Motion Webcam(live stream server) absichern? Fail2ban?

Ein neuer Artikel wurde veröffentlicht
  • Salzor


    Dir ist aber schon klar, dass Du nun versuchst mit der größtmöglichen Kanone auf nen Spatz zu schießen? Wenn Du das ganze Rauschen auf den offenen Ports resp. Port 22 verhindern willst und gleichzeitig Sicherheitslücken schließen willst, dann geht das vermutlich nur sehr bedingt darüber, dass Du neue Software mit neuen weiteren Sicherheitslücken installierst -dabei ist der bessere Weg sinnvoll zu verzichten. Fail2ban und dann auch noch ein Webserver sind m.M.n. ganz sicherlich nicht die Maßnahmen allererster Wahl, um ne Cam abzusichern. Vor allem, wenn Du da jetzt schon so ein hohes Rauschen auf dem Netz hast und wenn Fail2ban irgendwann mal für nen richtig fetten Paketfiler gesorgt hat, hat das vielleicht sogar auch noch Auswirkungen auf die Performance des garantiert nicht superschnellen PIs. Keine Ahnung, ob das tatsächlich so ist, aber fail2ban legt Paketfilter an... und ich würde das bei dem Hintergrund definitiv nicht so lösen. Ich gehe auch mal davon aus, dass Dein System hinterher unsicherer ist, als vorher.... und zwar solange, bist Du absolut umfassende Kenntnisse zur Härtung eines vom Internet zugänglichen Systems hast. Und im Moment habe ich massive Zweifel daran, dass das nur ein kurzer Weg ist, wenn Du darüber nachdenkst, ein auf einer AMD64-CPU kompiliertes Deb-Paket auf einem ARM zu installieren.


    Die Antwort auf Dein Problem ist schon im 2. Posting von llutz gegeben. Mit einfachsten Mitteln kann Du das Rauschen auf Port 22 sowie alles Hacking rigoros unterbinden. Und zwar, in dem Du keine Ports mehr auf dem Router freigibst. Fertig, alle Ports dichtmachen, nix mehr weiterleiten. Dann einen einzelnen Port oberhalb von 50000 frei machen und den auf Port 22 des Cam-Rechners weiterleiten. Dann Zertifkat-Authentifizierung und Keyfile für den Client und für den SSH-Tunnel und schon ist Ruhe auf dem Server.


    Ich mach das gleiche via OpenVPN und ebenfalls mit entsprechenden Zertifkaten und Keys.... und bin damit überall auf der Welt in meinem Homenetz. Das heisst, ich schau auf meine Cams nicht von außen aus dem Internet, sondern von innen im Netzwerk... und das von überall auf der Welt. Auf meinem Server gibs also kein Rauschen, und das, was trotzdem ankommt, landet beim VPN, der mangels Zertifikat und Key beim Client alles verwirft.


    Ganz nebenbei halte ich das sowieso für äußerst fragwürdig, entweder einer asiatischen Cam mit proprietären Webserver oder irgendeiner Software mit Zugriff auf die Cams mit Blick auf den privaten Bereich einen Zugriff aufs Internet zu gewähren. Letztendlich gibt man damit die Kontrolle ab, wer noch (unerlaubt) mitguckt. Für meine Cams gibts kein Internet.... egal wie.... alles dicht gemacht. Die Cams kommen nicht 'raus', ich komme 'rein'....via OpenVPN oder alternativ SSH-Tunnel.

  • Hi zusammen.

    Das selbst Kompilieren hat sich zum Glück erledigt.

    Vor 2 Tagen gab es ein neues Release.



    @ThomasL

    Über VPN oder SSH Tunnel hatte ich nach dem, von dir erwähnten, Post von llutz auch schon nachgedacht aber der schnelle zugriff gestaltet sich damit schwer für mich.

    Grundlegend hast du mit deinen Ausführungen recht und scheinst ne ganze Ecke mehr Knowhow zu haben als ich.

    Aber ich muss hier wohl einen Kompromiss zwischen Sicherheit, Nutzen und Umsetzbarkeit für mich finden.

