Geblockte "Angriffe" von außen (FTP?), wie vermeiden?

[HSV-Steph]

Hallo zusammen,

ich bekomme von meiner DS regelmäßig (so alle 2 Wochen) eine Mitteilung, dass mal wieder ein "Angriff" blockiert wurde. Ich bin mir ziemlich sicher, dass dies durch den unverschlüsselten FTP-Dienst geschieht. Diesen brauche ich aber leider, weil sonst die automatische FTP-Sicherung meiner Videos der Netatmo-Kameras nicht funktioniert.

Frage: Kann ich noch irgendwo was einstellen, um keinen Angriffsversuche zu zulassen? Oder kennt jemand eine Möglichkeit, den verschlüsselten FTP-Dienst für Netatmo-Uploads zu verwenden?

Danke, viele Grüße und alles Gute für 2019
Stephan

 

[Puppetmaster]

Wenn du irgendwo eine Tür öffnest, dann bekommst du auch unangemeldeten Besuch. So einfach ist das.

Sicherheit können schaffen:
- starke Passwörter
- Verwendung eines VPN
- genutzen Port in einen hohen Bereich legen (ändert grundsätzlich nichts an der Sicherheit, vermindert aber das Grundrauschen)

 

[c0smo]

FTP gehört wohl, zusammen mit SSh und Telnet, zu den beliebtesten Angriffszielen. Wenn du darauf absolut nicht verzichten kannst, würde ich die Firewall in der DS vernünftig konfigurieren, zb. mit einer Ländersperre. Auch wenn diese umgangen werden kann, ist es doch für den ersten Eindringversuch zumindest ein Hindernis. Starke Passwörter verwenden, IP Blocking nach x Versuchen.

Was ich mich frage, warum muss der Port nach aussen frei sein, wenn du nur eine Sicherung der Kamera machen willst. Oder machst du von unterwegs Sicherungen? Da gäbe es doch auch andere Möglichkeiten. OTG/SD Kartenleser ans Handy und direkt mit den Synology Apps Sichern. Dazu braucht es doch keinen unsicheren FTP Port!

 

[HSV-Steph]

Hi und danke Euch erstmal! Unfassbar, wie schnell man hier Antworten bekommt

Der Kaufgrund für Kameras von Netatmo war (unter anderem), dass die Videos nicht nur lokal auf der internen SD-Karte gesichert werden, sondern per FTP auch automatisch auf das NAS geladen werden. Das Ganze passiert eigentlich in meinem internen Netz, wieso der FTP-Port (ich habe den Standardport schon verändert und "nach oben geschraubt") offen sein muss, konnte mir bisher noch keiner beantworten. Fakt ist aber, dass das Ganze sonst nicht funktioniert...

 

[Puppetmaster]

Das klingt ... sehr merkwürdig und wenig vertrauenerweckend. Ein Gerät, das nur im internen Netz werkelt, sollte ganz sicher keinen offenen Port notwendig machen!

 

[c0smo]

Jetzt kappier ich es.. Du redest von einer IP Cam. Ich bin von einer DSLR oder ähnlichem ausgegangen.

Dann ist es ja noch unbegreiflicher, warum die Cam einen nach aussen geöffneten Port benötigt, wenn die Sicherung nur lokal stattfindet. Sind da etwa irgendwelche asiatischen Server dazwischen? Noch ein Grund mehr das ganze sofort abzustellen. Mach den Port im Router dicht. Normal sollte die Sicherung trotzdem funktionieren!

Mensch Puppet.. immer ne Sekunde schneller

 

[Puppetmaster]

@c0smo: ich schreib' halt weniger!

 

[HSV-Steph]

Hab ich schon versucht, klappt nicht. das Video wird halt aufgezeichnet (lokal SD-Karte) und direkt per FTP hochgeladen. Ich bin mir ziemlich sicher, dass das über die Netatmo Server passiert, da auch immer ein paar Sekunden Videomaterial dabei sind, bevor die eigentlich Aufnahme ausgelöst wird...

 

[c0smo]

Sehr kurios bzw dubios. Ich würde das komplett unterbinden. Privates Material in asiatischen Händen, der Gedanke ist nicht sehr verlockend!
Kannst du die Cam nicht in der SS einpflegen? Das wäre doch eh die elegantere Lösung.

 

[HSV-Steph]

Das verstehe ich nicht... SS?

 

[Puppetmaster]

Gibst du in der Kamera den Hostname deiner DS oder die IP an?

Im Netz gibt es jedenfalls Hinweise, dass es mit dem Hostname nicht klappt (wg. ftp Fehler) mit der IP aber schon.

 

[c0smo]

Mit SS meine ich die surveillance Station, die ist ja für Videoüberwachung zuständig.

 

[HSV-Steph]

Gibst du in der Kamera den Hostname deiner DS oder die IP an?

Im Netz gibt es jedenfalls Hinweise, dass es mit dem Hostname nicht klappt (wg. ftp Fehler) mit der IP aber schon.

Kann ich bestätigen, ich gebe die interne IP an...

 

[Puppetmaster]

Kann ich bestätigen, ich gebe die interne IP an...

Was bestätigen? Mit der IP sollte es ohne offenen Port im Router gehen, wenn nicht, dann würde ich mich von dem Ding trennen oder die Surveillance Station nutzen. c0smo hat's ja schon auf den Punkt gebracht.
Jedenfalls kein offener Port für dieses Ding!

 

[HSV-Steph]

Ach so, Du meinst, dass es mit der IP auch ohne offenen Port gehen soll? Das wiederum kann ich nicht bestätigen. Ich dachte Du meinst den grundsätzlichen Upload, der funktioniert ausschließlich mit IP (wenn Port auf), und gar nicht mit dem Hostnamen...

 

[HSV-Steph]

Mal ne blöde Frage: Wenn "sicheres" FTP, dann FTPS oder SFTP?

 

[Puppetmaster]

FTPS oder SFTP ist letztlich nicht relevant. Persönlich nutze ich SFTP, weil ich es als leichter zu konfigurieren finde. Und du benötigst nur einen einzigen geöffneten Port.

 

[HSV-Steph]

Eine Idee habe ich jetzt noch. Für FTPS wird ja der gleiche Port verwendet wir für FTP, oder? Fakt ist, hiermit klappt es nicht, sobald ich den Haken bei FTP (ungesichert) in der DS wegnehme.

SFTP nutzt einen eigenen Port. Vielleicht habe ich diesen im Router gar nicht auf, dass muss ich mal heute Abend testen (komme von hier nicht auf den Router). Ich melde mich.

Danke!

 

[c0smo]

Die Frage bzw der Vorschlag nach der surveillance station bleibt somit unbeantwortet. Saubere Lösungen sind wohl nicht erwünscht.

 

[HSV-Steph]

Netatmo wird nicht unterstützt...