Surveillance Station Einrichtung Surveillance Station - erste Versuche

[Wimac]

So langsam bekomme ich immer mehr Ideen was ich mit meinem NAS so anfangen kann und möchte. Das nächste "Projekt" neben Docker (an die ich mich noch nicht ganz rantraue) soll die Kameraüberwachung sein. Aktuell besitze ich eine Reolink E1 Zoom die mit einer SD Karte läuft. Eine zweite Kamera ist geplant.

Ich habe jetzt heute mal Surveillance installiert. Mein Plan wäre aktuell das ich über DSM auf die Software zugreife. Ich möchte das ganze nicht nach außen hin öffnen, beziehungsweise ein Zugriff von außerhalb kann über die FritzBox und Wireguard erfolgen. Ich habe auch keinen besonderen Port oder ähnliches freigegeben, da ich mir nicht sicher bin ob ich mich damit nach außen hin "angreifbar" mache. Zumindest die Cam App würde ich gerne nutzen zu Hause oder eben in Verbindung mit dem VPN.

Das ist auch der Punkt. Gibt es irgendetwas das ich besonders beachten sollte, damit das ganze "geschlossen" bleibt und ich keine Angriffsfläche biete? Sollte ich doch einen eigenen Port für Surveillance vergeben?

PS: wenn ich die älteren Einträge richtig lese, dann wird empfohlen für die Kameraaufzeichnungen eine eigene Platte zu verbauen? Wenn ja, dachte ich an eine WD Purple 1TB. Oder doch einfach auf den Red laufen lassen? Zwei Bays hätte ich noch frei...

Danke schonmal!

 

[metalworker]

na wenn du keine Ports öffnest bist da schon recht sicher.
Da machst du also alles richtig.


Mit ner eigenen Plattne hast recht .Das macht durchaus sinn . eigentlich ist es gerade bei nur 2 Kameras relativ egal welche platte du da nimmst.

 

[Wimac]

keine Ports öffnest

Ungeachtet dessen muss ich bei der Einrichtung der Kamera einen Port angeben. Dann läuft es einfach über den Standard Port der DSM? Macht es dann nicht doch Sinn einen eigenen zu vergeben oder begehe ich hier gerade einen Denkfehler?

relativ egal welche platte

Alles klar. Dann versuche ich einfach mal die Purple. Denke ich werde dann besser 2TB nehmen, wer weiß wieviel da am Ende an Daten zusammenkommt und preislich liegen 1 und 2TB recht dicht beieinander.

 

[metalworker]

Wo musst du nen port angeben ?

 

[Wimac]

Beim Hinzufügen der Kamera.

 

[metalworker]

Na der ist doch intern.hat ja nichts mit Ner Portfreigabe aufm Router zu tun

 

[Wimac]

Das bedeutet einfach so lassen wie es ist?

Das stellt sich mir allgemein die Frage, ob es sinnvoll wäre die interen Ports zu ändern. Standard ist ja 5000/5001? Die sind ja nun aber auch allen bekannt, die länger als 10 Sekunden Google benutzen können.

 

[metalworker]

Na aber wieso .du hast doch gesagt du hast nichts im Router freigegeben ?

 

[c0smo]

Was machst du dir um Ports Gedanken wenn die DS nach außen gar nicht oder nur über VPN erreichbar sein soll?
Auch andere Ports können gefunden werden. Da ist es vielleicht auch ratsam die Firewall, 2FA und sichere Passwörter für nicht-admin Konten zu verwenden. Admin Konto wird deaktiviert.
Wenn das safe ist, kannst du auch Ports aufmachen.

 

[Wimac]

nichts im Router freigegeben

DS nach außen gar nicht oder nur über VPN erreichbar sein soll

Stimmt beides. Ich bin vermutlich nur übervorsichtig beziehungsweise einfach noch so weit in der Thematik drin. Ich war mir einfach nicht sicher, ob für jemanden der sich auskennt nicht doch irgendwie eine Verbindung zum NAS aufzubauen ist.

