HTTPS und SSH

Also ich habe einen Work around der zumindest das Bild liefert. Bedienen der IP-Cam geht natürlich nicht, aber für einen Blick auf das Geschehen reicht es. Nötig ist ein Webserver (raspi, Diskstation oder ähnliches) mit PHP und natürlich funktionierendem https.
Dann das folgende PHP Script auf den Server erstellen und das Verzeichnis dann (ganz wichtig!) per .htaccess absichern.
Vorteil damit ist das man damit auch mehrere Webcams abfragen und anzeigen kann. Dauert aber da das Bild aktuell von der/den IP-Cam gelesen wird.

<?php
function getimage($url, $img) {
if (file_exists($img)) { unlink( $img ); }
file_put_contents($img, file_get_contents($url));
chmod($img, 0666);
}
getimage(‚http://<instar-ip>/snapshot.cgi?user=<user>&pwd=<passwort>&‘, „picture.jpg“);
?>
<html>
<head>
<meta http-equiv=„refresh“ content=„5“;>
<title>WebCam</title>
</head>
<body>
<img src=„picture.jpg“>
</body>
</html>

Viel Erfolg.

Ich würde einen VPN fähigen Router einsetzen und den Zugriff auf die Kameras eben nur über VPN nutzen.
Ich denke, dass auch alle Smartphones per VPN an den entsprechenden Router angebunden werden können.
Also kein Portforwarding.
Wie man dann allerdings den Instarcloudrecorder nutzen kann weiß allerdings nicht
Gruß und frohe Weihnachten
Heiner

per VPN mit Smartphone auf die Kameras zugreifen ist EINFACH nur ein Klick mehr

  1. Klick = VPN aufbauen
  2. Klick = Verbindung zur Kamera

mit NUR einem Klick mehr = so viel mehr Sicherheit
Einfach und Sicher und Kostengünstig alles mit einem Klick ? wo gibt es sowas
Viele Grüße und frohe Weihnachten
Heiner

Da stimme ich auf jeden Fall zu! VPN ist die bessere Lösung dafür. Und man kann Software verwenden, mit der man die Kameras bedienen kann.
Frohe Weihnachten.
Peter

Ich möchte aber eine ssl-Verbindung realisieren und habe meine Gründe dafür. Das ist auch nicht unsicherer als vpn. Im Büro beispielsweise kann ich den Tunnel nicht dauerhaft lassen und speichere auch kein passwort auf dem PC dort. Und nicht jeder versteht unter Smartphone einen Androiden.

Was inpeta beschrieben hat, habe ich schon früher per cgi realisiert. Die genaue Beschreibung ist irgendwo auf diesem Forum dokumentiert. Leider werden da die Bilder nicht überblendet sondern erst gelöscht und nachgeladen, sonst wäre es das. Die Probleme mit stunnel liegen an meiner Synology, auf der das nicht stabil läuft. Ich versuche es demnächst mal aufveinem raspberry.

Ich finde es ebenfalls armselig, dass sich instar nicht äußert. Hatte in einem anderen Thread diesbezüglich schon mal gefragt vor geraumer Zeit und 0 Antwort bekommen. Gibt es andere Kameras, die schon SSL drin haben?

Das habe ich inzwischen gemacht, aber die gleichen Symptome wie bei des Synology. Wahrscheinlich sind Raspi und Synology einfach zu langsam, da der ganze Videostream und nicht bloß der Login-Prozess verschlüsselt wird.

Aber dass die aktuellen HD-Modelle kein ssl können, ist heutzutage nicht mehr akzeptabel. Überhaupt nicht. Zumal Instar mit der Kompatibilität mit WP8 wirbt, das von Hause aus leider noch kein VPN kann. Loggt sich damit ernsthaft jemand offen ein?!

Leider ja. Es bleibt einem ja quasi nichts anderes übrig, da man eben nicht überall die Möglichkeit hat eine VPN-Verbindung aufzubaun.

Da ja sehr viele dieses Problem haben und Raspberry und Synology offensichtlich zu schwach sind das zu leisten, wäre es doch ggf. an der Zeit, dass Instar eine Appliance anbietet, die genau das leistet und dann natürlich für alle Cams im Lan :wink:

Für mich ist es z.B. keine Option permantent einen Server laufen lassen zu müssen, nur damit darauch z.B. ein Apache Reverseproxy läuft. Ich habe gerade erst alle Server zu einem externen Hoster ausgelagert um diese Stromfresser los zu werden.

