Kategorie: Sicherheit

Zu den meistgestellten Fragen rund um die Einrichtung einer Netzwerkkamera gehört die Port-Weiterleitung bzw. das „Port Forwarding“. In diesem Artikel wollen wir Schritt für Schritt die Einrichtung anhand eines Fritzbox-Routers erklären. Doch zunächst sind einige Dinge im Netzwerk zu beachten.

Statische Kamera-IP oder IP per DHCP?

Viele Privatkunden haben ein heimisches Netzwerk, ohne sich darüber wirklich im Klaren zu sein. Sie besitzen einen Router, beispielsweise eine Fritz-Box, und haben daran einen oder mehrere Computer angeschlossen. Per Smartphone über eine WLAN-Verbindung greifen sie auf das Internet zu.
All diese Geräte funktionieren im Netzwerk nur, weil der Router jedem Gerät, vom Computer über Laptop, Video-on-Demand TV-Box bis hin zum Smartphone eine eigene IP-Adresse zugeordnet hat und darüber die Geräte verwaltet. Eine solche IP-Adresse dient zur Zuordnung des Gerätes, ist jedoch nicht fest mit dem Gerät verbandelt. Stellen sie sich die IP-Adresse wie die Nummer eines Parkplatzes vor. Sie stellen ihr Auto jeden Tag auf einen freien Parkplatz und merken sich die Parkplatz-Nummer. So wird ihrem Gerät, wenn sie es anschalten, einfach eine freie IP-Adresse vom Router zugewiesen. Dies macht der DHCP-Server, der im Router integriert und in der Regel bei den meisten Geräten voreingestellt wird.

Diese Einstellung ist in den allermeisten Fällen auch richtig und nicht zu beanstanden. Nun kann es aber sein, dass man einem Gerät eine feste IP-Adresse zuordnen möchte oder sogar muss. Letzteres trifft im Falle der Port-Weiterleitung zu. Warum dies der Fall ist, dazu mehr im Bereich „Port-Weiterleitung einrichten“.
Es macht die Verwaltung bei vielen Netzwerk-Geräten leichter, wenn man diesen eine feste IP-Adresse zuweist. Auch sind viele Anwendungen technisch ausgereift und werfen die wildesten Fehlermeldungen, wenn beispielsweise die zugeordnete IP Kamera beim nächsten Start vom DHCP-Server eine andere IP-Adresse zugewiesen bekommen hat.

DHCP-Adressbereich begrenzen

Da ein DHCP-Server durchaus Sinn macht, kann man hier eine Trennung vornehmen. Neu eingeschaltete Geräte sollen automatisch eine IP-Adresse zugeordnet bekommen. Aber für spezielle Netzwerk-Geräte wie die Netzwerkkamera, der Router an sich, aber auch eine NAS und ähnliches ist es vorteilhaft, diesen eine sogenannte „statische IP Adresse“ zuzuweisen. Jetzt muss man jedoch aufpassen: Um auf das Beispiel mit dem Parkplatz zurückzukommen – es muss klar sein, dass spezielle Parkplätze reserviert sind. Je nach Router kann man speziellen Geräten immer die gleiche IP-Adresse zuweisen und der integrierte DHCP-Server weiß, dass er diese manuell zugeordnete Adresse zuzuweisen hat und nicht anderweitig vergeben kann. Doch diese Möglichkeit haben nicht alle Router. Meist geht man einen anderen Weg: Man begrenzt den Adressbereich der DHCP-Zuordnung und vergibt statische IP-Adressen außerhalb dieses Adressraumes. Klingt komplizierter, als es eigentlich ist.

Schauen wir uns die folgende DHCP-Konfiguration an. Hier ist die IP-Adresse der FritzBox auf „192.168.0.1“ und die Subnetzmaske auf „255.255.255.0“ festgelegt. Beachten sie bitte, dass im Falle der FritzBox die Standard-IP-Adresse 192.168.178.1 lautet, hier also eine manuelle Umkonfiguration vorgenommen wurde.
Unterhalb des Adressblocks sehen wir, dass der DHCP-Server aktiviert ist und der Adressbereich auf „3“ bis „98“ begrenzt ist. Dies bedeutet, dass die Adresse 192.168.0.1 und 192.168.0.2 sowie die Adressen 192.168.0.99 und größer in diesem Fall aus dem Adressbereich der automatisch Vergabe ausgeschlossen sind. Somit könnte hier die .1, .2, .99 bis .255 individuell anderen Geräten zugeordnet werden, ohne dass es zu einem IP-Adresskonflikt kommen kann. Welche Adresse man per DHCP vergibt und wie groß der Adressbereich sein sollte – dies hängt von der Größe des eigenen Netzwerkes ab.