 

[metalworker]

Also so direkt nicht .
Dann eher aufpassen das dein Rechner ni verseucht wird

 

[c0smo]

Kein System ist zu 100% sicher! Man kann es denn Angreifern aber erschweren, ein System zu kompromittieren. Wenn der Aufwand den zu resultierenden Nutzen übersteigt, ist das Interesse schnell verflogen.
Für dieses "erschweren" hat jeder Hersteller einen Hardening Guide, so auch Synology.
Hier und hier.

Wenn das alles konsequent umgesetzt wird, ist es meiner Meinung nach auch nicht kritisch, entsprechende Ports zu öffnen. Das ist ein legitimes Mittel, um von aussen auf die notwendigen Dienste zuzugreifen.
Schließlich hat man ein NAS nicht nur um alles abzuschotten, sondern auch für die Bequemlichkeit und den Spaßfaktor!

 

[c0smo]

In meinem Leitfaden (s. Signatur) findest du unter "Systemhärtung" auch noch weitere Tipps.

 

[Wimac]

Rechner ni verseucht wird

Alles klar.

Hier und hier.

Die eine Seite habe ich damals bei der Einrichtung genutzt, die zweite ist mir aber noch unbekannt. Ich werde das dann jetzt aber beides nochmal durchgehen und das ganze etwas "härten".
Deinen Überwachungsguide habe ich eben schon kurz überflogen, da muss ich mich morgen mal in Ruhe mit auseinandersetzen. Sieht sehr gut aus, vielen Dank für die Mühe, die du dir da gemacht hast!

uch für die Bequemlichkeit und den Spaßfaktor!

Das geht tatsächlich manchmal ein bisschen unter, aber du hast natürlich vollkommen recht.

 

[Wimac]

Dazu noch mal eine technische Frage zur Einbindung der neuen Platte für die Videoaufnahmen.

Aktuell habe ich 2 WD Red 4TB mit BTRFS in SHR1. Die neue Platte soll logischerweise mit diesem Verbund nichts zutun haben. Das bedeutet ich stecke die neue Platte einfach ein und erstelle dann ein neues (BTRFS?) Volume und fertig? Das ist dann insgesamt unabhängig von dem ersten Volume und ich kann in der Ordnerstruktur auswählen wo etwas gespeichert werden soll?

Würde mir jetzt ungern mein 1. Volume mit einer unbedachten Aktion zerschießen.

 

[c0smo]

Kannst du so machen.

 

[goetz]

Hallo,
als erstes einen neuen Speicherpool mit der neuen Platte erstellen und dann auf dem neuen Speicherpool ein neues Volume anlegen.

Gruß Götz

 

[Wimac]

Ich muss dann zu dem Thema nochmal etwas nachreichen.

Ich meine in einem alten Thread gelesen zu haben, dass es unter Umständen bei Kameras sinnvoll sein kann, zumindest einen SSD Schreibcache zur Verfügung zu haben. Ich glaube der Beitrag war sogar von dir @c0smo .
Hat das weiterhin Bestand?

Jetzt möchte ich mich zusätzlich wie oben erwähnt auch endlich mal mit Docker auseinandersetzen. Vermutlich vor allem mit Paperless NGX und Adguard/Pihole. Ist es dafür auch sinnvoll SSD dazu zunehmen? Und werden diese dann sowohl für das SSD Volume als auch für den Schreibcache verwendet oder wie darf ich mir das vorstellen?

 

[c0smo]

Ich kann nur für das Kameraszenario sprechen. Hier ist kein SSD Cache notwendig. Das macht nur in Highperformance Umgebungen Sinn. Da sprechen wir von 100 Kameras aufwärts und mehreren Stationen die Zeitgleich auf den/die Server zugreifen müssen.

Zeitgleiche Virtualisierung und Kamerasysteme auf einem Gerät halte ich für nicht sinnvoll. Das kann schnell in die Hose gehen. Hier habe ich kürzlich ausführlicher geantwortet.

 

[Wimac]

Okay, dass ist eine eindeutige Aussage, vielen Dank dafür.

Das bedeutet dann aber wohl leider, dass ich mir auf lange Sicht doch Gedanken machen sollte, die Videoüberwachung auf ein eigenes NAS auszulagern… Ich hatte gehofft das vermeiden zu können.