Eine DNS Adresser für IP-Kamer und NAS?

[Goldi708]

Halo Leute,

ich habe eine INSTAR IN-5907HD IP-Kamera bei dieser ist wie auch bei jeder INSTA Kamera eine DynamischeDNS Adresse sozusagen beiliegend. Also ich habe die Portweiterleitung im Router eingerichtet und alles funktioniert. Ich kann auf die Kamera von auswärts zugreifen.


Jetzt die Frage:
Ich möchte mir eine Synology DiskStation DS718+ kaufen, und da frage ich mich kann ich Theoretisch die DNS Adresse der Kamera verwenden, um auf die DiskStation aus der Ferne zuzugreifen. Wenn ich, alles richtig Konfiguriere im NAS, Router.

Möglicherweise ist die Frage für manche Leute dumm oder so, aber ich bin halt nicht der Typ der sich so gut auskennt. Naja darum Frage ich ja um mich danach besser auszukernnen.

 

[Cai-pirinha]

das geht, wenn die kamera und das web interface des NAS unterschiedliche ports haben. z.b. die kamera den herkömmlichen http(s) port 80 bzw 443, und das web IF musst du dann auf einen entsprechend anderen port setzen.

 

[t-6]

Gleich vorab: Ich würde persönlich keinem Kamerahersteller vertrauen ihre Kameras bzw. Remotezugriffssysteme korrekt abzusichern. Von daher, schließ die Portweiterleitung gleich mal wieder.

Dann: Es gibt für Synology das Paket Surveillance Station, an der du die INSTAR-Kamera anmelden kannst.
Dann hast du deutlich weitergehende Möglichkeiten um den externen Zugriff auf Surveillance Station bzw. das NAS selber besser abzusichern. Fail2Ban um Bruteforcing-Versuche direkt äußerst stark zu reduzieren + Einschalten der Synology-Firewall mit Zugriffsbegrenzung auf das interne LAN + Länder aus denen legitimer Zugriff zu vermuten ist (Deutschland bspw.).

Willst du noch weiter sichergehen: VPN.

Aber das Interface einer Möglicherweise-Gut-Definitiv-Billig-Kamera per Portweiterleitung ins Internet stellen? Fick. Nein.

 

[chrigu]

Die syno hat einen eigenen ddns gratis Dienst.
Ich vermute, dass deine Kamera-ddns auf die Kamera (Seriennummer) beschränkt ist und keine fremdgeräre erlaubt.

 

[t-6]

Ich vermute, dass deine Kamera-ddns auf die Kamera (Seriennummer) beschränkt ist und keine fremdgeräre erlaubt.

?

Unter der DDNS-Adresse die der INSTAR-Dienst generiert, ist die WAN-IP des Anschlusses zu finden wo die Kamera installiert ist. Und da ist es vollkommen egal was an Hardware noch alles dahinter ist.

 

[Goldi708]

Gleich vorab: Ich würde persönlich keinem Kamerahersteller vertrauen ihre Kameras bzw. Remotezugriffssysteme korrekt abzusichern. Von daher, schließ die Portweiterleitung gleich mal wieder.

Dann: Es gibt für Synology das Paket Surveillance Station, an der du die INSTAR-Kamera anmelden kannst.
Dann hast du deutlich weitergehende Möglichkeiten um den externen Zugriff auf Surveillance Station bzw. das NAS selber besser abzusichern. Fail2Ban um Bruteforcing-Versuche direkt äußerst stark zu reduzieren + Einschalten der Synology-Firewall mit Zugriffsbegrenzung auf das interne LAN + Länder aus denen legitimer Zugriff zu vermuten ist (Deutschland bspw.).

Kann ich über die Surveillance Station von extern auf die Kamera zugreifen? Wenn ja wie?

(Das Webinterface der Kamera ist Gut.)

 

[t-6]

Kann ich über die Surveillance Station von extern auf die Kamera zugreifen? Wenn ja wie?

Mit bspw. der App ds cam von Synology selber, oder dem Surveillance Station Client für Windows usw.
DynDNS-Adresse kannst du dir auch über Synology holen. Dann bleibt INSTAR an der Stelle komplett außen vor.

Benötigt wiederum entsprechende Portweiterleitungen auf das Synology NAS, aber wie gesagt; der Firewall & der allgemeinen Patchsituation von Synology (Behebung von Sicherheitslücken) würde ich deutlich eher vertrauen als INSTAR.

 

[Raijin]

Genau, DDNS ist im Prinzip nur eine Alias-Adresse der aktuellen WAN-IP. So als wenn ein Camper, der durch die Welt tourt, am Briefkasten von Toronto bis Tokio immer dieselbe Adresse dranstehen hat. Ob die DDNS-Adresse nu vom NAS, von der Kamera, einem PI oder auch manuell registriert bzw. aktualisiert wird, ist vollkommen unerheblich - es bleibt die Zuordnung "bla.blubb.ddns --> aktuelle öffentliche IP".
Die Potweiterleitung(en) im Router entscheiden dann ob bzw. auf welche Geräte man im heimischen Netzwerk zugreifen kann.

