Heimnetzwerke - WIFI, LAN, Router und Co 16.535 Themen, 81.366 Beiträge

Verfolgung starten Optionen

IPCam telefoniert angeblich nach Hause, wie prüfen?

Aphex Junior / 21 Antworten / Baumansicht Nickles

Hallo zusammen,

ich brauche mal bei folgendem Szenario eine kurze Hilfestellung:

Ich habe zu Hause eine IPCam, die angeblich ganz gerne mal dubiöse Pakete/Anfragen an IP-Adressen bzw. Server schickt.

Das würde ich ganz gerne selbst überprüfen und diese Adressen dann im Router blocken.

Nur, wie mache ich das? Welches Programm kann ich da nutzen?

Die IPCAM selbst hat kein Logging und, würde sie nach Hause telefonieren, steht es mit Sicherheit dort auch nicht drin :)

Und leider habe ich eine o2Box, die mir das auch nicht anzeigt (die müsst ich dann sowieso ersetzen, aber das wäre ein anderes Thema).

Danke euch.

bei Antwort benachrichtigen
Borlander Aphex Junior „IPCam telefoniert angeblich nach Hause, wie prüfen?“
Optionen
Welches Programm kann ich da nutzen?

Wireshark.

Die Herausforderung besteht dann allerdings eher darin, dafür zu sorgen, dass die Datenpakete der Cam auch für den Computer erreichen mit dem Du den Datenverkehr mitschneiden willst.

Mit PC und Cam an der o2Box wird das eher nicht funktionieren. Da bräuchtest Du entweder ein en echten Hub (kein Switch!), ein Switch mit Port-Mirror-Funktion, oder einen Computer mit zwei NICs als Bridge konfiguriert um den Verkehr abgreifen zu können.

Gruß
Borlander

bei Antwort benachrichtigen
Aphex Junior Borlander „Wireshark. Die Herausforderung besteht dann allerdings eher ...“
Optionen

Klingt kompliziert. Ich würde die o2Box sowieso durch eine nagelneue Fritzbox 7490 ersetzen wollen. Kann vielleicht die Fritzbox die Pakete/Anfragen der IPCAM anzeigen?

Ansonsten versteh ich das natürlich. Wireshark habe ich installiert, aber das ist natürlich einleuchtend, dass ich da nicht viel analysieren kann, da ich nur die an der lokalen Maschine konfigurierten Interfaces auswählen kann und die CAM ist natürlich am Router dran.

bei Antwort benachrichtigen
Borlander Aphex Junior „Klingt kompliziert. Ich würde die o2Box sowieso durch eine ...“
Optionen
Ich würde die o2Box sowieso durch eine nagelneue Fritzbox 7490 ersetzen wollen. Kann vielleicht die Fritzbox die Pakete/Anfragen der IPCAM anzeigen?

Mit der FritzBox kannst Du bestimmte Dinge Mitschneiden: http://www.wehavemorefun.de/fritzbox/IP-Pakete_mitschneiden

Könnte ggf. für Deinen Anwendungszweck ausreichen.

bei Antwort benachrichtigen
Aphex Junior Borlander „Mit der FritzBox kannst Du bestimmte Dinge Mitschneiden: ...“
Optionen

Hey,

klingt gar nicht so schlecht. Habe auch das hier gefunden:

http://www.tippscout.de/fritzbox-datenverkehr-mitschneiden_tipp_5136.html

Wäre dann ja genau das, was ich bräuchte. Fragt sich jetzt nur, ob ich mit der Fritzbox 7490 für über 200€ kein Klogriff mache, wenn ich die jetzt bestelle Überrascht

bei Antwort benachrichtigen
Maybe Aphex Junior „Hey, klingt gar nicht so schlecht. Habe auch das hier ...“
Optionen
Wäre dann ja genau das, was ich bräuchte. Fragt sich jetzt nur, ob ich mit der Fritzbox 7490 für über 200€ kein Klogriff mache, wenn ich die jetzt bestelle

Moin,

da solltest Du Dich vorher schlau machen, wie es bei O2 mit dem Routerzwang aussieht. Internet ist zwar normalerweise kein Problem, Du kannst die Fritzbox zusätzlich zum O2 Modem anschließen. Es kann jedoch sein, dass Du mit der Fritzbox keine Telefonie nutzen kannst, also VOIP, weil die Anbieter die notwendigen Daten nicht rausgeben.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
mawe2 Maybe „Moin, da solltest Du Dich vorher schlau machen, wie es bei ...“
Optionen
Es kann jedoch sein, dass Du mit der Fritzbox keine Telefonie nutzen kannst, also VOIP, weil die Anbieter die notwendigen Daten nicht rausgeben.

