Kamera Konfiguration 'telefonier' Hikvision nach Hause?

[Nassler]

Moin, bin auf der Suche nach einer preiswerten (120 - 250 Euro) Outdoor Cam. Grundvoraussetzung für mich ist, dass die Cam nicht heimlich irgend welchen Servern Zugang zu meinem NAS verschafft.
Bzgl. Hikvision (und anderen) ging so etwas doch mal durch die Presse - wie ist da der Stand?
Stefan

 

[mega]

Hikvision/Roline hat wohl einige Sicherheitslücken.


Folgendes hilft:
- Feste IP für die Kamera
- Internet-Zugriff in der Fritz!Box per Kindersicherung sperren.
- Fritz!Box als NTP-Server in Kamera eintragen.
- Keinerlei Zugangsdaten zu irgendwas in der Kamera eintragen.
- Keine Unnötigen Dienste in der Kamera aktivieren.

Externen Zugriff nur durch die Synology durch (und dort für diesen Zweck einen Nur-gucken User anlegen).

 

[c0smo]

Lücken haben alle Kameras, auch "heimfunken" tun sie alle. Die anderen mehr, die anderen weniger. Dahua hat ca 40-60000tsd Anfragen in der Woche an Amazon Server, auch wenn alle Clouddienste deaktiviert sind. Bei Hikvision ist es ähnlich.
Ein unterbinden ist fast nicht möglich.

Die Frage ist doch, inwiefern einen das stört. Wenn du bedenken hast, dass sensible Daten nach aussen gehen, darfst du solche Systeme nicht verwenden. Dazu gehören alle Geräte die mit der Aussenwelt verbunden sind! Da würde ich mir eher um Handys, Tabletts und andere Hardware gedanken machen, als um Kameras, die keinerlei persönliche Daten sammeln, wie Standorte, Bewegungsaufzeichnungen etc.

Und Lücken im System werden von den großen Herstellern schneller geschlossen, als von den billigmarken, die 1mal im Schaltjahr ein Update bringen.

 

[mega]

Das Heimfunken sollte ja durch die Kindersicherung komplett unterbunden sein.

Zumindest für Roline (OEM Hikvision) hab ich keine Updates gesehen.
Inzwischen kann man hierzulande auch direkt Hikvision kaufen
Wie ich damit angefangen hab, gabs nur Roline und Trendnet (auch OEM Hikvision), aber nicht Hikvision selbst hier zu kaufen.

 

[Yippie]

Das Heimfunken sollte ja durch die Kindersicherung komplett unterbunden sein.

Eben, einfach die (feste) IP in der LAN-Firewall blockieren und gut ist's. Ob dies jetzt in der Fritz!Box über die Kindersicherung geschieht oder über eine Firewall im Router oder direkt durch eine etwas professionellere FW, ist letztendlich egal.

Vorausgesetzt die Kamera soll von außen nicht erreichbar sein, würde ich aber sowieso jedem empfehlen. Allenfalls noch mit VPN arbeiten um auf die Daten und Streams der Kamera zuzugreifen, entsprechende LAN-Infrastruktur vorausgesetzt. Updates der Firmware der Kamera müssten dann halt manuell eingespielt werden. Eine evtl. notwendige Synchronisierung der Uhrzeit der Kamera über den Umweg eines sich im LAN befindlichen Zeitservers gelöst werden.

 

[mega]

Da man durch die Synology durch das Kamerabild gucken kann, brauchts den direkten Stream-Zugriff nicht.
Für Android kann man IpcamViewer nehmen, das kann auch mit der Synology.

Für im Browser gibts auch PHP-Scripte, die man auf der Synology laufen lassen kann, um MJPEG zu sehen.
Standbilder gehen auch.

Updates macht man eh besser manuell, damit die Kamera bei Update-fehler nicht gerade ausfällt, wenn man länger nicht da ist.

 

[Nassler]

Danke für Eure Antworten, hab bei meiner bestehenden cam erst mal alle Einstellungen so vorgenommen

 

[laurooon]

Hi,

- Feste IP für die Kamera

Hab ich

- Internet-Zugriff in der Fritz!Box per Kindersicherung sperren.

Wo finde ich denn so eine Funktion in der Fritzbox?

- Fritz!Box als NTP-Server in Kamera eintragen.

