Remote Access ip camera

VPN. Via portforwarding, dmz en virtaul servers maak je gewoon de camera beschikbaar vanaf buiten.
Met VPN niet, dan moet je eerst VPN opzetten, die beveiligd is en daarna kan je naar de camera.

Ik zou dit alleen maar doen als je middels VPN verbinding kan maken.

Waarom zou je PC aan moeten staan?

Er zijn ook gewoon routers die een VPN server aan boord hebben, hetzij in de standaard firmware, hetzij in 3rd party firmware als Tomato of DD-wrt. Verdiep je daar even in. Volgens mij kan jouw router ook 3rd party firmware draaien.

VPN is the way to go.

Qosmic schreef op woensdag 11 april 2018 @ 14:40:
Dus als ik alleen het ipadres van die camera vie een virtual server beschikbaar maak en uiteraard heb ik username en ww gewijzigd, hoe kwalijk is dit dan?

Meestal zeer kwalijk, de beveiliging is vaak ondermaats of zelfs geheel afwezig (geen SSL/encryptie en geen auditing: iemand kan duizenden wachtwoorden proberen zonder dat jij ooit daar een melding van krijgt).

Portforwarden doe je voor public services zoals een website, dingen die iedereen mag zien of die zoals een VPN goed beveiligt zijn (dus geen PPTP maar OpenVPN of L2TP).
Volgens mij valt dat ook op een Raspberry te draaien (niet zelf getest) en anders een goedkope router hier op V&A scoren die het kan bijvoorbeeld

Als je router het niet kan is het het veiligste om een Raspberry Pi te kopen en dit als VPN server te gebruiken. Met een RPi kun je dan nog wat leuke extra's doen. Zo heb ik er zelf ook nog Pi-Hole op draaien (DNS based ad blocking)

VPN op RPi: http://www.pivpn.io/
Pi-Hole: https://pi-hole.net/
Pi-Hole topic op GoT: \[Pi-Hole] Ervaringen & discussie

VPN & Pi-Hole kun je dan weer combineren zodat je met je mobiel (via VPN) geen advertenties geserveerd krijgt wat ervoor zorgt dat je websites sneller laden. Handig wanneer je geen goede 3G/4G verbinding hebt.

EDIT: PiVPN & Pi-Hole combineren: https://pimylifeup.com/raspberry-pi-vpn-server/

Dit zijn slechts enkele mogelijkheden van een RPi. Genoeg leuke dingen te doen met zo een ding maar dat is een heel ander topic.

[ Voor 5% gewijzigd door Grim op 11-04-2018 15:20 ]

Maar met https stel je nog steeds de camera publiekelijk beschikbaar. Https zorgt alleen voor encryptie.

waarom niet via de dahua lechange app ? tenzij de camera's niet met buiten mogen communiceren van je firewall ? De camera's maken verbinding naar buiten en er hoeft dus niet opengezet te worden.
https://itunes.apple.com/...easy4ip/id1071165451?mt=8

Qosmic schreef op woensdag 11 april 2018 @ 15:22:
Het ipadres van de cam is specifiek (static) en dan nog username en ww welke random zijn gegenereerd. Dus hoe groot is de kans dat dit benaderd wordt?

Alles wat benaderbaar is op het internet wordt continue 'aangevallen'. Dit zijn ongerichte aanvallen in de hoop dat er ergens een apparaat tussen zit dat vatbaar is voor een bepaalde exploit of van default credentials gebruik maakt (voor jou nu niet van toepassing). Zo ontstaan gigantische botnets. Zie Mirai botnet.

En stel het wordt benaderd, dan zou toch alleen de stream van de cam bekeken kunnen worden en verder niks?

Mocht je cam gehackt worden kan men gebruik maken van 'pivoting' om verder je netwerk binnen te dringen

Pivoting refers to a method used by penetration testers that uses the compromised system to attack other systems on the same network to avoid restrictions such as firewall configurations, which may prohibit direct access to all machines. For example, if an attacker compromises a web server on a corporate network, the attacker can then use the compromised web server to attack other systems on the network. These types of attacks are often called multi-layered attacks. Pivoting is also known as island hopping.

Wat de kans is dat zoiets gaat gebeuren weet ik niet. Ik verwacht zelf aan de heel lage kant, maar één keer is voldoende.

Qosmic schreef op woensdag 11 april 2018 @ 15:22:
Eigenlijk heb ik geen zin in 3rd party dingen.

Alles is uiteindelijk 3rd party. Behalve als je het volledig zelf programmeert.

Het liefst draai ik dan een vpn op mn router, dus dan zal ik een andere router moeten kopen.

Wat kost een nieuwe router versus een Raspberry Pi? Losse apparatuur heeft het voordeel, zodat je de router eenvoudig kan vervangen (los van je VPN server). Decentralisatie spreid je risico-factor (m.b.t. defecte HW).

Dan maak je alleen een port-forward op je router, voor je VPN, naar de VPN server in je LAN.
Dan is de camera niet door derden te benaderen, en dus niet te misbruiken d.m.v. exploits op de HTTP/RTSP poorten.

Maar ik vraag me af in hoeverre die camera te benaderen is als ik het via virtual server van mijn router heb lopen.

Virtual Server? Wat die router vendors allemaal voor tekst bedenken...
Gewoon een NAT entry dus.

Het ipadres van de cam is specifiek (static) en dan nog username en ww welke random zijn gegenereerd. Dus hoe groot is de kans dat dit benaderd wordt?

Groot. Je kan jezelf niet verstoppen tussen alle andere open poorten bij je ISP's klanten. Ze vallen gewoon alles aan wat ze kunnen vinden.

En stel het wordt benaderd, dan zou toch alleen de stream van de cam bekeken kunnen worden en verder niks?

Dat ligt er aan of je camera RTSP of iets anders gebruikt. Zodra je de HTTP interface (voor webbased camera beeld) openzet kan die mogelijk gehackt/exploit worden (zonder user/password).

En dan heb ik het nog niet eens over de vele lekke Chinese IP-camera's gehad. Zoek maar eens naar het wachtwoord "xmhdipc". Wat het hardcoded root password (telnet) is van vele Chinese IP-camera's!

Eboman schreef op woensdag 11 april 2018 @ 15:28:
waarom niet via de dahua lechange app ? tenzij de camera's niet met buiten mogen communiceren van je firewall ? De camera's maken verbinding naar buiten en er hoeft dus niet opengezet te worden.
https://itunes.apple.com/...easy4ip/id1071165451?mt=8

Een camera via andermans cloud is eng. Heb je het gebruikte protocol geanalyseerd?
Hoe weet je dat je camera niet door Chinezen gebruikt kan worden om binnen je LAN te komen? Of als hun "management server"(park) gehackt wordt, dan kunnen de hackers je camera overnemen vanuit de cloud?

Een camera hoeft niet naar buiten te communiceren! Communiceer zelf naar binnen op een betrouwbare manier. Om deze reden zet ik alle camera's altijd in een apart VLAN (en als mogelijk, alle poorten als PVLAN), zodat de camera's niet met internet of elkaar kunnen praten.
Je kan dan kiezen om b.v. alleen de RTSP open te zetten voor alle clients in je LAN. En de HTTP(S) voor management alleen benaderbaar vanaf een speciaal (afgezonderd admin-PC) VLAN.