Surveillance Station IP-Cam sicher?

[MrLadiesman]

Hallo zusammen!

Zunächst einmal möchte ich euch informieren, dass ich auf diesem Gebiet ein Laie bin und deshalb von euch folgendes wissen möchte:

Ich habe aktuell eine IP-Cam von Instar, die auch mit der DS verbunden ist und somit auch sauber läuft. D.h. ich kann die Cam entweder über die SS bsteuern/bedienen oder über die Cam direkt (eingebaute DDNS-Adresse). Von unterwegs greife ich auf die Cam per App (DS Cam oder InstarVision). Alles soweit i.O. Doch ich habe so meine Bauchschmerzen bezüglich der Sicherheit. Ich habe einige Fragezeichen im Kopf und hoffe, dass ihr mir helfen könnte.

Die Cam hat eine eingebaute DDNS-Adresse, mit der ich von außen auf die Cam zugreifen kann. Diese Adresse kennt der Hersteller natürlich auch. Natürlich ist der Zugang mit einem Passwort geschützt. D.h. rufe die genannte Adresse auf, gebe mein Passwort ein und komme auf die Cam. Doch ich traue der Sache nicht so ganz. Es kommt mir (als Laie) so vor, als ob der Hersteller mit einem kaum nennenswertem Aufwand sich auf meine Cam zuschalten kann, da ich ja das Passwort auf "seiner" Seite eingebe und die er ganz leicht "mitlesen" kann. Ich komme mir vor wie beim Online-Banking, wo ich meine PINS/TANS auf einer Seite eingebe, die ein Hacker vorbereitet hat und er somit Zugriff auf meine Konto hat.

Jetzt könnte ich auch die Cam direkt über die SS steuern/bedienen und die eingebaute DDNS-Adresse der Kamera nicht nutzen (stelle ich mir jetzt mal so vor). Doch aus diesem Grund möchte/muss ich die URL des Herstellers nutzen.

Übertreibe ich oder habe ich Recht? Oder mache ich etwas falsch? Oder ist meine Konstellation genauso Unsicher wie jeder andere Bereich im Internet/Leben?

Danke.

 

[cp389]

Übertreibe ich oder habe ich Recht?

Weder noch. Das ist wohl eher eine Frage der inneren Einstellung.

Meine Meinung zum Thema:
Ich würde die Cam niemals direkt von außen erreichbar machen. Ich kann mich noch gut daran erinnern, dass vor ein/zwei Jahren massig Webseiten online gingen, auf denen IP-Cams gesammelt wurden, die über irgendeinen Bug verfügten und somit frei zugänglich waren.

Mit deinem Link wolltest Du sicher darauf hinweisen, dass Du nur über den Online-Zugang zur Cam die Bewegungserkennung zu- und abschalten kannst, da die SS diese Funktion nicht über die APP bietet. Doch dafür musst Du sie nicht zwangsläufig von außen erreichbar machen.
Wie wäre es mit einer VPN-Lösung? Jedes vernünftige Smart-Phone ist in der Lage, eine VPN-Verbindung zu wählen. Damit kommst Du ganz leicht in dein lokales Netzwerk und kannst über die IP-Adresse wieder auf die Cam zugreifen. VPN gilt als einigermaßen sicher und wie Du sicher mitbekommen hast, von sehr vielen auch eingesetzt.

Das handhabe ich übrigens mit allem so, was sich bei mir im Netzwerk befindet. Es werden keinerlei Ports weitergeleitet, aber über VPN ist alles erreichbar.

 

[Janniman]

Sehr schöne Diskussion! Ich muss mich ernsthaft fragen, ob ich cp389 nicht folgen soll. Auch ich habe etliche Ports freigeschaltet (deren 62), um RTSP, Audio auf RTSP, oder die Kameras direkt erreichen zu können.

Leider ist es mit dem VPN nicht soooo toll, da mobile Geräte einen erheblich schlechteren Durchsatz aufweisen, somit gute Bilder der Cams kaum zu erhalten sind. Gibt es da Tricks das VPN "aufzubohren" z.B. bei der FritzBox. Bei meinem Lancom-Router ist es kein Problem, aber der Flaschenhals sind immer die mobilen Datenstrecken.

Gute Diskussion, bitte weiter machen!

Jan

 

[ds_214_user]

Die Frage von MrLadiesman brennt mir auch unter den Nägeln. Bisher war ich der Meinung, dass bei Zugriffen von außerhalb die jeweiligen Ports im Router freigegeben sein müssen. Soll heißen die IpCam ist auf Port 81 ansprechbar, so muss dieser im Router auch offen sein. Ist aber bei mir nicht der Fall. Einzig Port 551 für VPN ist offen und trotzdem ist die Cam ohne VPN aus dem Internet zu erreichen. Die einzige Lösung ist, die mir dazu einfällt, den herstellereigenen DDNS- Server auf eine Blacklist zu setzen und im Router zu filtern. Bei Vstarcam kann man eigentlich in der Kamerakonfiguration diesen Service abwählen, bloß das sich der Cam-Server nicht drum schert, ob der Haken gesetzt ist oder nicht. Das Ding ist immer von außen erreichbar.