Muss ich noch machen, wie auch immer das genau geht.

- Keinerlei Zugangsdaten zu irgendwas in der Kamera eintragen.

Was für Zugangsdaten kann man denn da überhaupt eintragen? Ich habe nur den Benutzer "Admin" und ein von mir vergebenes Kennwort eingetragen. Wo hab ich sonst noch versehentlich was eingetragen?

- Keine Unnötigen Dienste in der Kamera aktivieren.

Was für Dienste sollten genau deaktiviert werden und wo? Die Kamera soll schon noch funktionieren und auch über die DS-Cam App erreichbar sein. Auch Homemode usw. sollen noch gehen.

 

[mega]

Kindersicherung in der Fritzbox: Internet/Filter. 'gesperrt' wählen.

In der Kamera könnte man eMail und FTP-Daten eintragen. Ist in Verbindung mit Synology nicht nötig und sollte daher auch nicht.

Soweit die Menüounkte bei Roline und Hikvision gleich sind:

Bei System/Netzwerk: folgendes aus: upnpn, DDNS, PPoE, SNMP, FTP, eMail, NAT.

NTP: Bei System/Zeiteinstellung als NTP-Server 'fritz.box' eintragen. Zeitzone GMT+1.
Bei System/DST: aktvieren Start, letzter Sonntag März, Ende letzter Sonntag Oktober, Bias: 60 min.

 

[laurooon]

Danke, das versuche ich. Netzwerk sind böhmische Dörfer teilweise.

 

[Hesse]

Was du noch machen kannst: Falsches (oder wenn möglich) kein Gateway bei den Hikvisions eintragen....

 

[Jim_OS]

Eben, einfach die (feste) IP in der LAN-Firewall blockieren und gut ist's. Ob dies jetzt in der Fritz!Box über die Kindersicherung geschieht oder über eine Firewall im Router oder direkt durch eine etwas professionellere FW, ist letztendlich egal.

Wichtig dabei ist auch, zumindest bei manchen IP Cams (z.B. Foscam), dass die Cam vorher auf keinen Fall eine WAN-Verbindung hatte. Also bei der Einrichtung vorher das WAN-Kabel beim Router entfernen. Macht man das nicht ist es bei Foscam Cams schon zu spät und diese haben die Firewall-Funktion durchlöchert. Das Thema gab es hier ja glaube ich auch schon einmal. Ansonsten siehe z.B. hier: https://www.heise.de/select/ct/2016/04/1455783244462934

Ich konnte das bei meinen Foscam Cams auch schön mit Wireshark nachvollziehen. Ein nachträgliches blockieren der Kamera IP per Fritz Kindersicherung oder Firewall brachte gar nichts. Das "Kind war schon in den Brunnen gefallen" und die Foscam Cams haben weiterhin über die unterschiedlichsten Ports mit allen möglichen Servern Daten ausgetauscht.

VG Jim

 

[mega]

Bei Heise steht, das man für VPN-Zugriff den Webserver freigeben soll.
Davon ist dringend abzuraten! Durch den Zugriff durch die Synology durch ist es auch garnicht nötig, von außen direkt auf die Kamera zu kommen.


Wobei ich mich gerade Frage, warum die durch Foscam geöffneten Ports trotz Kindersicherung offen bleiben?
Ausgehend sollte die FritzBox doch jede Kommunikation sperren? Damit sollte die Kamera nicht mehr auf eingehende Anfragen antworten können.
Dadurch gehen dann auch irgendwann die Ports zu, spätestens wenn sich die externe IP ändert und dadurch keine Anfragen mehr reinkommen.


Als Guck-App für Android ist IpCamViewer gut.
Das geht auch mit Synology. (In der Beschreibung gucken, wie man den passenden Stream wählt)

 

[Jim_OS]

Moin,

Wobei ich mich gerade Frage, warum die durch Foscam geöffneten Ports trotz Kindersicherung offen bleiben?
Ausgehend sollte die FritzBox doch jede Kommunikation sperren? Damit sollte die Kamera nicht mehr auf eingehende Anfragen antworten können.
Dadurch gehen dann auch irgendwann die Ports zu, spätestens wenn sich die externe IP ändert und dadurch keine Anfragen mehr reinkommen.

wie genau Foscam das macht kann ich Dir leider auch nicht sagen. Ich arbeite schon immer mit festen IPs. Es gibt bei mir in der Fritzbox 7490 keinerlei Portfreigaben, die globale Filtereinstellungen sind aktiv und die Kindersicherung habe ich für meine div. Kameras schon immer von Anfang an aktiviert.