+1 für SSL

[QUOTE=hbr;10640]per VPN mit Smartphone auf die Kameras zugreifen ist EINFACH nur ein Klick mehr

  1. Klick = VPN aufbauen
  2. Klick = Verbindung zur Kamera

mit NUR einem Klick mehr = so viel mehr Sicherheit
Einfach und Sicher und Kostengünstig alles mit einem Klick ? wo gibt es sowas
Viele Grüße und frohe Weihnachten
Heiner[/QUOTE]

Ein Betrieb der Kamera ist über das Internet ohne veränderte Zugangsdaten möglich.

ipad mini 3 tasche

Ja, SSL bzw. TLS fände ich auch eine tolle Sache. Ich könnte mir vorstellen dass das Problem unter anderem aber auch am benötigten Quicktime-Plugin liegt und eher weniger an der CPU.

Viele Grüße,
afri

Also ich habe jetzt seit ca. 3 Monaten wieder einen Windows-Server in meinem Netz und hab dort einen Apache Server mit modproxy am laufen. Damit das Web-UI noch sauber läuft muss man bei einigen Kameras Strings ersetzen, da die UIs unsauber programmiert wurden und zum Teil absolute Pfade verwenden. Der von mir eingesetzte Server mit einer Intel Atom N270 CPU auf 1,6gHz und 1GB RAM ist leistungsfähig genug flüssige Streams zu liefern.

Hier mal ein Auszug aus der httpd.conf

# LoadModule SSL muss auch aktiviert werden
LoadModule filter_module modules/mod_filter.so
LoadModule headers_module modules/mod_headers.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule substitute_module modules/mod_substitute.so


ProxyRequests Off

<VirtualHost *:2443>
	# SSL Konfiguration
	SSLEngine on
	SSLOptions +StrictRequire

	SSLProtocol ALL -SSLv2 -SSLv3
	SSLCipherSuite HIGH:MEDIUM:!aNull:+SHA1:+MD5:+HIGH:+MEDIUM

	SSLSessionCacheTimeout 600
	
	SSLCertificateFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.cert"
	SSLCertificateKeyFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.key"

	SSLVerifyClient none
	SSLProxyEngine On

	SetEnvIf User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36

	# Reverse Proxy Konfiguration IN-6012-Wohnzimmer
	ProxyPass / http://192.168.1.199/
	ProxyPassReverse http://192.168.1.199/ /
	ProxyPass /index.html http://192.168.1.199/web/admin.html
	ProxyPassReverse http://192.168.1.199/web/admin.html /index.html

	#/web/admin.html


	# Verzeichnis Konfiguration
	<location />
		SSLRequireSSL
	</location>

	<location /tunnel.html>
		Header unset Content-Length
		AddOutputFilterByType SUBSTITUTE text/html
		Substitute "s|index.html|/web/admin.html|n"
	</location>



	Header edit Location http://(.*)$ https://$1
</VirtualHost>
<VirtualHost *:3443>
	# SSL Konfiguration
	SSLEngine on
	SSLOptions +StrictRequire

	SSLProtocol ALL -SSLv2 -SSLv3
	SSLCipherSuite HIGH:MEDIUM:!aNull:+SHA1:+MD5:+HIGH:+MEDIUM

	SSLSessionCacheTimeout 600
	
	SSLCertificateFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.cert"
	SSLCertificateKeyFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.key"

	SSLVerifyClient none
	SSLProxyEngine On

	SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0


	# Reverse Proxy Konfiguration IN-3011-Keller
	ProxyPass / http://192.168.1.165/
	ProxyPassReverse http://192.168.1.165/ /


	# Verzeichnis Konfiguration
	<location />
		SSLRequireSSL
	</location>

</VirtualHost>
<VirtualHost *:4443>
	# SSL Konfiguration
	SSLEngine on
	SSLOptions +StrictRequire

	SSLProtocol ALL -SSLv2 -SSLv3
	SSLCipherSuite HIGH:MEDIUM:!aNull:+SHA1:+MD5:+HIGH:+MEDIUM

	SSLSessionCacheTimeout 600
	
	SSLCertificateFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.cert"
	SSLCertificateKeyFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.key"

	SSLVerifyClient none
	SSLProxyEngine On

	SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0


	# Reverse Proxy Konfiguration IN-2905-V2-Garten
	ProxyPass / http://192.168.1.200/
	ProxyPassReverse http://192.168.1.200/ /


