Surveillance Station Zuhause/Abwesend über Steuerung

[daschmidt94]

Guten Abend,

seit ein Paar tagen besitze ich eine Reolink Überwachungskamera für innen.
Einrichtung usw hat auch ohne Probleme geklappt.
Da die Kamera jedoch nicht aufzeichnen soll, wenn jemand Zuhause ist,
wäre es schön, dies automatisch auszuschalten.
Jetzt will ich nicht bei jeder Person im Haushalt noch die DSCam app installieren(hat
bei mir mit dem geofance auch nicht wirklich geklappt) sonder möchte es direkt
über meine Haussteuerung die Homeassistant übernimmt machen(dort ist jede
Person angelegt und schaltet schon die z.b. Alarmanlage scharf).
Hab schon recherchiert und was von API gelesen aber komme nicht wirklich weiter.

Hat hier jemand schon Erfahrungen?


MFG

 

[Jim_OS]

Auch wenn ich keine Reolink Kamera unter HA nutze, aber ganz so einfach ist das nicht. Wenn Du die Kamera mit SS nutzt und darüber auch die Aufnahmen bei der Kamera gesteuert und gestartet werden, dann kannst Du das nicht einfach per HA steuern. Das gleiche gilt wenn die Aufnahmen per Reolink WebGUI gesteuert und gestartet werden.

Konkretes Beispiel: Du kannst SS nicht von HA aus, z.B. mit einer Automatisierung, sagen das jetzt keine Aufnahmen mehr erfolgen sollen weil Du zu Hause bist.

Als erstes solltest Du, falls nicht eh schon gemacht, die Reolink Kamera per Reolink Addon bei HA einbinden. Dann siehsr Du schon mal was es an Steuerelementen und Sensoren für die Kamera unter HA gibt. Ob und wie Du dann das mit den Aufnahmen regelst musst Du dann mal selber sehen und überlegen. Deine DS ließe sich zwar auch bei HA einbinden, aber SS nur mit dessen Stream und nicht dessen Aufnahmensteuerung.

VG Jim

 

[daschmidt94]

danke, hab sie mit der ONVIF integration eingebunden da ich es mit der reolink integration nicht geschafft habe...

Dachte da gibt es evtl. einen webhook den man verwenden kann dafür.

 

[Ulfhednir]

Es gibt doch Webhooks, die man in der SS einrichten kann. Keine Ahnung, wie das mit der HASS-Integration aussieht.
Ich kenne mich mit dem ioBroker (schöne Grüße an Jim_OS) aus, bei welchem das genannte Szenario kein Problem wäre. Wenn "Abwesend" steuere einen Webhook der SS an, welcher wiederum den Homemode verlässt bzw. die Aufnahme startet. Anders herum genauso. Dafür wird auch kein speziellies Reolink oder SS-Addon benötigt. Im ioBroker kann man das einfach skripten.

Ich habe folgende Automatisierung geskriptet: Wenn ein Fenster-Sensor (der in einer Schublade liegt) = true, dann starte Kamera-Aufzeichnung.
Ich habe aber ein wenig Komplexität herausgenommen und lasse das eine Stunde laufen. Aber prinzipiell lässt sich das genannte Szenario damit umsetzen.

 

[daschmidt94]

danke, das hilft mir schon weiter. Mit dem webhook kann ich in Homeassistant arbeiten.

 

[c0smo]

Da die Kamera jedoch nicht aufzeichnen soll, wenn jemand Zuhause ist,
wäre es schön, dies automatisch auszuschalten.

Ich habe keine direkte Idee, bin aber mal neugierig und frage mal, was machst du denn wenn jemand einbricht, Schaden verursacht oder schlimmer.,Gewalt gegen ein Familienmitglied anwendet wenn jemand zu Hause ist?

 

[Ulfhednir]

Ich kann den Use-Case total nachempfinden. Meine Kamera läuft auch nicht, wenn jemand zu Hause ist. In einer Mietwohnung kriegt man einen potentiellen Einbruch auch mit, wenn man zu Hause ist. Wenn dann jemand Gewalt anwenden tut, dann wäre ich das gegenüber dem Einbrecher.
Da benötige ich wiederum auch keine Kamera, bzw. wäre das strafrechtlich sogar kontraproduktiv.

Für's Protokoll: Ich bin ein ganz lieber Pazifist.

 

[c0smo]

Hmm, schwierig für mich das nachzuvollziehen. Ich verlasse mich doch nicht darauf, dass ich den Einbruch mitbekomme. Noch weniger darauf, dass ich u.U. gegen einen oder mehrere bewaffnete Honks vorgehen würde.

Was bringts denn wenn die Aufzeichnung aus ist? Wo liegt der Vorteil oder Nutzen?

 

[goetz]

Hallo,
ich schalte in domoticz per Scrips manuell den Home-Modus.

