Gerät im internen Netzwerk nach Portänderung nicht mehr erreichbar

[ThomasDietz]

Moin.
Ich bin neu hier und habe gleich eine Frage, die mich seit gestern Abend beschäftigt:

Ich habe eine Kamera, auf die ich über einen Server des Herstellers auch extern (z.B. über die App) zugreifen möchte.

Der Hersteller empfiehlt hierfür folgende Einstellungen:

-Web Oberfläche der Kamera über Browser aufrufen (eingäbe der internen IP)
-DHCP ausschalten
-Ports ändern: HTTP Port ist standardmäßig 80. Der wurde in der Beispielanleitung auf 10005 geändert. RTSP Port von 554 auf 10006 und SDK Port (Serverport) auf 10007

Diese Ports soll ich dann in meinem Router freigeben, damit sie extern erreichbar sind. Habe ich nach Anleitung getan!

Mein Problem ist, dass die Kamera, sobald ich den RTSP Port ändere übers lokale Netzwerk nicht mehr erreichbar ist. In der Fritzbox wird sie auch grün (aktiv) angezeigt, ich kann die IP Adresse lesen und bei meiner 7590 kann ich theoretisch auf den Gerätenamen klicken und werde von der Fritzbox dann auf die WEB Oberfläche der Kamera geleitet. All das funktioniert nicht mehr, nachdem ich den Port geändert habe. Ich habe auch andere Portnummern (Willkürlich) getestet, ohne Erfolg.

Ich muss dann immer einen Werksreset auf der Kamera machen, damit ich diese wieder über die Web Oberfläche erreichen kann.

Was mache ich denn hier falsch? Wahrscheinlich nur eine Kleinigkeit?!?

Der Hersteller empfiehlt ausdrücklich, nicht die Standard Ports zu verwenden und diese nicht weiterzuleiten. Hat jemand von euch eine Idee, was das sein könnte?

Viele Grüße
Tom

 

[mm060488]

Hi, hast du den geäußerten Port der Adresse hinzugefügt? Z.b. im Webbrowser http://xyz:10005
Ansonsten wird immer der default Port je nach Protokoll verwendet

Der Port wird per ":" (Doppelpunkt) nach der IP/dem Hostnamen spezifiziert

 

[t-6]

Der Hersteller empfiehlt ausdrücklich, nicht die Standard Ports zu verwenden und diese nicht weiterzuleiten. Hat jemand von euch eine Idee, was das sein könnte?

Eine ziemlich beschissene Kamera eines windigen Herstellers, der wahrscheinlich in den Top10 bei Shodan steht.

 

[Old Knitterhemd]

Ich frage mich eher was das Ändern der Ports bringen soll.

Gib das Ding zurück und kauf etwas anständiges.

 

[Raijin]

Ich persönlich würde eine Portänderung immer nur im Router durchführen, wenn wir von einem Fernzugriff reden. Das heißt, dass die Portweiterleitung im Router dann extern Port 12345 auf intern Port 80 auf die Kamera umleitet. So kann man im lokalen Netzwerk die Kamera im Browser einfach nur über die IP erreichen und muss sich um den Port keinen Kopf machen.

Nichtsdestotrotz stehen ich Portweiterleitungen auf x-beliebige Geräte sehr skeptisch gegenüber. Das ist in etwa so als wenn man an der Haustür ein Hochsicherheits-Türschloss hat, aber für den Paketboten einen Seiteneingang baut, den man mit einem unbekannten China-Schloss sichert. Dieses Schloss kann sicher sein, muss es aber nicht. Ein Einbrecher kann sich dann gemütlich der potentiell unsicheren Tür widmen statt sich mit der einbruchsicheren Haustür zu beschäftigen. Hinzu kommt, dass auf eine Portweiterleitung schnell die nächste folgt und so hat man am Ende eine Haustür und 4 Seitentüren, eine mit einem guten Schloss, zwei weitere mit eher mäßigen Schlössern und eine Tür gänzlich ohne.

