HTTPS und SSH

Es wäre schön wenn die Möglichkeit bestünde, die Kommunikation mit der Kamera über HTTPS abzuwickeln und sie per SSH zu administrieren.

Viele Grüße,
Sebastian

Wäre ich auch für. Gerade für Anwendungen im Bereich der Sicherheit sollten auch sichere Übertragungsprotokolle genutzt werden, wo nicht so einfach der Datenverkehr incl. Benutzernamen und Paßwörter mit Wireshark etc. mitgeschnitten werden kann.

Ich finde die Argumentation von stbi absolut korrekt.
Es passt nicht zusammen, dass ein Unternehmen, das sich Sicherheitstechnik auf seine Fahnen geschrieben hat, ausschließlich ungesicherte Zugänge zu seinen Produkten anbietet.

Das Thema Sicherheit ist leider noch an anderen Stellen etwas hinterher. Es fängt schon bei so Kleinigkeiten an, dass ein Betrieb der Kamera über das Internet ohne veränderte Zugangsdaten möglich ist.
Tests haben gezeigt, dass eine Vielzahl der Benutzer auch Kameras in Privat- und Wohnräumen auf diese ungeschützte und sicher auch ungewollte Weise zugänglich haben…

Eventuell kann ja der Hersteller verraten, wie man ein eigenes Zertifikat einspielen kann :wink:
Ich für meinen Teil, werde das Teil hinter einen Proxy hängen, der nach außen nur über https erreichbar ist und nur intern http nutzt.

Es passt nicht zusammen, dass ein Unternehmen, das sich Sicherheitstechnik auf seine Fahnen geschrieben hat, ausschließlich ungesicherte Zugänge zu seinen Produkten anbietet.

Es wäre schön wenn die Möglichkeit bestünde, die Kommunikation mit der Kamera über HTTPS abzuwickeln und sie per SSH zu administrieren.

Ich stimme dem voll zu.

wird wohl NIE kommen … scheint leider generell ein Problem sein auch bei Software zur Überwachung ist bei 90% kein https sehr schade …

Das liegt am verbauten EEPROM, die sind sooo klein, das man leider nicht mehr Installieren kann, auch die Prozessoren sind dafür nicht ausgelegt.
Hierzu findet man jedoch im Professionellen bereich, einige Kameras, die so etwas anbieten.

Ein ungewollter Zugriff von außen ist NUR mit Portforwarding möglich, also selbst wenn ein Nutzer keine Ahnung davon hat, kommt man nicht auf die Kamera.
Den wenn derjenige schon nicht weiss, wie man einen Benutzerzugang einrichtet, dann schon erst recht nicht, wie man einen Port durch einen Router routet.

Ein vorgefertigtes „Herstellerpasswort“ ist ebenso Sinnlos wie kein Passwort, sowas ist schneller bekannt als das es den Aufwand rechtfertig.

Hallo und guten Abend,

ich möchte auch meine Meinung dazu äußern.

Das Argument lasse ich nicht gelten. Es gibt so einige Dinge, die in der Firmware nicht gebraucht werden.

z.B.:

  • DDNS => das macht der Router.
  • PPPoE => das macht der Router (93kB)
  • UPnP – das ist vielleicht Geschmacksache, aber ich kann darauf verzichten
  • alles, was WLAN ist auf einer Kamera, die kein WLAN hat (2901 & 2905PoE & 3010PoE) (min. 165kB vermutlich mehr)

Das ist mehr als 1/4 des gesamten ROMs. Platz wäre also zumindest ebi einigen Modellen genug da.

Das ist schon etwas schwieriger. Die CPUs werden wohl zu langsam sein. Aber auch da könnte man Alternativen schaffen.
Ich könnte z.B. auf Farbe verzichten (im Außenbereich).
Man könnte die CPU etwas höher takten und dafür den spezifizierten Temperaturbereich etwas verändern.

z.B.: -10°C - 40°C
anstelle -5°C - 55°C

Der zusätzliche Stromverbrauch hält sich sicherlich in Grenzen und ist auch mit den mitgelieferten Netzteilen machbar. Evtl. müsste man jedoch die Hardware anpassen und kann dies nicht mehr per Firmware realisieren!?

Ich denke, dass einige INSTAR Kameras das aus den genannten Gründen auch könnten. Die Firmware müsste halt angepasst werden. Und dafür müste man Leute bezahlen. Aber für https Übertragung würde ich als Käufer auch einige €uros mehr ausgeben.

Aber ich will ja von außen darauf zugreifen. Nur halt nicht mit den Zugangsdaten im Klartext. Der Nutzername, das Kennwort und die Bilder sollten verschlüsselt übertragen werden.

Instar könnte sich überlegen, eine alternative Firmware (für bestimmte Modelle) anzubieten oder openipcam.com zu unterstützen.
Mit einer Unterstützung von OpenIPCam könnte man bestimmt einige zusätzliche Käufer gewinnen.

