Eggy 2 AV7210/11 - Sicherheit

Hallo @daniel_w , ja die Kamera zeichnet durchgehend auf ihrer Speicherkarte auf. 

Was den Datenschutz angeht, bist du jedoch selbst verantwortlich dein Netzwerk entsprechend nach außen zu schützen, 

Hierfür empfiehlt es sich alle Kameras in ein gesondertes VLan zu packen das nur sehr stark begrenzte Zugriffsrechte bekommt. 

Allerdings ist das mit dem Telekom Router nicht möglich. 

Hierfür muss auf ein komplexeres Netzwerk umherüstet werden . 

Zum Beispiel csisco, UniFi oder Managed von Netgear.

---

@RomanoDrews  schrieb:

 

Hierfür empfiehlt es sich alle Kameras in ein gesondertes VLan zu packen das nur sehr stark begrenzte Zugriffsrechte bekommt. 

---

Der Tipp macht keinen Sinn an der Stelle da man die Kamera ansonsten nicht mit MSH verwenden kann.

Vlans kapiert MSH nicht.

---

@CobraCane  schrieb:
Der Tipp macht keinen Sinn an der Stelle da man die Kamera ansonsten nicht mit MSH verwenden kann.

Natürlich macht das Sinn und natürlich kann man die Kamera trotzdem mit MSH verwenden.

Das muss nur entsprechend in den VLAN Firewall Regeln hinterlegt sein.

@RomanoDrews 

 Ich wollte damals die Doorbird in ein Vlan einbinden und mir wurde gesagt das es nicht geht da nur im gleichen IP-Adressbereich gesucht wird.

Kannst du mir bitte mal deine Einstellungen verraten wie du es geschafft hast die Kameras in MSH zu finden?

@CobraCane  vom Prinzip her gibt es hier zwei Möglichkeiten. 

Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.  

Die zweite Möglichkeit ist, du gibst dem Router eine statische Route für die entsprechenden Geräte ( Kameras ) die dann am Ende in MSH eingebunden werden sollen. so wird die Kamera dann sichtbar. 

spontan fällt mir gerade noch eine eventuell dritte Möglichkeit ein. Man könnte die subnetzmask ein wenig überlappen lassen , hier dann auch die entsprechende Kamera in der Firewall für die ip von der homebase dann freigeben das sie sich untereinander sehen. 

Letztendlich muss man halt extrem tief in sein Netzwerk eingreifen und eben dabei dann wieder aufpassen das die ip der Kamera nicht letztendlich wieder offen liegt. 

Das ist mit mehreren regeln in der Firewall und verschiedene statische Routen aber möglich. 

Auch dann wenn MSH das nicht selbst kann. 

Du kannst zum Beispiel bei UniFi ( nur hier hab ich’s bereits gemacht ) im router für die Kamera eine ip in einem anderen VLan freigeben. 

Letztendlich kann man theoretisch sogar so das admin Passwort der Kamera ganz weg lassen ( bei MSH nicht möglich ) . 

Wenn also nur noch die Handys die den VLan Zugriff über den VPN den Zugriff haben, können auch nur noch diese Geräte am Ende darauf zugreifen. Natürlich muss hier der Weg zum MSH Server offen bleiben da sonst logischerweise nix mehr geht. 

Die Schwachstelle ist somit dann nicht mehr zuhause sondern die Telekom selbst.

Solange man da vertrauen hat… 

Das ist ja der punkt den ich später definitiv noch ändern will. Keine externe clouds mehr.

edit: das mit der subnetzmask scheint nicht zu klappen .
Die anderen beiden Lösungen klappen.  

---

@RomanoDrews  schrieb:

@CobraCane  vom Prinzip her gibt es hier zwei Möglichkeiten. 

Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.  

---

Hm, dann packt man ja auch wieder alles in ein Netzwerk rein denn dahinter hängt ein kompletter Rattenschwanz. Dann muss nämlich auch die HUE-Bridge, das Gardena-Gateway und die Sonos in das Netz und da der Sonos-Controller vom Smartphone nur im gleichen Netz nach Geräten sucht müssen auch alle Handys, Tablets, PCs etc wieder in das selbe Netz.

---

@RomanoDrews  schrieb:

Die zweite Möglichkeit ist, du gibst dem Router eine statische Route für die entsprechenden Geräte ( Kameras ) die dann am Ende in MSH eingebunden werden sollen. so wird die Kamera dann sichtbar. 

 

---

Okay, damit hab ich mich noch nie außeinandergesetzt.

Mal schauen ob ich das mal mache, bisher gab es keine Notwendigkeit dafür bzw. wenn halt solche Dinge nicht gingen (wie die Doorbird in MSH einbinden) dann hab ich es einfach sein lassen da ich das nicht brauche.

---

@CobraCane  schrieb:

---

@RomanoDrews  schrieb:

@CobraCane  vom Prinzip her gibt es hier zwei Möglichkeiten. 

Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.

...

