Hallo, eine Netzwerkleitung (ethernet 100MBit) führt zu einem Gerät im ungeschützen Außenbereich. Dieses Gerät hat einen Sabotagekontakt, der ein Öffnen des Geräts zuverlässig erkennt. In diesem Fall soll die Netzwerkverbindung nach innen unterbrochen werden, bis innen ein Reset Taster o.ä. betätigt wird. Zusätzlich soll die Lösung im "normalfall" Sabotagekontakt geschlossen wenig bis keinen Strom verbrauchen. Meine erste Idee. Mit einem Transistor eine Selbsthaltung bauen die negiert ein 4 fach UMschalt-Relais anspricht und damit die Lan Leitung trennt. Schön: Braucht kaum Strom im Betrieb Nicht Schön: LAN über Relais, bei Stromausfall ist Netzwerk wieder durchgeschaltet, macht aber nichts da dann der Switch dahinter auch keinen Strom mehr hat. Weitere Idee war ein Miniswitch dahinter der einfach ausgeschaltet wird. Braucht aber imho im Betrieb zu viel Strom. Weitere Ideen?
:
Gesperrt durch Moderator
den switchport wohin die LAN leitung geht zu einrichten, das er beim link verlust erst manuel aktiviert werden muss.
Ich wuerd dem Anschluss per firewall nur die wirklich benoetigten Rechte geben.
häng doch einfach in die Leitung einen Mini Switch rein, den du bei Sabotage einfach von der Stromversorgung trennst. Einfacher geht es nicht. Die LAN Leitungen selber würde ich nicht über relais etc schalten ! So einen Mini Switch bekommste schon für 5 Euronen ;-) Chris
@Peter gute Idee, checke gerade ob mein Switch TP Link TL-SG3424 das kann @7v9 Genau das, was das Gerät außen kann, soll der potentielle Einbrecher nicht können @Troll nicht wirklich @chris hatte ich ja geschrieben, dass das wg. stromverbrauch nicht in Frage kommt...
Netwerkleitung in einer druckdicht verklebten/verschraubten PVC Rohrleitung verlegen. Über zwei T-Stücke ein Ventil zum Befüllen und einen Druckschalter montieren. Sägt nun jemand das Rohr an um ans Kabel zu kommen fällt der Druck ab und der Schalter wird betätigt.
Die Frage ist: Was willst du erreichen? Die Netzwerkverbindung logisch oder physikalisch deaktivieren? Kasten aufgebrochen und 10000V aufs Netzwerkkabel sind in Ordnung?
Weshalb muss der Kasten den das koennen was der Anschluss nicht koennen soll? Weil das Geraet eine kommerzielle Ausfuehrung mit einer unabaenderlichen Funktionalitaet ist ? Das externe Geraet hat also Master Status ? Kann Befehle erteilen ? Von einem Master kann man eine Authentifizierung erwarten.
Welche Rechte kann der Angreifer über das Kabel erlangen ? Welchen Schaden kann der Angreifer über das Kabel anrichten ?
SaBo schrieb: > @7v9 > Genau das, was das Gerät außen kann, soll der potentielle Einbrecher > nicht können Das Kabel selbst ist geschützt, d.h. ich komme nicht an das Kabel ohne den Sabotagekontakt auszulösen? (Wie auch immer das wirklich zuverlässig funktioniert) Ssonst kann man das Gerät einfach umgehen und sich direkt ans Kabel hängen. Und du hast ne extra sichere Leitung für den Sabotagekontakt nach innen? (alles außen angebrachte kann man ja wieder umgehen) Und nachdem Stromverbrauch ja scheinbar ein Problem ist: wieviel ist denn erlaubt? <5 W?
RJ45-Dose auf ein Brett schrauben, Clip am Patchkabel abschneiden, Zugmagnet an den Stecker: Büchse aufgebrochen ==> Stecker raus Variante 2: Bistabiles Relais mit 2 Spulen. Zurücksetzen geht dann nur per Taster, oder 9V Block dranhalten.
> Kasten aufgebrochen und 10000V aufs Netzwerkkabel sind in Ordnung?
Das würde ich machen wenn ich die Gefahr sehe, daß jemand das Kabel
verwendet, um mit einem unauthorisierten Gerät in mein Netzwerk
einzudringen... Sobald ein unauthorisierter Link aufgebaut werden soll
bekommt der Begriff Power over Ethernet eine ganz neue Bedeutung... ;)
Egal was du in dem Kasten machst, der Einbrecher könnte es umgehen... Ein Schütz zum trennen ist ja wohl mehr als schnell überbrückt! Also müsste man es irgendwo trennen wo der Einbrecher so schnell nicht hin kommt... Außerdem, wie gut ist der Sabotage Kontakt? Wenn der einfach zu knacken ist wäre as ganze ja eh schon sinnlos.