Ich bin diesbezüglich aber voll bei t-6: So wenig Portweiterleitungen wie möglich. Macht man ein Gerät darüber erreichbar, ist man voll und ganz auf dessen (nicht-)vorhandenen Sicherheitsmechanismen angewiesen. Der Internet-Router sollte aber der entscheidende Faktor sein und nicht ein beliebiges Gerät im Netzwerk. Man kann sich das entfernt wie einen Untermieter im eigenen Haus vorstellen. Schließt man wegen des Untermieters die Haustür nicht mehr ab? Möchte man, dass durch den Eingang des Untermieters beliebige Leute im ganzen Haus rumlaufen, inkl. der eigenen Räume? Der Vergleich hinkt etwas, aber er verdeutlicht, dass ein fremdes Gerät im eigenen Netzwerk ähnlich wie ein Untermieter ein potentielles Risiko darstellt.

Man sollte daher stets über ein VPN nachdenken, das eine verschlüsselte Verbindung von außen ins heimische Netzwerk ermöglicht. Über ein VPN kann man dann beliebige Geräte im Heimnetzwerk nutzen als säße man auf der Couch. Man kann darüber zB sogar etwas auf dem Drucker ausdrucken. Den Drucker dagegen via Portweiterleitung - und ohne Zugangsbeschränkung - öffentlich erreichbar zu machen, ist hingegen auch für den Laien offensichtlich als "dämlich" einzustufen.

Die Empfehlung ist daher ganz klar: Kamera an der Suveillance Station der Synology anbinden und anschließend via VPN und Synology-App auf die Kamera zugreifen.


Apropos: Gerade bei IP-Kameras sollte man sich genau über potentielle Cloud-Dienste informieren. Viele Hersteller bieten bereits ab Werk eine Cloud an. Dabei kann man ganz ohne Portweiterleitung von außen auf die Kameras zugreifen! Das funktioniert im Prinzip ähnlich wie zB TeamViewer. Schon bei dem Gedanken, dass Tausende/Millionen von IP-Kameras da draußen öffentlich erreichbar sind ohne dass die Besitzer es wissen, wird mir schlecht... Wie gut die Hersteller den Zugriff nämlich schützen, steht in den Sternen...

 

[Goldi708]

Schon bei dem Gedanken, dass Tausende/Millionen von IP-Kameras da draußen öffentlich erreichbar sind ohne dass die Besitzer es wissen, wird mir schlecht... Wie gut die Hersteller den Zugriff nämlich schützen, steht in den Sternen...

Öffentlich erreichbar ja, jedoch braucht man auch Zugangsdaten um sich einzuloggen.

 

[Raijin]

Wie ich schon sagte: Wie gut der Hersteller die Cloud schützt, steht in den Sternen. Im Zeitalter wo sogar Banken und Kraftwerke gehackt und Millionen von Kundendaten, etc. gestohlen werden ist es fraglich ob Kamera-Hersteller xy seine Cloud wirklich sicher gestaltet. Einmal eingehackt und schon hat man Zugriff auf Tausende/Millionen von IP-Kameras.. Juhu! Die primäre Fachkompetenz liegt bei einem Hersteller von Kameras im Bereich der Kamera selbst. IT-Dienste jedweder Art sind Zusätze, deren Qualität man schwierig einschätzen kann. So oder so kann letztendlich mindestens der Hersteller selbst auf die Kameras zugreifen, denn die "Sicherheit" bzw. die Verschlüsselung startet/endet beim Cloud-Server des Herstellers. Ob der Hersteller bzw. die Mitarbeiter das wirklich tun, sei mal dahingestellt. Die potentielle Möglichkeit wäre aber gegeben.

Komfort und Sicherheit sind zwei gegenläufige Aspekte. Mehr Komfort bedeutet in der Regel weniger Sicherheit. Mehr Sicherheit bedeutet wiederum weniger Komfort. Ein Fernzugriff ohne dass der Anwender auch nur einen Finger dafür krumm machen muss - sprich: ab Werk aktiviert ist - , ist sehr komfortabel. Den Rest kann man sich denken.

Ob wirklich ein Missbrauch stattfindet, ist gar nicht das Problem. Ich hoffe zumindest, dass dafür entsprechende Vorkehrungen getroffen wurden. So erfolgt bei uns in der Firma beispielsweise der Zugriff auf die Fabrik-Anlagen der Kunden nur über ein internes System inkl. Nutzerlogin und offizieller temporärer Freischaltung durch den Service zB für 2 Stunden. Man kann bei uns also nicht einfach so auf Kunden-Anlagen zugreifen, wenn kein offizieller Serviceauftrag läuft. Ob Kamera-Hersteller ähnliche Maßnahmen bei der Cloud einsetzen? Keine Ahnung.. Einige vielleicht schon, aber je billiger das Produkt desto billiger auch die Sicherheitsmaßnahmen..