Port freigeben für Kamerasystem
Hallo!
Wir haben zuhause ein Überwachungskamerasystem. Also IP-Cams, die an einem entsprechenden Rekorder angeschlossen sind (fest per Kabel, also keine Funkkameras).
Um jetzt per Internet von außerhalb (z.B. über iPad-App) drauf zugreifen zu können, muss ja im Router der Port 80 freigegeben werden und dann auf die interne IP des Rekorders verweisen.
Ohne Freigabe geht sowas halt von außerhalb nicht. Meine Frage ist jetzt, wie gefährlich das ist und ob wir das eher nicht tun sollten. Worauf könnten dann theoretisch Hacker, Malware, Viren etc. zugreifen und was könnten sie alles in unserem Netzwerk anstellen?
Und: Mal angenommen, ich würde den Port im Router immer nur dann öffnen, wenn wir beispielsweise im Urlaub sind und so länger außer Haus. In dieser Zeit wären an unserem Internet zuhause dann ja i.d.R. keine PCs dran. Dann könnte während dieser Zeit ja auch zumindest über diese PCs auch nichts/keiner "rein", oder?
Oder kann z.B. was in den Router, dort "schlummern" und sobald später wieder ein PC ins Netzt kommt, dort drauf?
Sorry für die dummen, laienhaften Fragen, aber was will man machen...
Wir haben zuhause ein Überwachungskamerasystem. Also IP-Cams, die an einem entsprechenden Rekorder angeschlossen sind (fest per Kabel, also keine Funkkameras).
Um jetzt per Internet von außerhalb (z.B. über iPad-App) drauf zugreifen zu können, muss ja im Router der Port 80 freigegeben werden und dann auf die interne IP des Rekorders verweisen.
Ohne Freigabe geht sowas halt von außerhalb nicht. Meine Frage ist jetzt, wie gefährlich das ist und ob wir das eher nicht tun sollten. Worauf könnten dann theoretisch Hacker, Malware, Viren etc. zugreifen und was könnten sie alles in unserem Netzwerk anstellen?
Und: Mal angenommen, ich würde den Port im Router immer nur dann öffnen, wenn wir beispielsweise im Urlaub sind und so länger außer Haus. In dieser Zeit wären an unserem Internet zuhause dann ja i.d.R. keine PCs dran. Dann könnte während dieser Zeit ja auch zumindest über diese PCs auch nichts/keiner "rein", oder?
Oder kann z.B. was in den Router, dort "schlummern" und sobald später wieder ein PC ins Netzt kommt, dort drauf?
Sorry für die dummen, laienhaften Fragen, aber was will man machen...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277921
Url: https://administrator.de/forum/port-freigeben-fuer-kamerasystem-277921.html
Ausgedruckt am: 27.12.2024 um 01:12 Uhr
14 Kommentare
Neuester Kommentar
Moin.
Ihr solltest das eher nicht tun - aus mehreren Gründen.
Erstens:
Ist der Zugang zum Rekorder passwortgesichert?
Wenn nein - absolutes KO-Kriterium.
Wenn doch - Port 80 ist unverschlüsseltes http, da kann "jeder" mitlesen, auch Username und Passwort. Hier _muss!_ Port 443, also https genutzt werden, damit es einigermassen "sicher" wird. Wenn der Rekorder kein https kann: Noch ein KO-Kriterium.
Ohne zu wissen, um welchen Rekorder es sich handelt, kann man natürlich nur über dessen Fähigkeiten/Möglichkeiten spekulieren. Wäre auch gut zu wissen, welcher Router zum Einsatz kommt.
Um das ganze "wasserdicht" zu bekommen, wäre eine VPN-Verbindung ein gangbarer Weg; wie gesagt, ohne den Router zu kennen keine Aussage dazu, ob das darstellbar ist.
Cheers,
jsysde
P.S.:
Der "Rest" deines Netzes bleibt "sicher", eine Portweiterleitung leitet Paketet nur an die definierte IP-Adresse innerhalb des LANs weiter. Was Malware dann mit dem Gerät anstellen kann, das erreichbar gemacht wurde ist Glaskugelleserei ohne weitere Info....
Achja, die aktuellen Schwachstellen diverser Router sollte man natürlich auch nicht ausser Acht lassen.
Ihr solltest das eher nicht tun - aus mehreren Gründen.
Erstens:
Ist der Zugang zum Rekorder passwortgesichert?
Wenn nein - absolutes KO-Kriterium.
Wenn doch - Port 80 ist unverschlüsseltes http, da kann "jeder" mitlesen, auch Username und Passwort. Hier _muss!_ Port 443, also https genutzt werden, damit es einigermassen "sicher" wird. Wenn der Rekorder kein https kann: Noch ein KO-Kriterium.