---

@CobraCane  schrieb:
Hm, dann packt man ja auch wieder alles in ein Netzwerk rein denn dahinter hängt ein kompletter Rattenschwanz. Dann muss nämlich auch die HUE-Bridge, das Gardena-Gateway und die Sonos in das Netz und da der Sonos-Controller vom Smartphone nur im gleichen Netz nach Geräten sucht müssen auch alle Handys, Tablets, PCs etc wieder in das selbe Netz.

Ja genau das ist richtig.

Grundsätzlich sollte man ja sowieso seine IoTR Geräte alle in ein VLAN legen und vom Hauptrechner sowie auch das Gast WLAN Trennen von einander. (Praktisch ist das nicht, aber sicherer da IoT geräte gerne mal als BOTE NETZ für Hacker missbraucht werden um Einfach webseite aufzurufen, also einfache Überlastungsatacken auf andere Systeme im Internet.)

Und die sicherheit unserer IoT Geräte dürfte bei den meisten Günstigen Gerätschaften extrem gering sein.

Ich kann dir jetzt keine Geräte nennen die gefärdet sind.

Ich denke mal da gehört einfach alles dazu was Smart ist und liber verkauft als von Sicherheit gesprochen wird.

Da gabs ja bereits Hacks das Smarte Geräte (Ich glaube SONY wars ) Lahm gelegt wurde, das waren alles SmartHome Geräte die die Webseite von Sony angepingt haben und keine PCs.

Die Smarte Kamera und der Kühlschrank der Selbst bestellt ist 24/7 Eingeschaltet, der PC nicht.

Grundsätzlich ist also die Kamera oder der Smarte Toaster besser dazu geeignet für Häcker, da diese Geräte wohl kaum geschützt sind, und nen einfachen Ping kann jedes Gerät ins internet senden

Zusammen haste nen Bot Net

Und wenn man nicht gerade ein Netzwerk hat das das Traffic aufzeichnet, wüsste man auch niemals zuhause was die Alexa neben einem so treibt wenn sie gar nicht benutzt wird.

---

@CobraCane  schrieb:

Okay, damit hab ich mich noch nie außeinandergesetzt.

Mal schauen ob ich das mal mache, bisher gab es keine Notwendigkeit dafür bzw. wenn halt solche Dinge nicht gingen (wie die Doorbird in MSH einbinden) dann hab ich es einfach sein lassen da ich das nicht brauche.

Ich habe mich seit dem ich mit UniFi und dem völlig übertriebenen Serverschrank angefangen habe zu basteln, damit beschäftigt, wie so ein Netzwerk Grundsätzlich funktioniert.

Und da ich dann auf Unifi gekommen bin, das nicht nur Schick aussieht sondern für das etwas mehr Geld auch pervers viel kann...

Statistiken bis ins aller Letzte.

Ich kann meinen Gästen im Wlan sogar sagen wer auf welchen Pornoseiten war ^^

(Gastwelan aufgebaut wie ein Hotel WLAN wo du erst unsere Nutzungsbedingungen Akzeptieren musst bevor du Internetzugriff hast ähnlich wie Free Wifi im Hotel oder Supermarkt) Es weis also jeder was ich als Admin sehe.

Dazu kommt, jedes Netzwerkkabel, jedes Wlan gerät zeigt penibel genau jeden Datenfluss an.

Und ich kann für jedes Gerät im Netzwerk Regeln und Routen erstellen.

Ich kann dadurch in Sekunden neue VLANs Routen und das Vlan an bestimmten Netzwerk Ports nicht ausgeben lassen.

So kann ih Theoretisch das Netzwerk von Drinnen und im Garten nicht nur Virtuell sondern auch Physikalisch trennen und Trotzdem haben Geräte von drinnen und Draußen gegenseitig Zugriff.

Aber eben nur das eine Gerät das es soll und dessen MAC Adresse.

Ich hab damit angefangen weil ich wegen der IoT Sicherheit eben bedenken hatte.

Was währe wenn ich auch einmal im Internt ohne mein Wissen zu finden bin.

Und vor allem was ist mit meinen Daten, ich will wissen was damit passiert.

Und mit der Hüpschen Optik bei Unifi, macht das ganze sogar Spaß.

Per App und per Weblogin Administrierbar.

Und dadurch das meine Eltern auch so ein netzwerk haben, kann ich beides Zeitgleich aus einer App steuern.

Das hat auch den Vorteil untereinander Synologys zu spiegeln.

Ich kann so aus 2 Verschiedene Netzwerke ein einziges Netzwerk machen.

Bedeutet mein PC hat die IP: 192.168.20.1 und der PC bei meinem Vater 200 Kilometer weiter hat die IP 192.168.20.2

Unter Netzwerk sehen sie sich dann beide wenn sie Online sind, und ich kann so Tun als würde das gesammte Netzwerk meiner eltern einfach hier sein.

(Das ist halt auch so ein Grund wieso man zwingend dauerhaft schnelles Internet benötigt, weil sich da die ganze Zeit einfache Packete schon im Netzwerk Hochschaukeln wie Ping anfragen und so weiter)

@RomanoDrews Vielen Dank für die ausführliche Rückmeldung. Dann werde ich mich mal auf YouTube mit dem Thema auseinandersetzen und notfalls die Kamera nur einschalten wenn sie wirklich benötigt wird. 

