paddycarlos
Goto Top

Port freigeben für Kamerasystem

Hallo!

Wir haben zuhause ein Überwachungskamerasystem. Also IP-Cams, die an einem entsprechenden Rekorder angeschlossen sind (fest per Kabel, also keine Funkkameras).

Um jetzt per Internet von außerhalb (z.B. über iPad-App) drauf zugreifen zu können, muss ja im Router der Port 80 freigegeben werden und dann auf die interne IP des Rekorders verweisen.

Ohne Freigabe geht sowas halt von außerhalb nicht. Meine Frage ist jetzt, wie gefährlich das ist und ob wir das eher nicht tun sollten. Worauf könnten dann theoretisch Hacker, Malware, Viren etc. zugreifen und was könnten sie alles in unserem Netzwerk anstellen?

Und: Mal angenommen, ich würde den Port im Router immer nur dann öffnen, wenn wir beispielsweise im Urlaub sind und so länger außer Haus. In dieser Zeit wären an unserem Internet zuhause dann ja i.d.R. keine PCs dran. Dann könnte während dieser Zeit ja auch zumindest über diese PCs auch nichts/keiner "rein", oder?

Oder kann z.B. was in den Router, dort "schlummern" und sobald später wieder ein PC ins Netzt kommt, dort drauf?

Sorry für die dummen, laienhaften Fragen, aber was will man machen... face-sad

Content-ID: 277921

Url: https://administrator.de/forum/port-freigeben-fuer-kamerasystem-277921.html

Ausgedruckt am: 27.12.2024 um 01:12 Uhr

jsysde
jsysde 21.07.2015 um 11:54:20 Uhr
Goto Top
Moin.

Ihr solltest das eher nicht tun - aus mehreren Gründen.

Erstens:
Ist der Zugang zum Rekorder passwortgesichert?
Wenn nein - absolutes KO-Kriterium.

Wenn doch - Port 80 ist unverschlüsseltes http, da kann "jeder" mitlesen, auch Username und Passwort. Hier _muss!_ Port 443, also https genutzt werden, damit es einigermassen "sicher" wird. Wenn der Rekorder kein https kann: Noch ein KO-Kriterium.

Ohne zu wissen, um welchen Rekorder es sich handelt, kann man natürlich nur über dessen Fähigkeiten/Möglichkeiten spekulieren. Wäre auch gut zu wissen, welcher Router zum Einsatz kommt.

Um das ganze "wasserdicht" zu bekommen, wäre eine VPN-Verbindung ein gangbarer Weg; wie gesagt, ohne den Router zu kennen keine Aussage dazu, ob das darstellbar ist.

Cheers,
jsysde

P.S.:
Der "Rest" deines Netzes bleibt "sicher", eine Portweiterleitung leitet Paketet nur an die definierte IP-Adresse innerhalb des LANs weiter. Was Malware dann mit dem Gerät anstellen kann, das erreichbar gemacht wurde ist Glaskugelleserei ohne weitere Info....
Achja, die aktuellen Schwachstellen diverser Router sollte man natürlich auch nicht ausser Acht lassen.
PaddyCarlos
PaddyCarlos 21.07.2015 um 12:47:53 Uhr
Goto Top
Hallo,

danke für deine schnelle Antwort. Also der Rekorder (Zugang dazu) ist schon Passwort geschützt. Geht man über einen Browser statt über die App, dann sogar noch mit Captcha-Abfrage. Zudem kann man den angelegten Usern Berechtigungen zuweisen.

Unser Router ist ein Dlink-Router.

Bedeutet das also, dass im schlimmsten Fall ausschließlich der Rekorder gefährdet wäre, nicht aber die restlichen Geräte im Netz (PCs usw.)? Im Router selbst habe ich eingestellt, dass er dem Rekorder intern immer dieselbe IP zuweisen soll. Damit ist zumindest sichergestellt, dass der Port immer an den Rekorder leitet. Ist das richtig?
eisbein
eisbein 21.07.2015 um 12:49:34 Uhr
Goto Top
Mahlzeit!

Wenn eine fixe öffentliche IP vorhanden ist, würde ich da auch sehr aufpassen. Es soll Personenkreise geben, die derlei öffentliche IP-Adressen regelmäßig scannen...!

Bei VPN sollte beachtet werden, dass dafür doch schon eine "gute" Breitbandverbindug zur Verfügung stehen sollte, da VPN einiges an Ressourcen frisst.