Statische IP-Adresse einer Kamera zuweisen

Wenn es sich nicht nur um eine temporäre Testkamera handelt, empfehle ich eindringlich, der Netzwerkkamera eine statische IP-Adresse zuzuweisen. Im Beispiel verwende ich die „192.168.0.130“. Die „130“ liegt außerhalb des eben definierten DHCP-Adressbereiches. Ob diese Adresse frei ist, können Sie mittels „ping 192.168.0.130“ erfragen. Hier darf kein Gerät antworten.
Nun benötige ich Zugriff auf die Firmware der Kamera, um dort die IP-Adresse manuell zuzuweisen. Wie dies im Fall einer FOSCAM-Kamera gemacht wird, zeige ich im Video. Beachten Sie bitte, dass nach der Zuweisung der statischen IP-Adresse die Kamera neu gestartet werden sollte. Prüfen Sie nun mittels Ping, ob die Kamera antwortet.

Warum nicht UPnP?

Dieser Dienst ist nicht prinzipiell schlecht oder unsicher, doch im Falle einer Port-Weiterleitung sollte der verantwortungsvolle Betreiber einer Kamera wissen, welche „Schlupflöcher“ sein eigenes Netz bietet. Damit UPnP aus „Komfortibilitätsgründen“ keine Hintertüren öffnet, über die man dann nicht informiert ist, sollte man im Router diesen Dienst deaktivieren. UPnP im Zusammenhang mit folgenschweren Sicherheitslücken sind der Grund, warum viele Netzwerkkameras offen über das Internet erreichbar sind. Die Gründe und Tipps zur Abhilfe haben wir im Artikel „Unsichere Netzwerkkamera: Alle Tipps zur Sicherung einer IP-Kamera“ beschrieben.

Port-Weiterleitung einrichten

Über Ports an sich möchte ich hier nicht viele Worte verlieren. Wer hier nähere Informationen sucht, dem lege ich den entsprechenden Wikipedia-Artikel „Portweiterleitung“ ans Herz.
Um eine Portweiterleitung für neue Netzwerkkamera einzurichten, müssen wir drei Dinge wissen: Über welchen Port wollen wir in unser Netzwerk eindringen, wie lautet die (statische!) IP-Adresse der Kamera und wie lautet der Port? Hier sehen wir, dass wir für unsere Netzwerkkamera plötzlich eine statische IP-Adresse benötigen und keine Adresse, die individuell per DHCP-Server zugewiesen wird. Warum? Weil wir die Port-Weiterleitung nun einer eine feste IP-Adresse binden können.

Verbinden Sie sich mit Ihrem Router. Bei einer Fritzbox finden Sie den Punkt „Portfreigaben“ unter „Internet -> Freigaben“. Klicken Sie auf den Button „Neue Portfreigabe“.

Geben Sie nun den Port ein, über den Sie von „außen“, als über das Internet, auf Ihre Kamera zugreifen möchten. Diesen Port kann man frei wählen. In der Regel nimmt man hier den gleichen Port, wie der fixe Ziel-Port. Ist der Port bereits belegt (wie beispielsweise in unserem Beispiel der Port 80, dann nimmt man einen beliebigen anderen).
Als ZIELDADRESSE wählt man nun die statische IP-Adresse der Netzwerkkamera. „An Port“ wird der Port angegeben, auf dem die Kamera „lauscht“. Dieser Port ist bei der Foscam „88“. Bei anderen Kameras kann hier ein anderer Port belegt sein. Hier muss man sich durch die Bedienungsanleitung wühlen.
Was passiert nun? Wenn eine Anfrage über das Internet am Router (beispielsweise der FritzBox) ankommt, die über den Port 88 gestellt wird, leitet der Router dank der Port-Weiterleitung diese Anfrage an die Netzwerkkamera weiter. Über das Internet kann man nun auf die Kamera zugreifen.

Erster Test der Port-Weiterleitung

Zuerst muss man die eigene IP-Adresse ermitteln, die der ISP aktuell zuwiesen hat. Hier kann man in der Oberfläche im Router fündig werden. Man kann aber auch Dienste im Internet aufrufen. Diese teilen dem Aufrufer seine IP-Adresse mit. Ein Dienst ist beispielsweise „meine-aktuelle-ip“.
Für einen ersten Test nimmt man sein Smartphone in die Hand. Wichtig ist, dass es nicht per WLAN an das heimische Netz verbunden ist, sondern die Datenverbindung eines Netzbetreibers (beispielsweise per UMTS) nutzt. Nun gibt man im Browser des Smartphones http://[zugewiesene_IP]:PORT ein, wobei „[zugewiesene_IP] die IP ist, die der Dienst „meine-aktuelle-IP“ angezeigt hat und „Port“ der Eingangsport ist, den man in der Portweiterleitung am Router als Port (nicht der Zielport!) definiert hat. Nach kurzer Zeit sollte die Verwaltungsoberfläche der Kamera auf dem Smartphone erscheinen.
Wichtig: Wenn hier nun ein Zugang ohne Passwort oder ein Zugang mit voreingestelltem „Admin-Passwort“ des Herstellers möglich ist, sollte man dies umgehend ändern.