    Beim Thema Zertifikate, VPN und SSH Tunnel würde ich auch wieder bei 0 anfangen.

    Würde ich eine bessere Qualität bei den Bildern erreichen, welche ich über Motion geschickt bekomme, könnte ich eventuell auch komplett auf den Stream verzichten aber auf manchen Bildern erkenne ich mich selbst nicht. :)

    Ich versuche das Ganze jetzt trotzdem erstmal mit Motion in Verbindung mit Fail2ban und wenn es erstmal nur als Übergangslösung fungiert.

  • Post von llutz auch schon nachgedacht aber der schnelle zugriff gestaltet sich damit schwer für mich.

    Du denkst also, dass die Verwendung von fail2ban keinen Einarbeitungsaufwand erfordert? Tja, da irrst Du Dich wohl. Ich würde nur raten abzuwägen, wenn ich bei 2 Anwendungen jedesmal Lern-, Einarbeitungs- und Betriebsaufwand habe, dann ist dieser eigene Aufwand eindeutig da besser investiert, wo hinterher das bessere Ergebnis für mich rauskommt.


    Um es mal mit einem Beispiel auf einen Punkt zu bringen... Du hast einen Durchlass, durch den gewollt Wasser fliesst. Bedauerlicherweise ist dieses Wasser grossteils verschmutzt. Und als Lösung denkst Du nun über einen Filter nach. Aber Dir sollte klar, dass ein solcher Filter permanent Aufmerksamkeit bedarf.... und zwar dergestallt, dass man permanent beobachtet, ob es nicht doch Wege gibt, mit dem sich "Teile" durch den Filter durchmogeln. Das ist nicht etwas, was man einmalig einrichtet und dann vergessen kann. Das wäre der gleiche Trugschluß wie der, dass eine Desktop-Firewall die ultimative Sicherheit bedeutet... das ist jedoch auch Blödsinn. Wenn Du diese Aufmerksamkeit allerdings nicht leisten willst, reicht es als Filter völlig aus, auf einen Pappdeckel das Wort "Filter" zu schreiben und den dann neben den Router zu legen......soviel also zu "persönlichen Aufwand", den man eigentlich gering halten möchte.


    Der bessere Weg ist meiner Meinung nach, das Wasser bereits dort "abzugraben", wo es noch nicht verschmutzt ist, so dass an Deinem Durchlass von vornherein nur sauberes Wasser ankommt.


    Schau Dir einfach mal diese beiden Seiten an... das ist wahrlich nix kompliziertes.....

    https://ssh-tunnel.de/ssh-tunnel-mit-linux/

    http://netz10.de/2011/01/10/ssh-tunnel/

    Zitat

    Ich versuche das Ganze jetzt trotzdem erstmal mit Motion in Verbindung mit Fail2ban und wenn es erstmal nur als Übergangslösung fungiert.

    Ganz nebenbeibemerkt kapier ich sowieso nicht, dass Dich nicht beunruhigt, wer alles unbemerkt noch auf Deine Cams schaut. Selbst wenns keine Wohn- oder Arbeitsräume sind, würde ich das nicht zulassen.... nicht mal als Übergangslösung.


    Aber jeder ist selber seines Glückes Schmied.... also tu was Du nicht lassen kannst.....

  • Ansonsten für meine Webcam benutze ich http://picam.tgd-consulting.de/de/index.html.


    Der Vorteil von youtube live ist vorallem das du den Stream nur einmal übertragen musst bei mehren Besuchern. Und es ist halt sehr gut das jedes Gerät gut mit youtube zurecht kommt.

    Ich werde das auch bald noch testen.

    Mein Problem bei einer Webcam war immer das man halt mehre Besucher hat und keinen eigenen Server um den Stream zu verteilen.

  • Ich finde die Idee klasse.... dann hat google einen Zugriff auf private Webcams... und weil man ja deren Dienst "Youtube" nutzt, gehen dann vielleicht gleich auch noch die Rechte an Bild und Ton an google über. Und wenn man irgendwann mal besoffen beim poppen auf der Couch aufgenommen wurde und google die Aktion auf seiner Seite mit verpixelten Gesichter anzeigt, können die auch gleich noch damit werben, wie effektiv sie den Datenschutz handhaben.... schließlich wurde ja alles anonymisiert.


