Kamera Konfiguration 'telefonier' Hikvision nach Hause?

[c0smo]

Für so ein Szenario empfiehlt es sich auf POE NVR's vom Hersteller auszuweichen. Damit bekommst du genau das, was du willst. 2 Netzwerke, wobei nur das eine vom Rekorder "online" ist, also mit dem WAN verbunden (wenn gewünscht). Das Kameranetz ist physisch abgeschottet. Ein direkter Zugriff vom Heimnetz auf die Web GUI der Kamera bzw das Livebild ist nicht möglich, nur vom Rekorder aus, von der App oder der VMS. Einzig der Rekorder kann intern über den Browser aufgerufen werden.
Sicherer geht es nicht.

In meiner Signatur findest du ein Model von Dahua. Kostet nicht die Welt und alle Kamera Lizenzen (16 St.) sind frei. Und genug Power für 4k ist auch drin.

Ob das alles mit der SS machbar ist, kann ich nicht mit Sicherheit sagen. Zuviele Hürden die dir dazwischen funken können. Angefangen beim Routing der IP's und der verschiedenen Ports für Bild und Datenübertragung.

 

[Jim_OS]

Für so ein Szenario empfiehlt es sich auf POE NVR's vom Hersteller auszuweichen. Damit bekommst du genau das, was du willst. 2 Netzwerke, wobei nur das eine vom Rekorder "online" ist, also mit dem WAN verbunden (wenn gewünscht).

Gut zu wissen. Ich hatte mich am Rande zwar auch mal für NVRs interessiert, aber so tief vorgedrungen bin ich dann doch nicht.

In meiner Signatur findest du ein Model von Dahua. Kostet nicht die Welt

Zumindest außerhalb von Deutschland.

Zuviele Hürden die dir dazwischen funken können. Angefangen beim Routing der IP's und der verschiedenen Ports für Bild und Datenübertragung.

Genau das sind ja auch meine Bedenken.

Zusätzlich zu einem NAS auch noch `nen NVR zu betreiben hängt natürlich auch davon ab wie professionell und aufwendig man das ganze betreiben möchte und wie groß das Sicherheitsempfinden ist. Für den "Otto-Normal-Anwender" sollte ein vernünftiges Kameramodell (z.B. von Hikvision oder Dahua), in Verbindung mit Firewalleinstellungen - und sei es nur die Kindersicherung der Fritzbox - schon ausreichen. Wichtig ist nur das man a) weiß was man tut und b) sein Netzwerk im Auge behält. Wer sich Dinge wie z.B. Router, Fernseher, Alexa und Co. einfach so hinstellt und betreibt, ohne sich ein wenig über Datensicherheit Gedanken zu machen, der macht eh etwas falsch.

VG Jim

 

[c0smo]

In Italien für 350€ bestellt. In Deutschland wahrscheinlich nur über Distribution erhältlich, gibt leider nicht viele offizielle Händler für den Endkunden.

Thema Sicherheit.. Es kommt wohl immer darauf an wer vor der Kiste sitzt und mit welchen Kenntnissen. Der ITler, der mit Wireshark alles aufspürt, findet in jeder Kamera ein Loch oder einen Anruf nach Hause. Stört es ihn, vermutlich schon, wird es aber vielleicht als "angemessen" oder normal empfinden, weil er genau weiß, das jeder große Hersteller seine Hintertürchen hat.
Der Hobby ITler regt sich darüber auf und meidet vielleicht das Produkt und gibt seine fundierten Erkenntnisse in der Welt preis - natürlich mit ordentlich Dampf dahinter und Verbesserungsvorschlägen.
Und der Nachbar, der sonst nur nen TV als Bildschirm kennt, den juckts in keinster Weise und freut sich insgeheim, dass seine Kamera läuft und er sich das 4-stellige Passwort merken konnte.

[/Zynismus]

 

[whitbread]

Es gibt ja Synologys mit 2 Netzwerkadaptern (z.B. meine 214+): Mit einem könnte ich die Synology mit meinem Heimnetzwerk und dem Internet verbinden, hinter den 2. Adapter kommt ein PoE Switch und die Kameras in einem eigenen, abgeschotteten Netzwerk. Somit sollte doch jegliche (direkte) Verbindung zum Internet wirksam unterbunden sein, ein externer Zugriff über die Synology App dennoch möglich sein. Denkfehler oder liege ich richtig?