Grüße
Lars

Ich habe keine Ahnung, wofür Instar dieses Forum eingerichtet hat, aber ist denen offenbar ziemlich egal, was hier los ist. Gerade bei so einem wichtigen Thema hätte ich nach so einer Langen Zeit wenigstens eine Antwort von einem Mitarbeiter erwartet.

Und ich weiss nicht was Du hast? Es wurde doch hier bereits alles gesagt!

Es wäre ja schön zu lesen, ob Instar auf unsere Kundenwünsche eingeht, oder sogar eine passende Firmware oder Kamera entwickelt.

Ich frage mich auch, warum es OpenSource Ketegorien im Forum gibt, die aber nicht von uns einsehbar sind. Eigentlich sieht das ja sehr vielversprechend aus. Ich würde mich gerne beteiligen.

Oder bekommt man das passende Kennwort dafür irgendwo?

Grüße
Lars

Leider ist das mit https echt ein Problem. Selbst externe Software mit Web Interface habe ich noch KEINE gefunden die https benutzen. Sehr schade aber ist wohl nicht einfach umzusetzen.
Aber normal sollte sowas ja von außen eh nicht erreichbar sein :stuck_out_tongue:

Aber vor allem im Urlaub Wlan Hotspot + App oder Web da muss man zuhause gleich mal alle PW ändern …

Also ich kann hier kein Statement von Instar lesen.

Kleiner Tipp von mir: Kleiner ALIX Embedded CPU oder Ähnliches holen und als SSL Proxy laufen lassen - dort geht dann sogar die Auth via Cert. Ist zwar keine saubere Lösung, aber besser als nix.

Instar hat sich dazu bisher nicht geäußert! Bisher lese ich hier nir Spekulationen und Mitmaßungen, aber keine klare Aussage des Herstellers.
Oder gilt die Aussage eines „Forum-Admon“ und „Instar Liebhaber“ bereits als offizielles Statement?

Weiß jemand, ob die neuen HD-Modelle wenigstens https können?

[QUOTE=FriFra;9515]

Weiß jemand, ob die neuen HD-Modelle wenigstens https können?[/QUOTE]

IN-6012 HD: nein

Ich möchte diesen alten Thread nochmal vorholen, weil ich dringend meine Kameras auf ssl umstellen möchte. Wie kann ich solch einen Proxy realisieren? Ich habe eine Synology 24/7 zu laufen, die ausschließlich über https zu erreichen ist. Nur die Kameras machen mir da Sorgen. Ich könnte auch einen Raspberry Pi den Proxy übernehmen lassen, aber das ist wohl nicht nötig. Auf der Synology läuft ein apache und noch ein paar andere Dinge, wie ein Exchange-Dienst. Alles über ssl.

Was ich suche ist also einfach ein Proxy, der foldendes tut:

KameraX, die momentan wie folgt aufgerufen wird: http://10.10.10.x1:y umsetzen auf verschlüsselten Betrieb: https://10.10.10.x2:443, damit ich das im Router nach Draußen forwarden kann. Kann der apache in der Synology das vielleicht schon selbst?

So, ein erster Erfolg:

  1. die gute Nachricht: Ich kann mich über https an der Kamera anmelden.
  2. die schlechte Nachricht: Die Kamera bricht die Verbindung wieder ab, sobald das Livebild abgerufen wird.

Im Detail:
Ich habe ein wenig mit „stunnel“ experimentiert. Das habe ich auf meiner Synology installiert und kann danach die Kameras wirklich über https ansprechen und mich verschlüsselt einloggen. Leider beenden die Kameras nach dem Laden der Seite die Verbindung in dem Moment, in dem das Livebild angezeigt werden soll. Sehr schade und ich habe noch keine Lösung dafür. Irgendwie hängt das mit der Authentifizierung zusammen, denn die Kameraseite verlangt das Passwort ja mehrfach (was man normalereweise nicht merkt, da der Browser das aus dem „Cache“ liefert).

In Foren anderer Kamerahersteller wird stunnel als das Mittel zum Zweck gepriesen, da hat man aber dieses Problem nicht.

Hat jemand eine Idee?

Vpn?

[QUOTE=Topfi;10313]
Hat jemand eine Idee?[/QUOTE]

Ganz andere Richtung:
Warum wählst du dich nicht erst per VPN zuhause ein … und greifst dann ganz normal auf die Kamera zu?

Nachtrag:
Welche Kamera hast du eigentlich?
Eine der neuen H.264 HD Kameras?

Das mache ich normalerweise so, um auf die Weboberfläche der Kameras zuzugreifen. Ich möchte zusätzlich von Mobilgeräten einfach einen link aufrufen können, der mir sofort das Livebild anzeigt, ohne dass ich erst einen Tunnel öffnen muss. Hierzu würde das Passwort im Mobilgerät hinterlegt und verschlüsselt übertragen.

Ich habe zwei IN3010, eine IN3011 und zwei IN3001, also keine HD-Modelle.