Ohne zu wissen, um welchen Rekorder es sich handelt, kann man natürlich nur über dessen Fähigkeiten/Möglichkeiten spekulieren. Wäre auch gut zu wissen, welcher Router zum Einsatz kommt.
Um das ganze "wasserdicht" zu bekommen, wäre eine VPN-Verbindung ein gangbarer Weg; wie gesagt, ohne den Router zu kennen keine Aussage dazu, ob das darstellbar ist.
Cheers,
jsysde
P.S.:
Der "Rest" deines Netzes bleibt "sicher", eine Portweiterleitung leitet Paketet nur an die definierte IP-Adresse innerhalb des LANs weiter. Was Malware dann mit dem Gerät anstellen kann, das erreichbar gemacht wurde ist Glaskugelleserei ohne weitere Info....
Achja, die aktuellen Schwachstellen diverser Router sollte man natürlich auch nicht ausser Acht lassen.
Mahlzeit!
Wenn eine fixe öffentliche IP vorhanden ist, würde ich da auch sehr aufpassen. Es soll Personenkreise geben, die derlei öffentliche IP-Adressen regelmäßig scannen...!
Bei VPN sollte beachtet werden, dass dafür doch schon eine "gute" Breitbandverbindug zur Verfügung stehen sollte, da VPN einiges an Ressourcen frisst.
Man sollte auch nicht unbedingt WAN-Seitig Port 80 verwenden, bessern einen sehr hohen Port (>30000) und dann den Router intern auf Port 80 weiter leiten.
Standard-Port würde ich für solche Zwecke nicht empfehlen.
Sonst kann ich mich @jsysde anschließen!
Gruß
Eisbein
Wenn eine fixe öffentliche IP vorhanden ist, würde ich da auch sehr aufpassen. Es soll Personenkreise geben, die derlei öffentliche IP-Adressen regelmäßig scannen...!
Bei VPN sollte beachtet werden, dass dafür doch schon eine "gute" Breitbandverbindug zur Verfügung stehen sollte, da VPN einiges an Ressourcen frisst.
Man sollte auch nicht unbedingt WAN-Seitig Port 80 verwenden, bessern einen sehr hohen Port (>30000) und dann den Router intern auf Port 80 weiter leiten.
Standard-Port würde ich für solche Zwecke nicht empfehlen.
Sonst kann ich mich @jsysde anschließen!
Gruß
Eisbein
muss ja im Router der Port 80 freigegeben werden und dann auf die interne IP des Rekorders verweisen.
Richtig und damit kann dann auch die ganze Welt dabei zusehen was die Kameras aufnehmen.Wenn du das nicht willst solltest du besser wenigstens eine Port Verschleierung sprich Port Translation machen !!
Dazu verwendet man alle Ports zwischen 49152 bis 65535. Das hält wenigstens die meisten Port Scanner und Skript Kieddies einigermaßen ab, sicher ist es aber nicht.
Wenn der Port entdeckt ist kommt wieder jeder auf die Kamera.
Port Translation geht dann so das der Router eingebend Port TCP 50081 auf TCP 80 lokale IP 1 (Kamera 1) umsetzt dann Port TCP 50082 auf TCP 80 lokale IP 2 (Kamera 2) usw. usw.
Von extern gibst du dann im Brower ein: http://<router_oder_DynDNS_IP>:50081 und lamdest auf der ersten Kamera. 50082 ür die 2te usw.
Wie gesagt vollkommen unsicher und die Kameradaten werden unverschlüsselt und vollkommen offen übertragen.
Besser ist du verwendest ein VPN dafür was mit entsprechender Hardware im Handumdrehen aufgesetzt ist.
Damit ist der Kamaerzugriff dann sicher geschützt:
Entsprechende Tutorials zu dem Thema:
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die üblichen 3 VPN Klassiker.
Ein VPN Client hat heute jedes OS und Smartphone von Haus aus an Bord.
Moin PaddyCarlos,
du übersiehst dabei ein wichtiges Detail was eine schwerwiegende Sicherheitslücke für dein gesamtes Netzwerk sein kann. Nämlich wenn der Fall Auftritt ( den es schon diverse Male bei Herstellern aus Fernost gab), und eine Sicherheitslücke bei dem Embedded System der Kamera auftritt, kann ein Angreifer erstens die Kamera kontrollieren und zweitens eine Malware auf der Kamera einbringen die eurere Rechner im Netz infiziert sobald man den Webserver der Kamera ansteuert.
