Toggle sidebar

Surveillance Station Absicherung Webstream wie?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

SoniX

Benutzer
Registriert
14. Okt. 2010
Beiträge
821
Reaktionspunkte
62
Punkte
48
Hallo,

Ich setze seit kurzem die Surveilance Station ein und nutze um mit das Livebild anzusehen den Webstream.

Der hat das Format:
http://domain.dlt:9900/webapi/entry...ormat=mjpeg&cameraId=1&StmKey=%einpaarZahlen"

Ich bin bisher davon ausgegangen dass ich den Stream nur sehen kann wenn ich auch im DSM eingeloggt bin bzw dass der in der URL enthaltene key ein Sessionkey ist.
Nun aber habe ich gemerkt ich kann die URL immer aufrufen, ganz egal ob ich eingeloggt bin oder nicht. Selbst mit gelöschten Cookies und frischem Browser bekomme ich direkt das Bild des Streams geliefert.

Wieso ist das ganze denn nicht abgesichert bzw wie kann ich das absichern?

Mir gefällt das so überhaupt nicht wenn da jeder mit der richtigen URL direkt darauf zugreifen kann.
Ich erwarte da schon ein einloggen ins DSM oder in die Surveilance Station mit dem entsprechenden User damit ich da Zugriff habe.

Danke und liebe Grüße

Edit:
Wenn ich folgende URL aufrufen möchte, dann kommt wie ich es erwarte eine Fehlermeldung wenn ich nicht eingeloggt bin.
URL: http://domain.dlt:9900/webman/3rdparty/webcam/webcam.cgi
Fehlermeldung: Not authorized. Must either be logged in as user 'admin', or IP must be localhost.

So soll es auch sein! Aber wieso klappts mit der anderen URL ohne einloggen??
 
Zuletzt bearbeitet:
SoniX schrieb:
...domain.dlt:9900/webapi/entry.cgi?...&StmKey=%einpaarZahlen%22
Zum Vergrößern anklicken....
"einpaarZahlen" heißt doch nichts anderes, als dass man Kenntnis eines Geheimnisses haben muss, analog zu einer Benutzerkennung. Verstehe also
SoniX schrieb:
...Mir gefällt das so überhaupt nicht wenn da jeder mit der richtigen URL direkt darauf zugreifen kann.
Zum Vergrößern anklicken....
nicht wirklich, denn die URL kennt man nur, wenn man sich zuvor korrekt authentifiziert hat.
 
Nun, ich nahm an diese Zahlen wären an eine Session gebunden, die Zahlen würden sich immerwieder ändern. Tun sie aber nicht. Das ist ein fixer vorgegebener key der immer funktioniert.

Wenn irgendjemand Kenntnis von diesem key hat hat er vollen Zugriff. Ich weiß ja nichtmal wie dieser key generiert wird, wer weiß ob der überhaupt zufällig ist. Desweiteren sind es bloß Zahlen was in keinster Weise an die Stärke eines vernünftiges Passwortes herankommt.

Das ist in meinen Augen nicht tragbar. Man errät es zwar nicht mal eben so, sicher sind paar Zahlen aber auch nicht.

Man muss den Stream ja irgendwie besser absichern können oder?

Da greift ja nichtmal der DSM Schutz fürs falsch einloggen und dessen IP Sperre.
 
SoniX schrieb:
Wenn irgendjemand Kenntnis von diesem key hat hat er vollen Zugriff.
Zum Vergrößern anklicken....
Den Zugriff hätte jemand auch bei Kenntnis des Passwortes. Ich weiß jetzt nicht, um wie viele Zahlen es sich hier dreht... - aber wenn Du Dir Gedanken um Sicherheit machst, dann darf ich Deinen Blick vielleicht einmal darauf lenken, dass Du dabei einen unverschlüsselten http-Aufruf verwendest - hier wäre https besser bzw. noch besser, den Port 9900 extern gar nicht verfügbar zu machen, um das Ganze über einen VPN-Tunnel abzuwickeln.
 
Ja, unverschlüsselt deswegen weil es sonst mit dem Stream nicht klappt. Für die Videostation gilt leider das gleiche.
Mit einem verschüsselten Videostream kann man leider nichts anfangen.

In einem VPN hängt das Ganze schon. Zugänglich von Aussen ists trotzdem.

Aber Kommando zurück. Der key ist ein Sessionkey!
Inzwischen war er ausgelaufen und durch einen neuen ersetzt.

Wieso das erst jetzt so war und nicht nachdem ich mich ausgeloggt hatte/einen anderen Browser genutzt hatte/Cookies gelöscht hatte, weiß ich aber nicht.
Scheint wohl einen eigenen Timer irgendwo zu haben.

Danke trotzdem für die Hilfe Frogman! :-)
 
Na, dann darfst Du Dich jetzt aber nicht wundern, wenn Du mal Besuch auf der DS hast (und damit meine ich nicht nur jemand, der den Stream anschaut) - denn wenn Du weiter unverschlüsselt von extern auf die Station zugreifst (wobei die Benutzerkennung in Klartext übertragen wird), ist es ein Leichtes, das mitzulesen.
 
Frogman schrieb:
Na, dann darfst Du Dich jetzt aber nicht wundern, wenn Du mal Besuch auf der DS hast (und damit meine ich nicht nur jemand, der den Stream anschaut) - denn wenn Du weiter unverschlüsselt von extern auf die Station zugreifst (wobei die Benutzerkennung in Klartext übertragen wird), ist es ein Leichtes, das mitzulesen.
Zum Vergrößern anklicken....

Die DS ansich verbindet sich verschlüsselt zu einem VPN Server. Also auch wenn ich da unverschlüsselt über Port 9900 zugreife, bis ins Netz des VPN Servers ist alles verschlüsselt. Und da ich selbst im VPN Netz bin kann da von Ausserhalb keiner mitlesen.

Es ist schon alles gut abgesichert. ;-)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten