Poort-instelling firewall voor Camera`s

Eddie the Eagle

Moderator
UniFier
8 feb 2019
4.009
4
2.975
163
Ik heb mijn Hikvision camera`s in een IoT Vlan hangen. Dat werkt allemaal prima; ik kan ze lokaal benaderen en ook via VPN. Nu is het alleen zo dat die camera`s ook nog hun weg naar het internet vinden, dat zie ik omdat de cloud access ook blijft werken zonder VPN. Mao en zijn vriendjes kunnen dus meekijken. Dat kun je dus mooi oplossen door daar een 'drop' firewall regel voor te maken op alle poorten voor de betreffende camera`s (op IP adres). Zo gezegd zo gedaan, nu zijn de camera`s onbereikbaar van buitenaf en omgekeerd.

Echter, nu werkt ook de smtp mailservice via poort 587 (die gebruik ik voor alerts) en de NTP service via poort 123 niet meer en da`s juist weer handig voor automatische klok-sync. Dus ik dacht dit te kunnen oplossen door alleen de bekende poorten (stuk of 6, opgezocht in de GUI van het apparaat), te blokkeren via een poort groep maar dan blijft ie verbinding met die cloud dienst zoeken en vinden. Ik mis dus blijkbaar iets. Is er ergens een manier in de gateway om dat onbekende verkeer van hieronder nader te bekijken om te zien welke poorten daarbij gebruikt worden ?

1635764102144.png
 
  • Leuk
Waarderingen: PcRene en m4v3r1ck
Waarom zet je de cloud connectie niet gewoon uit
Je kan ze ook lokaal toevoegen aan de app
En dan via vpn

Hoef je niets teblokkeren ook
 
Zijn ze bedraad aangesloten? Anders op een sitch even een MIRROR poort aanmaken en kijken met wireshark welke poorten die hikvision nu echt gebruikt.
 
  • Leuk
Waarderingen: m4v3r1ck
Waarom zet je de cloud connectie niet gewoon uit
Je kan ze ook lokaal toevoegen aan de app
En dan via vpn

Hoef je niets teblokkeren ook
Ja dat kan natuurlijk maar daarmee staat die verbinding niet dicht; is niet de veilige methode zeg maar.
 
Maar waarom maak je niet een paar firewall regels om alleen de poorten die je wilt (587 en 123) toe te staan en de rest te laten vallen?
 
  • Leuk
Waarderingen: m4v3r1ck
Zijn ze bedraad aangesloten? Anders op een sitch even een MIRROR poort aanmaken en kijken met wireshark welke poorten die hikvision nu echt gebruikt.
Inderdaad, bekabeld. Ik hoopte eigenlijk dat zoiets in DPI te vinden was.
 
Maar waarom maak je niet een paar firewall regels om alleen de poorten die je wilt (587 en 123) toe te staan en de rest te laten vallen?
dat kwam ook bij me op, dus ik had inderdaad in diezelfde firewall regel als test een poort groep gemaakt van 1-586 en 588-65353 maar toen werd ook de mail niet uitgestuurd (net zoals bij alle poorten blokkeren) dus niet het gewenste effect.
 
Ik heb het over verschillende regels
- 1e regel staat poort 587 toe
- 2e regel staat poort 123 toe
- 3e regel blokkeert alles.

In die volgorde kan dus al het verkeer van en naar poort 587 en 123 plaatsvinden, de rest niet.

Overigens is NTP openen niet bepaald veilig, dus mogelijk kun je beter naar een interne NTP server verwijzen?
 
  • Leuk
Waarderingen: m4v3r1ck en PcRene
Ik heb het over verschillende regels
- 1e regel staat poort 587 toe
- 2e regel staat poort 123 toe
- 3e regel blokkeert alles.

In die volgorde kan dus al het verkeer van en naar poort 587 en 123 plaatsvinden, de rest niet.

Overigens is NTP openen niet bepaald veilig, dus mogelijk kun je beter naar een interne NTP server verwijzen?
even getest met 2 regels, gek genoeg kan ik dan toch geen testmail uitsturen, die poort 587 staat als stmp poort in de GUI van de cam.

edit: ook NTP blijft onbereikbaar :oops: ik mis iets (?) Als ik die 2 regels uitzet werkt NTP en SMTP.

1635769907489.png
 
Laatst bewerkt:
Denk dat het daar dus fout gaat. Het verkeer tussen jouw camera's en het internet gaat twee kanten op. Het lijkt er nu op dat je wel toestaat dat het verkeer naar buiten gaat maar dat het antwoord niet terug mag. Anders moet je even de inhoud van je firewall regels laten zien.
 
  • Leuk
Waarderingen: m4v3r1ck
Die laatste lijkt dus zijn werk te doen, ik kan geen mail sturen, geen NTP update doen en niet via de cloud access naar binnen.
 
Wat je met die laatste regel doet is er voor zorgen dat de camera's geen antwoord terug kunnen sturen naar buiten, maar het verkeer van buiten kan nog wel proberen een verbinding te openen naar je camera. Je moet precies andersom denken. Je moet er voor zorgen dat inkomend verkeer van buiten niet bij de camera's kan komen met uitzondering van het verkeer dat van je interne netwerk komt.

Dus de blokkeer regel zou iets moeten zijn in de trant van: drop al het verkeer met als bestemming camera's.
Daarvoor dan een regel met: accepteer al het verkeer dat van het interne netwerk naar de camera gaat, zodat je vanuit je eigen netwerk de camera kunt bereiken.
En daarvoor dan nog een regel met accepteer al het verkeer dat poort 587 en 123 wil gebruiken richting de camera's op een established connection.

Dus in feite blokkeer je dan alles wat extern je camera probeert te benaderen, met uitzondering van NTP en SMTP. En de NTP / SMTP verbinding mag alleen geinitieerd worden vanuit de camera.
 
Die 2e regel had ik feitelijk al (2002 MAIN->IOT). Als ik je goed begrijp zou ie dus zo moeten, nu met alle regels er bij maar de camera`s blijven nu via cloud bereikbaar en 2001 aan of uit maakt geen verschil (established/related aangevinkt nu). Ik ben lost. Moet ik het niet zoeken in de WAN regels hier ?

1635776818781.png
 
  • Leuk
Waarderingen: m4v3r1ck en PcRene
Maar hoe ziet 2005 er nu uit? En weet je zeker dat 1 van de andere regels niet al eerder komt dan de rest? Zet anders 2005 eens even direct na 2000. Dan zouden vanaf dat moment je camera's onbereikbaar moeten zijn als je hem goed hebt gedefinieerd.
En mogelijk moet je inderdaad de blokkades voor internet naar de camera's instellen bij WAN IN en niet LAN IN omdat het internet verkeer via WAN IN gaat en niet "door" de LAN IN interface.

De definitie van wat LAN IN / WAN IN is, is bij Ubiquiti iets anders dan ik gewend ben van andere firewalls.
 
Laatst bewerkt:
Dit is die 2005 maar volgens mij wordt precies hetzelfde al gedaan door regel 4000 (algemene drop naar alle LAN`s dus MAIN, GUEST, IOT in mijn geval). Volgorde is zoals ie boven staat lijkt me toch ?

1635779040367.png
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..