 

[Frogman]

Bisher war ich der Meinung, dass bei Zugriffen von außerhalb die jeweiligen Ports im Router freigegeben sein müssen. .

Was grundsätzlich auch richtig bleibt. Was hier offenbar hereinspielt, ist etwas in der Art, wie es auch von Synology bei seinem QuickConnect genutzt wird. Dabei erfolgt der Verbindungsaufbau allerdings genau genommen vom internen LAN - die Kamera ruft sozusagen regelmäßig bei seinem Herstellerserver an und schaut nach Verbindungsanfragen. Wenn Du dann eine aus dem Web an die Serveradresse des Herstellers geschickt hast, wird von der Kamera über den Server die Verbindung etabliert - daher sind keine Portweiterleitungen nötig. Dass man dieses Verhalten nicht deaktivieren kann, halte ich für sehr sträflich - ein Grund, ein solches Produkt nicht zu kaufen. Hier bleibt nur das Blockieren, entweder über eine lokale Firewall oder solchen Mitteln wie bspw. der IP-basierten Kindersicherung bei Fritzboxen.

 

[cp389]

Leider ist es mit dem VPN nicht soooo toll, da mobile Geräte einen erheblich schlechteren Durchsatz aufweisen, somit gute Bilder der Cams kaum zu erhalten sind.

Sicherheit geht bei mir IMMER vor (Zusatz-) Funktion.

Ich kann der ganzen Sache mit DS Cam ohnehin nicht so viel abgewinnen. Ich schau ja nicht den ganzen Tag drauf, insofern hab ich immer nur eine Momentaufnahme. Wenn ich die Verbindung trenne und dann erst jemand einbricht, hab ich es auch nicht mitbekommen.
Und wenn ich im Urlaub bin und sehe, dass jemand eingebrochen ist, ist der Urlaub gelaufen, obwohl der Rückflug vielleicht erst in einer Woche geht. Somit hänge ich eine Woche im Urlaub herum, kann ihn nicht genießen und mache mir Gedanken. Also wozu das Ganze?

Wenn Ihr mich fragt - manche Sachen bringen garnicht den Mehrwert, den sie versprechen, also verzichte ich darauf.

 

[süno42]

Ich kann nur davon abraten IP-Kameras direkt aus dem Internet erreichbar zu machen. Die Software unterliegt vermutlich keiner so sorgfältigen Qualitätskontrolle. Hinweise liefert hierzu folgendes:

• Mehrere Hersteller stehen im Wettbewerb, während die Kameras mehr oder weniger ähnlichen Funktionen aufweisen.
• Die Software kommt oftmals aus Fernost, dort zählt oftmals, wer der billigste Entwickler ist.
• Stellen die Hersteller regelmäßig aktualisierte Software bereit, bei der die Änderungen dargelegt wurden? Vermutlich nicht.
• Handelt es sich bei dem jeweiligen Hersteller um den Kernbereich seiner Entwicklungen oder nur um ein (zugekauftes) Nischenprodukt.
• …

Ich möchte da mal die Parallele zu einem bekannten Hersteller von DSL-Routern ziehen, welcher in der Vergangenheit immer wieder durch ähnliche Sicherheitslücken und Hintertüren in seinen DSL-Routern aufgefallen ist. Dieser offeriert auch noch diverse andere Produkte. Einige wissen bestimmt wen ich meine…

Daher meine Empfehlung, die einige hier auch schon gesagt haben: Verbindung ins Internet unterbinden und Erreichbarkeit über VPN herstellen.

 

[ds_214_user]

Da hat Frogman meine Vermutung bestätigt. Mir war bloß nicht klar, woher der Herstellerserver meine aktuelle IP bezieht. Wenn die Cam ständig nach Hause telefoniert, wird einiges klar. Dann werde ich mich doch noch einmal mit der Kindersicherung der Fritzbox befassen müssen. Zumal bei einer Supportanfrage seitens Vstarcam nach der UID der Cam gefragt wurde. Da schwante mir schon nichts Gutes. Das Passwort ist dann für den Hersteller mit Sicherheit auch kein Problem. Und fertig ist die Videoüberwachung von China aus. Aber das Problem dürften doch alle Cam´s der Preisklasse haben, da sie doch alle aus einer Region kommen bzw. die gleiche Software verwenden.