Für den Fernzugriff auf das heimische Netzwerk ist daher ein VPN dringend zu empfehlen. So baut man quasi eine mit einem starken Schloss gesicherte Durchreiche durch die Haustür, durch die man dann alle Dienste im lokalen Netzwerk sicher nutzen kann, vom Netzwerkdrucker über NAS bis hin zu Kameras.

Da du eine Fritzbox hast, ist nichts einfacher als das Fritz-VPN zu aktivieren und die Kameras dann darüber zu bedienen - mit Standardports.

 

[VirusA87]

Meiner Meinung nach gehören soche Geräte gar nicht mit dem Internet verbunden.
Am besten der Kamera (in der Fritzbox) noch die Onlinerechte sperren.
Den rest dann, wie schon schon von Raijin geschrieben, über eine VPN verbindung lösen.

 

[Raijin]

Ich habe eine Kamera, auf die ich über einen Server des Herstellers auch extern (z.B. über die App) zugreifen möchte.

Das geht im übrigen noch einen Schritt weiter, denn es impliziert einen Cloud-Server. Wenn die Kameras sogar diesen Weg gehen, bin ich noch kritischer, weil dann die Kamerabilder sogar durch den Hersteller gehen und somit ein unbekanntes Missbrauchspotential besteht. Clouds sind schön und gut, aber man muss immer bedenken, dass man dem Hersteller damit Daten in die Hand gibt und man großes Vertrauen haben muss, dass dieser entsprechende Sicherungsmaßnahmen ergreift (zB Verschlüsselung).

Deswegen rate ich nochmal dazu, ausschließlich über VPN auf das Heimnetzwerk zuzugreifen und die Kameras darüber zu bedienen. Sollte die Hersteller-App über VPN nicht funktionieren, gibt es zahlreiche freie Kamera-Apps, bei denen das klappen sollte.

Was die Kamera selbst angeht, kann ich @VirusA87 nur beipfichten, dass man einerseits etwaige Coud-Funktionen in der Kamera-GUI deaktivieren und ggfs sogar im Router sperren sollte. Ansonsten telefonieren die Kameras im worst case nach Hause - wäre nicht das erste Mal....

 

[ThomasDietz]

Also erstmal danke für die zahlreichen Antworten in der kurzen Zeit!

Naja, die Kameras sind wohl "aus dem professionellen Bereich" von einem deutschen namhaften Hersteller.

Hier das Video, wie es der Hersteller empfiehlt:
Video
//Edit: Habe gerade gemerkt, dass sich das Video nicht verlinken lassen will. Wen es interessiert: auf den oben genannten Link klicke, FAQ auswählen und dann das 2. Video (Port forwarding)

Mit der geratenen Vorsicht bezüglich Cloud habt ihr völlig recht... Aber dann dürfte man gar keine Cloud mehr in Anspruch nehmen, denn bei z.B. iCloud, Dropbox usw landen ja auch die Daten auf den Servern der Hersteller, und diese Daten könnten etwas sensibler sein, als mein Kamerabild aus dem Garten. Die Kamera soll nur den Garten hinten überwachen,, dass ich da nackt durchs Bild laufe... eher unwahrscheinlich

Die Sache mit dem xxx.xxx.xx: PORT (Doppelpunkt Port) habe ich bereits versucht, hat nichts gebracht.

 

[Raijin]

Mit der geratenen Vorsicht bezüglich Cloud habt ihr völlig recht... Aber dann dürfte man gar keine Cloud mehr in Anspruch nehmen

Da hast du vollkommen Recht, ja. Deswegen kann man "Cloud" durchaus auch als Unwort bezeichnen - zumindest wenn man über eine fremdverwaltete Cloud spricht.


