Software Foscam - Wireshark-Protokoll der Fritzbox

[Stationary]

Da ich mich mit wireshark-Protokollen leider nur wenig (gar nicht) auskenne, hier mal eine Frage an die Spezialisten.
Die Surveillance Station holt sich Daten von einer Foscam R4M. Eingerichtet wurde die Foscam mit gezogenem DSL-Kabel, also erst mal IP-Adresse von der Fritzbox geben lassen, die dann bis auf TCP Port 443 sperren (à la c't-Artikel), dann DSL wieder dran, die Foscam App (Foscam VSM aus dem Appstore) auf das Macbook geholt, die Kamera eingerichtet. In den Kameraeinstellungen P2P abgeschaltet, als Gateway 0.0.0.0 eingetragen etc. Danach in der Fritzbox auch Port 443 für die Kamera gesperrt.

Nun die Frage: wie kann ich im wireshark-Protokoll, welches die Fritzbox generiert erkennen, ob die Kamera noch nach Hause telefoniert? Weiß jemand, was da die Auffälligkeiten wären?

 

[Ulfhednir]

Ich würde mal mit ip.addr==192.168.178.X (IP der Cam) beginnen.

 

[Stationary]

Die IPv4-Adresse der CAM taucht nirgendwo auf, nur jede Menge IPv6, die ich nicht einordnen kann, die auch immer wieder im Zusammenhang mit TCP und Port 443.

 

[Ulfhednir]

Die Frage ist erstmal, welchen Netzwerkadapter du beim Capture deiner FritzBox ausgewählt hast. Du kannst ja den Traffic von der Straße bis zur Haustür und von der Straße bis zur Wohnung einstellen und dann wiederum nur deine einzelnen Etagen - jetzt rein bildlich gesprochen.
Lass mich lügen, aber ich meine, dass die Schnittstelle 0 ('internet') hier relevant wäre. Wenn dort nichts auftaucht, wäre das ja prinzipiell das gewünschte Ergebnis. Im Zweifelsfall einfach die Kindersicherung bei einem Smartphone aktivieren (Gerät neustarten) und eine Gegenprobe durchführen, ob der relevante Traffic mitgeschnitten wird.

Die Schnittstellenbezeichnungen können sich in der FritzBox übrigens unterscheiden. Im Zweifelsfall also einfach durchgehen, du wirst schon sehen, was diese enthalten. So würde ich das jedenfalls machen. Oder du fragst einfach bei AVM nach - die werden so etwas ja häufiger machen. Der Support war in der Vergangenheit immer ganz gut unterwegs.

 

[Stationary]

Der ausgewählte Mitschnitt war „internet“. Aber der Tipp mit AVM ist gut. Vielen Dank.

 

[Dummbatz]

Blöde Frage evtl.

Warum die Kamera nicht einfach in der FB mit "KIndersicherung" vom I-Netz trennen ??

 

[Ulfhednir]

Das Ganze ist ja auch in dem besagten ct-Artikel beschrieben. Hier geht es auch eher um das Prüfen, ob die Einstellungen tatsächlich greifen.
P.S.: Ich mache das nicht anders. Ich vertraue hier aber ausnahmsweise auf die Technik und mache dafür nicht extra ein .eth-Capture.

 

[Dummbatz]

Danke für den Link, ich werde mich mal einlesen

 

[Stationary]

Warum die Kamera nicht einfach in der FB mit "KIndersicherung" vom I-Netz trennen ??

Alle neu bei mir eingebundenen Geräte landen erst einmal per Kindersicherung gesperrt im Netzwerk. Nur soll das bei Foscam laut c’t nicht unbedingt ausreichend sein. Daher der Umweg. Ich wollte eigentlich auch nur wissen, ob das denn alles so geklappt hat mit dem Sperren oder nicht. Nach der Installation sind jetzt der Internetzugriff und alle Ports per Kindersicherung gesperrt (aber wenn die Löcher erst mal drin sind (so c’t), hilft die Kindersicherung nicht mehr).

Immerhin stimmt der Teil des Artikels nicht mehr, daß man die Kamera mit e-mail Adresse zwangsregistrieren muß. Die App bietet Cloudregistrierung (mit e-mail) oder lokale Registrierung (ohne e-mail) an und die Kamera “sollte” bei fehlender Cloudregistrierung eben auch keine Daten nach außen zugänglich machen. Genau Letzteres würde ich gerne prüfen, denn Vertrauen ist gut, aber Kontrolle bei so etwas besser.

 

[Ulfhednir]

Nach der Installation sind jetzt der Internetzugriff und alle Ports per Kindersicherung gesperrt (aber wenn die Löcher erst mal drin sind (so c’t), hilft die Kindersicherung nicht mehr.

Halte ich aber nach wie vor für eine exklusive Einzelmeinung und Fehlinterpretation des Artikels (der übrigens auch schon von 2016 bzw. Folgeartikel von 2017 ist).

Hier geht es um zwei Themen: 1.) Der Artikel heißt "Passwortpetze"; hier ging es also initial darum, dass das Passwort für das WLAN an Foscam-Server übertragen wird. Dies geschieht durch 2.) eine Untertunnelung der Firewall durch irgendwelche UDP-Connections. Daher sollte man Initial die DSL-Verbindung kappen, damit nicht sofort das Kennwort herausgeschickt wird. Die dabei aufgebaute Verbindung sollte nach Einrichtung der Kindersicherung spätestens nach einem Router-Neustart nicht mehr Zustande kommen. Insofern die FritzBox nicht bereits selbst mit Einrichtung der Kindersicherung die Connection kappt bzw. refused. Die umgekehrte Logik würde bedeuten, dass wenn ein Gerät im WLAN irgendwohin und irgendeine Connection aufbaut, diese Erlaubnis dauerhaft erhält. Also selbst bei Sperre. Das würde jegliche Kindersicherung ins absurdum führen.
Einmal eine HTTP(S)-Verbindung aufgebaut und das Kind kann trotz Kindersicherung weiterhin munter im Internet herumsurfen.

Und nochmal zum Thema Passwortpetze: Ob die Chinesen jetzt mein WLAN-Kennwort haben oder in China fällt ein Sack Reis um.
Glücklicherweise ist WLAN örtlich begrenzt und ich bezweifle, dass Mr. Chow sich die Mühe macht und vor meiner Haustür mein WLAN snifft.