP en SMTP.

 

[Eddie the Eagle]

Overigens is NTP openen niet bepaald veilig, dus mogelijk kun je beter naar een interne NTP server verwijzen?

goed om te weten, thx, hoe draai ik die het best ?

 

[Hofstede]

Heb je de firewall regels wel beide kanten op? Dus zowel uitgaand als inkomend?

 

[Eddie the Eagle]

Heb je de firewall regels wel beide kanten op? Dus zowel uitgaand als inkomend?

Mm, nee alleen bij LAN IN regels, ik heb tot nu toe nooit ergens anders firewall regels aangemaakt.

 

[Hofstede]

Denk dat het daar dus fout gaat. Het verkeer tussen jouw camera's en het internet gaat twee kanten op. Het lijkt er nu op dat je wel toestaat dat het verkeer naar buiten gaat maar dat het antwoord niet terug mag. Anders moet je even de inhoud van je firewall regels laten zien.

 

[Eddie the Eagle]

Dit is die van die 2 poorten:

 

[Eddie the Eagle]

En dan de rest laten vallen:

 

[Eddie the Eagle]

Die laatste lijkt dus zijn werk te doen, ik kan geen mail sturen, geen NTP update doen en niet via de cloud access naar binnen.

 

[Hofstede]

Wat je met die laatste regel doet is er voor zorgen dat de camera's geen antwoord terug kunnen sturen naar buiten, maar het verkeer van buiten kan nog wel proberen een verbinding te openen naar je camera. Je moet precies andersom denken. Je moet er voor zorgen dat inkomend verkeer van buiten niet bij de camera's kan komen met uitzondering van het verkeer dat van je interne netwerk komt.

Dus de blokkeer regel zou iets moeten zijn in de trant van: drop al het verkeer met als bestemming camera's.
Daarvoor dan een regel met: accepteer al het verkeer dat van het interne netwerk naar de camera gaat, zodat je vanuit je eigen netwerk de camera kunt bereiken.
En daarvoor dan nog een regel met accepteer al het verkeer dat poort 587 en 123 wil gebruiken richting de camera's op een established connection.

Dus in feite blokkeer je dan alles wat extern je camera probeert te benaderen, met uitzondering van NTP en SMTP. En de NTP / SMTP verbinding mag alleen geinitieerd worden vanuit de camera.

 

[Eddie the Eagle]

Die 2e regel had ik feitelijk al (2002 MAIN->IOT). Als ik je goed begrijp zou ie dus zo moeten, nu met alle regels er bij maar de camera`s blijven nu via cloud bereikbaar en 2001 aan of uit maakt geen verschil (established/related aangevinkt nu). Ik ben lost. Moet ik het niet zoeken in de WAN regels hier ?

 

[Hofstede]

Maar hoe ziet 2005 er nu uit? En weet je zeker dat 1 van de andere regels niet al eerder komt dan de rest? Zet anders 2005 eens even direct na 2000. Dan zouden vanaf dat moment je camera's onbereikbaar moeten zijn als je hem goed hebt gedefinieerd.
En mogelijk moet je inderdaad de blokkades voor internet naar de camera's instellen bij WAN IN en niet LAN IN omdat het internet verkeer via WAN IN gaat en niet "door" de LAN IN interface.

De definitie van wat LAN IN / WAN IN is, is bij Ubiquiti iets anders dan ik gewend ben van andere firewalls.

 

[Eddie the Eagle]

Dit is die 2005 maar volgens mij wordt precies hetzelfde al gedaan door regel 4000 (algemene drop naar alle LAN`s dus MAIN, GUEST, IOT in mijn geval). Volgorde is zoals ie boven staat lijkt me toch ?