Also, Embedded Systeme gehören wie @aqui sagt grundsätzlich durch VPNs geschützt, alles andere ist grob fahrlässig, und immer eine Gefahr für dein gesamtes Netzwerk!! Denn ist der Angreifer erst mal in deinem Netz und kann das OS der Kamera manipulieren (darauf läuft meist Linux, und dort stehen einem Tools en masse zur Verfügung) stehen ihm alle Wege offen, auch z.B. euren Router zu manipulieren.
Solche Angriffe sind mit Nichten selten, Otto-Normalverbraucher bekommen davon normalerweise ja nichts mit, aber wenn man mal ein ausführliches Firewall-Log eines Routers der im Internet hängt studiert, würdest du sofort anders denken!
Embedded Systeme sind, dadurch das sie meist von den Herstellern nur sehr sehr mager mit neuen Firmeware-Versionen versorgt werden, wenn überhaupt, immer als Sicherheitsrisiko einzustufen und deshalb immer in einem VPN zu betreiben.
Was glaubst du warum in den letzten Jahren rausgekommen ist das SCADA Systeme die Anlagen wie Kraftwerke Steuern in Verruf geraten sind, weil sie meistens ungeschützt im Internet gehangen haben und oft auch noch tun. Wenn dann ein Hacker durch Reverse Engineering ein einprogrammiertes universales Passwort für dieses System entdeckt, na dann ist die Katastrophe da ... wäre das System durch ein VPN geschützt gewesen hättest du damit keine Probleme da das Device nicht direkt im Internet hängt.
Also, hör auf die Profis hier im Forum und beherzige die Vorschläge ... Machen wir ja aus gutem Grund und diversen Erfahrungen bei Kunden
Gruß jodel32
du übersiehst dabei ein wichtiges Detail was eine schwerwiegende Sicherheitslücke für dein gesamtes Netzwerk sein kann. Nämlich wenn der Fall Auftritt ( den es schon diverse Male bei Herstellern aus Fernost gab), und eine Sicherheitslücke bei dem Embedded System der Kamera auftritt, kann ein Angreifer erstens die Kamera kontrollieren und zweitens eine Malware auf der Kamera einbringen die eurere Rechner im Netz infiziert sobald man den Webserver der Kamera ansteuert.
Also, Embedded Systeme gehören wie @aqui sagt grundsätzlich durch VPNs geschützt, alles andere ist grob fahrlässig, und immer eine Gefahr für dein gesamtes Netzwerk!! Denn ist der Angreifer erst mal in deinem Netz und kann das OS der Kamera manipulieren (darauf läuft meist Linux, und dort stehen einem Tools en masse zur Verfügung) stehen ihm alle Wege offen, auch z.B. euren Router zu manipulieren.
Solche Angriffe sind mit Nichten selten, Otto-Normalverbraucher bekommen davon normalerweise ja nichts mit, aber wenn man mal ein ausführliches Firewall-Log eines Routers der im Internet hängt studiert, würdest du sofort anders denken!
Denn solche Sachen können ja dann wohl auch nur mit Portfreigaben funktionieren, oder sehe ich das falsch?
Quatsch, heutzutage ist VPN gang und gebe und man sollte es nutzen wann immer es geht. Jedes Smartphone ist dazu in der Lage, also ein Zugriff auch von mobilen Devices kein Problem mehr!Embedded Systeme sind, dadurch das sie meist von den Herstellern nur sehr sehr mager mit neuen Firmeware-Versionen versorgt werden, wenn überhaupt, immer als Sicherheitsrisiko einzustufen und deshalb immer in einem VPN zu betreiben.
Was glaubst du warum in den letzten Jahren rausgekommen ist das SCADA Systeme die Anlagen wie Kraftwerke Steuern in Verruf geraten sind, weil sie meistens ungeschützt im Internet gehangen haben und oft auch noch tun. Wenn dann ein Hacker durch Reverse Engineering ein einprogrammiertes universales Passwort für dieses System entdeckt, na dann ist die Katastrophe da ... wäre das System durch ein VPN geschützt gewesen hättest du damit keine Probleme da das Device nicht direkt im Internet hängt.
Also, hör auf die Profis hier im Forum und beherzige die Vorschläge ... Machen wir ja aus gutem Grund und diversen Erfahrungen bei Kunden
Gruß jodel32
Moin.
Ein VPN ist ein verschlüsselter Tunnel zwischen zwei Geräten, durch den Daten für die Aussenwelt unzugänglich ausgetauscht werden. Ob dein nicht näher bezeichneter D-Link Router das aber hergibt?
Last but not least:
War D-Link nicht auch einer der Hersteller mit Backdoor in der Router-Firmware?
Du solltest mal nach der Firmware/dem Softwarestand deines Routers schauen und beim Hersteller die aktuellste Version runterladen - just to be sure.