Genau diese Erfahrung habe ich mit O2 gemacht.

Trotz vorheriger Zusicherung (leider nur mündlich!) habe ich die benötigten SIP-Daten von O2 nach Vertragsabschluss nicht bekommen.

Es gibt Beschreibungen, wie man diese Daten auch ohne die Zuarbeit von O2 ermitteln kann. Diese Mühe habe ich mir aber nicht gemacht. Seitdem betreibe ich die Fritz!Box hinter der O2-Box, was ja eigentlich absurd ist. Aber auf die Fritz!Box wollte / konnte ich nicht verzichten und auf die O2-Telefonie auch nicht.

Also: Wenn man diese Daten nicht schon komplett von O2 übermittelt bekommen hat, würde ich vorsichtig sein mit dem Kauf einer teuren (und dann auch nur teilweise nutzbaren) Fritz!Box.

Gruß, mawe2

bei Antwort benachrichtigen
Maybe mawe2 „Genau diese Erfahrung habe ich mit O2 gemacht. Trotz ...“
Optionen
Genau diese Erfahrung habe ich mit O2 gemacht.

Moin,

sowas habe ich mir fast gedacht. Meinen Anschluss habe noch unter Alice abgeschlossen, aber auch damals bekam man die SIP-Daten nicht raus. Ich nutze daher auch einen einfachen WLAN-Router hinter dem Spharion IAD-Modem.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Maybe Aphex Junior „IPCam telefoniert angeblich nach Hause, wie prüfen?“
Optionen
Die IPCAM selbst hat kein Logging und, würde sie nach Hause telefonieren, steht es mit Sicherheit dort auch nicht drin :)

Moin,

bist Du Dir sicher, dass die IP-Cam kein Webinterface hat? Selbst meine einfache für momentan ca. 50 Euro lässt sich verwalten.

Ansonsten kann man nur versuchen, ob die CAM über einen bestimmten Port kommuniziert und diesen im Router sperren. Evtl. ist dann aber auch kein Zugriff über das Internet mehr möglich.

Was für ein Modell ist es denn?

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Aphex Junior Maybe „Moin, bist Du Dir sicher, dass die IP-Cam kein Webinterface ...“
Optionen

Klar hat die IPCAM ein Webinterface, aber da zeigt sie natürlich nicht an, wohin sie "nach Hause telefoniert".

Wir haben bestimmt die Gleiche :-)

http://www.amazon.de/wansview-zwei-Wege-kompatibel-Nachtsicht-Internet/dp/B004DI2RBU/ref=sr_1_2?ie=UTF8&qid=1403178903&sr=8-2&keywords=wansview+ncb541w

Das mit der Fritzbox sehe ich nicht so als Problem. Ich glaube die Voice-Over-IP_Daten bekommt man ganz einfach über das Dekompilieren der .bin-Konfigurationsdatei und dann mit der View eines Hexeditors. Dort sollen sie angeblich dann im Klartext stehen.

Die hinter der o2Box zu schalten wäre natürlich fern ab!

Da ich aber kaum über Voice-IP telefoniere (eher Handy), könnte ja theoretisch so ein Router hier reichen?

http://www.amazon.de/TP-Link-Archer-Gigabit-802-11ac-Standard/dp/B00BUSDVBQ/ref=sr_1_17?s=computers&ie=UTF8&qid=1403179028&sr=1-17&keywords=router

Der müsste doch so ähnlich sein wie die Fritzbox, nur ohne Telefonie oder? Ich bin zwar technisch visiert, aber mit Telefonanlagen/Systemen hatte ichs noch nie so Verschlossen

bei Antwort benachrichtigen
mawe2 Aphex Junior „Klar hat die IPCAM ein Webinterface, aber da zeigt sie ...“
Optionen
Der müsste doch so ähnlich sein wie die Fritzbox, nur ohne Telefonie oder?