	# Verzeichnis Konfiguration
	<location />
		SSLRequireSSL
	</location>

</VirtualHost>
<VirtualHost *:5443>
	# SSL Konfiguration
	SSLEngine on
	SSLOptions +StrictRequire

	SSLProtocol ALL -SSLv2 -SSLv3
	SSLCipherSuite HIGH:MEDIUM:!aNull:+SHA1:+MD5:+HIGH:+MEDIUM

	SSLSessionCacheTimeout 600
	
	SSLCertificateFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.cert"
	SSLCertificateKeyFile "C:\Programme\Apache Software Foundation\Apache2.2\conf\dummy.acme.org.key"

	SSLVerifyClient none
	SSLProxyEngine On

	SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0


	# Reverse Proxy Konfiguration AXIS-NetCam
	ProxyPass / http://192.168.1.103/
	ProxyPassReverse http://192.168.1.103/ /


	# Verzeichnis Konfiguration
	<location />
		SSLRequireSSL
	</location>

</VirtualHost>

Bin auch für HTTPS! Ist unverständlich warum dies nicht möglich sein sollte und sollte der normale Standard bei allen WEB-Oberflächen sein!

Generell kann ich mich nur anschließen. Die Kamera ist für den sicheren Datenaustausch via Internet absolut unbrauchbar. Zugriff über http, ftp usw. ohne Verschlüsselung geht heut zu tage gar nicht mehr!

Auch das Senden der Bilder über einen sicheren sftp-Kanal ist unabdingbar.

Da es bei smtp offenbar Verschlüsselung gibt zeigt ja das es geht.

BITTE UNBEDINGT EINBAUEN!

Ich könnte die Kamera (IN-5907HD) ansonsten ausnahmslos empfehlen (bis auf einige Kleinigkeiten). Allerdings wegen der Sicherheitsproblematik kann ich leider nur empfehlen die Kamera im Intranet und nicht übers Internet einzusetzen (es sei denn mittels Absicherung über einen Extra-Proxy-Server was in vielen Fällen, wie z.B. eine Online-Baustellenüberwachung, die Kosten und den Aufwand deutlich erhöht)

PS.: Mozilla hat bereits angekündigt in nicht all zu ferner Zukunft nur noch https-Verbindungen für den Firefox zu unterstützen (übrigens genau aus dem Grund, weil http -ohne Verschlüsselung- noch viel zu häufig bei kritischen Verbindungen bei denen beispielsweise Passwörter übertragen werden, benutzt wird). Genaues Datum oder FF-Version gibt es meines Wissens hierfür allerdings (noch) nicht. Liebes INSTAR-Entwicklungs-Team: Ihr werdet es so oder so machen müssen! Besser jetzt als später wenn die ersten Benutzer anfangen rumzujaulen, dass sie mit dem Firefox keinen Zugriff auf die Cam’s mehr haben…

Schließe mich hier mal meinenen Vorredner an,

ich musste an meinem FTP server ssl/tls ausschalten, damit ich den FTP Server mit den Kameras nutzen kann.

Hätte nie gedacht, dass man sowas wichtiges im Jahre 2015 noch nicht implementiert hat.

Aber anscheinen ist dieser thread hier für die Instar Mitarbeiter unsichtbar ? :smiley_emoticons_ug

Gruß Husky

Liebes Forum!

Ich habe die 5905HD über Amazon gestern gekauft, heute ist sie schon da.
Die Beschreibung der Kamera klang gut, Deutscher Support, super.
Erst einmal das Handbuch lesen, dann drauf los installieren.

Nachdem ich im Handbuch nichts über HTTPS finden konnte, dachte ich mir schau mal ins Instar-Forum.
Jetzt weis ich Bescheid. Dachte HTTPS/SSH ist für IP/Web Kameras eine Selbstverständlichkeit.

Traurig, das sich der Support in dieser Sache überhaupt nicht meldet und das eigentlich seit 2012…
Keinerlei Sicherheit einzubauen - in Zeiten wie diesen - ist erstaunlich, auch in diesem Preissegment.

Danke für die work-around Tipps! Überlege jedoch die Kamera wieder zurückzuschicken und meine defekte Vivotek IP8336W mit derselben zu ersetzten.

Liebe Grüße
Peter

Früher oder später ist dann wohl jetzt: www.dogado.de/google-chrome-warnt-vor-seiten-ohne-ssl-zertifikat-https/