Surveillance Station kein Zugriff auf IP-Cam via Internet

[schwaelbchen]

@ Hesse: meinst Du einen externen Cloud-Dienst ? (Ich möchte nicht unbedingt meine privaten Bilder/Daten auf einem amerikanischen Server liegen haben.)

Aus dem Grund habe ich mir ja eine Synology-NAS zugelegt, damit ich quasi meinen eigenen Server habe.

Ich möchte z.B. meine Filme (per Video Station) auch mal von extern bei Freunden über deren PC schauen können, private Bilder mit Familie und Freunden per DS Cloud teilen, bzw. auch auf persönliche Daten die ich für berufliches benötige zugreifen können, ebenso wie per FTP anderen Zugang zu ausgewählten Dateien zur Verfügung stellen. Ebenso möchte ich auf meine Fritzbox und die DSM der Synology zugreifen und zu guter Letzt meine Homepage online stellen.

 

[borg2k]

Ich möchte z.B. meine Filme (per Video Station) auch mal von extern bei Freunden über deren PC schauen können.

Na da hoffe ich für dich das du eine dicke Upstream-Verbindung zu deinem Provider hast. Viele erliegen ja dem Trugschluss, dass sie genausoschnell uploaden wie downloaden können. Unter 10 Mbit Upstream ist das nichts wirklich praktikabel, selbst 10 Mbit ist für Full-HD Videos schon zu wenig.

 

[Hesse]

Nimm dir doch ein deutschen Anbieter für diese Dinge. Du hattest ja gesagt dir ists egal ob die Daten jemand "klaut" und ob jemand deine Garage sieht oder deine Bilder.
Also spricht nichts gegen einen Hoster der solche Dinge anbietet. Wie z.B. T-Online oder sonst wer. Wenn du die NAS als "eigenen Server" für solche Dinge betreiben willst, musst du genau wissen was du tust und dich mit Sicherheit auseinander setzen. So einfach ein Server zu Hause hin stellen, hier und da Ports frei geben und alles ist gut hört sich erstmal einfach und schön an, aber was du dir damit alles öffnest und was für Sicherheitslücken das dann sind weißt du nicht.

 

[schwaelbchen]

Ja hab VDLS und mir ist bewusst das der Upload geringer als der Download ist !

 

[schwaelbchen]

Wie gesagt, um auf meinen Content zu gelangen braucht derjenige erst mal meine IP, die sich eh alle 24 Stunden ändert, wenn ich es nicht schon eher manuell mache. Des Weiteren muss jemand wissen welche Dienste/Ports ich laufen habe. Und zu guter letzt braucht man noch Benutzername und Passwort ...

Nichts desto trotz werde ich mich mal mit der VPN-Geschichte beschäftigen.

 

[schwaelbchen]

Sicherheitslücken wird es übrigens immer geben, da hilft am Ende auch kein VPN wenn man hört das PCs schon "werksseitig" mit Trojanern bzw. Backdoor-Programmen ausgerüstet sind. Noch lustiger ist ja die "Tatsache" das man selbst "Offline-PCs" anzapfen kann ...

 

[Hesse]

Naja dafür reicht ja dein DynDns-Eintrag. Da kannst du deine IP so oft wie du willst händisch ändern

Vorschlag:
1. Alle Ports zu Hause deaktivieren.
2. VPN von deinem Handy in dein LAN.
3. Bilder und Videos z.B. zu SkyDrive (die Daten hat wenn dann eh nur die NSA, jeder "Spitzbube" hackt sicherlich nicht SkyDrive).

Somit hast du auf Videos und Bilder zugriff von jedem PC, dein Netz zu Hause ist sicher und nicht angreifbar (wie z.B. im aktuellen Fall bei AVM Routern) und alles ist gut

Aber du fängst schon wieder an das Thema in Frage zu stellen und so langsam glaub ich du weißt alles besser (nicht böse gemeint). Deswegen solltest du vielleicht doch alles so machen wie du es für richtig hälst (wie gesagt, das ist nicht böse gemeint, nur so führt das hier zu nix, da du ja alle Kommentare von Borg und Frogmann und mir hier irgendwie in Frage stellst und alles besser weißt)

 

[Frogman]

...dein Netz zu Hause ist sicher und nicht angreifbar (wie z.B. im aktuellen Fall bei AVM Routern) ...

Ein kleiner aber feiner Unterschied - die AVM-Router sind nicht per se angreifbar, sondern wurden mißbraucht durch den Zugriff über einen regulären Account (ohne Fehlversuche!). Hier sind also eindeutig Zugangsdaten bekannt gewesen! Man sollte den Leuten nicht mehr Angst machen als angemessen.

 

[schwaelbchen]

Ein kleiner aber feiner Unterschied - die AVM-Router sind nicht per se angreifbar, sondern wurden mißbraucht durch den Zugriff über einen regulären Account (ohne Fehlversuche!). Hier sind also eindeutig Zugangsdaten bekannt gewesen! Man sollte den Leuten nicht mehr Angst machen als angemessen.

Danke Frogman, genau so sehe ich das ja auch, bzw. habe ich eingangs dieser Diskussion auch gemeint. Hacken geht schliesslich nur mit einem Trojaner, den konkreten Zugangsdaten und / oder einem System ohne jeglichen Schutz.

Und um Dich zu beruhigen @Hesse werde ich das Thema VPN, wie ich ebenfalls schon geschrieben habe, mal in Angriff nehmen.

Um es noch mal zusammen zu fassen:
Für den Zugriff auf meinen Router, die IP-Cam und die Diskstation via Internet richte ich im Router und auf den entsprechenden Geräten den VPN ein.
Lediglich für die für mich relevanten Ports öffne ich im Router, um die Dienste (Cloud, Video, FTP (bei Bedarf), DSM, Webserver) meiner Diskstation für einige wenige zur Verfügung stellen zu können.

Okay ?

 

[101010]

Ein kleiner aber feiner Unterschied - die AVM-Router sind nicht per se angreifbar, sondern wurden mißbraucht durch den Zugriff über einen regulären Account (ohne Fehlversuche!). Hier sind also eindeutig Zugangsdaten bekannt gewesen! Man sollte den Leuten nicht mehr Angst machen als angemessen.

Aber die interessante Frage ist, woher die Zugriffsdaten her kommen? Ich denke mal nicht, dass es wie bei den anderen Problem-Routern einen "Spezialport" gibt, über den man ohne weiteres die Kontrolle über die Router erhalten kann - sonst wären noch mehr Fälle bekannt. Aber solange nicht geklärt ist, wie es zu den Zugriffen kam, ist vieles denkbar.

Gerade war auch wieder zu lesen, dass es nicht nur ein paar Dutzend Fälle gibt, sondern sich die (aktuelle) Dunkelziffer im mittleren, dreistelligen Bereich befindet.

Angst machen ist auch sicherlich das falsche, aber jeder sollte sich bewusst sein, dass es Risiken und Nebenwirkungen gibt

 

[Frogman]

Angst machen ist auch sicherlich das falsche, aber jeder sollte sich bewusst sein, dass es Risiken und Nebenwirkungen gibt

Nun ja, hier eigentlich ja weniger - wozu sollen Leute den Fernwartungszugang ihrer Fritte wirklich aktivieren? Ist bei den meisten doch nur Gewohnheit, Bequemlichkeit oder die Ansicht "naja, kann ich ja vielleicht mal irgendwann brauchen...". Noch dazu - die goldene Regel, regelmäßig seine Passwörter zu tauschen, wird ja zudem auch oft nicht befolgt, nach dem Motto "wenn schon ein starkes (sprich langes) Passwort, dann brauche ich das ja nicht ändern... schon gar nicht will ich das, weil ich mir dann ja wieder etwas neues merken muss".

 

[101010]

Jetzt gibt es zum Glück Neuigkeiten von AVM. Das Problem wurde gefunden und schrittweise stehen für die FBs schon neue Firmware Versionen zur Verfügung. Im Moment erst mal für die 7390. Wer eine FB hat, am besten regelmässig die AVM Seite, oder die lokale fritz.box Seite aufrufen, da wird auch eine neue Version angezeigt.

Wie es aussieht, war für diese Lücke gar kein Passwort nötig. Es gibt/gab eine Lücke, die es Angreifern ermöglicht, die Authentifizierung beim Fernzugriff auf die Box per Browser zu umgehen. Da ist es wirklich verwunderlich, dass nur so wenige Fälle bisher bekannt sind.

Aber zum Glück ist da AVM, im Vergleich zu den Mitbewerbern sehr fix und stellt so schnell wie möglich Infos und Updates bereit.

 

[borg2k]

VOIP wird halt noch nicht flächendeckend benutzt und wenn dann eher nur von den Telekommuniktionsunternehmen, aber dann halt nicht auf der sog. letzten Meile. Von daher verwundert mich das nicht wirklich dass es da keinen flächendeckenden Missbrauch gab. Solche Funktionen waren bisher für mich auch immer der Grund keine Frittenbox zu wollen, denn warum soll ich für Funktionen Geld zahlen die ich im Leben nie nutze.