Bitte ganz schnell vergessen: Die Nas ist kein Router. Suche Dir bitte einen richtigen Router - keine Fritzbox - und dann ist die Trennung der Netze tatsächlich genau der way to go.

 

[mega]

Diese NVRs ins Internet zu hängen, ist ja noch gruseliger als Billig-Kamera ins Internet hängen...
Wenn man extern auf den NVR zugreifen will, kann man den erst nicht vom Internet trennen. Dann kann es ungestört nach Hause telefonieren, wenn es neben Bitcoin-Mining und Botnetz noch Zeit dazu hat.


https://threatpost.com/remote-code-execution-in-popular-hikvision-surveillance-dvr/109552/

https://isc.sans.edu/forums/diary/M...Disk+Station+and+now+with+Bitcoin+Miner/17879

 

[c0smo]

Du kramst hier Artikel raus die 5 Jahre alt sind. Wenn das dein Argument gegen einen NVR ist, dann versuche ich erst gar nicht hier irgendetwas dagegen zu halten.
Aber dein Handy und dein Windows / Mac darf schon ins Internet? Ist dir das nicht zu gruselig?

 

[mega]

1. Dem Thread-Ersteller ging es darum, das die Kameras nach Hause telefonieren.
Wenn man nun statt Kameras den NVR telefonieren lässt, was ist daran besser?

2. Ich kann damit leben, wenn die Geräte NUR nach Hause telefonieren.
Aber bei Geräten, die bekannte Sicherheitslücken haben?
Und zumindest für die von Hikvision hergestellten OEM-Produkte hab ich seit Jahren keine Updates gesehen. Da ist es dann auch egal, wenn die Lücke schon vor Jahren gefunden wurde.

 

[c0smo]

1) Das ist mir bewusst und reichlich Antworten dazu gab es auch schon. Ein Response zum Heimatort ist so gut wie bei keinem Hersteller zu vermeiden. Wenn das jemanden stört, darf er derartige Produkte nicht ins Haus lassen.
Der Tipp mit dem NVR sollte nicht darauf hinauszielen, dass er nicht funkt, sondern das die allgemeine Sicherheit bei einem Angriff um einiges höher ist, als bei Kameras im Heimnetz und irgendwelchen Ports die deswegen geöffnet werden müssen.
So ein System lebt doch davon, das man von unterwegs auch mal sein Objekt überwachen kann. Wieso sollte ich das unterbinden? Dann lieber gleich darauf verzichten und das Geld in eine EMA investieren.

2) Bekannte Lücken die 5 Jahre alt sind? Hikvision bringt laufend Updates, genauso die anderen großen Hersteller. Und wenn man schon solche Bedanken hat, wegen ein paar Telemtriedaten die gesendet werden oder sich jeden negativen Artikel zum Thema "Hacks" reinzieht, dann ist solch ein Produkt einfach deplaziert - genauso wie alle andere Hard- und Software die online ist.
Und dann noch der Aspekt OEM Ware. Schon klar das die nicht in dem Update Intervall mitzieht, aber dann muss man einfach die Finger davon lassen und zum Guckguck nochmal ein paar Euros mehr investieren. Dieser ganze Geiz ist geil Tripp geht mir sowas von auf den Kragen.

Wieso schreien eigentlich alle bei Kameras und NVR's immer auf mit Sicherheitslücken und Heimfunkerei und bei Betriebssystemen wird das stillschweigend hingenommen. Was soll denn ein NVR oder eine Kamera schon großartiges mitteilen, im Vergleich zu einem BS. Dort werden Standorttags, WLAN oder ganze Tracker verwendet um jeden einzelnen Schritt in deinem Leben zu analysieren und kategorisieren. Da ist so ein NVR ein kleines Lichtlein.

 

[Matis]

... wenn ihr paranoia habt kann man die cams auch so abschotten, dass sie nur mit der syno kommunizieren können. Zugriff von aussen dann auf die streams und bilder der syno, das ist eh das sauberste nd klappt hervorragend. Da telefoniert dann gar keine cam nach Hause. Da versteh ich die ganze Aufregung nicht, das ist doch fix umgesetzt, wenn einen das stört.