Bis zu dem Zeitpunkt war ich "blauäugig" der Meinung das eine eingerichtete Fritzbox Kindersicherung den jeweiligen WAN-Verkehr zuverlässig blockt, bis ich dann über den Heise Artikel gestolpert bin und meinen Netzwerkverkehr per Wireshark analysiert habe. Ich war mehr als erstaunt das über die IP einer Foscam, trotz aktivierter Kindersicherung, munter WAN-Verbindung zu div. Servern aufgebaut wurden. Interessanterweise betraf dies nur die Foscam 9828P V2. Meine Foscam 9805W hat keine Datenverbindung(en) ins WAN aufgebaut. Auch nicht meine Dahua Kamera. Und nein ich habe mich auch nicht bei der Einrichtung der Kindersicherung mit der IP vertan - oder so.

Ich habe dann der Foscam 9828P V2 noch einmal eine andere LAN IP gegeben und für diese IP die Kindersicherung aktiviert. Da die Foscam vorher ja schon mal eine WAN Verbindung hatte, hat sie sofort wieder WAN-Verbindungen aufgebaut.

Ich habe dann noch versucht irgendwie die Ursache für das Verhalten zu finden, aber irgendwann habe ich aufgegeben. Letztendlich habe ich in der Fritzbox für die Foscam ein extra Zugangsprofil erstellt (wie u.a. bei Heise beschrieben) und zusätzlich habe ich ihr im WebGUI noch den Gateway geklaut. Danach war endlich Ruhe und sie hat keine WAN-Verbindungen mehr aufgebaut.

Wie man an dem Beispiel Foscam sehen kann bringt eine aktive Fritzbox Kindersicherung nicht immer den gewünschten Erfolg.

Nach dieser Erfahrung kann ich nur jedem User empfehlen mal seinen Netzwerkverkehr zu protokollieren und zu überprüfen. Es gibt inzwischen so viele Geräte die von Haus aus mit dem Internet verbunden sind, oder sich verbinden möchten und nicht allen sollte man das auch pauschal erlauben. Man weiß sonst nie was da im Hintergrund ggf. alles so abgeht. Solange der Hersteller seine Hausaufgaben gemacht und er nicht irgendwelche Sicherheitslücken im System hat, ist vielleicht noch alles gut. Wenn es aber - wie bei Foscam - parallel auch noch gravierende Sicherheitslücken gibt und z.B. der Zugriff auf Passwörter möglich ist, dann ist das ein "Scheunentor" das es schnellstens zu schließen gilt.

VG Jim

 

[laurooon]

Ich habe mir diesen Wireshark nun auch mal besorgt, weiß aber nicht wie ich die Ergebnisse deuten soll. Wonach muss ich denn suchen? Das eine der IP Kameras WAS genau macht? Was ist ein verräterrischer Eintrag?

 

[Jim_OS]

Du kannst bei der Fritzbox einen kurzen Paketmitschnitt für die Internet-Verbindung bzw. Routing-Schnittstelle erstellen http://fritz.box/html/capture.html und als Datei speichern. Diese Datei kannst Du dann mit Wireshark einlesen und Dir die Verbindungen ins Internet Deiner vorhandenen LAN-IPs anzeigen lassen. Sollte da dann unter Source die IP Deiner Kamera mit einer Internetverbindung auftauchen - was ziemlich leicht zu erkennen ist - gibt es irgendwo ein "Loch/Problem".

Z.B. hier https://www.pcwelt.de/ratgeber/So-entlarven-Sie-WLAN-Schnueffler-7685086.html steht auch einiges dazu.

Edit: Ich habe das eben mal schnell für Dich durchgespielt. Hier ein Screenshot:



Unter Source sollten nur die IPs aus Deinem LAN auftauchen (also wohl 192.168.x.x), die auch wirklich ins Internet dürfen.

