ComputerBase Menü
Aktuelles

FritzBox -> Kindersicherung -> VPN -> IP Kamera

N

Newbie80

Cadet 3rd Year
Registriert
Nov. 2016
Beiträge
36
Hallo zusammen,

ich hoffe ihr könnt mir weiter helfen. Ich möchte in der FritzBox auf meine IP Kameras eine "Kindersicherung" legen, welche mir aber erlaubt per VPN auf das Webinterface zuzugreifen. Wird die Vorkonfigurierte Sperrung genutzt, wird der Port 500 UDP ja auch gesperrt.

Deswegen die Frage wie genau ich hier eine Liste - bzw. Filterregel konfigurieren kann. - Es soll alles gesperrt werden, bis auf den VPN und Webport (80 bei Hikvision und 88 bei Foscam).

Gruß und Danke schon vorab
 
Welches VPN möchtest du denn nutzen? Das Fritz!Box VPN ist ja Kameraunabhängig. So kannst du die Kamera komplett vom Internet trennen. VPN via Fritz!Box ist wie ein LAN Gerät, da greift die Kindersicherung nicht.

Ansonsten musst du in der Fritz!Box eine "Liste" definieren. Standard ist dort z.b. "alles außer Surfen und Mailen" das blockt alles außer HTTP/HTTPS und IMAP/POP/SMTP,

Bei dir sollte es recht einfach sein. Neues Anwendungsprofil definieren.
Findest du unter Filter-> Listen -> Netzwerkanwendung hinzufügen

Dort sollten folgende Ports definiert sein:

TCP:
1 bis 79
81 bis 87
89 bis 65535

UDP:
1 bis 499
501 bis 65535

Dann sind Port 80, 88 TCP und 500 UDP Frei.

Die Logik dahinter ist verdreht.
Du sagst der Fritz!Box es gibt eine Anwendung die nutzt Port 1 bis 79, 81 bis 87, 89 bis 65535.
Diese Anwendung möchtest du dann sperren. Damit blockt die Fritz!Box diese Ports für dieses Gerät.

Grund der verdrehten Logik: Dieses Anwendungsprofil wurden früher nur für Portfreigaben genutzt. Die Sperrungsmöglichkeit kam erst später dazu und man hat diese "Profile" einfach weiter verwendet.

Des Weiteren würde ich an deiner Stelle die Kamera nicht via Port 80 freigeben. Damit verliert das VPN ja seinen Sinn und die Kamera steht jedem zur Verfügung, die meisten Sicherheitslücken sind ja gerade im WebServer der auf Port 80 läuft.

Wenn möglich verzichte auf eine direkte Freigabe ins Internet. Wenn es gar nicht anders geht nimm HTTPS und variere die Ports. Also Port 80 intern auf Port 64386 weiterleiten (egal ob HTTP oder HTTPS). Du musst dann zwar von außen immer "https://meinekamera.dyndns.org:64286" eingeben aber so ist die Kamera nicht ganz so offensichtlich auffindbar. Wenn möglich in der Fritz!Box auch ICMP deaktivieren für die Kamera da werden PINGs aus dem Internet nicht weitergeleitet.

Bedenke ggf. auch IPv6. Das muss ggf. extra geblockt/gefiltert oder deaktiviert werden.
 
Zuletzt bearbeitet:
normaleweise ist doch eine webkamera mit passwortschutz versehen. gib das passwort nicht raus und du brauchst nichts zu sperren.
 
@chrigu

Das per HTTP (Port 80) übertragene (und damit für jeden in Klartext lesbare) Kennwort stellt keine Hürde dar. Die Abfrage erfolgt durch den Webserver, hat dieser einer Sicherheitslücke interessiert das Passwort nicht mehr.

Des Weiteren gab es mehr als genug Beispiele für eine Falsche Umsetzung, z.B. Heizungsteuerungen bei der das Passwort vom Browser abgeglichen wird. Bedeutet: Im Quelltext der Website mit dem Passwortfeld steht das richtige Passwort im Klartext. Das ist der Sicherheits-SuperGau.