@daniel_w , ich habe bei den Kameras überall zwischenstecker eingebaut die die Kamera via Regel Stromlos machen.

Zum Beispiel: 

Regel: 

Wenn Abwesend also Alarmsystem ein

Dann Zwischenstecker Kamera 1,2,3… Ein

Danach ( also wieder zuhause ) Zwischenstecker 1,2,3… aus

So bist du relativ sicher das du keinen nackt flitzer auf deinen Aufzeichnungen findest. 

Und sollte es jemand heschafft haben deine Kamera zu hacken, sieht er lediglich das du nicht im Bild bist, weil ja keiner da ist. 

Um hier aber eben im Internet durch ein schlechtes Netzwerk nicht den Hinweis zu geben das jetzt keiner zuhause ist, muss man eben sein Heimnetzwerk technisch und mit Firewall regeln absichern. 

Jedes bisschen das man in Richtung Sicherheit tut, macht es einem Angreifer schwerer. 

Un Hackbar ist nichts…. 

Aber man kann es dem Angreifer so schwer wie möglich machen. 

Hier sicherst du dich maximal an. 

Nur jemand der wirklich gezielt zu dir will würde sich dann die Mühe machen. 

Und um so mehr du privat tust um so sicherer bist du. Aber niemals zu 100% 

Kommt immer darauf an wer schlauer ist , du oder der Angreifer selbst. 

Die hier genannten Bot Hack Netzwerke die iot Geräte angreifen sind alle samt dumm und nutzen nur einfache Ziele die ganz schlecht geschützt sind. 

Also wenn man schon ein bisschen mehr als die meisten tut, bist du soweit erstmal abgesichert. Außer eben jemand will dir gezielt schaden. 

Da stellt sich dann aber die Frage warum man das Ziel ist. Und als normaler Mensch wirst du so auch maximal sicher sein. 

Solange du die dicken Klunker nicht zuhause hast und auch nicht über eventuellen Reichtum sprichst. Kann dir auch keiner etwas , weil keiner auf die Idee kommt dich als Ziel zu wählen. 

An sich ist das ganze eben sehr schwierig heute noch 100 % sicher zu werden. Oder wenigstens 99%. 

Passwörter wechseln ist immer richtig. 

Niemals 2x verwenden.

Im Idealfall sind Passwörter automatisch ind kompliziert generiert. 

Hierfür empfiehlt sich die Passwörter zu speichern und den Rechner den man dafür zum speichern benutzt, mit einem USB dongle abzusichern ( 2 Faktoren Sicherung ) 

Und dieser Rechner sollte dann nur über einen VPN ins Internet gehen und am besten abgesichert sein. 

Also eben um so schwerer man es wieder macht und so sicherer ist man. 100% schafft selbst eine IT Firma nicht . 

@daniel_w , was ich noch anmerken möchte: 

Ich bin auch kein IT Experte und theoretisch nur Laie. 

Wenn man es will, schafft man es aber das wissen allein durch lesen oder Videos gucken , sein zuhause sicherer zu machen als die meisten Privathaushalte . 

Solange ich also sicherer bin als die meisten anderen, bleibe ich unattraktiv für bots und Würmer die das hacken automatisch durchführen. 

Was ich damit sagen will: jeder Dussel kann es schaffen mehr Sicherheit zuhause im Netzwerk zu schaffen. 

Und deswegen bin ich da gerne sehr ausführlich, weil ich es immer sinnvoll finde seine Privatsphäre irgendwie zu sichern. 

Und das ist im technikzeitalter gar nicht so einfach, aber möglich und das auch privat! 

Je mach Geldbeutel empfehle ich das System von UniFi . 

Das ist ne gute bezahlbare Mittelklasse solange man kein POE also Lankabel mit Strom benötigt. 

Wenn man das doch braucht , ist es trotzdem günstig im Vergleich zu anderen Herstellern. Aber preislich ist das dann schon erstmal erdrückend . 

UniFi ist von allen Herstellern am Privat Haushalt freundlichsten und quasi für idi-oten hergestellt ^^ 

Netgear und csisco sind da im Vergleich sehr kompliziert. 

Netgear kann günstiger sein aber auch teurer. Und UniFi ist bezahlbar. 

Daher setze ich das bei mir in der Firma ( hab ich den Wunsch durchgedrückt ) und bei meinen Eltern ein. 

@RomanoDrews kann ich den Zwischenstecker für die Kamera auch an einem freien Platz in einer Mehrfachsteckdosenleiste einstecken? Die Kamera sonst auszuschalten gibt mir ein höheres Sicherheitsgefühl. 

---

@daniel_w schrieb:
kann ich den Zwischenstecker für die Kamera auch an einem freien Platz in einer Mehrfachsteckdosenleiste einstecken?

---

Ja, das geht.

Grüße
Peter

Hallo @daniel_w , ja das kannst du. 
Ich habe das selbst auch an einigen Stellen so.