 

[mega]

OEM hat nichts mit Geld (sparen) zu tun.
Zu der Zeit gab es hier Hikvision nur als OEM-Ware zu kaufen. Und seit dem kauf gabs keine Updates (Also nicht nur 'weniger', sondern 'nichts').
Wenn Hikvision selbst das jetzt mit den Updates hinbekommt, ist ja gut.

Geld sparen, Teil 2: Die letzten Kameras waren wieder von Axis, auch wenn die ne Stange teurer sind (aber wohl dank neuer Konkurenz nicht mehr so 'extrem').

Heimfunkerei: Ist mir selbst recht egal. Soll der Hersteller doch wissen, welche Geräte ich wo, wie oft und in welcher Stückzahl einsetze.

Sicherheitslücken: Werden von mir bei anderen Geräten auch nicht 'stillschweigend hingenommen'. Es ist generell nur offenbzw aktiv, was offen sein muss. Updates werden zeitnah installiert.

Und Sicherheitslücken betrifft nicht nur 'Billig-Geräte'. Ich habe eine Rolladen-Steuerung eines namhaften deutschen Herstellers. Sicherheit: Fehlanzeige. Passwortschutz ist schlicht nicht vorgesehen. Wer auf das Gerät kommt, kann alles einstellen oder die Rolläden auch ganz praktisch als Json auslesen und steuern. Es gibt auch nicht nur Rolläden zu dem System, sondern Geräte deren unbefugte Betätigung gefährlich sein kann...

 

[c0smo]

... wenn ihr paranoia habt kann man die cams auch so abschotten, dass sie nur mit der syno kommunizieren können. Zugriff von aussen dann auf die streams und bilder der syno, das ist eh das sauberste nd klappt hervorragend. Da telefoniert dann gar keine cam nach Hause. Da versteh ich die ganze Aufregung nicht, das ist doch fix umgesetzt, wenn einen das stört.

Das ist nicht korrekt. Sobald die Cam online und der Port 554 offen ist findet eine Kommunikation statt. Von dort wird alles verschickt. Da kannst du rein gar nichts abschotten, zumal deine DS ja auch online ist und diese im Heimnetz inkl Kameranetz drin hängt. Deshalb ja meine Empfehlung für ein POE NVR, hier hast du 2 physisch getrennte Netzwerke. Dort ist zwar auch der Rekorder online, aber die Kameras können nicht direkt angesprochen werden, weder intern noch extern. Die Streams sind über https verschlüsselt und der Rekorder kann nur über die VM Software erreicht werden - wenn man das so will. Natürlich kann auch die WebGUI geöffnet werden - aber wer will das schon von extern.

 

[c0smo]

OEM hat nichts mit Geld (sparen) zu tun.
Zu der Zeit gab es hier Hikvision nur als OEM-Ware zu kaufen. Und seit dem kauf gabs keine Updates (Also nicht nur 'weniger', sondern 'nichts').
Wenn Hikvision selbst das jetzt mit den Updates hinbekommt, ist ja gut.

Geld sparen, Teil 2: Die letzten Kameras waren wieder von Axis, auch wenn die ne Stange teurer sind (aber wohl dank neuer Konkurenz nicht mehr so 'extrem').

Heimfunkerei: Ist mir selbst recht egal. Soll der Hersteller doch wissen, welche Geräte ich wo, wie oft und in welcher Stückzahl einsetze.

Sicherheitslücken: Werden von mir bei anderen Geräten auch nicht 'stillschweigend hingenommen'. Es ist generell nur offenbzw aktiv, was offen sein muss. Updates werden zeitnah installiert.

Und Sicherheitslücken betrifft nicht nur 'Billig-Geräte'. Ich habe eine Rolladen-Steuerung eines namhaften deutschen Herstellers. Sicherheit: Fehlanzeige. Passwortschutz ist schlicht nicht vorgesehen. Wer auf das Gerät kommt, kann alles einstellen oder die Rolläden auch ganz praktisch als Json auslesen und steuern. Es gibt auch nicht nur Rolläden zu dem System, sondern Geräte deren unbefugte Betätigung gefährlich sein kann...