Ein weitere Beispiel die Fritz!Box Sicherheitslücke. Die Fernwartung verlangt ein Passwort. Nur die Anzeige der Passwortmaske hat u.a. die Sprache des Browsers abgefragt um die richtige Maske anzuzeigen. Statt der Kodierung de-DE konnte man dort aber einen Befehl eingeben den die Fritz!Box ausgeführt hat. Das Passwort (trotz HTTPS!) hat hier keinen Schutz geboten.

Von daher: Eine Passwortabfrage bietet keine Sicherheit!
Abschottung und Firmwareupdates für IoT Geräte sind das A und O!

Hier nochmal ein konkreter Fall, zufälligerweise direkt von dem Hersteller einer der Kameras des Threaderöffners.
https://www.pcwelt.de/a/schwere-sicherheitsluecken-in-foscam-internet-kameras,3447021
 
Zuletzt bearbeitet:
Hallo Nero,

danke für die Rückmeldung. Ich möchte keine http oder https Freigabe erstellen. Foscam IP Kameras telefonieren wenn Sie im LAN hängen, sehr viel "nach Hause" -> z.B. WLAN Schlüssel usw.

Ich greife von unterwegs nur per VPN auf mein Netz zu. Soweit so gut. Ich habe auf allen Kameras die Kindersicherung Regel: gesperrt

Wendet man diese Default Regel auf die IP Kameras an, so ist der Zugriff (wenn man per VPN in sein Netz eingewählt ist) auf diese Geräte nicht mehr möglich - Im Heimnetz ja (lokal), aber wenn du per VPN eingewählt bist, dann kommst du auf keine Geräte auf die die Kindersicherung mit der Default Regel "gesperrt" angewendet wird.
Ist auch von AVM so beschrieben.

Deswegen bleibt als Lösung nur eine "Liste" anzulegen und hier alle Ports zu definieren, diese dann zu sperren und nur die benötigten http und/oder VPN Ports freizugeben.

Bei dem umdenken tu ich mir da schwer - gerade was Quell und Ziel usw. angeht :-)

Hast du zufällig ein Screenshot?

@chrigu

Ich würde niemals eine Kamera per http oder https veröffentlichen :-) Ist viel zu unsicher
 
man sollte sowieso alle automative geräte wie kamera, heizungssteuerung, licht , garagentor, weinkühler usw. nie von aussen erreichbar machen. da gibt es zu viele noch unbekannte hintertürchen. und das wird auch so bleiben.
deshalb wäre wohl sicherheitstechnisch ein Vlan besser, das ist abgeschottet vom restlichen umfeld und der welt...
 
@Newbie80

Quell und Ziel Port sind identisch bei meinen Beispielen identisch.
Als Beispiel kannst du die Liste "Alles außer Surfen und Mailen" nehmen.
Das Profil muss einfach nur die Ports beinhalten die du nicht! verwenden willst.

z.B. Du willst Port 80 nutzen, dann müssen alle anderen Ports unter 80 (1 bis 79) und über 80 (81 bis 65535) in dem Netzwerkprofil angegeben sein.

Hier als Beispiel für eine reine FTP Freigabe (Port 20 und 21 werden genutzt).
UDP als Protokoll ist verboten.

dkwfd8eur42cpryxq.jpg


Alle Ports vor 20 und alle nach 21 werden angegeben und sind damit gesperrt.
 

Anhänge

  • Ports.jpg
    Ports.jpg
    56 KB · Aufrufe: 494
Zuletzt bearbeitet:
Hallo Nero,

danke für die Rückmeldung. So funktionierts ;-)
 

Anhänge

  • Prio Regel.PNG
    Prio Regel.PNG
    29,3 KB · Aufrufe: 739
  • Zugangsprofil.PNG
    Zugangsprofil.PNG
    41,8 KB · Aufrufe: 805
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Fritzbox Kindersicherung, Profil Zuweisung nicht möglich?
Antworten
1
Aufrufe
916
Nero FX
N
Webschlumpf
Fritzbox Kindersicherung
Antworten
8
Aufrufe
1.194
alan_Shore
alan_Shore
S
Fritzbox Kindersicherung - Amazon Echo
2
Antworten
23
Aufrufe
2.468
Kleiner69
Kleiner69
L
Fritzbox Kindersicherung/Jugendschutz
Antworten
12
Aufrufe
7.230
error
E
C
FritzBox Kindersicherung
Antworten
3
Aufrufe
4.905
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz