Wie schütze ich am besten mein Heimnetzwerk davor dass eine Überwachungskamera nach Haus telefoniert ?

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Die Tage habe ich bei mir am Hauseingang eine WLAN Cam angebracht. Sie funktioniert soweit sehr gut - auch die Qualitaet der jpegs und Videos ist gut. Nur leider basiert die Android App um die Kamera zu steuern und den VideoStream zu sehen auf P2P - d.h. die Kamera telefoniert nach Hause (China) um einen problemlosen Zugriff auf die Kamera aus dem Internet mit den Android App zu ermoeglichen und somit ist ein Port (genauer sogar mehrere) in mein lokales Netzwerk aus dem Internet offen.

    Wenn ich den Internetzugriff abklemme (Router mal eben ausschalte) kann ich immer noch auf die Kamera aus dem lokalen Netz per P2P zugreifen. D.h. ich muss nur die Kommunikation der Cam ins Internet unterbinden und kann mich dann per VPN mit meiner Kamera aus dem Internet sicher verbinden. Mit wireshark habe ich die Server in China identifiziert d.h. mit einer FW ist es eigentlich kein Problem das nach Hause telefonieren zu unterbinden.

    Vorlaeufig habe ich P2P disabled und die Snapshots sowie Videos der Cam werden auf meinem lokalen FTP Server abgelegt. Es gibt auch keine offenen Ports mehr aus dem Internet in mein lokales Netz. Soweit - so gut. Ich moechte jetzt aber aus meinem lokalen Netz sowie per VPN auf die Kamera aus dem Internet zugreifen koennen, d.h. dazu muss ich P2P enablen :no_sad:

    Jetzt frage ich mich wie ich das am besten und einfachsten implementieren kann.

    Mein ersten Ansatz war es mal mit einem ESP Repeater der auch FW kann zu probieren. Nachdem die Cam in das Netz connected hat war Essig - kein Zugriff aus dem lokalen Netz war moeglich.

    Jetzt sehe ich noch folgende Moeglichkeiten fuer mich:

    1) Erstellen eines APs mit einer Raspi und mit iptables den Traffic der Cam blocken. Dazu brauche ich eine Raspi3 mit WLAN die ich eigentlich fuer raspiBackup Tests bei mir rumstehen habe

    2) Anschluss eines Fritz APs an eine Raspi 2B und Konfiguration dieser Raspi als Bridge mit iptable Rules die bei mir unbenutzt rumsteht

    3) Kauf eines Switches und Aufbau eines dedizierten VLANs

    Ich tendiere zu (2) da die Raspi bei mir sowieso keine Bestimmung hat und offline ist. Hat jemand von Euch eine Idee wie man es einfacher und/oder anders hinbekommen koennte?

  • Wie schütze ich am besten mein Heimnetzwerk davor dass eine Überwachungskamera nach Haus telefoniert ?? Schau mal ob du hier fündig wirst!

  • Moin framp,

    kann man nicht den Zugang der Kamera in das Inet nicht im Router verbieten?.

    In meiner FritzBox kann ich das einstellen. VPN sollte dann vielleicht möglich sein. Kommender Verkehr, aber das kann ich nicht schreiben.

    73 de Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • Moin framp,

    unter Netzwerkverbindungen den entsprechenden Client aussuchen und rechts auf den Bleistift klicken.

    Unter steht was von Kindersicherung. Rechts kann man das Zugangsprofil einstellen.

    73 de Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • Perfekt :thumbup:

    Auf die Idee mit der Kindersicherung bin ich nicht gekommen :( . Die blockt offensichtlich jegliche Internetverbindungen und das ist auch gut so.

    Tatsaechlich kann jetzt die Cam nicht mehr nach Hause telefonieren (mit FB sniffing und wireshark verifiziert) und ich kann lokal immer noch die Kamera mit der Android App die P2P nutzt benutzen.

    Ueber das Internet per VPN klappt ein Zugriff auf die Kamera aber nicht :no_sad: Da muss ich wohl noch etwas Jugend forscht betreiben. Liegt wohl auch irgendwie an der Kindersicherung :conf:

  • Moin framp,

    da ich kein VPN mache, habe ich das auch in Frage gestellt.

    Ja, bei mir sind einige RPI's und der TV ausgesperrt. RPi wird bei update halt frei geschaltet.

    73 de Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • Vielleicht pihole in Verbindung mit PiVPN.

    Oder mit pihole blocken, dass sollte definitiv gehen, und mit MyFritz als VPN auf die Box und damit auf die Cam zugreifen.

    Versuch es einfach ;):S:S

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Perfekt :thumbup:

    Auf die Idee mit der Kindersicherung bin ich nicht gekommen :( . Die blockt offensichtlich jegliche Internetverbindungen und das ist auch gut so.

    [...]

    Ueber das Internet per VPN klappt ein Zugriff auf die Kamera aber nicht :no_sad: Da muss ich wohl noch etwas Jugend forscht betreiben. Liegt wohl auch irgendwie an der Kindersicherung :conf:

    Hi framp,

    zu deiner obigen Frage würde ich dazu raten auf einen dedizierten Router auszuweichen. Bei mir laufen nach wie vor Mikrotik Routerboards die für das komplette Heimnetzwerk zuständig sind (inkl. VLANS, Routing, VPN-Server etc.). Der Initialaufwand ist natürlich deutlich höher als eine Fritzbox in Betrieb zu nehmen, für ambitioniertere Heimnetzwerk-Setups würde ich aber die Fritzbox nur noch als besseres Modem verwenden.