Cheers,
jsysde
Zitat von @PaddyCarlos:
[...]wie ich das mit dem VPN machen soll. Warum genau ist das sicher und kann trotzdem dann von außerhalb genuzt werden?
https://de.wikipedia.org/wiki/Virtual_Private_Network[...]wie ich das mit dem VPN machen soll. Warum genau ist das sicher und kann trotzdem dann von außerhalb genuzt werden?
Ein VPN ist ein verschlüsselter Tunnel zwischen zwei Geräten, durch den Daten für die Aussenwelt unzugänglich ausgetauscht werden. Ob dein nicht näher bezeichneter D-Link Router das aber hergibt?
Und nochmal ganz blöd, weil ich jetzt komplett kirre bin: Der interne Zugriff (von meinem WLAN oder halt per Kabel aus) ist
es aber völlig unbedenklich, wenn ich auf den Rekorder zugreife mit PC oder iPad beispielsweise?
Intern ist das kein Problem, solange du dein WLAN mit einem entsprechend sicheren WPA2-Passwort geschützt hast (nur so kannst du dein WLAN vor ungebetenen Gästen schützen).es aber völlig unbedenklich, wenn ich auf den Rekorder zugreife mit PC oder iPad beispielsweise?
Ich hoffe, da ist jetzt bei meinen Tests mit der Portfreigabe nicht schon was passiert!
Die Frage kann dir von hieraus niemand beantworten - ich halte es für unwahrscheinlich, technisch möglich wäre es aber, s. die Ausführungen von @aqu und @114757.Last but not least:
War D-Link nicht auch einer der Hersteller mit Backdoor in der Router-Firmware?
Du solltest mal nach der Firmware/dem Softwarestand deines Routers schauen und beim Hersteller die aktuellste Version runterladen - just to be sure.
Cheers,
jsysde
N'Abend.
Ein VPN wird direkt vom Engerät -hier deinem iPad- zum Router aufgebaut. Ob und wie das eingerichtet werden kann, hängt also sehr stark vom Routermodell ab, dessen Bezeichnung du uns ja noch nicht genannt hast.
Und Anleitung dazu finden sich hier, per google etc. sicherlich in mehr als ausreichender Anzahl.
Cheers,
jsysde
EDITH:
Und natürlich kostet ein VPN an sich auch nix; ggf. musst du dir aber einen VPN-Client kaufen, falls das Endgerät nativ keinen VPN-Tunnel aufbauen kann.
Zitat von @PaddyCarlos:
Was ich nicht verstehe: Muss ich mich da irgendwo im Internet anmelden und was kostet mich das?
Genau das solltest du nicht tun!Was ich nicht verstehe: Muss ich mich da irgendwo im Internet anmelden und was kostet mich das?
Ein VPN wird direkt vom Engerät -hier deinem iPad- zum Router aufgebaut. Ob und wie das eingerichtet werden kann, hängt also sehr stark vom Routermodell ab, dessen Bezeichnung du uns ja noch nicht genannt hast.
Und Anleitung dazu finden sich hier, per google etc. sicherlich in mehr als ausreichender Anzahl.
Cheers,
jsysde
EDITH:
Und natürlich kostet ein VPN an sich auch nix; ggf. musst du dir aber einen VPN-Client kaufen, falls das Endgerät nativ keinen VPN-Tunnel aufbauen kann.
Moin.
Damit lässt sich kein brauchbares VPN aufspannen, der "spicht" kein IPSEC. Da müsstest du dir was anderes zulegen, ggf. nen RasPi hinterm Router und den Tunnel darüber aufbauen.
Aber wie oben schon gesagt kommst du mit deinem Router nicht weit; evtl. schaut ja @aqui nochmal hier rein und kann nen Tipp geben, wie du ohne Routerneukauf ein brauchbares VPN aufbauen kannst.
Cheers,
jsysde
Damit lässt sich kein brauchbares VPN aufspannen, der "spicht" kein IPSEC. Da müsstest du dir was anderes zulegen, ggf. nen RasPi hinterm Router und den Tunnel darüber aufbauen.
Meinst du mit Endgerät den Router oder letztlich den Rekorder.
Engeräte wären der Router und dein iPad, der Rekorder (und alle anderen Geräte im Netz) hat damit nix zu tun.Ist der VPN-Client also ein Hardwaregerät, das gebraucht wird?
Nein, ein VPN-Client ist ein Stück Software.Aber wie oben schon gesagt kommst du mit deinem Router nicht weit; evtl. schaut ja @aqui nochmal hier rein und kann nen Tipp geben, wie du ohne Routerneukauf ein brauchbares VPN aufbauen kannst.
Cheers,
jsysde