IP KAMERA - SICHERHEIT?

[owl2010]

Hallo,
ich habe mehrere IP-Kameras in meinem privaten Netzwerk. Desweiteren habe ich eine feste IP von meinem Provider über dich ich dann über das Internet auf meine Kameras zugreifen kann. Hierzu habe ich jeder Kamera einen Port zugeordnet und dann eine DNAT-Regel in meiner Firewall eingerichtet.
Meine generelle Frage: Wie sicher ist das Ganze? Prinzipiell kann doch jeder, der meine feste IP und den Port kennt auf die Kamera bzw. erstmal nur zum Anmeldescreen der Kamera vordringen - oder?
Kann man das ganze noch sicherer machen außer die Kamera mit einem Passwort zu schützen?
Kann ich alle Kameras über einen Port laufen lassen oder muss jede Kamera einen unterschiedlichen Port haben?
Bei dem Protokoll habe ich TCP/UDP gewählt - gibt es hier Einwände?

Vielen Dank schonmal im Voraus,
studi
https://forum.chip.de/discussion/1883142/ip-kamera-sicherheit/p1?new=1#

 

[Joegar]

Hängt von der vorhandenen Infrastruktur (Router) ab.
Eine sinnvolle Lösung wäre es nur über VPN Zugriff von außen zu erlauben, sowie das Smart Home Zeug in ein eigenes Vlan zu packen, sodass bei ggf. ausgenutzten Sicherheitslücken kein Zugriff auf das restliche Heimnetz besteht.

 

[Janz]

kein System ist sicher, die Frage ist ob du so wichtig bist, dass sich jemand den Aufwand macht?

Wenn du weiterhin von außerhalb deines Heimnetzes Zugriff auf die Kameras haben willst kannst du nichts weiter machen außer eben die Dinger immer nen Passwort abfragen lassen

 

[RadicalEd]

Das Problem solcher Geräte ist immer, dass die Sicherheit bei den Systemen vernachlässigt wird. Das heißt es gibt wenn überhaupt nur sporadisch Sicherheitsaktualisierungen. Bei Enterprise Produkten sieht das schon wieder anders aus, aber ich gehe mal davon aus das du eher im Home Bereich unterwegs bist.
Grundsätzlich würde ich nie Geräte im meinem Netzwerk für das Internet zugänglich machen. Es stellt immer ein Sicherheitsrisiko dar, da diese Gerät nunmal direkt für jeden Ansprechbar sind.
Joegar hat hier schon die richtige Empfehlung getroffen. Das beste wäre es, die Geräte nicht mehr via Internet zur Verfügung zu stellen und sich selbst via VPN von unterwegs einzuwählen.

 

[owl2010]

Hm...danke für die schnellen Antworten. Aber die Firewall würde es doch erkennen, wenn z.B. auf einen dieser Ports versucht wird das Passwort zu knacken oder?
Muss denn jede IP CAM einen eigenen Port haben?
Und was sagt ihr bzgl. TCP/UDP - beide nehmen oder nur einen von beiden?

 

[Joegar]

Das Problem solcher Geräte ist immer, dass die Sicherheit bei den Systemen vernachlässigt wird.

Genau. Wenn da ein Portscanner über deine IP läuft, anhand der Antwort der Gerätetyp abgeleitet werden kann und Sicherheitslücken bekannt sind, ist ggf. auch der Zugriff auf PC, NAS, oder was sonst noch so im Heimnetz ist möglich.

https://www.shodan.io/ ist z.B. eine Plattform, die erkannte, schlecht konfigurierte Geräte für jeden zugänglich macht.

 

[owl2010]

Hallo Joegar,
aber einen solchen Portscanner würde die Firewall doch erkennen und blocken oder?
Besitze eine Sophos SG135

 

[teufelernie]

Hi,
auf keinen Fall im Nat exponieren. Auf den Dingern klaffen verschiedenste Lücken.
Wie ein Vorredner sagte: VPN.

Als witzig gemeint, aber leider mit toternsten Hintergründen: http://www.geekculture.com/joyoftech/joyimages/2340.png

 

[rg88]

VPN, einzige Lösung.

Was du aktuell machst ist mehr als fahrlässig. Du bist offen wie ein Scheunentor, du hast keinerlei Absicherung. Deine vermeintliche Firewall bringt dir da überhaupt nichts, weil du ja selbst alles durchlöchert hast. Passwort auf den Kameras ist in der Regel auch nicht praktikabel, weil zum einen du nicht auf aktuelle Sicherheitsupdates achten wirst, geschweige denn der Hersteller überhaupt welche zeitnah rausbringen wird.