Hi, > eine Netzwerkleitung (ethernet 100MBit) führt zu einem Gerät 100 Mbit brauchen nur 4 Adern ... da du in einem Netzwerkkabel 8 Adern hast, kannst du einfach 2 davon benutzen um das Signal des Sabotagekontaktes nach Innen (in einen physikalisch geschützten Bereich) zu legen. > In diesem Fall soll die Netzwerkverbindung nach innen unterbrochen > werden, bis innen ein Reset Taster o.ä. betätigt wird. Ich würde den Status des Sabotagekontaktes mittels µC von Innen prüfen (braucht nur wenige µA bis mA) und im Falle einer Sabotage die Netzwerkleitung mittels Relais direkt Innen trennen. Ich hoffe ich hab das jetzt einigermaßen verständlich rübergebracht ... sonst einfach nochmal nachfragen ... dann mach ich eine Skizze dazu. Liebe Grüße, Lui
Was ich noch vergessen hab: Betreffend Stromverbrauch kannst du einfach - wie Leo-andres H. schon geschrieben hat - bistabile Relais verwenden. Wenn du den Sabotagekontakt auch noch so ausführst, dass du damit den µC interrupt-gesteuert aktivieren kannst ... dann kommst du vermutlich mit einer Knopfzelle für mehrere Jahre aus. Liebe Grüße, Lui
1. Ein 08/15 Relais mit Selbsthaltung im Gebäude. 2. Die Selbsthaltung läuft über den Sabotagekontakt. 3. Das Netzwerkkabel über einen eigenen Einfachstswitch. 4. Der Switch (dessen Stromversorgung) hängt hinter dem Relais. 5. Die Rücksetzeinrichtung und ev. Signalisierung sind im Gebäude. ... oder so.
Ich denke, eine Auswertung des Sabotagezustands und eine Softwareseitige Lösung des Problems sind deutlich eleganter. Alles andere ist irgendwie frickelig - und das ist bei nicht-sicherheitsrelevanten Sachen ja auch was schönes, nur hier wohl nicht. Wenn "das Signal in den Rechner bringen" ein Problem ist: Ein ATiny mit VUSB an den Sabotagesignalisierer und per USB als generisches HID anmelden. Da mit dann das "Berechtigungen entziehen" Skript aktivieren und die fette Hupe anlaufen lassen.
@Lukas Zugegeben mit einer µP-Steuerung ist das Ganze bedeutend eleganter aber: Willst Du nicht einen Riesenaufwand treiben, so ist die Relaislösung genauso sicher wie alles andere. Denn das einzige Referenzelement und somit Sicherheitselement ist der eingebaute Schalter. Bei der Auswertung des Schaltersignals gibt es nur entweder -- oder. Kann man den Schalter aber übergehen, ist nur noch der Log-In-Prozess als Barriere vorhanden bzw. nutzbar.
Alternativ kannst du ja auch nach einem managebaren Switch suchen, der Port Security beherscht. Da ist der Port bei Anschaltung eines Fremdgerätes sofort deaktiviert (Cisco kann so was..). Gruß Jörg
Joerg F. schrieb: > Alternativ kannst du ja auch nach einem managebaren Switch suchen, der > Port Security beherscht. Da ist der Port bei Anschaltung eines > Fremdgerätes sofort deaktiviert (Cisco kann so was..). > > Gruß Jörg Wenn man auf Layer 2 kompromitierbar ist hat man ein ganz anderes Problem. Da der Threadersteller sein Problem unzureichend beschrieben hat gahe ich davon aus das der Threadersteller sein Problem selbst nicht verstanden hat.
Bisher sehe ich 2 Baustellen: 1.Abziehen des Steckers soll Abschaltung erzielen. Da reicht freie Leitung und Reed-Relais in Selbsthaltung im simpelsten Fall. Es schützt aber nicht den innenliegenden Switch vor bösen Spannungen. 2.Logische Sicherheit, daß später kein falsches Gerät angesteckt wird erreicht man so nicht. Da müßte man schon eine MAC abfragen oder besser Zertifikate benutzen.
Beitrag #6410044 wurde von einem Moderator gelöscht.
Beitrag #6410403 wurde von einem Moderator gelöscht.
Dieser Beitrag ist gesperrt und kann nicht beantwortet werden.
Thread beobachten
Seitenaufteilung abschalten