Dass der technisch einer Fritz!Box gleicht, würde ich eher nicht erwarten.

Aber Du könntest natürlich auch eine Fritz!Box ohne Telefonie (also nur als DSL-Router) kaufen.

bei Antwort benachrichtigen
Aphex Junior mawe2 „Dass der technisch einer Fritz!Box gleicht, würde ich eher ...“
Optionen

Moin,

ich habe jetzt die FB 7490 im Betrieb mit Voice-IP. Ich hab ein Script runtergeladen und die Konfigurationsdatei von der o2Box dekompiliert und nach den Strings gesucht. Die richtigen Logins für Voice-IP dann in die FB eingetragen und funktioniert!

Soweit erstmal das Voice-IP Problem. Dann geht es ja eigentlich um meine IP-Cam :-)

Hier bietet die FB (korrigiert mich sofern ich falsch liege) nur die Möglichkeit Websites zu blockieren (Black+Whitelist) (demnach nur Port 80) und zudem die Möglichkeit "Netzwerkprogramme" einzuschränken auf Port-Basis.

Ich habe für die IP-CAM dann eine Whitelist eingerichtet, in der sich keine Einträge befinden, somit darf die CAM erstmal KEINE Websites ansurfen und damit meine ich wirklich absolut gar keine (warum auch!) und dann habe ich für die IP-CAM die "Netzwerkprogramme" eingeschränkt in der FB. Da man dies nur auf Portebene beschränken/definieren kann habe ich ALLE Ports blockiert, bis auf 465, weil der für den sicheren Goolgemail-Versand (den ich eingerichtet habe) der IP-CAM benötigt wird.

Das funktioniert auch gut, die Mails werden noch versandt von der IP-CAM. Jetzt dürfte die CAM keine "heimlichen" HTTP Requests mehr schicken können (die werden ja meines wissen dann schon über die Whitelist geblockt, da HTTP = Port 80 = "Internetseiten"). Korrekt?

Ein "Schlupfloch" ist dennoch übrig, zumindest sehe ich das so, aber ich kann mich auch irren. Und zwar: Da man zusätzlich zur White und Blacklist nur die Ports sperren kann der "Netzwerkprogramme", könnte die CAM ein "heimliches" Paket über Port 465 an eine nicht geblockte IP-Adresse senden, die ungleich des SMTP.gmail.com Servers ist? Man kann in der FB - zumindest habe ich es nicht gefunden - die angesprochenen IPs/Server zusätzlich zu der Porteinschränkung NICHT blockieren sondern nur die jeweiligen Ports selbst. Die Servernamen zu blocken geht nur über die White und Blacklist, wobei das nur Port 80 betrifft, wie bereits beschrieben.

Wobei ich auch nicht weiß, ob das nicht schon ein Tick zu weit geht bzw. zu detailiert ist. Sehr unwarscheinlich, dass die CAM gerade über 465 irgendwas nach China schickt denke ich?

Grüße

bei Antwort benachrichtigen
mawe2 Aphex Junior „Moin, ich habe jetzt die FB 7490 im Betrieb mit Voice-IP. ...“
Optionen
Ich hab ein Script runtergeladen und die Konfigurationsdatei von der o2Box dekompiliert und nach den Strings gesucht. Die richtigen Logins für Voice-IP dann in die FB eingetragen und funktioniert!

Klasse. Gratulation!

Welche O2-Box hast Du und wie kommt man dort an die Konfigurationsdatei?

Ich habe die Box noch von Alice (Turbolink IAD) und komme dort in kein Konfigurationsmenü. Nach Auskunft von Alice hat das Teil so etwas auch nicht (obwohl das Handbuch etwas anderes sagt).

Deine Blockierbemühungen klingen logisch. Ich muss aber gestehen, dass ich damit wenig Erfahrungen habe. Vielleicht können andere dazu noch mehr sagen?

Gruß, mawe2

bei Antwort benachrichtigen
Aphex Junior mawe2 „Klasse. Gratulation! Welche O2-Box hast Du und wie kommt ...“
Optionen

Ja wäre Klasse, wenn wir da nochmal jmd Hilfestellung/Feedback gibt bezüglich meiner Sperrung.