 

[MrLadiesman]

Vielen Dank für die interessanten Antworten. Ich glaube meine Befürchtung ist nicht unbegründet. Ich fühle mich zur Zeit unwohl, solange die Cam von außen über eine URL des Herstellers aufgerufen werden kann. Da ich (wie gesagt) ein Neuling in diesen Bereich bin, würde ich mich freuen, wenn ihr mir kurz erklären könntet, wie ich die Situation besser gestalten kann. Ich habe bisher folgendes verstanden: IP blockieren, das "Nach-Hause-Telefonieren" unterbinden, VPN aufbauen usw.
Vielleicht könntet ihr mir etwas genauer die genannten Punkte erläutern (wie genau, was genau, wo genau)?

Danke.

 

[Frogman]

Wenn Du eine Fritzbox besitzt, kannst Du bspw. über die Kindersicherung die IP der Kamera komplett für den Internetverkehr sperren, andere Router haben gewöhnlich ähnliche Funktionen. Damit kannst Du die Kamera nur noch von außen über Softwaretools wie zB. Surveillance Station o.ä. nutzen.

 

[molfa]

Alternative: DMZ aufbauen

Neben dem schon aufgezeigten Weg, die Router-Firewall entsprechend zu konfigurieren (z.B. Kindersicherung der Fritzbox), würde ich eine weitere Alternative empfehlen: das Hausnetz in zwei separate Netze zu unterteilen. In das Netz direkt hinter dem Internetzugangsrouter kommen alle potentiell unsicheren Geräte, die Portweiterleitungen benötigen oder von sich aus "nach Hause telefonieren" und dabei keine Sicherungs-Mechanismen besitzen (z.B. IP-Cams, Drucker mit "Internet-Print", billlige NAS). Per se gibt es natürlich keine sicheren Geräte, da auch ein PC ständig "nach Hause telefoniert". Aber bei PCs ist das Bedohungspotential normalerweise nicht ganz so groß (da Firewall, Virenscanner, regelmäßige Updates).

Hinter dem Internetzugangsrouter betreibt man dann einen weiteren internen Router (kann auch wieder ein preiswerter NAT-Router sein), hinter dem dann alle Nutzer-PCs und weitere sicherungswürdigen Geräte stehen. Im internen Router lässt sich dann die Firewall ohne große Schlupflöcher (Portweiterleitungen usw.) konfigurieren.

Ein solches Setup hat u.U. ein paar Nachteile bzg. Flexibilität und Konfigurationsaufwand, da sich Geräte, die miteinander reden wollen, plötzlich in verschiedenen Subnetzen wiederfinden könnten (ein No-Go für Geräte die über Broadcast kommunizieren/Autodiscovery benötigen wie Medienserver usw.). Es ist deshalb nicht universell empfehlenswert.

Insgesamt verstärkt man damit aber die Heimnetz-Sicherheit beträchtlich.

 

[cp389]

So viel sicherer ist das eigentlich nicht. Eindringen ist zwar dann schwieriger, aber da ja auch das zweite Netz mit dem Internet-Router verbunden ist, gelangen die Datenströme trotzdem ins Netz.
Das Hauptproblem ist ja, dass die Geräte von sich aus die Verbindung aufbauen und es somit kein von Außen initiierter Datenstrom ist.

 

[molfa]

So viel sicherer ist das eigentlich nicht. Eindringen ist zwar dann schwieriger, aber da ja auch das zweite Netz mit dem Internet-Router verbunden ist, gelangen die Datenströme trotzdem ins Netz.
Das Hauptproblem ist ja, dass die Geräte von sich aus die Verbindung aufbauen und es somit kein von Außen initiierter Datenstrom ist.

Für das betroffene, potentiell unsichere Gerät (IP-Cam), bedeutet es natürlich keine Verbesserung der Sicherheit, aber für alle anderen Geräte im Heimnetz definitiv. Sollte die IP-Cam (oder jedes andere nicht-smarte Gerät im immer weiter um sich greifenden Internet der Dinge) kompromittiert werden - und damit sollte man heutzutage immer rechnen - dann hat der Angreifer sich einen Brückenkopf im Heimnetz geschaffen. Da ist es gut zu wissen, dass das interne Netz durch einen weiteren Intranet-Router mit Firewall abgeschottet bleibt. In Zukunft werden noch viel mehr Geräte im Heimnetz eingebunden werden (Kühlschränke, Lampen ...), die wahrscheinlich selten bis nie ein Firmware-Update erhalten und meistens schon von Haus aus unsicher sind. Da ist es m.E. besser, man hat eine zusätzliche Sicherheitszone.

Mal abgesehen davon, würde ich auch den Internetzugangsrouter nicht als Bestandteil meines Heimnetzes betrachten wollen, weil die Internet-Provider da in vielen Fällen schalten und walten können, wie sie wollen. Aber da komme ich inzwischen wahrscheinlich zu weit weg vom eigentlichen Thema.