#!/bin/bash

wget -q --keep-session-cookies --save-cookies cookies.txt -O- "http://192.168.1.16:5000/webapi/auth.cgi?api=SYNO.API.Auth&method=login&version=3&account=home-mode&passwd=GANZ_GEHEIMES_PASSWORT-&session=SurveillanceStation"

wget -q --load-cookies cookies.txt -O- "http://192.168.1.16:5000/webapi/entry.cgi?api=SYNO.SurveillanceStation.HomeMode&version=1&method=Switch&on=true"

wget -q --load-cookies cookies.txt -O- "http://192.168.1.16:5000/webapi/auth.cgi?api=SYNO.API.Auth&method=logout&version=1"

Aus ist dann im 2. Befehl on=false

Gruß Götz

 

[Ulfhednir]

Zusätzliche I/O auf der Festplatte = Schnellere "Abnutzung"

 

[c0smo]

Steht für mich in keinem Verhältnis zu einer eventuellen Alarmierung im Ernstfall. Aber gut, jeder hat sein eigenes Sicherheitsbedürfnis

 

[Jim_OS]

Deine DS ließe sich zwar auch bei HA einbinden, aber SS nur mit dessen Stream und nicht dessen Aufnahmensteuerung.

Das muss ich korrigieren. Da ich weder SS nutze, noch meine NAS bei HA eingebunden habe, ist es schon sehr lange her das ich mir die Möglichkeiten damit mal angeschaut hatte. Inzwischen ist es wohl so das der SS Home Mode auch von der HA Synology Integration unterstützt wird. D.h. dafür sollte dann ein Steuerelement vorhanden sein. Somit ließen sich damit dann natürlich leicht auch irgendwelche HA Automatisierung in Verbindung mit der Kamera erstellen. Anm.: Bei der Einbindung der DS per HA Synology Integration sollte man aber das Thema User Account bei der DS beachten.

Welche Möglichkeiten sich dann noch z.B. per Webhooks ergeben kann ich nicht sagen da ich SS halt nicht nutze.

VG Jim

 

[daschmidt94]

Ich war mit der oberen Lösung schon zufrieden, jetzt aber gefällt mir die von @Jim_OS noch besser. Den hacken für die berechtigung gesetzt und nun kann der Schalter ganz einfach in homeassistant ein und ausgeschaltet werden.

DANKE

 

[ctrlaltdelete]

Thema User Account bei der DS beachten

welche Rechte hast du dem HA User eingeräumt?

 

[daschmidt94]

Adminrechte aber hab ihm alles verweigert außer die Surveillancestation.

 

[ctrlaltdelete]

Admin Rechte im DSM? Hossa, das wäre mir zu heiß.

 

[daschmidt94]

Due to the nature of the Synology DSM API, it is required to grant the user admin rights. This is related to the fact that utilization information is stored in the core module.


aber wenn alles verweigert wird, kann der Account sich nicht einmal einloggen

 

[Jim_OS]

Darauf wollte ich mit meinem Hinweis auch hinaus. Ich selber habe da immer ein flaues Gefühl im Magen wenn ich ein Gerät - hier ein NAS auf dem sich ggf. wichtig Daten befinden - in ein Smarthome-System einbinde. Insbesondere wenn ich dem User dafür dann noch Admin-Rechte zuweisen muss damit es funktioniert. Ja so wie @daschmidt94 es gemacht hat ist es vorgesehen und vorgegeben, aber trotzdem.

Ich habe meine DS auf der sich für mich wichtige Daten befinden und z.B. auch meine Fritzbox, nicht bei HA eingebunden. Das beste wäre eh wenn man aus seinem normalen LAN die IoT-Geräte herauslässt, aber so etwas auf- und umzusetzen macht natürlich entsprechend Arbeit und bedarf ggf. noch zusätzlicher Hardware (z.B. Geräte mit VLAN-Möglichkeiten).

Vielleicht bin ich in dieser Beziehung ja auch "übervorsichtig", oder vielleicht ja auch "paranoid", aber lieber das als ggf. unerwünschten Besuch zu bekommen und dann ggf. ein verschlüsseltes NAS zu haben. Beim ioBroker ist genau das vor längerer Zeit ja mal passiert. Das war damals glaube ich eine Kombination von aus dem Docker "ausbrechen" und bei ioBroker gab es einen Admin-Zugang zu der DS. Oder so ähnlich - keine Ahnung.

HA hat was die Datensicherheit betrifft m.M.n. auch noch Nachholbedarf und das ist den Entwicklern auch schon länger durchaus bewusst. Allerdings mahlen die Mühlen in der Hinsicht bei HA leider ziemlich langsam. Sobald jemand Zugiff auf eine bestimmte Datei unter HA bekommt sieht er darin unverschlüsselt alle Zugangsdaten zu allen Geräten und allen externen Diensten die bei HA mal gefunden und eingerichtet waren oder wurden. Das betrifft auch Geräte und Dienste dessen Integration und/oder Addon man gelöscht und sie somit eigentlich gar nicht mehr vorhanden sind. Die Zugangsdaten dazu sind auf Dauer in der Datei gespeichert und die Datei ist weder verschlüsselt, noch irgendwie anders extra geschützt.