Man sollte auch nicht unbedingt WAN-Seitig Port 80 verwenden, bessern einen sehr hohen Port (>30000) und dann den Router intern auf Port 80 weiter leiten.
Standard-Port würde ich für solche Zwecke nicht empfehlen.

Sonst kann ich mich @jsysde anschließen!

Gruß
Eisbein
aqui
aqui 21.07.2015 um 18:41:49 Uhr
Goto Top
muss ja im Router der Port 80 freigegeben werden und dann auf die interne IP des Rekorders verweisen.
Richtig und damit kann dann auch die ganze Welt dabei zusehen was die Kameras aufnehmen.
Wenn du das nicht willst solltest du besser wenigstens eine Port Verschleierung sprich Port Translation machen !!
Dazu verwendet man alle Ports zwischen 49152 bis 65535. Das hält wenigstens die meisten Port Scanner und Skript Kieddies einigermaßen ab, sicher ist es aber nicht.
Wenn der Port entdeckt ist kommt wieder jeder auf die Kamera.
Port Translation geht dann so das der Router eingebend Port TCP 50081 auf TCP 80 lokale IP 1 (Kamera 1) umsetzt dann Port TCP 50082 auf TCP 80 lokale IP 2 (Kamera 2) usw. usw.
Von extern gibst du dann im Brower ein: http://<router_oder_DynDNS_IP>:50081 und lamdest auf der ersten Kamera. 50082 ür die 2te usw.

Wie gesagt vollkommen unsicher und die Kameradaten werden unverschlüsselt und vollkommen offen übertragen.
Besser ist du verwendest ein VPN dafür was mit entsprechender Hardware im Handumdrehen aufgesetzt ist.
Damit ist der Kamaerzugriff dann sicher geschützt:
Entsprechende Tutorials zu dem Thema:
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die üblichen 3 VPN Klassiker.
Ein VPN Client hat heute jedes OS und Smartphone von Haus aus an Bord.
PaddyCarlos
PaddyCarlos 22.07.2015 um 15:20:25 Uhr
Goto Top
Danke für die Antworten. Einiges möchte ich aber nochmal geraderücken:

1. Nach außen ist die IP gar nicht fix, sondern dynamisch. Das wäre aber eher kein Problem gewesen, denn so oft ändert die sich auch nicht und dafür gibt es ja auch Lösungen...

2. Die Kameras, wie auch der Rekorder, sind schon noch über User, PW und Captcha geschützt für den Zugriff - also so komplett offen ist es auch nicht. Steht aber alles schon oben...

3. Selbst wenn jeder im Netz "nur" sehen könnte, was auf den Kameras ist, wäre das in diesem Fall grundsätzlich noch völlig schnurz, denn wir filmen uns ja nicht selbst drinnen oder im Garten, sondern unseren Eingang bzw. die Garagenzufahrt.

Wenn ich das alles oben so lese, dann ist es ja fast so, als wären wir Fort Knox und jeder wartet nur drauf, zu sehen, dass vorm Haus eine Biene rumfliegt. :D

Mal im ernst... es geht ja grundsätzlich nur darum, dass keiner (so leicht) auf einem angeschlossenen, im Netzwerk befindlichen PC schnüffeln kann oder einen Trojaner etc. drauf packen kann. Wenn das alleine durch die Portfreigabe für den Rekorder ganz einfach zu realisieren ist, dann lassen wir es halt.

Das bringt uns ja nicht um. Nur sieht man dann nach dem Urlaub halt eben erst Wochen später, dass ggf. jemand ums Haus geschlichen ist, der dort nichts verloren hat... Und das ist schon blöd. face-sad

Aber dann wären ja auch all diese fernsteuerbaren Rollläden usw. die es gibt und die so beworben werden völlig für die Katz', wenn dazu nötig wäre, solch ein Risiko zu schaffen. Denn solche Sachen können ja dann wohl auch nur mit Portfreigaben funktionieren, oder sehe ich das falsch?
114757
114757 22.07.2015 aktualisiert um 15:55:07 Uhr
Goto Top
Moin PaddyCarlos,
du übersiehst dabei ein wichtiges Detail was eine schwerwiegende Sicherheitslücke für dein gesamtes Netzwerk sein kann. Nämlich wenn der Fall Auftritt ( den es schon diverse Male bei Herstellern aus Fernost gab), und eine Sicherheitslücke bei dem Embedded System der Kamera auftritt, kann ein Angreifer erstens die Kamera kontrollieren und zweitens eine Malware auf der Kamera einbringen die eurere Rechner im Netz infiziert sobald man den Webserver der Kamera ansteuert.