Ich hab die IAD4421 und es ist wirklich easy!

Schau mal: http://www.ip-phone-forum.de/showthread.php?t=256873

Wenn du natürlich eine andere Box hast, kann ich nichts dazu sagen, aber unterstützt werden ein Paar. Aber sicher kennst du den Thread schon?

Es ist auch kein Konfig-Menu sondern nur die Abspeicherung der Konfig-Daten der gesamten Box "Einstellungen sichern". Das ist dann die ".bin" Datei, welche der Input für das weitere Skript ist.

Grüße

bei Antwort benachrichtigen
Maybe Aphex Junior „Moin, ich habe jetzt die FB 7490 im Betrieb mit Voice-IP. ...“
Optionen

Moin,

Du hast mich jetzt doch ein wenig nachdenklich gemacht, bezüglich meiner IP-CAM. Meine ist eine Instar IN-3010 (baugleich mit einigen Foscam-Modellen).

Lediglich beim vorinstallierten DDNS war ich skeptisch, er geht tatsächlich auf einen China-Server. Daher habe ich diesen auch nie benutzt. Weiterhin nutze ich einen benutzterdefinierten Port, welcher auf der Firewall nur bei Bedarf weitergeleitet wird, ansonsten geblockt ist. Interne Portscans lassen nicht auf weitere offene Ports schließen.

Ich lasse mir Alarm- und Servicemails auf einen Account meiner eigenen Domain schicken, wie auch IP-Benachrichtigungen. Nach der Provider-Zwangstrennung habe ich so die aktuelle, externe IP, wenn ich sie brauche.

Nur kann ich natürlich nicht sicher sein (auch wenn Instar aussagt, es gäbe keine Hintertüren), dass nicht doch etwas nach Hause telefoniert.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Aphex Junior Maybe „Moin, Du hast mich jetzt doch ein wenig nachdenklich ...“
Optionen
Weiterhin nutze ich einen benutzterdefinierten Port, welcher auf der Firewall nur bei Bedarf weitergeleitet wird

Wo nutzt du einen benutzerdef. Port? Beim Webinterface der CAM?

 

Ich lasse mir Alarm- und Servicemails auf einen Account meiner eigenen Domain schicken, wie auch IP-Benachrichtigungen

Mit was / über was lässt du dir diese "Alarmmails" schicken?

Ich habe bei meiner CAM keinen externen Zugriff über WAN eingerichtet (ist mir zu riskant). Meine CAM sendet lediglich eine Mail bei Aktivität. Somit brauch die CAM nur einen Port und zwar den, des Mailservers! Alles andere ist geblockt bzw. laut meiner Beschreibung hoffe ich, dass es geblockt ist.

bei Antwort benachrichtigen
Maybe Aphex Junior „Wo nutzt du einen benutzerdef. Port? Beim Webinterface der ...“
Optionen
Wo nutzt du einen benutzerdef. Port? Beim Webinterface der CAM?

Ich habe den HTTP-Port geändert, dieser gilt natürlich auch für das Webinterface, ob nun intern, oder extern.

Den vorkonfigurierten DDNS kann man leider nicht deaktivieren. Da DDNS afaik über Port 80 aktualisiert und dieser in der Firewall geblockt ist, besteht kein externer Zugriff auf die CAM. Nur ist es noch eine andere Geschichte, ob die CAM nicht über andere Ports Daten verschickt.

Mit was / über was lässt du dir diese "Alarmmails" schicken?

Ich habe in den Maileinstellungen den SMTP meines Domain-Hosters eingestellt und eine seperate Email-Adresse für die CAM angelegt. Zusätzlich kann ich dort einstellen, dass mir eine Email bei Veränderung der IP gesendet wird.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Maybe Nachtrag zu: „Ich habe den HTTP-Port geändert, dieser gilt natürlich ...“
Optionen

Moin,

ich habe mich grade mal mit den recht ausführlichen Firewall-Einstellungen meines Routers (TP-Link 1043N) auseinandergesetzt.

Ich dachte, über die "Zugriffskontrolle" könnte ich evtl. eine Regel erstellen, alle Ports der IP/MAC der CAM zu blocken und lediglich SMTP (25) durchzulassen.