Zu meiner DS720+, die nicht mehr per HA Synology Integration eingebunden ist, sieht der Eintrag in der Datei dann z.B. so aus:

        "entry_id": "a10e36c4b13ea1d40589de45442sd3423hf",
        "version": 1,
        "domain": "synology_dsm",
        "title": "DS720",
        "data": {
          "host": "192.168.1.20",
          "port": "26753",
          "ssl": true,
          "verify_ssl": false,
          "username": "hier steht der Username in Klarschrift",
          "password": "hier steht das Passwort in Klarschrift",
          "mac": [
            "90-09-D0-xx-xx-xx",
            "90-09-D0-xx-xx-xx"

Falls man irgendeine Cloud nutzen sollte sieht das dann z.B. so aus. Hier das Beispiel des Cloud-Zugangs zu meinem Growatt Wechselrichter

        "entry_id": "56a0cfedb6323213kasds0230213a0f343bf90",
        "version": 1,
        "domain": "growatt_server",
        "title": "GrowattOS",
        "data": {
          "username": "hier steht der Username in Klarschrfit",
          "password": "hier steht das Passwort in Klarschrift",
          "url": "https://server-api.growatt.com/",
          "plant_id": "die ID mit einer Nummer",
          "name": "der selber vergebene Name "

Oder auch falls man den Stream einer Kamera unter HA eingebunden hat. Auch dafür stehen dann alle Daten in der Datei.

    "entry_id": "7332105ff34234kasdas050e060fcbaa47678a",
        "version": 1,
        "domain": "generic",
        "title": "Dahua NVR",
        "data": {},
        "options": {
          "authentication": "digest",
          "stream_source": "rtsp://Name in Klarschrift:Passwort in Klarschrift@192.168.1.108:554/cam/realmonitor?channel=9&subtype=0",
          "password": "Erneut Passwort in Klarschrift",
          "still_image_url": null,
          "content_type": "image/jpeg",
          "username": "Erneut Username in Klarschrift",
          "limit_refetch_to_url_change": false,
          "framerate": 2.0,
          "verify_ssl": false,
          "use_wallclock_as_timestamps": false

Usw. usw. usw. Wie gesagt stehen dort die Zugangsdaten für alle jemals bei HA eingerichteten Geräte und Dienste.

OK ich bin weder ein Entwickler, noch ein Secuity-Spezialst. Somit kann ich a) nicht beurteilen wie aufwendig es wäre das zu ändern und b) wie groß überhaupt das Risiko ist das sich dadurch ergibt. Als eher Laie in den genannten Punkten würde ich aber sagen das es vermutlich nicht so gut ist das all diese Zugangsdaten unverschlüsselt und ohne jeglichen zusätzlichen Schutz, einfach so in einer Datei unter HA stehen. "Hacker" - die sich ja nun mal sehr gut in dem Thema Security auskennen - werden sicherlich sehr genau wissen das es diese Datei bei HA gibt und das sie, wenn sie darauf irgendwie Zugriff bekommen, die Zugangsdaten für alle möglichen Geräte und Dienste bekommen und das dann auch entsprechend ausnutzen könnten.

Wenn ich dann sehe wie unbedarft manche User an die Sache herangehen, weil es ja bequem(er) ist und/oder sie es nicht besser wissen und in dem konkreten Beispiel bei der HA Synology Integration ihren Standard-Admin Account von DSM hinterlegen, dann kann ich nur noch mit den Augen rollen und zumindest ab und an mal einen kleinen Hinweis geben.

VG Jim

 

[daschmidt94]

ufff da muss ich noch mal genauer hinschauen, wo befinden sich die Dateien?
Bin zwar nicht übervorsichtig aber das hier die Daten in Klarschrift stehen ist schon etwas...
Vergib zwar überall eigene Benutzer und bei HA nutze ich 2FA.

 

[Jim_OS]

Da es ja eigentlich eh bereits ein offenes Geheimnis ist: /config/.storage/core.config_entries

Edit: Viele User installieren sich ja auch blindlinks alle möglichen Addons, Repros usw. aus div. Quellen. Dazu gehören natürlich auch welche die dann z.B. wieder auf irgendwelche Daten im Internet zugreifen (müssen), irgendwelche Verbindung öffnen usw. In diesen Fällen weiß man nie wer was im Hintergrund macht oder nutzt und ggf. wie auf HA zugreift. Schon können entsprechende Lücken und Schlupflöcher möglich sein. Auch wenn ich - wie schon gesagt - kein Spezialist in dem Thema bin, aber mir erscheint es nicht so wirklich schwer dann auch an diese unverschlüsselten Daten bzw. Datei zu kommen. Dazu braucht es sicherlich nicht unbedingt eine Sicherheitslücke im HA Core Code selber, wie Anfang des Jahres mit Supervisor in Version 2023.01.1

Edit: Kurzinfo zu der Supervisor Lücke von damals: The issue allowed an attacker to remotely bypass authentication and interact directly with the Supervisor API. This gives an attacker access to install Home Assistant updates and manage add-ons and backups.

VG Jim