IP-Kamera in Subnetz "abklemmen"?
Ich habe einen Router und dort ein Gastnetz konfiguriert. Dieses Gastnetz gehört de facto jemandem, ist also nicht (mehr) verfügbar.
Und dann habe ich eine Webcam. Alt und sicherheitstechnisches Sorgenkind. Ja, ich könnte sie tauschen, doch sie tut es noch für ihre beschränkten Zwecke. Sie hat eine fixe IP, die ich jedoch konfigurieren kann.
Gibt es eine Möglichkeit, dass ich sie so schalten kann, dass, wenn man sie hackt, weder ins Hauptnetz, noch ins Gastnetz kommt? Ich stelle mir das so vor, dass ich mit der Konfiguration von IP-Nummern oder Subnetzen so einstelle, dass ich zwar in die Netzregion der IP-Kamera zugreifen kann, doch die IP-Kamera nicht ins Hauptnetz. Sie soll sich für den Mittelpunkt des Netzes halten und es nicht sein.
Geht das? Wenn ja, bitte langsam für dummies.
3 Antworten
Bei Fritzboxen z. B. kann man einzelnen Geräten den Internetzugang komplett sperren oder per Whitelist nur bestimmte Seiten freigeben. Bevor ich da "langsam für dummies" werde: Welchen Router hast Du?
Router lassen eigentlich - richtig konfiguriert - auch keinen direkten Zugriff auf Geräte im Heimnetz zu.
Gibt es eine Möglichkeit, dass ich sie so schalten kann, dass, wenn man sie hackt, weder ins Hauptnetz, noch ins Gastnetz kommt?
Generell kannst Du zumindest bei einer Fritzbox, aber wahrscheinlich auch bei anderen Heimroutern, jedem Gerät den Zugriff auf das Internet verwehren. Meist wird das über die Kindersicherung konfiguriert. Zudem ist der direkte Zugriff auf ein Gerät im Heim- oder Gastnetz aus dem Internet heraus durch NAT und/oder Firewall nicht möglich. So lange Du die IP-Kamera also nicht per Portfreigabe im Internet verfügbar machst, ist ein Hack recht unwahrscheinlich. Wenn das Gerät dann auch keinen Internetzugriff hat, wird ein Hack noch schwieriger.
Ich stelle mir das so vor, dass ich mit der Konfiguration von IP-Nummern oder Subnetzen so einstelle, dass ich zwar in die Netzregion der IP-Kamera zugreifen kann, doch die IP-Kamera nicht ins Hauptnetz.
Das kann schon deshalb nicht funktionieren, weil eine Kommunikation immer bidirektional ist. Wenn Du die Kamera erreichen kannst, die Kamera Dich aber nicht, wird die Antwort der Kamera naturgemäß nicht bei Dir ankommen.
Sie soll sich für den Mittelpunkt des Netzes halten
Das ist nicht der Fall, weil die Kamera kein Bewusstsein hat.
Es ist ausgeschlossen, dass du die Kamera in irgendeiner Weise konfigurieren könntest, dass sie nicht zum Brückenkopf werden könnte sobald sie übernommen wurde. Was hindert den Angreifer denn daran, eine eigene Firmware aufzuspielen, die deine Konfiguration einfach ignoriert und zusätzlich das Livebild an vier zufällig ausgewählte Geheimdienste streamt?
Außerdem kann die kompromittierte Kamera selbst Malware verteilen, z.B. wenn du mit dem Browser auf sie zugreifst.
Natürlich. Wenn ich meinen Router z.B. abschalte oder das Kabel zum Provider trenne, kann ich risikolos Dutzende alte XP-Mühlen anschließen. Die können dann ja nicht gehackt werden. Sperren für einzelne Geräte mögen annähernd ebenso sicher sein (was ich allerdings in Zweifel ziehe).
Aber das Szenario war, dass die Kamera schon gehackt sei. Dann bestand faktisch bereits irgendeine Möglichkeit, von außen auf sie zuzugreifen, und solch eine Option kann dann auch weiterhin genutzt werden.
...und könnte beim Zugriff aufs Benutzerinterface munter seine Exploits ausprobieren, um die Daten notfalls "über Bande" ins Internet zurückzuspielen.
Ich sage nicht, dass die Kindersicherung da total nutzlos wäre. Aber sie täuscht möglicherweise einen höheren Schutz vor, der gar nicht besteht.
Unsichere Hardware wird nicht dadurch sicher, dass man einen Karton mit Gucklöchern drüberstülpt.
Das vom Fragesteller genannte Szenario ist, dass die Kamera infiziert ist.
- Der Fragesteller greift mit dem Browser (oder einer anderen Software, die Sicherheitslücken enthält) von seinem PC aus auf die Kamera zu, z.B. um den Videostream zu sehen.
- Die Kamera nutzt erfolgreich einen Exploit des Browsers und schiebt ihm Code unter, und teilt diesem den zu übertragenden Payload mit sowie dessen Ziel (IP-Adresse oder Domain).
- Der untergeschobene Code überträgt den Payload vom PC aus an das Ziel. Der Router ahnt nichts, weil der Traffic halt vom PC kommt, nicht von der gesperrten Kamera aus, und lässt den Traffic anstandslos passieren.
Das stimmt so natürlich. Jedoch auch wenn die Kamera sicherheitstechnisch problematisch ist, man da kaum was ändern kann, auf seinem PC kann man sowas doch verhindern! Aktuelle "seriöse" Software, richiges Handhaben der OS-Sicherheitstechniken (keine ominösen "cleanup"-tools usw.) sowie aktuelle Schutzsoftware.
100% Sicherheit gibt's nicht, alles was eh in Richtung Cloud geht z. B. kann da auf mancherlei Weg problematisch sein.
Wie man das konkret verhindern kann, muss man dann auch an konkreten Beispielen klären.
Danke Euch beiden für den extrem interessanten Dialog!
Dass jemand "Hardware aufspielt" und ins Internet funkt, das denke ich ausschließen zu können. Für das Modell schafft das wohl keiner. Ist eine uralte Inseltechnologie.
Meine Ängste gehen eher in die Richtung, dass er zur Kamera eine Verbindung herstellt und damit Zugangsdaten zu meinem Netzwerk hackt.
Daher denke ich mir: Am liebten isses mir, wenn die Kamera davon möglichst wenig weiß.
Danke für Deine Antwort, einen Archer AX10-2. Die Kamera spreche ich übers intranet und den MS Explorer (uralte Version, nur für die Cam da) an. Die Kamera an sich braucht kein Internet.
Ich habe weniger Angst, dass jemand aus dem Internet sie scannt, sondern davor, dass jemand sie von der Strasse her anfunkt und damit in mein Intranet kommt.
Mit anderen Worten: Ich hätte gerne ein zweites "Gastnetz" oder - und da bin ich nicht mal sicher, ob die Fachtermini richtig sind - eine "Bridge" zu der Kamera, die nichts tut und nichts weiß, als die Bilder zu verarbeiten.