Also, Embedded Systeme gehören wie @aqui sagt grundsätzlich durch VPNs geschützt, alles andere ist grob fahrlässig, und immer eine Gefahr für dein gesamtes Netzwerk!! Denn ist der Angreifer erst mal in deinem Netz und kann das OS der Kamera manipulieren (darauf läuft meist Linux, und dort stehen einem Tools en masse zur Verfügung) stehen ihm alle Wege offen, auch z.B. euren Router zu manipulieren.

Solche Angriffe sind mit Nichten selten, Otto-Normalverbraucher bekommen davon normalerweise ja nichts mit, aber wenn man mal ein ausführliches Firewall-Log eines Routers der im Internet hängt studiert, würdest du sofort anders denken!

Denn solche Sachen können ja dann wohl auch nur mit Portfreigaben funktionieren, oder sehe ich das falsch?
Quatsch, heutzutage ist VPN gang und gebe und man sollte es nutzen wann immer es geht. Jedes Smartphone ist dazu in der Lage, also ein Zugriff auch von mobilen Devices kein Problem mehr!

Embedded Systeme sind, dadurch das sie meist von den Herstellern nur sehr sehr mager mit neuen Firmeware-Versionen versorgt werden, wenn überhaupt, immer als Sicherheitsrisiko einzustufen und deshalb immer in einem VPN zu betreiben.

Was glaubst du warum in den letzten Jahren rausgekommen ist das SCADA Systeme die Anlagen wie Kraftwerke Steuern in Verruf geraten sind, weil sie meistens ungeschützt im Internet gehangen haben und oft auch noch tun. Wenn dann ein Hacker durch Reverse Engineering ein einprogrammiertes universales Passwort für dieses System entdeckt, na dann ist die Katastrophe da ... wäre das System durch ein VPN geschützt gewesen hättest du damit keine Probleme da das Device nicht direkt im Internet hängt.

Also, hör auf die Profis hier im Forum und beherzige die Vorschläge ... Machen wir ja aus gutem Grund und diversen Erfahrungen bei Kunden face-wink

Gruß jodel32
PaddyCarlos
PaddyCarlos 23.07.2015 aktualisiert um 01:25:13 Uhr
Goto Top
@114757:

Glauben tue ich euch eh, das ist kein Ding. Wollte ja nur damit sagen, dass ich es nicht ganz blank habe. Da ich Laie bin, habe ich keinen Plan, wie ich das mit dem VPN machen soll. Warum genau ist das sicher und kann trotzdem dann von außerhalb genuzt werden?

Und nochmal ganz blöd, weil ich jetzt komplett kirre bin: Der interne Zugriff (von meinem WLAN oder halt per Kabel aus) ist es aber völlig unbedenklich, wenn ich auf den Rekorder zugreife mit PC oder iPad beispielsweise? Ich hoffe, da ist jetzt bei meinen Tests mit der Portfreigabe nicht schon was passiert!
jsysde
jsysde 23.07.2015 um 08:45:40 Uhr
Goto Top
Moin.
Zitat von @PaddyCarlos:
[...]wie ich das mit dem VPN machen soll. Warum genau ist das sicher und kann trotzdem dann von außerhalb genuzt werden?
https://de.wikipedia.org/wiki/Virtual_Private_Network
Ein VPN ist ein verschlüsselter Tunnel zwischen zwei Geräten, durch den Daten für die Aussenwelt unzugänglich ausgetauscht werden. Ob dein nicht näher bezeichneter D-Link Router das aber hergibt?

Und nochmal ganz blöd, weil ich jetzt komplett kirre bin: Der interne Zugriff (von meinem WLAN oder halt per Kabel aus) ist
es aber völlig unbedenklich, wenn ich auf den Rekorder zugreife mit PC oder iPad beispielsweise?
Intern ist das kein Problem, solange du dein WLAN mit einem entsprechend sicheren WPA2-Passwort geschützt hast (nur so kannst du dein WLAN vor ungebetenen Gästen schützen).

