Poort openen/forwarden

[toru]

Hoi

Ik heb een WiFi-camera gekocht van Eufy. Tot dusver doet dat ding alles goed. Wanneer ik op hetzelfde netwerk verbonden ben kan ik de camera perfect zien.

Buiten daarentegen werkte dit niet en kon er geen verbinding gemaakt worden. Na wat Google opzoekingswerk kwam ik erop dat ik twee poorten moest forwarden om dat in orde te krijgen: 80 en 443. Die heb ik dus moeten forwarden naar het lokale ip van de camera.

Nu ben ik wel technisch genoeg om dat te fixen, en het werkt nu wel. Maar plaats ik nu mijn netwerk in een groot beveiligingsrisico door die forward te doen? Of valt dat allemaal mee?

Merci!

 

[RealFlub]

Naar uw netwerk minder. Maar vooral het veiligheidsrisico naar uw camera. Maak dat er daar een moeilijk wachtwoord opstaat.

 

[Tyfius]

Kan je daar via hun mobile app niet van buiten aan?

Mijn ouders hebben er ook zo 1, en een deurbel. En ik heb daar tijdens hun vakantie toegang tot gekregen en ik kan u verzekeren dat daar geen enkele poort op hun router open staat, maar alles via de app gaat.

 

[zephir]

Dat zijn http en https pporten respectievelijk.

Dat wil zeggen dat iemand die uw publiek IP kent, en het IP van de target van die forward rule (de Eufy) via HTTP en HTTPS verbinding kan maken met dat toestel. Dat toestel zal tegen de servers van Eufy zelf announcen dat het zich op dat IP bevindt, waarna de servers een connectie opzetten via dat specifiek publiek IP met dat toestel om die "Remote" functie te doen werken. Die transfer van data zal hopelijk pas mogelijk zijn na via https te authenticeren door je credentials in te geven. Ik ga er vanuit dat ze die datastream ook encrypteren.

Jouw huidige setup hoeft geen probleem te zijn, voor zover er geen bugs in de software van Eufy zitten, waarmee een hacker OF je videofeed uit je camera kan volgen OF die camera als springplank kan gebruiken om in je netwerk in te breken.

Ik zet camera's zelf op een aparte VLAN die niet aan mijn normale toestellen kan, waardoor dat 2e probleem zich niet, of minder gemakkelijk stelt. Een sterk paswoord en hopelijk 2-factor authentication helpt je om het eerste probleem onwaarschijnlijk te maken.

 

[videast]

Laat jouw router toe om een VPN verbinding te maken naar je thuisnetwerk? Ik gebruik OpenVPN om een verbinding te maken naar mijn thuisnetwerk, en zodra ik dat opstart als ik elders ben, werkt alles alsof ik in mijn thuisnetwerk zit. Zo hoef je geen additionele poorten open te zetten, met bijbehorende risico's.

 

[zephir]

Laat jouw router toe om een VPN verbinding te maken naar je thuisnetwerk? Ik gebruik OpenVPN om een verbinding te maken naar mijn thuisnetwerk, en zodra ik dat opstart als ik elders ben, werkt alles alsof ik in mijn thuisnetwerk zit. Zo hoef je geen additionele poorten open te zetten, met bijbehorende risico's.

Gebruik jij OpenVPN op je smartphone?

 

[toru]

Naar uw netwerk minder. Maar vooral het veiligheidsrisico naar uw camera. Maak dat er daar een moeilijk wachtwoord opstaat.

Das zeker geen probleem, Paswoord123 kan iemand dat nu raden?

Kan je daar via hun mobile app niet van buiten aan?

Mijn ouders hebben er ook zo 1, en een deurbel. En ik heb daar tijdens hun vakantie toegang tot gekregen en ik kan u verzekeren dat daar geen enkele poort op hun router open staat, maar alles via de app gaat.

De app geeft de melding van zodra ik remote probeer toegang te krijgen. Er kan geen beveiligde videostream oid aangemaakt worden. Erg vreemd. Na het openzetten van 443 naar het ip van de camera werkt het wel. Zijn er misschien andere instellingen waar jij van weet?

Dat zijn http en https pporten respectievelijk.

Dat wil zeggen dat iemand die uw publiek IP kent, en het IP van de target van die forward rule (de Eufy) via HTTP en HTTPS verbinding kan maken met dat toestel. Dat toestel zal tegen de servers van Eufy zelf announcen dat het zich op dat IP bevindt, waarna de servers een connectie opzetten via dat specifiek publiek IP met dat toestel om die "Remote" functie te doen werken. Die transfer van data zal hopelijk pas mogelijk zijn na via https te authenticeren door je credentials in te geven. Ik ga er vanuit dat ze die datastream ook encrypteren.

Jouw huidige setup hoeft geen probleem te zijn, voor zover er geen bugs in de software van Eufy zitten, waarmee een hacker OF je videofeed uit je camera kan volgen OF die camera als springplank kan gebruiken om in je netwerk in te breken.