Das funktioniert so leider nicht, vermutlich hat "Verweigern" eine höhere Priorität als "Erlauben", unabhängig der Sortierung nach ID, die ich machen kann.

Mir bleibt also nur der gewohnte Weg, generell nur die Ports zu öffnen, die benötigt werden, oder aber die IP-CAM komplett vom Internet zu trennen, was aber auch den Mail-Versand beinhalten würde.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Aphex Junior Maybe „Moin, ich habe mich grade mal mit den recht ausführlichen ...“
Optionen
Ich dachte, über die "Zugriffskontrolle" könnte ich evtl. eine Regel erstellen, alle Ports der IP/MAC der CAM zu blocken und lediglich SMTP (25) durchzulassen.

Exakt das habe ich ja bei der Fritzbox gemacht. Wobei ich nur 465 offen gelassen habe. Trotzdem könnte die IPCAM auf Port 465 dann ein Paket an eine IP nach China schicken, das kann ich leider nicht blocken.

Mir bleibt also nur der gewohnte Weg, generell nur die Ports zu öffnen, die benötigt werden,

Aber das ist doch genau das, was richtig/sinnvoll wäre? Verstehe ich nun nicht. Nur den/die Ports zu öffnen die benötigt werden, ist doch dasselbe als alle bis auf z. B. in meinem Fall 465 offen zu lassen für den Mailversandt!

Oder stehe ich grad auf dem Schlauch?

bei Antwort benachrichtigen
Maybe Aphex Junior „Exakt das habe ich ja bei der Fritzbox gemacht. Wobei ich ...“
Optionen
Aber das ist doch genau das, was richtig/sinnvoll wäre? Verstehe ich nun nicht. Nur den/die Ports zu öffnen die benötigt werden, ist doch dasselbe als alle bis auf z. B. in meinem Fall 465 offen zu lassen für den Mailversandt! Oder stehe ich grad auf dem Schlauch?

Moin,

nein, ist schon richtig so.

Bei mir ist es allerdings mit einigem Auswand verbunden, da wir hier einige offene Ports benötigen, denn es soll natürlich gechattet und online gezockt werden. Wenn ich alles blocke, gibt es massive Beschwerden ;-)! Zudem sind noch Smart-TVs, XBox 360 BR-Player etc. online.

Hier nur ein Beispiel:

http://support.xbox.com/de-DE/xbox-360/networking/network-ports-used-xbox-live

Und so wären es bei mir mehr und mehr offene Ports :-(!

Ich könnte auch die Rechner z.B. meiner Partnerin auch in eine DMZ liegen, aber das bringt auch gewisse Risiken.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Maybe Nachtrag zu: „Moin, nein, ist schon richtig so. Bei mir ist es allerdings ...“
Optionen

Moin,

vielleicht denken wir auch zu kompliziert. Wenn überhaupt, werden die Daten  über einen Standard-Port versendet, höchstwahrscheinlich sogar HTTP (80). Alles andere wäre kontraproduktiv und würde an vielen Firewalllösungen scheitern.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Aphex Junior Maybe „Moin, vielleicht denken wir auch zu kompliziert. Wenn ...“
Optionen
vielleicht denken wir auch zu kompliziert. Wenn überhaupt, werden die Daten über einen Standard-Port versendet, höchstwahrscheinlich sogar HTTP (80). Alles andere wäre kontraproduktiv und würde an vielen Firewalllösungen scheitern.

Sehe ich exakt genauso :) Evtl. ist das "nach Hause telefonieren" schon zu nichte gemacht worden durch die Änderung des Standardports von 80 zu XXXX.

Es ist nur blöd, dass du nicht IP/MAC spezifisch das Blocken der Ports einschalten kannst. Das kann ich z. B. mit der Fritzbox ganz gut. Dann betrifft es die anderen Teilnehmer im Netzwerk gar nicht. Ansonsten könnt ich natürlich nicht alle Ports blocken, wie du sagtest. Das würde im Chaos enden bzw. dann kann ich gleich offline leben (was in der heutigen Zeit warscheinlich gar keine so schlechte Idee wäre^^).

Beste Grüße

bei Antwort benachrichtigen