    Bei Fritzbox geht es immer vorallem darum unbedarfte Anwender möglichst viel Arbeit abzunehmen, was dir gleichzeitig Steine in den Weg legt.

    Bei letzterem Problem wirst du via VPN mit einer externen IP an deinem Heimnetzwerk aufschlagen was von der Kindersicherung gefiltert wird. Du kommst da also nicht mit einer lokalen IP-Adresse an.

    Gruß, sls

    “Don’t comment bad code - rewrite it.”

    Brian Kernighan

  • Da kann einer der Netzwerkspezialisten im Forum sicher mehr zu sagen, aber gerade bei diesen ganzen China-Cams gab's doch in der Vergangenheit immer kritische Sicherheitslücken, DNS-Backhole "schützt" hier ja nicht als Sinkhole sondern es werden nach wie vor Ports ins Internet geöffnet die von der Gegenstelle erreicht werden sollen.

    Ich fände es daher besonders wichtig den Traffic der Webcam zu blocken, anstatt eine Kommunikation ins Leere laufen zu lassen.

    Gruß, sls

    “Don’t comment bad code - rewrite it.”

    Brian Kernighan

  • Das funktioniert aber nur wenn im Router UPnP aktiviert ist. Ist es deaktiviert kann die Cam keinen Port im Router öffnen. Zudem kommen selbst im Falle eines geöffneten Ports keine Pakete in China an da sie ins Leere laufen. Ich kann mir nicht vorstellen das die IP des C&C Servers Hardcodiert im Quelltext hat, oder?

  • Das funktioniert aber nur wenn im Router UPnP aktiviert ist.

    BTW: Bei der FritzBox muss UPnP nicht aktiviert sein, für kurzzeitige Portöffnungen die der Client mit "hole punching" und/oder "tcp nat traversal" veranlassen kann. Im IPPF-Forum ist das mal für die FritzBox ziemlich ausführlich beschrieben worden. Andere Router werden das ähnlich machen, denn wenn nicht, dann könnte man z. B. skype oder gleichwertig nicht benutzen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • ...ich kann lokal immer noch die Kamera mit der Android App die P2P nutzt benutzen.

    Ueber das Internet per VPN klappt ein Zugriff auf die Kamera aber nicht ...

    Welches VPN benutzt Du über das Internet? Mit Android könntest Du z. B. Wireguard benutzen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich kann mir nicht vorstellen das die IP des C&C Servers Hardcodiert im Quelltext hat, oder?

    Hartkodierte DNS-Server um reine DNS-Filterung zu umgehen sind im Vormarsch, wenn man den einschlägigen Quellen glauben schenkt. Warum also nicht auch C&C etc. hartkodieren? InternetOfShit-Devices sind findig.

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Hmm... anscheinend handelt es sich hier um einen Fehlkauf. Warum also nicht das Rückgaberecht in Anspruch nehmen? Mir scheint es klüger die Ursache anzugehen, anstatt Symptome zu bekämpfen. Oder gibt es keine WLAN Kameras, die die Privatsphähre respektieren?

  • Oder gibt es keine WLAN Kameras, die die Privatsphähre respektieren?

    Wenn, dann habe ich bisher nicht gefunden. Inzwischen telefoniert jede WLAN-Cam nach Hause.

    Vermutlich gibt es solche Cams im hochpreisigen Business-Bereich, im Consumer-Bereich mit den billigen Cams bezahlt der Kunde mit Daten.

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Kann ich mir nicht so ganz vorstellen. Dann müsste auf dem Produkt ja stehen, sie bezahle mir ihren Daten, oder so ähnlich. Dann wäre da noch die Frage, was sind die/meine Daten Wert und wie werde ich dann vergütet, wenn ich Daten hergebe. Das passt irgendwie nicht so ganz.

  • Kann ich mir nicht so ganz vorstellen. Dann müsste auf dem Produkt ja stehen, sie bezahle mir ihren Daten, oder so ähnlich. Dann wäre da noch die Frage, was sind die/meine Daten Wert und wie werde ich dann vergütet, wenn ich Daten hergebe. Das passt irgendwie nicht so ganz.

    Das brauchst du dir gar nicht vorstellen, den das ist Tatsache und gängige Praxis in der IT bestimmter Unternehmen. Außerdem geht häufig um Metadaten dessen Weitergabe du über die AGB bereits zugestimmt hast. Oder was glaubst die wie Google Geld mit Werbung macht? GMail ist nicht kostenlos weil Alphabet ein sozial eingestellter Konzern ist.

  • Vor einiger Zeit hab ich davon gehört, dass auch der von CC2TV Youtube-channel sich darüber aufgeregt hat. Die Folge kann ich nicht sagen, welche es war. Ich kann es nicht mehr sagen ob er es erwähnt hat oder ich es bei HackAday gelesen hab. Es gibt wohl Kameras bei denen man das Firmware tauschen kann.

    Es soll wohl welche geben mit offenem Firmware.

    Selber hab ich keine :)

    Einmal editiert, zuletzt von det_lev_da (19. Mai 2021 um 22:02)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!