Was die Kamerabilder angeht: Ob du da nackt rumläufst oder nicht, wäre nur ein Problem deiner persönlichen Freizügigkeit. Wenn du jedoch Portweiterleitungen auf beliebige Geräte im Netzwerk einrichtest, bietest du eine potentielle Angriffsfläche für Eindringlinge. An dieser Stelle möchte ich ein eindrucksvolles Beispiel aus einem Vortrag auf einem CCC-Event bringen. Da wurde vor laufender Kamera demonstriert wie man ein fremdes Netzwerk über smarte WLAN-Glühbirnen für ein paar Euro infiltriert. Die Dinger gingen auch über eine Cloud und die Cloud-Schnittstelle bot eine große Angriffsfläche für fachkundige Menschen mit einem gewissen Spieltrieb und/oder krimineller Energie, die darüber eigene Firmware einspielen konnten, um anschließend über eine banale Glühbirne vollen Zugriff auf das Netzwerk zu erlangen. Zugegeben, der Angriff setzt voraus, dass man zuvor physischen Zugriff auf die Glühbirne hatte, aber das ist im Zeitalter der Rücksendementalität einfach wie noch nie. Bestellen, manipulieren, zurückschicken, warten bis der nächste Kunde beim Warehouse-Deal zuschlägt. Sobald ein Angreifer Zugriff auf ein Gerät innerhalb des Netzwerks hat, kann er es als Brückenkopf für weitere Angriffe nutzen, zB auf das NAS und die darauf gespeicherten Daten.

Dieses Angriffsszenario zeigt wie gefährlich smarte Geräte sein können. Dazu zählen auch Kameras, die via Portweitlerleitungen zu erreichen sind - oder Drucker, NAS, Medienreceiver, whatever. Ein namhafter Hersteller ist da leider in keinster Weise ein Garant für adäquate Sicherheit. Ich möchte nur darauf hinweisen, dass sich selbst ein Mercedes für 80k Euros mit "Keyless Entry" mit ca. 100€ an Equipment (u.a. banale TP-Link WLAN-Router für 15€) problemlos "wegzufahren" sind, da muss man nicht mal irgendwas knacken................

Ich wiederhole daher meine Empfehlung, dass Fernzugriffe auf das heimische Netzwerk ausschließlich über eine VPN-Verbindung erfolgen sollten. In deinem Fall ist das sogar denkbar einfach, weil die Fritzbox bereits einen VPN-Server mitbringt, der nur darauf wartet, aktiviert zu werden. Auch wenn es bessere und aktuellere VPN-Implementierungen gibt als AVM sie zumindest noch ausliefert, aber besser als http - es ist ja nicht mal die Rede von https ! - ist es allemal. Über ein VPN ist die Sicherheit des darüber genutzten Dienstes weitestgehend egal, weil die Daten durch das VPN gesichert werden. Bei einer nackten FTP-Verbindung werden beispielsweise Logins in Klartext übertragen, direkt lesbar im Datenpaket. Nacktes FTP im www freizugeben ist Datenselbstmord und deswegen gibt es SFTP bzw. FTPS, verschlüsselte FTP-Varianten. Über eine VPN-Verbindung kann man jedoch gefahrlos auch nacktes FTP verwenden, weil es von außen für einen Angreifer gar nicht erreichbar ist - dazu müsste er das VPN knacken.

 

[ThomasDietz]

Okay, schon mal vielen Dank für deine ausführliche Antwort.

Ich werde mir diesbezüglich nochmal überlegen, es vielleicht doch über die VPN Lösung zu realisieren. Schön wäre es halt gewesen, wenn das so geklappt hätte, aber wenn es mich von Außen wirklich so verwundbar macht ist es vielleicht doch besser, das zu lassen.

Danke auf jeden Fall

PS: Wie bekomme ich denn eigentlich die Portnummer raus? Also das was nach der xxx.xxx.xxx.PORT) Angenommen, ich weiß den Port nicht und möchte mich mit der Web Oberfläche eines angeschlossenen Gerätes verbinden?

 

[Raijin]

Eine klassische "Weboberfläche" wird im Browser aufgerufen und ist entweder in http (= tcp 80) oder der verschlüsselten Variante https (= tcp 443) ausgeführt. Wenn ein anderer Port verwendet wird, beispielsweise 8080 oder 8443 oder auch 26437, wenn der Hersteller kreativ war, wird das im Handbuch des Geräts bzw. der Dokumention der jeweiligen Server-Software zu finden sein.