Ik zet camera's zelf op een aparte VLAN die niet aan mijn normale toestellen kan, waardoor dat 2e probleem zich niet, of minder gemakkelijk stelt. Een sterk paswoord en hopelijk 2-factor authentication helpt je om het eerste probleem onwaarschijnlijk te maken.

Geen mogelijkheid tot VLAN met mijn Deco systeem, toch niet in de vorm dat het moet. Het gastennetwerk biedt niet de mogelijkheid om poorten te openen of forwards te doen.
Paswoord en 2Fa is in orde.
De betrouwbaarheid van Eufy, alles is natuurlijk relatief. Ik weet dat dat een zwakke schakel kan zijn.

Ik had net Eufy gekozen omdat ik liever zo weinig mogelijk via andere servers moest gaan. Zo worden beelden lokaal opgeslagen via de MicroSd.

 

[videast]

Gebruik jij OpenVPN op je smartphone?

Ja... is daar een (security) probleem mee misschien? Zijn er betere/veiligere alternatieven?

 

[toru]

Ik wil het niet jynxen, maar na @Tyfius zijn comment toch nog eens de forwarding afgezet en nu werkt het wel. Vreemd. Ik bekijk het de volgende dagen nog. Merci all!

 

[zephir]

Geen mogelijkheid tot VLAN met mijn Deco systeem, toch niet in de vorm dat het moet. Het gastennetwerk biedt niet de mogelijkheid om poorten te openen of forwards te doen.

Je moet dat 2x doen hé:
1x van je ISP router naar je eigen Deco router, en dan een 2e keer vanop je Deco naar het IP van die camera.
Als je je ISP router zo hebt ingesteld dat je Deco in de "DMZ" staat, moet het enkel op je Deco.

 

[zephir]

Kan je daar via hun mobile app niet van buiten aan?

Mijn ouders hebben er ook zo 1, en een deurbel. En ik heb daar tijdens hun vakantie toegang tot gekregen en ik kan u verzekeren dat daar geen enkele poort op hun router open staat, maar alles via de app gaat.

Dat kan niet.

De app maakt verbinding met een server. Ofwel staat die server in de cloud, bij Eufy, en heeft die server een manier (via open poorten) om tot die camera te gaan, de beelden op te halen, die naar de server te halen en ze dan door te sturen naar je app.

OF

Die app maakt verbinding met de camera zelf, via het publiek IP van je thuisnetwerk, waar dan ook weer poorten op moeten open staan naar de server die ingebouwd is in die camera.

In beide gevallen is het logisch (en bijna zeker) dat de data versleuteld wordt als ze van a naar b wordt gesluisd.

Maar, als als je iets wil doen van buiten je netwerk, met data die van binnen je netwerk komt: altijd via open poorten.

 

[Tyfius]

Dat kan niet.

Dat kan wel hoor.

Daar bestaan genoeg oplossingen voor via sockets, maar waarschijnlijk niet rechtstreeks naar deze camera. Als er nog een basis station tussen zit is dat al meer voorkomend.

Mijn ouders hebben wel geen opslag, dat is puur push notification met beeld of real time view, dus alles via de Eufy cloud zelf.

 

[zephir]

Die Eufy gaat toch vanuit zijn netwerk via de NAT van zijn router(s) zijn IP en source port doorgeven aan de server (als die er is, maar wat ik veronderstel) om dan terug gecontacteerd te worden door die server om een connectie op te zetten?Als die reply niet door de firewall kan, is er toch geen TCP of UDP connectie mogelijk of mis ik iets?

 

[zephir]

Ja... is daar een (security) probleem mee misschien? Zijn er betere/veiligere alternatieven?

Neen, was puur uit interesse.
Ik ben nu die Unifi Teleport aan het gebruiken op mijn smartphone en dat bevalt me wel...

 

[videast]

Ah ok. OpenVPN werkt al een 2 tal jaar feilloos, en connecteert nagenoeg instant. Ben er ook heel tevreden van.

 

[toru]

Die Eufy gaat toch vanuit zijn netwerk via de NAT van zijn router(s) zijn IP en source port doorgeven aan de server (als die er is, maar wat ik veronderstel) om dan terug gecontacteerd te worden door die server om een connectie op te zetten?Als die reply niet door de firewall kan, is er toch geen TCP of UDP connectie mogelijk of mis ik iets?

Situatie hier nu is als volgt:
Telenet router zonder rules, Daarna Deco installatie in Router modus (dus dubbele NAT) ook zonder forwards. De Deco staat ook niet in de dmz zone van Telenet en alsnog werkt het nu wel gewoon. Zowel op mijn toestel als mijn tweede toestel op 4G.

Ik begrijp er ook niks van hoor .

Bon, moet wel zeggen dat de indruk bij Eufy gewekt wordt dat er wat beveiliging in zit. 2FA, ik moet specifiek een toestel goedkeuren om toegang te hebben etc. Maar bon, ik reken mezelf niet rijk en uiteindelijk is het ook maar een garage dat gemonitord wordt en niet mijn slaapkamer.