VG Jim

 

[laurooon]

Hallo, bei dir tauchen unter "Source" aber auch IPs auf, die nicht zu deinem Netzwerk gehören. Das sind denn das für IPs?
Da stehen ja nur Zahlen und auch in der Beschreibung steht nur Kauderwelsch und kein Hinweis, welches Gerät da funken oder empfangen will.

 

[Jim_OS]

Unter Source sollten nur die IPs aus Deinem LAN auftauchen (also wohl 192.168.x.x), die auch wirklich ins Internet dürfen.

Ja das war gestern auf die Schnell ggf. etwas missverständlich geschrieben. Besser wäre:

Sollte dort unter Source die LAN-IP Deiner Kamera auftauchen und das Ziel (Destination) eine IP im Internet sein, so baut Deine Kamera eine Verbindung ins Internet auf. Sollte das nicht von Dir vorgesehen/gewollt sein, so musst Du Dich auf die Suche machen was der (Hinter-)Grund dafür ist.

Das Wort Kamera kann man dann auch noch beliebig ersetzen durch z.B. Fernseher, SAT-Receiver, NAS usw. D.h. wenn ich z.B. meinem Fernseher per Fritzbox Kindersicherung nicht erlaube eine Verbindung ins Internet aufzubauen, dann sollte seine LAN-IP dort unter Source mit Destination IP aus dem Internet nicht erscheinen.

Was die "Zahlen" und den "Kauderwelsch" betrifft, also den Zusammenhang zwischen IPs, Ports, Verbindungen, Protocol usw., dazu musst Du Dich ein wenig mit der Materie befassen. Das hier zu erklären würde ein wenig den Rahmen sprengen.

https://www.google.com/search?q=wireshark+netzwerkverkehr+analysieren

 

[Rheinfels]

Ich fange gerade an, mich für eine entsprechende Lösung zu interessieren und suche aktuell nach passenden Kameratypen. Bzgl der SIcherheit hatte ich folgende Vorstellung:
Es gibt ja Synologys mit 2 Netzwerkadaptern (z.B. meine 214+): Mit einem könnte ich die Synology mit meinem Heimnetzwerk und dem Internet verbinden, hinter den 2. Adapter kommt ein PoE Switch und die Kameras in einem eigenen, abgeschotteten Netzwerk. Somit sollte doch jegliche (direkte) Verbindung zum Internet wirksam unterbunden sein, ein externer Zugriff über die Synology App dennoch möglich sein. Denkfehler oder liege ich richtig?

 

[Jim_OS]

und die Kameras in einem eigenen, abgeschotteten Netzwerk. Somit sollte doch jegliche (direkte) Verbindung zum Internet wirksam unterbunden sein

Hm interessante Fragestellung.

Da mein DS215j nur eine LAN-Schnittstelle hat kenne ich nicht die genauen Konfigurationsmöglichkeiten der zwei LAN-Schnittstellen bei Synology. Mein QNAP hat zwei LAN-Schnittstellen und ich könnte dort zwar das Routing einstellen und für die NAS-Dienste die Service-Bindungen pro Ethernet-Interface einzeln einrichten, aber ich bin mir nicht sicher ob das schon reichen sollte/könnte. Wie willst Du die Kameras an dem PoE Switch von dem restlichen Netzwerk und dem Router und WAN trennen? Klar könnte man auch da mit entsprechenden Aufwand (VLAN und Routing) entsprechende Routen definieren, aber die Kamera ist ja schon "drin", sprich mit dem NAS verbunden. Im Fall von Foscam wird ja eine Punchhole-Technik genutzt, mit Tunnel, Proxy und was auch immer. Ich wüsste momentan nicht wie man die Foscam Kamera davon abhalten sollte sich ihren Weg nach außen "in" dem NAS zu "suchen".

OK Foscam ist jetzt ein extremes Beispiel, aber eignet sich hier jetzt ganz gut mal darüber nachzudenken.

Was Deine Suche nach aktuell passenden Kameratypen betrifft meine ganz klare Empfehlung: Hikvision oder Dahua. Auch wenn vielleicht ein paar Euro teurer, aber es lohnt sich auf jeden Fall. Die teils extrem hohen Preise dafür in Deutschland würde ich aber wohl auch nicht bezahlen, sondern die alternativen Vertriebswege nutzen - sprich im oder über das Ausland bestellen/kaufen.

VG Jim