    Ich glaube, ich mache das auch so mit unseren Cams... ein direkter Stream nach google. Zusätzlich werde ich in meinem Netz unseren Mailserver löschen, die Cloud deaktivieren und die Sperren aller google-Domains wieder aufheben und wieder alles nach google übertragen. Alle Maßnahmen, um google auszusperren, sind doch sowieso ein Fehlweg..... also alles wieder zurück, und halbe Sachen sind doch stümperei....


    raspberryfan

    Kannst Du Dir vorstellen, dass es Anwender gibt, die kompromisslos versuchen jegliche Verbindung zu google zu verhindern? Warum tun sie das? Weil sie auf das Recht bestehen, uneingeschränkt selber über ihr eigenes digitales Leben und die Verwendung eigener Daten zu bestimmen.... und die selber darüber entscheiden wollen, ob irgendwelche fremden Personen oder Konzerne ungefragt und unkontrolliert über die eigenen persönliche Daten verfügen können. Google geht -zumindest für uns- gar nicht... für mich jedenfalls in keiner Form.... nicht mal als Suchmaschine. Ich empfinde solche Ratschläge, google sogar freiweillig mit privaten Daten zu versorgen, in der heutigen Zeit permanenter Überwachung als einigermaßen unangemessen und darüber hinaus auch als Abbau des Bewusstseins Herr der eigenen Daten zu sein oder sein zu müssen.


    j.m2.c.

  • Ach so meinen sie das.

    An Datenschutz hatte ich jetzt nicht gedacht. Normal denke ich schon daran. In meinem Fall wo es eine Wetter Webcam ist kann das eh jeder sehen. In ihrem Fall sieht das dann anders aus. Oder man müsste es so machen das der Stream nur dann gestartet wird wenn eine Bewegung erkannt wird und dies nur dann wenn man nicht im Haus ist den Einbecher kann google dann ruhig kennen.

  • Hi,

    In meinem Fall wo es eine Wetter Webcam ist kann das eh jeder sehen.

    und genau da ist der Denkfehler vieler Leute. Das kommt dem "Ich habe ja nichts zu verbergen" schon ziemlich nahe. Im Netz gibt es keinen Zebraeffekt, alle kleinsten Details können miteinander verknüpft werden und das "Bild" wird mit jedem Detail klarer. Deine Wetter Webcam verrät Deinen Standort, es wird nicht nur der Einbrecher gefilmt, sondern auch Deine Wohnung. Dann wunderst Du Dich darüber, dass Du plötzlich ständig Werbung von künstlichen Orchideen eingeblendet bekommst, weil die grösste Datenkrake der Welt Dein Fensterbrett hinter dem Einbrecher in Deinem Stream gesehen hat... und das wäre nur das kleinste Problem. Ja, die Bauxitendproduktkopfbedeckung lässt grüssen, aber es icht nicht unbegründet.

  • Ich bin schon einer Meinung aber die Wohnung ist nicht zu sehen:

    Und mein Standort ist eh bekannt da ich ein Impressum haben muss.(Leider)


    Hi,

    und genau da ist der Denkfehler vieler Leute. Das kommt dem "Ich habe ja nichts zu verbergen" schon ziemlich nahe. Im Netz gibt es keinen Zebraeffekt, alle kleinsten Details können miteinander verknüpft werden und das "Bild" wird mit jedem Detail klarer. Deine Wetter Webcam verrät Deinen Standort, es wird nicht nur der Einbrecher gefilmt, sondern auch Deine Wohnung. Dann wunderst Du Dich darüber, dass Du plötzlich ständig Werbung von künstlichen Orchideen eingeblendet bekommst, weil die grösste Datenkrake der Welt Dein Fensterbrett hinter dem Einbrecher in Deinem Stream gesehen hat... und das wäre nur das kleinste Problem. Ja, die Bauxitendproduktkopfbedeckung lässt grüssen, aber es icht nicht unbegründet.