Ich hoffe, da ist jetzt bei meinen Tests mit der Portfreigabe nicht schon was passiert!
Die Frage kann dir von hieraus niemand beantworten - ich halte es für unwahrscheinlich, technisch möglich wäre es aber, s. die Ausführungen von @aqu und @114757.

Last but not least:
War D-Link nicht auch einer der Hersteller mit Backdoor in der Router-Firmware?
Du solltest mal nach der Firmware/dem Softwarestand deines Routers schauen und beim Hersteller die aktuellste Version runterladen - just to be sure.

Cheers,
jsysde
PaddyCarlos
PaddyCarlos 23.07.2015 aktualisiert um 14:50:12 Uhr
Goto Top
Beim iPad gibt es ja einen Menüpunkt "VPN" wo man das wohl nutzen kann. Aber wo bekomme ich diese Daten her, die ich dort eintragen muss? Was brauche ich denn alles, um ein VPN einzurichten, über das ich dann später u.a. über das iPad auf mein Kamerasystem zugreifen kann und das Ganze dann sicher ist?

Was ich nicht verstehe: Muss ich mich da irgendwo im Internet anmelden und was kostet mich das?
jsysde
jsysde 23.07.2015 aktualisiert um 22:22:16 Uhr
Goto Top
N'Abend.
Zitat von @PaddyCarlos:
Was ich nicht verstehe: Muss ich mich da irgendwo im Internet anmelden und was kostet mich das?
Genau das solltest du nicht tun!
Ein VPN wird direkt vom Engerät -hier deinem iPad- zum Router aufgebaut. Ob und wie das eingerichtet werden kann, hängt also sehr stark vom Routermodell ab, dessen Bezeichnung du uns ja noch nicht genannt hast.

Und Anleitung dazu finden sich hier, per google etc. sicherlich in mehr als ausreichender Anzahl.

Cheers,
jsysde

EDITH:
Und natürlich kostet ein VPN an sich auch nix; ggf. musst du dir aber einen VPN-Client kaufen, falls das Endgerät nativ keinen VPN-Tunnel aufbauen kann.
PaddyCarlos
PaddyCarlos 23.07.2015 um 23:40:27 Uhr
Goto Top
Sorry, habe ich ganz verpeilt. Es ist ein D-Link DI-524 Router. Meinst du mit Endgerät den Router oder letztlich den Rekorder. Ist der VPN-Client also ein Hardwaregerät, das gebraucht wird? Ich befürchte, der Rekorder kann das nicht... müsste ich in der Bedienungsanleitung mal nachschauen.
jsysde
jsysde 24.07.2015 um 08:46:11 Uhr
Goto Top
Moin.
Zitat von @PaddyCarlos:
Sorry, habe ich ganz verpeilt. Es ist ein D-Link DI-524 Router.
Damit lässt sich kein brauchbares VPN aufspannen, der "spicht" kein IPSEC. Da müsstest du dir was anderes zulegen, ggf. nen RasPi hinterm Router und den Tunnel darüber aufbauen.

Meinst du mit Endgerät den Router oder letztlich den Rekorder.
Engeräte wären der Router und dein iPad, der Rekorder (und alle anderen Geräte im Netz) hat damit nix zu tun.

Ist der VPN-Client also ein Hardwaregerät, das gebraucht wird?
Nein, ein VPN-Client ist ein Stück Software.

Aber wie oben schon gesagt kommst du mit deinem Router nicht weit; evtl. schaut ja @aqui nochmal hier rein und kann nen Tipp geben, wie du ohne Routerneukauf ein brauchbares VPN aufbauen kannst.

Cheers,
jsysde
PaddyCarlos
PaddyCarlos 24.07.2015 aktualisiert um 10:04:57 Uhr
Goto Top
Hmm... Also wenn ich auf den Router gehe unter Tools > Verschiedenes, dann steht dort schon unter "VPN Pass-Trough" "Erlaubt VPN-Verbindungen über den DI-524" und darunter, dass zum einen PPTP und auch dieses IPSec jeweils aktiviert seien!
jsysde
jsysde 24.07.2015 um 10:56:26 Uhr
Goto Top
Moin.

"Pass-Through" erlaubt PCs in deinem LAN, VPN-Verbindungen nach aussen aufzubauen; nicht relevant für dein Szenario.
Und PPTP ist schon länger keine Option mehr, da es geknackt wurde und unsicher ist.

Cheers,
jsysde