DynDNS für eine Netzwerkkamera

Die Anbieter von Internetverbindungen (wie beispielsweise die Telekom) trennen nach 24 Stunden automatisch die Verbindung (Zwangstrennung). In den allermeisten Fällen erhält man nun eine neue IP-Adresse zugewiesen (nicht verwechseln mit den IP-Adressen innerhalb des heimisches Netzes. Hier handelt es sich um die IP-Adresse, über die der Router bzw. die FritzBox im Internet kommuniziert).
Da sich die Adresse alle 24 Stunden ändert und man danach die neue IP-Adresse in der Regel nicht kennt, wäre es schön, wenn man sein Heimnetz immer unter einer festen Adresse erreichen würde. Hier helfen DynDNS-Dienste weiter. Über diese Dienste erhält man eine feste Adresse. Der Dienst wiederum muss ständig die aktuelle IP-Adresse des Netzwerkes des Kunden kennen. Glücklicherweise sind in den allermeisten Router bereits entsprechenden Programme eingebaut, die einem DynDNS-Dienst die Adresse mitteilen. Daher sollte die erste Anlaufstelle bei der Auswahl eines DynDNS-Dienstes der eigene Router sein. Es macht Sinn einen dieser Dienste auszuwählen, die der eigene Router unterstützt.
Leider sind in den vergangenen Jahren die Angebote kostenloser DynDNS-Dienste stark zurückgegangen. Besitzer von FritzBox-Router empfehle ich daher den kostenlosen Dienst von Fritz.

Sicherheitsbedenken

Erster Angriffspunkt des heimischen Netzwerkes über das Internet ist der eigene Router. Aktuelle Router verfügen alle über eine Firewall und sind einigermaßen gut vorkonfiguriert. Wenn man jedoch eine Port-Weiterleitung einrichtet, sendet der Router eingehende Datenpakete an den voreingestellten Port innerhalb des heimischen Netzes. Wenn hier Schwachstellen lauern, besteht sofort Gefahr für das gesamte heimische Netz. Die Hoffnung, dass die Hersteller von Netzwerkkameras gute und sichere Software entwickeln, sollte man nicht haben.
Um es auch unbedarften Nutzern von Netzwerkkameras so einfach wie möglich zu machen, sind die Kameras und deren Verwaltungsoberfläche oft ohne oder nur mit unzureichendem Passwort geschützt. Wer hier keine geeigneten Maßnahmen ergreift, gibt die Hoheit seiner Kamera ungewollt in fremde Hände.

Im Januar 2016 hat der renommierte Heise Verlag Käufer von verschiedenen Aldi-Webcams mit dem Hinweis auf einen „Sicherheits-GAU“ aufgeschreckt. Hunderte dieser Webcams sind über das Internet ohne Passwortschutz erreichbar. Ist es um die Sicherheit von Netzwerk-Kameras wirklich so schlimm bestellt? Wir forschen nach.

IP-Webcams werden direkt per LAN-Kabel oder kabellos per WLAN an den heimischen Router angeschlossen. Sie übertragen Bilder und Live-Videostreams auf den PC, mitunter aber auch direkt ins Netz. Dafür sorgt die „Internetübertragungs-Software“, die in der Firmware der Kamera verborgen ist. . Zum Abruf der Kamerabilder muss der Betrachter nur die IP-Adresse der Kamera kennen – und schon kann auf die Kamera mit einem Internet-Browser zugegriffen werden. Für diesen Zugriff muss man sich jedoch im lokalen Netzwerk befinden. Dies setzt ein Eindringen mittels WLAN oder ein frei zugänglicher LAN-Anschluss durch den Angreifer voraus. Hat man diese Voraussetzungen erfüllt, ist das Aufspüren der Kamera im LAN-Netzwerk schnell erledigt und der Zugriff auf die Kamera kann erfolgen. Hier sollte man nun durch eine Passwortabfrage aufgehalten werden. Hat der Besitzer das Standardpasswort der Kamera nicht geändert, dürfte das Ausprobieren von „admin“ ohne Passwort, von „admin“ mit Passwort „admin“ oder „admin“ mit Passwort „123456“ schon in den meisten Fällen Zugriff auf die Kamera gewähren.

UPnP – die Schwäche vieler Kameras

Im soeben beschriebenen Szenario muss sich der Hacker Zugriff auf das lokale Netzwerk verschafft haben. Noch viel einfacher wird es, wenn sich die Kamera selbstständig einen Weg in das Internet verschafft hat. Somit kann weltweit auf die Kamera zugegriffen werden. Oftmals – wie im Fall der Kamera von Aldi – auch ohne Passwortschutz.