 

[owl2010]

Hm....gäbe es nicht auch die Möglichkeit eine Art MAC-Filter einzusetzen in der Firewall?

 

[rg88]

Nein. Ein MAC-Filter bringt nicht mal im eigenen Netzwerk was. Geschweige denn bei einer Anbindung zum Internet.

 

[Joegar]

Portscanner würde die Firewall doch erkennen und blocken

Ok, ich ging anhand deiner mir eher laienhaft erscheinenden Frage davon aus, dass Standard Consumer Hardware verwendet wird.

Den genauen Funktionsumfang kenne ich nicht, jedoch würde ich davon ausgehen, dass zumindest ein Logeintrag generiert wird. Die Tatsache, dass durch Zufall aber der richtige Port erraten werden kann ist jedoch immer noch gegeben.

Wenn der Port jedoch bekannt ist und die Firewall den Traffic durchlässt, kann das Bild der IP-Kamera durch Brute-Force, Passwortlisten, etc. erlangt werden.
Auch kann es Sicherheitslücken bei der Kamera geben, die potentiell die Firewall nutzlos macht, da durch den freigegebenen Port der Kamera + Sicherheitslücken Zugriff aufs Heimnetz besteht.

 

[owl2010]

Aber die VPN-Variante kann ich dann ja nicht übers Handy nutzen oder?

 

[Joegar]

Jedes aktuelle Handy sollte das können.

 

[rg88]

Über ein Handy nicht. da hast du recht. Das Nokia 3210 unterstützt das leider noch nicht.

Allerdings hab ich gehört, dass es mittlerweile so moderne Taschencomputer gibt die sich Smartphones nennen. Diese sollen das angeblich können. Zumindest meines macht das seit bald 10 Jahren so...

 

[Joegar]

Über ein Handy nicht. da hast du recht. Das Nokia 3210 unterstützt das leider noch nicht.

Ein solches Handy sollte aber auch keinen Zugriff auf den freigegebenen Port erlauben

 

[Tumbleweed]

Wie kommt man denn zu einer Firewall, die fast vierstellig kostet und stellt gleichzeitig solche Fragen?

Da die Kamera-Modelle nicht genannt wurden und vielleicht der eine oder andere über Suchmaschinen hier landet, noch der Hinweis, dass manche Hersteller (z.B. Instar) Server haben, bei denen sich die Kameras anmelden. Die Verbindung wird also vom Heimnetz aus aufgebaut zu diesen Servern und auch die App auf deinem Smartphone o.ä. verbindet sich dann zu diesen Servern, die entsprechend den Mittelsmann darstellen.

Hat den Vorteil, dass gar nichts nach außen freigegeben werden muss, allerdings auch den Nachteil, dass man zum einen vom Anbieter abhängig ist (Server aus = Kameras nicht erreichbar) und theoretisch hat der Anbieter natürlich permanent Zugriff auf die Kameras. Gehackt werden kann der Anbieter natürlich auch.

 

[Naddel_81]

Jede IP Cam ist doch mit Login gesichert. Wenn du da keine Daten eingibst, die man erraten kann, bist du erst mal "sicher".

 

[Joegar]

Die eingesetzten Kameras sind nicht bekannt, jedoch würde ich prinzipiell nur das offen ins Netz stellen, was wirklich notwendig ist. Und das sind IP Kameras in dem Szenario von @owl2010 mMn definitiv nicht.

Der Loginscreen hält einen Angreifer nicht davon ab das genaue Modell der Kamera herauszufinden und (ggf. durch unzureichende Wartung durch Nutzer/Hersteller) vorhandene Schwachstellen auszunutzen.

 

[smart-]

Du hast das Konzept von Firewalls nicht so richtig verstanden.
Alles was übers Internet erreichbar ist, ist angreifbar.
VPN ist nicht mit jeder IP-Kamera so einfach möglich, schon gar nicht mit den günstigen.
Die Passwörter sollten für die Kameras lang genug sein, was in der Regel ausreichend ist.
Ich kann nur den Tipp geben mit den Kameras auch nur Bereiche abzudecken, die nicht so sehr in die Privatsphäre eingreifen, z.B. nicht im Wohnzimmer oder so... wenn die Kamera zur Sicherheit im Gang oder im Eingangsbereich hängt, wäre das (rein theoretisch) für den Angreifer erst mal gar nicht so toll darauf Zugriff zu haben, außer er hat noch mehr Infos. Oder um es anders zu sagen: Ich würde nie Kameras oder Mirkos so aufstellen, dass dich damit jemand überwachen könnte.