ubuntuusers.de

IP Kamera absichern

Status: Ungelöst | Ubuntu-Version: Server 14.04 (Trusty Tahr)
Antworten |

DeadByte64

Anmeldungsdatum:
5. Juni 2014

Beiträge: Zähle...

Hallo alle zusammen ☺

Ich hoffe ich bin hier im richtigem Forum, da das Thema eigentlich sowohl mit "Serverdienst", "Fortgeschrittene Netzwerkkonfiguration" als auch mit "Sicherheit" zu tun hat 😀

Worum es geht: Ich habe mir letzter Zeit IP-Kameras angeguckt. Diese Kameras verfügen ja über ein HTTP user interface. Mein Gedanke dabei ist: Man kann doch mittels Man-in-the-middle die Zugangsdaten herausfinden. Wenn jetzt jemand einfach daheim eine Netzwerkkamera aufstellt, eine Portweiterleitung beim Router einstellt und dann vom Urlaubsort drauf zugreift, kann doch theoretisch jeder, an dem das Paket vorbeikommt, sich auch in diese Kamera einwählen. Wie kann man mehrere IP Kameras sicher in ein Netzwerk integrieren und gegebenenfalls alle auf einer Oberfläche anzeigen lassen?

Ich hab mir überlegt, man könnte ja zwei physikalische Netzwerke aufbauen, einmal das normale Arbeitsnetzwerk, an dem die Rechner hängen, und ein Sicherheitsnetzwerk, an dem die Kameras hängen, und ein VPN Gateway, der eine verschlüsselte Verbindung vom Arbeitsnetzwerk zum Sicherheitsnetzwerk ermöglicht. Dabei wäre das ein Ubuntu-Server mit zwei Netzwerkkarten, der gleichzeitig einen Apache-Server auf der IP vom Sicherheitsnetzwerk laufen hat, der die Bilddateien aus den Netzwerkkameras holt und auf einer Seite darstellt. Welche alternative gibt es denn noch? Wie würdet Ihr das machen? Oder habe ich irgendwelche Denkfehler?

Vielen Dank im Voraus ☺

Mit freundlichen Grüßen, DeadByte64

Thomas_Do Team-Icon

Moderator
Avatar von Thomas_Do

Anmeldungsdatum:
24. November 2009

Beiträge: 8808

Ich weiß ja nicht was auf Deinen Kameras zu sehen sein soll, dass sie besser gesichert werden sollen als die anderen Rechner im Netzwerk 😳 . Wenn es sich um ein Heimnetzwerk handelt, würde ich einfach als einzigen Zugang von außen VPN über den Router zulassen. Dann sind alle Geräte abgesichert.

DeadByte64

(Themenstarter)

Anmeldungsdatum:
5. Juni 2014

Beiträge: 5

Hallo Thomas, angenommen es handelt sich um eine Firma mit Bürorechnern und das Grundstück muss kameraüberwacht werden. Die Bürorechner brauchen dann ja keinen Zugriff auf die Kameras. Deshalb der Gedanke mit dem Sicherheitsnetzwerk allein mit den Sicherheitseinrichtung des Grundstücks ☺

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17524

Bei guten Kameras kann man, auf Kosten der Performance, HTTPS verwenden und damit das Problem mit dem MITM ganz brauchbar lösen. Normal bindet man Kameras auch an Management Systeme an (z.B. SeeTec Enterprise) damit der Stream nur einmal von der Kamera geholt wird und dort das Multiplexing erfolgt.

mfg Stefan Betz

DeadByte64

(Themenstarter)

Anmeldungsdatum:
5. Juni 2014

Beiträge: 5

Hallo encbladexp, Ich habe auch nach HTTPS unterstützenden kameras gesucht, jedoch liegen die Preise im vierstelligen Bereich. Über Management Systems werde ich mich Informieren, danke ☺

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17524

Mobotix Kameras können HTTPS und liegen unter 1000€ 😉

Andere können das mit Sicherheit auch.

mfg Stefan Betz

DeadByte64

(Themenstarter)

Anmeldungsdatum:
5. Juni 2014

Beiträge: 5

Das eigentliche Thema war ja "Wie sichere ich HTTP IP Cams im Netzwerk gegen Angriffe ab". Sorry, falls die Fragestellung bisschen undeutlich war 😛

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17524

Getrennte VLANs ohne Routing zwischen den Netzen und Zugriff nur über Reverse Proxy der HTTPS drüber jagt.

mfg Stefan Betz

Thomas_Do Team-Icon

Moderator
Avatar von Thomas_Do

Anmeldungsdatum:
24. November 2009

Beiträge: 8808

DeadByte64 schrieb:

Wenn jetzt jemand einfach daheim eine Netzwerkkamera aufstellt ...

DeadByte64 schrieb:

angenommen es handelt sich um eine Firma mit Bürorechnern und das Grundstück muss kameraüberwacht werden.

Das Umfeld spielt schon eine Rolle für konstruktive Vorschläge 😉.

DeadByte64

(Themenstarter)

Anmeldungsdatum:
5. Juni 2014

Beiträge: 5

Stimmt ja, mit VLANs kann man das ja auch trennen 😀 Danke für die Antworten. Ich werde mal versuchen mich selbst rein zuarbeiten ☺

chilidude

Avatar von chilidude

Anmeldungsdatum:
18. Februar 2010

Beiträge: 867

Die Stichworte heissen ipsec bzw. ssh-Tunnel. (Mit beiden lässt sich eine Punkt zu Punkt-Verbindung mittels virtueller IP-Adresse aufbauen.) Da du Port-Forwarding betreiben musst, kannst du die Maskierung auch gleich über iptables abwickeln.

Antworten |