UPnP macht das Leben ein bisschen leichter und unsicherer

Sicherheitsrisiko: Zugriff über das Internet auf die Kamera

Viele Käufer von Netzwerkkameras sind speziell daran interessiert, auch von unterwegs über das Smartphone oder über einen Laptop auf die heimische Kamera zugreifen zu können. Diese Funktion kann sinnvoll sein. Bedeutet aber, dass man sein heimisches Netzwerk nach außen öffnet und somit angreifbar macht. Wie der Zugriff und die Konfiguration genau funktioniert, beschreiben wir im Artikel „XXX“.

Aldi-Kamera-GAU: Warum ist das Sicherheitsrisiko so hoch?

Die betroffenen Aldi-Kameras IPC-10 AC, IPC-100 AC und IPC-20 C richten automatisch mittels UPnP eine Portweiterleitung auf Port 80 ein. Somit kann jeder, der die zugewiesene IP-Adresse des ISP (Internet-Service-Provider) kennt, mit http://[zugewiesene IP]:80 auf die Kamera zugreifen. Da die Kamera im Auslieferungszustand kein Passwort besitzt und den Benutzer auch nicht dazu drängt, ein Passwort zu vergeben, ist die Kamera offen im Internet zugänglich.
Doch es kommt noch schlimmer: Hat der Kunde die Kamera per WLAN angebunden, kann über das nun frei zugängliche Webinterface der Kamera das WLAN-Passwort ausgelesen werden. Und nicht nur dieses Passwort ist ersichtlich: Lädt der Besitzer der Kamera die Bilder auf einen FTP-Server hoch, sind auch die Login-Daten des FTP-Server offen im Netz.

Tägliche neue IP-Adresse des ISP: Auch keine Linderung

Wer der Meinung ist, dass die Zwangstrennung des ISP nach 24 Stunden hier Linderung verschafft, der irrt. Diese Trennung ist bei Privatkunden in der Bundesrepublik üblich und führt dazu, dass der Kunde und somit seine Kamera in der Regel nach 24 Stunden eine neue IP-Adresse hat. Doch sind im tiefen und dunklen Internet zahlreiche Programme erhältlich, die einschlägige IP-Adressen nach speziellen Mustern absuchen und so offene Kamera-Zugänge interessierten Cyber-Ganoven in die Hände spielen.

Ungeschützte Kameras über Google finden

Dank der Suchmaschine Google sind ungeschützte Webcams ganz einfach zu finden. Entsprechende Suchmuster zeigen zu vielen ungeschützten Kameras, deren Webinterface sich ohne Passwort aufrufen lässt. Je nach Kamera-Modell lässt sich die Kamera aus der Ferne durch den Eindringling sogar steuern. Wenn sich auch die Position einer Kamera verändern lässt, sollte es dem Besitzer auffallen, dass seine Kamera durch fremde Personen gesteuert wird. So stellt sich unweigerlich die Frage, ob manche Besitzer nicht wissen, dass ihre Kamera offen über das Internet erreichbar ist oder ob sie dies einfach ignorieren.

So sichert man seine IP-Kamera

Bereits vor dem ersten Anschluss einer neuen Kamera sollte man einen Blick auf den heimischen Router werfen. Welche Port-Weiterleitungen sind aktuell definiert? Ein Abgleich der Port-Weiterleitungen nach der Installation zeigt, ob sich die Kamera vielleicht unbemerkt einen Zugang zum Internet verschafft hat. Bei dieser Gelegenheit sollte man auch gleich alle weiteren definierten Port-Weiterleitungen kritisch bewerten.
Merke: Eine Port-Weiterleitung ist nur sinnvoll, wenn auf die Kamera über das Internet zugegriffen werden muss. Wenn dies nicht gewünscht ist, wird auch die Weiterleitung nicht benötigt.
Das Passwort der Kamera ist in jedem Fall zu ändern. Es empfiehlt sich zunächst einen weiteren Administrator anzulegen, dessen Benutzername nicht „admin“ lautet. Bereits einfache Benutzernamen wie „Hans“ und „Klaus“ sind allemal besser als „admin“ oder „administrator“. Das Passwort sollte so kryptisch wie möglich sein und in keinem Wörterbuch stehen. Wenn nach der Einrichtung des neuen Administrator-Kontos der Zugang funktioniert, muss das ursprüngliche Administrator-Konto gelöscht oder zumindest gesperrt werden. Achtung: Wird eine neue Firmware auf die Kamera eingespielt oder die Kamera auf Werkseinstellung zurückgesetzt, so ist diese Einstellung zu prüfen und die Änderung gegebenenfalls zu wiederholen.