Na da ist ja unser Denken doch nicht so weit voneinander entfernt..
Klar gibt es auch in teuren Produkten Lücken. Nur hier werden sie "meist" schneller geschlossen, da die öffentliche Aufmerksamkeit größer ist. Ein Name wie Hikvision, Dahua oder Axis steht schneller am Pranger in Europa, als irgendwelche billig Cams, die den Amazon Store überfluten.
Ich kann mich noch daran erinnern, als Dahua hier langsam Fuß gefasst hat. Damals waren Passwörter länger als 5 Stellen und mit Sonderzeichen schlichtweg nicht möglich. Es gab vom System Standard Benutzer (888888, 666666) die man nicht verändern konnte bzw. das PW nicht editierbar war. Bei Hikvision ähnliches, aber beide Hersteller haben recht schnell reagiert, deshalb habe ich hier keine Bedenken, was die Sicherheit angeht, wenn man ein bischen logisches Denken und Verständnifür für die Sache mitbringt.

 

[mega]

Bzgl Netztrennung dürfte es doch egal sein, ob man das getrennte Netz mit nem POE-NVR oder mit eigener Synology + extra Switch macht?
Auch wenn ich das jetzt nicht vor hab, ich will die Kameras ja auch Inhouse sehen ohne den Umweg durch das Internet...

 

[Matis]

Das ist nicht korrekt. Sobald die Cam online und der Port 554 offen ist findet eine Kommunikation statt. Von dort wird alles verschickt. Da kannst du rein gar nichts abschotten, zumal deine DS ja auch online ist und diese im Heimnetz inkl Kameranetz drin hängt. Deshalb ja meine Empfehlung für ein POE NVR, hier hast du 2 physisch getrennte Netzwerke. Dort ist zwar auch der Rekorder online, aber die Kameras können nicht direkt angesprochen werden, weder intern noch extern. Die Streams sind über https verschlüsselt und der Rekorder kann nur über die VM Software erreicht werden - wenn man das so will. Natürlich kann auch die WebGUI geöffnet werden - aber wer will das schon von extern.

Erstens geht das getrennte Netz und was du beschreibst auch mit der Syno und Surveillance, da braucht es kein sep. NVR.
Zweitens: warum sollte ich denn den cams 554 ins WAN offen lassen? Die haben und brauchen gar keinen offenen port nach draußen und schon ist Schluß.
Es gibt doch nicht immer nur eine Lösung für ein Problem.
Und dein propagiertes NVR ist sicher nicht das naheliegendste, preisgünstigste und sinnvollstes die "ET" Frage vom Anfang zu adressieren.
Und wenn man es mit Konfiguration nicht hinbekommt, kann man den POE Router immer noch an einen sep. LAN der Syno stecken und hat sogar den Traffic getrennt.
Das braucht es noch nciht mal einen VLAN Router.

 

[c0smo]

Erstens geht das getrennte Netz und was du beschreibst auch mit der Syno und Surveillance, da braucht es kein sep. NVR.

Und wie? Selbst wenn du eine DS mit 2 LAN Karten hast, besteht immer noch das Problem des Routings. Soll das die DS übernehmen? Denke das wird nicht funktionieren oder nur schwer umzusetzen sein.

warum sollte ich denn den cams 554 ins WAN offen lassen? Die haben und brauchen gar keinen offenen port nach draußen und schon ist Schluß.
Es gibt doch nicht immer nur eine Lösung für ein Problem.

Was denkst du, wie die Kamera nach aussen kommuniziert? Entweder über 554, also RTSP oder RTSP over HTTP, dann meist 80 oder 443. Beim letzteren wird alles in HTTP gekapselt und es können zusätzlich noch andere Anfragen mitverschickt werden.Ohne RTSP gibt es kein Bild. Und wenn die Kamera nicht direkt mit Ports offen ist, dann eben die DS oder der NVR. Trotzdem läuft der Stream über RTSP, egal von welchem Client.