 

[zephir]

Is dat slechts 1 device of is daar ook een soort van "hub" bij? Ik ben niet vertrouwd met Eufy producten.

Het is zo dat als jij een Youtube filmpje opvraagt vanop je pc, dat die een connectie maakt met de Youtube server, die dan over die "established connection" over poort 80 data kan streamen naar jouw PC. In de andere richting, video uploaden kan dus ook over diezelfde poort. Poort 80 staat standaard open op een router omdat alle web verkeer daarover loopt. Poort 443 is vergelijkbaar, maar dan voor versleutelde https data. In beide gevallen is het vanuit je LAN netwerk dat de verbinding wordt geïnitieerd. Andersom kan standaard niet.

Als die Eufy camera dus zelf een connectie maakt, en onderhoudt naar een server ergens op het internet, dan kan die dus in 2 richtingen video verzenden denk ik.

Wat ik vermoed is dat die Eufy standaard "naar huis belt" via een vast URL of IP. Zodra hij WAN toegang heeft zal die zo'n connectie beginnen opzetten en open houden. Het hangt er vanaf wat die daarmee doet...

Waarschijnlijk is dat enkel zijn "heartbeat" en wat telemetrie over versie van software etc. naar zijn servers sturen om op jouw vraag vanuit de app video te kunnen serven naar je app. Worst case is het video's van in je blootje naar de hoogste bieder streamen... Dat moet je aan de fabrikant vragen...

 

[toru]

Is dat slechts 1 device of is daar ook een soort van "hub" bij? Ik ben niet vertrouwd met Eufy producten.

Het is zo dat als jij een Youtube filmpje opvraagt vanop je pc, dat die een connectie maakt met de Youtube server, die dan over die "established connection" over poort 80 data kan streamen naar jouw PC. In de andere richting, video uploaden kan dus ook over diezelfde poort. Poort 80 staat standaard open op een router omdat alle web verkeer daarover loopt. Poort 443 is vergelijkbaar, maar dan voor versleutelde https data. In beide gevallen is het vanuit je LAN netwerk dat de verbinding wordt geïnitieerd. Andersom kan standaard niet.

Als die Eufy camera dus zelf een connectie maakt, en onderhoudt naar een server ergens op het internet, dan kan die dus in 2 richtingen video verzenden denk ik.

Wat ik vermoed is dat die Eufy standaard "naar huis belt" via een vast URL of IP. Zodra hij WAN toegang heeft zal die zo'n connectie beginnen opzetten en open houden. Het hangt er vanaf wat die daarmee doet...

Waarschijnlijk is dat enkel zijn "heartbeat" en wat telemetrie over versie van software etc. naar zijn servers sturen om op jouw vraag vanuit de app video te kunnen serven naar je app. Worst case is het video's van in je blootje naar de hoogste bieder streamen... Dat moet je aan de fabrikant vragen...

Er bestaat een hub, maar die is nog onderweg. Deze hangt gewoon aan het netwerk.

Ik vermoed inderdaad dat dat de werking is. Als ik mijn netwerk monitor dan zie ik weinig/geen activiteit als ik de camera niet gebruik voor live-beelden te streamen, buiten af en toe eens een ‘signaal’. Het lijkt me dus allemaal mee te vallen.

Maar zoals ik al zei, ik ben me volledig bewust dat dergelijke out-of-the-box oplossingen nooit 100% zijn. Wel ben ik confident dat dit één van de veiligere oplossingen is in mijn simpele use-case.

 

[zephir]

Er bestaat een hub, maar die is nog onderweg. Deze hangt gewoon aan het netwerk.

Ik vermoed inderdaad dat dat de werking is. Als ik mijn netwerk monitor dan zie ik weinig/geen activiteit als ik de camera niet gebruik voor live-beelden te streamen, buiten af en toe eens een ‘signaal’. Het lijkt me dus allemaal mee te vallen.

Maar zoals ik al zei, ik ben me volledig bewust dat dergelijke out-of-the-box oplossingen nooit 100% zijn. Wel ben ik confident dat dit één van de veiligere oplossingen is in mijn simpele use-case.

Ja, je kan eens opzoeken wat er allemaal verzonden wordt. Er zijn technieken om heel precies mee te luisteren naar wat die devices precies doen. Kan bijna niet anders dan dat iemand dat al eens onderzocht heeft en ergens op Reddit of zo gezwierd heeft... Daarvoor is dat merk groot genoeg. Ze hebben ook veel reputatie te verliezen, als ze stoute dingen zouden doen dus je bent waarschijnlijk wel safe.

Ik zet met IP camera's op een aparte VLAN zonder internettoegang, maar heb wel remote toegang tot de NVR, die op een andere VLAN zit.

 

[zephir]

@toru Misschien moet je deze link even checken:

Edit: ik kwam deze link tegen op Reddit