Planung Dahua oder Hikvision?

Keen

Benutzer
Mitglied seit
18. Nov 2012
Beiträge
160
Punkte für Reaktionen
4
Punkte
18
Ich habe der Kamera (mit fester IP) in der Fritzbox ein eigenes Profil zugewiesen, dieses Profil habe ich den Zugriff auf das externe Netz untersagt. Ein PI Hole schaut auch nochmal drüber.

Ist das nicht genug? Mir fällt grad nicht ein wie die Kamera das umgehen könnte.
 

c0smo

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.574
Punkte für Reaktionen
1.682
Punkte
274

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.268
Punkte
259
Ist das nicht genug? Mir fällt grad nicht ein wie die Kamera das umgehen könnte.

Das kommt ganz darauf an. Bei Foscam hat es damals z.B. nicht gereicht deren IP per FritzBox Profil den Internetzugang zu sperren. Außer man hatte vor der Ersteinrichtung den Internetzugang bereits kompl. gekappt. Siehe dazu u.a.: https://www.synology-forum.de/threads/foscam-8918-sicherheit.116384/

In #10 habe ich einige Ausschnitte aus Heise gepostet. U.a.: Wichtigster Punkt ist, dass Sie vor dem ersten Einschalten der Kamera zunächst die DSL-Verbindung Ihres Routers unterbrechen – indem Sie einfach den Stecker ziehen.

VG Jim
 
Zuletzt bearbeitet:

Keen

Benutzer
Mitglied seit
18. Nov 2012
Beiträge
160
Punkte für Reaktionen
4
Punkte
18
Ich zitiere mal aus diesem Thread.

"Um noch eine zweite Sicherheitsebene einzubauen (wenn AVM mit einem Firmwareupdate die Sperre versehentlich zerhackstückeln sollte), kann man noch eine Sperre auf DNS-Ebene z.B. Pi-hole einbauen. Dort untersagst du dann die Namensauflösung der angesprochenen Foscam-Server."

Dies sollte doch auch gehen? zufällig habe ich einen Pi-hole am laufen.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.268
Punkte
259
Schau einfach mal nach was die Kamera im Hintergrund macht, bevor Du Dir ggf. grundlos Gedanken machst. :) Per Fritzbox und Wireshark ist das schnell gemacht. So bekommt man auch mal einen Überblick was da sonst so im Hintergrund läuft. ;)

VG Jim
 

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
eine Sperre auf DNS-Ebene z.B. Pi-hole einbauen. Dort untersagst du dann die Namensauflösung der angesprochenen Foscam-Server."
Das nützt aber nichts, wenn die cam keinen Domainnamen verwendet, der aufgelöst werden müsste...
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.268
Punkte
259
Da es bzgl. Wireshark eine Nachfrage gab poste ich meine Antwort darauf direkt mal hier, damit auch andere User ein wenig Info dazu bekommen. Auch wenn es zu Wireshark natürlich schon jede Menge Infos im Internet gibt.

Vorab: Ich bin sicherlich kein Wireshark oder gar Security Spezialist, :LOL: sondern ich benutze Wireshark auch nur dafür als "einfacher User" mir von Zeit zu Zeit den Netzwerkverkehr (LAN <--> WAN <--> LAN) anzuschauen. Inbesondere dann wenn ich ein neues Gerät bei mir im LAN hinzufügt habe.

Ja Wireshark ist etwas gewöhnungsbedürftig, aber wenn man es erst einmal verstanden hat auch sehr gut und "mächtig". :)

Nun zu dem Thema Kamera und dem evtl. "nach Hause telefonieren":
Da man ja nicht weißt ob die Kamera von sich aus überhaupt irgendwelche Verbindung ins WAN aufbaut sollte man erst einmal mit einem anderen Gerät (z.B. dem PC und dessen IP) "üben" und sehen wie man bei Wireshark etwas filtern kann und wie die Ergebnisse aussehen können.

Man kann bei Wireshark Filter anwenden. Diese Filter sehen dann z.B. so aus: tcp.dstport == 80 and ip.src == 192.168.178.10

Dieser Filter würde alle TCP-Verbindung des Clients 192.168.178.10 über den Port 80 anzeigen, was dann im Ergebnis so aussehen könnte:

Wireshark_Filter.png
In der oberen Zeile gibt man den Filter ein und klickt dann zur Aktivierung auf den Pfeil nach rechts auf der rechten Seite.

Dazu wie der Filteraufbau genau aussehen könnte und müsste gibt es im Internet div. Infos und Anleitungen, sodass ich hier darauf nicht weiter eingehe. Auch gibt es noch andere Vorgehensweisen wie man bestimmte Dinge auswerten kann, aber auch darauf gehe ich hier nicht weiter ein. Wie gesagt: Ich gibt bereits jede Menge Infos und Anleitungen zu Wireshark.

Wichtig ist auch das man bei der Fritzbox Schnittstelle (1. Internetverbindung, Schnittstelle 0 ('internet'), Routing-Schnittstelle oder ggf. auch Wifi usw.) die richtig Schnittstelle zum protokollieren auswählt. Auch damit sollte man erst einmal herumspielen.

Wenn man ein wenig damit herumgespielt hat und man die ersten Ergebnisse zu Clients im Fritz Paketmitschnitt gefunden hat, kommt das Thema Kamera. Da man ja - wie schon gesagt - nicht weißt ob und wann die Kamera eine Verbindung ins Internet aufbaut, müsste man theoretisch stundenlang den Fritz Paketmitschnitt mitlaufen lassen und bekäme so (zehn)tausende von Datensätze zum auswerten. Das ist natürlich nicht wirklich praktikabel. Da man aber vermuten kann das eine Kamera - wenn sie denn "nach Hause telefoniert" - dies (auch) direkt nach dem einschalten oder booten machen wird, bietet sich diese Vorgehensweise an. Man startet den Paketmitschnitt auf der Fritzbox und schaltet dann die Kamera ein, bzw. macht ein Reboot/Restart. Nachdem die Kamera vollständig hochgefahren ist und man danach noch ein paar Minuten gewartet hat, stoppt man den Fritzbox Paketmitschnitt und schaut ihn sich per Wireshark an.

Ja so eine Auswertung ist (etwas) aufwendig und für den "Otto-Normal-Anwender" vielleicht zu viel des Guten, aber es kann sicherlich nicht schaden wenn man sich auch mal mit dem Thema befasst was irgendwelche Geräte im Hintergrund ggf. so "treiben". Inbesondere wenn man den Verdacht hat das etwas im Hintergrund abgeht, was man ggf. gar nicht möchte. :)


Edit: Hier noch zwei deutschsprachige Webseiten zum Thema Wireshark (Anm.: Ohne jede Wertung sondern einfach per Google gefunden):
http://www.nwlab.net/tutorials/wireshark/
https://www.howtoforge.de/anleitung/wie-man-filter-in-wireshark-verwendet/

VG Jim
 
Zuletzt bearbeitet:
  • Like
Reaktionen: vater und Gulliver


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat