Ik heb vroeger een ip camera gehad die ik helemaal handmatig moest instellen en daarvoor ook poorten moesten openen. Mijn nieuwe dlink camera is geregistreerd via de fabrikant en daar log ik dan ook in. De camera is verbonden met internet maar je logt in mijn geval in via een derde partij. Hoe is dit bij u geregeld?

U bedoeld met privaat dat alleen u zou moeten kunnen inloggen? Dan zou je toch de beveiliging vanuit de camera zelf moeten nalopen ben ik bang.

Beste Manocita,

Apparatuur met een private IP adres is per definitie niet te bereiken vanaf het internet, tenzij in de router port forwarding is ingesteld. Als de verbinding naar buiten via een derde partij loopt, kan het zijn dat er een verbinding naar de provider open staat en dus ook een weg terug open staat die misschien gedetecteerd wordt, maar geen mogelijkheid zou moeten bieden om een nieuwe verbinding te initiëren.

Er is echter een optie die ik nooit goed begrepen heb, en die ik voor de zekerheid altijd maar uit zet: UPnP. Apparatuur schijnt dan aan de router te kunnen vragen om poorten open te zetten. In het Experia box administratie menu kan uPnP aan en uit gezet worden, en het is verstandig om dat uit te schakelen.

Met vriendelijke groeten,

Ik zal wat meer info verstrekken. Mijn IP cameras hebben een 192.168.2.x adres. Via een app zijn deze cameras te monitoren. Ik kwam er achter dat de app de cameras ook kan benaderen waneer ik niet ingelogd ben op mijn thuis netwerk.

• Wanneer ik het Experio modem uitzet, dan kan de app de cameras niet benaderen vanaf het internet 
• uPNP staat uit in het modem
• De camera IP adressen zijn niet opgenomen in de port forwarding van het modem

 Mijn IP cameras hebben een 192.168.2.x adres. Via een app zijn deze cameras te monitoren. Ik kwam er achter dat de app de cameras ook kan benaderen waneer ik niet ingelogd ben op mijn thuis netwerk.

• Wanneer ik het Experio modem uitzet, dan kan de app de cameras niet benaderen vanaf het internet 
• uPNP staat uit in het modem
• De camera IP adressen zijn niet opgenomen in de port forwarding van het modem

Beste Manocito,

Er is geen port forwarding issue, zonder port forwarding regels of UPnP is het onmogelijk om een 192.168.2.x via het internet te bereiken. Dit gebeurt ook niet. De camera’s openen een verbinding met een server van de fabrikant. De app verbindt niet met de camera’s, maar ook met de server van de fabrikant, die vervolgens de lijnen aan elkaar knoopt om de beelden over te dragen. Qua IT dus relatief veilig,  maar als de fabrikant de camera niet meeer ondersteunt of failliet gaat is het langs deze weg einde verhaal. Ook kan er alleen maar gespeculeerd worden  over of en wie er mee kan kijken….. U hoeft u dus geen zorgen te maken, de cameras zijn niet door iedereen via het internet te bereiken.

Met vriendelijke groeten,

Beste,

Bedankt voor je reactie. Aan de door jou beschreven mogelijkheid had ik niet gedacht.

Ik moet dit even laten bezinken. Want wil ik diit wel?

Mvg,

Manocito

Beste Manocito,

Ik denk niet dat ik de methode helemaal goed beschreven heb. Zie bijv. https://tweakers.net/nieuws/168384/consumentenbond-gebruik-beveiligingscameras-die-werken-met-de-camhi-app-niet.html

De camera stuurt regelmatig zijn ID naar servers die daarmee ID, IP adres en poort kennen, de app kent dit ID ook en  en vraagt de verbindingsgegevens op. De app kan dan rechtstreeks verbinding maken met de camera. Dit ondanks de de firewall, want het uitzenden van een zgn. UDP pakket impliceert dat tijdelijk een firewall poort open staat om op het antwoord te wachten. (UDP hole punching). Regelmatig een pakketje sturen betekent dat de poort permanent open staat en de app dus onmiddellijk verbinding kan maken. Het hangt van de camera firmware af in hoeverre hier misbruik van te maken is.

De techniek is qua veiligheid niet onomstreden. De documentatie van de camera kan hopelijk meer info geven over de gebruikte methode.

Het tweakers artikel vertelt dat een UITGAANDE poort geblokkeerd moet worden om de camera tot zwijgen te brengen, maar voor zover ik weet is die mogelijkheid in de Experia box firmware niet geimplementeerd.

Het is vervelend dat je tegenwoordig niet meer weet hoe paranoia je moet zijn, ik heb recentelijk een smart-led lamp met app bediening maar naar de kringloop gebracht toen ik me realiseerde dat het ding mijn netwerk aan China koppelt….

Met vriendelijke groeten,

Persoonlijk ben ik geen voorstander van apparatuur die zelfstandig een uitgaande verbinding opzet waarmee van buitenaf het apparaat benaderd kan worden.

Zelf heb ik maar één apparaat die zo werkt en dat is mijn alarminstallatie maar daarvan weet ik dat die uitgaande verbinding te vertrouwen is.

Ik zal persoonlijk nooit een camera of NAS op die manier toegankelijk maken immers je legt daarmee het beheer van de toegang buiten de deur en dat is iets wat je mijns inziens niet moet willen omdat daarmee ongeoorloofde toegang een stuk eenvoudiger wordt.

Bedankt allen voor jullie reacties,

Jullie reacties hebben mij geholpen aan de volgende oplossing.

ik verwijder het default GW IP adres uit de camera config. Waneer ik remote (vanaf het Internet ) bij de camera wil dan zet ik wel een VPN verbinding op.

Nogmaals thanks,

Manocito 

Beste Manocito,

Mooi opgelost, zonder default GW is het internet onbereikbaar voor de camera. Helaas vereist dit dus wel handmatige configuratie van de cameras en beschikbaarheid van een VPN server, wat voor veel camera eigenaren een probleem zal zijn…..