Ich propagiere hier nichts und will auch nicht "DIE" Lösung anbieten, sondern gebe lediglich Tipps für ein halbwegs "sauberes" System. Und da ist ein POE NVR die beste Wahl. Von Kosten war hier keine Rede und selbst wenn, es gibt 4 Kanal Rekorder für ca. 100€ und da sind die Lizenzen für die Kameras mit drin. Und ein POE Switch wird auch nicht benötigt. Da kann Synology nicht mithalten.

 

[c0smo]

Bzgl Netztrennung dürfte es doch egal sein, ob man das getrennte Netz mit nem POE-NVR oder mit eigener Synology + extra Switch macht?
Auch wenn ich das jetzt nicht vor hab, ich will die Kameras ja auch Inhouse sehen ohne den Umweg durch das Internet...

Wenn du 2 physisch getrennte Netze aufmachst, natürlich nicht.

 

[whitbread]

Das ist nicht korrekt. Sobald die Cam online und der Port 554 offen ist findet eine Kommunikation statt. Von dort wird alles verschickt. Da kannst du rein gar nichts abschotten, zumal deine DS ja auch online ist und diese im Heimnetz inkl Kameranetz hängt...

Genau so sollte es eben nicht sein! Weder Syno noch Cams gehören ins Heimnetz, sondern beide in separate IoT-Netze. Die Cam eben nicht online, sondern ausschließlich zugreifbar aus dem Netz der Syno ohne jeglichen Zugriff auf andere Netze. Die Syno braucht leider inzwischen Webzugriff, sonst geht nicht mal mehr ein Backup des Mailservers+, sollte aber keinen Zugriff auf das sog. Heimnetz haben, von diesem jedoch erreichbar sein.
Die Frage NVR vs. Cam spielt dabei zunächst keine Frage.

 

[Matis]

... was genau hat jetzt der Begriff "Internet-of-Things" mit deiner Netztopologie zu tun? ... bingo ...

 

[whitbread]

IoT-devices benötigen Internetzugriff bzw. sind ab Werk so konfiguriert, diesen zu nutzen oder gar zu benötigen und zwar ganz ohne Benutzereingriff. Das ist das, was man umgangssprachlich "telefoniert nach Hause" nennt. LAN-devices tun dieses per se nicht und daher dürfen diese in das Heimnetz oder LAN. Unsere Syno-NASen waren bis zur Version 5 auch noch LAN-devices, sind jetzt aber leider zu IoT-devices verkommen. Daher benötigen diese jetzt ein eigenes Netzwerksegment, welches Internetzugriff und gleichzeitig Zugriff aus dem Heimnetz (SMB usw.) erlaubt. Dies sollte den China-Cams nicht gestattet sein, daher werden diese ebenfalls separiert - ob nun mit oder ohne Internetzugriff muss halt jeder selbst entscheiden (bei mir ohne!).

 

[c0smo]

Genau so sollte es eben nicht sein! Weder Syno noch Cams gehören ins Heimnetz, sondern beide in separate IoT-Netze. Die Cam eben nicht online, sondern ausschließlich zugreifbar aus dem Netz der Syno ohne jeglichen Zugriff auf andere Netze. Die Syno braucht leider inzwischen Webzugriff, sonst geht nicht mal mehr ein Backup des Mailservers+, sollte aber keinen Zugriff auf das sog. Heimnetz haben, von diesem jedoch erreichbar sein.
Die Frage NVR vs. Cam spielt dabei zunächst keine Frage.

Und wo bleibt der Spaß an der Sache?
Die bösen, bösen Kameras. Advocatus Diaboli. Die Pest im Heimnetz. Das schwarze Schaf unter allen Clients.
Das ist doch nicht dein Ernst, was du hier schreibst? Ich schotte doch mein Equipment für zig tausend Euros nicht ab und kastrier es in seiner Funktionalität, nur weil das Teil ein paar sinnlose Daten nach Südostasien verschickt.

Du bist der Schock in meiner Branche. Ich wäre arbeitslos, wenn alle unsere Kunden so denken würden!

Dafür habe ich das ganze Spielzeug doch angeschafft, dass ich auch mal vom Urlaub aus oder wenn ich geschäftlich unterwegs bin, nach dem Rechten schauen kann.

PS
Ich würde gerne mal deine IT Landschaft sehen. Wie setzt du das um, mit welcher Hardware und wie greifst du auf die einzelnen Clients zu?