Offener Port für Kamera. Sicherheit? [gelöst]

[Pinaut]

Guten Tag

Pi-Neuling hat Sorgen:
Für ein Kunstprojekt will ich die Raspberry Kamera als Stream auf einer Webseite mit <iframe> zugänglich machen.
Die Seite wird extern gehostet und alles läuft wie es soll.

Ich habe:
- den User Pi zu neuem USERNAME umbenannt und mit Passwort versehen
- einloggen tu ich immer als USERNAME und nicht ROOT
- motion für den Stream installiert und Port XYZ konfiguriert
- IPTables installiert, aber kontrolliere das mit gufw: Eingehend alles gesperrt und 2 Regeln für VNC(Pi läuft ohne Tastatur und Screen) und den Stream hinzugefügt.
- Fixe IP bzw mein Provider bietet eine art dyndns an
- auf meinem Router ein Forwarding für den streaming Port XYZ eingerichtet

Wie (un)sicher ist mein Setup so?
Kann ich irgendwie kontrollieren, dass nur die Anwendung motion auf Anfragen über den Port XYZ reagiert?
Ist mein Netzwerk bzw. die anderen Computer darin so gefährdet?

Besten Dank für Inputs c.

[smartifahrer]

Wenn die Webseite mit dem iframe öffentlich ist, wird der Pi vermulich unter der Last der angeforderten Streams an seine Grenzen kommen. Spätestens deine Internetverbindung. Wäre ein Streaming via Youtube eine alternative? Ist aber zeitverzögert, soweit ich weis, also nicht Live.

Wenn der Pi via Motion gehackt wird sind auch deine anderen Computer im Netz gefährdet. Hier könnte dir eine Router-Kaskade helfen.
Wie viel Sicherheit deine Massnahmen bringen kann ich leider nicht beurteilen. Hört sich aber schon mal gut an.
Wichtig ist aber auch das du alles richtig Konfiguriert hast. Um das einzuschätzen reicht deine Auflistung aber nicht aus.
Die Netzwerkspezialisten können/werden da sicher gezielter nachfragen.

[mline]

Würde VNC aus den iptables rausnehmen und stattdessen SSH nutzen bzw. dafür ne iptables Regel festlegen. Remote-Desktops sind immer kritisch zu betrachten. Linux ist, wenn man sich ein wenig damit beschäftigt, schneller und einfacher über die Konsole zu bedienen.

Auf allen meinen Pis läuft fail2ban. Das sperrt automatisch IPs die mehrfach erfolglos versuchen zum Beispiel per SSH zu verbinden.

Code: Select all

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install fail2ban

Kann ich auf jeden Fall empfehlen. Gab Zeiten, da hatte ich um die 200 IPs täglich im Jail. Die meisten haben natürlich SSH genutzt und mit dem User root bzw. pi versucht zu connecten. Aber auch viele andere Dienste und Usernamen wurden da genutzt.

Kann ich irgendwie kontrollieren, dass nur die Anwendung motion auf Anfragen über den Port XYZ reagiert?

Zunächst mal läuft ein Programm mit Netzwerkfunktionalität bereits auf einen bestimmten Port und hat diesen damit dann auch für sich reserviert. Wird also eine passende Anfrage am Port XYZ erkannt, reagiert dieses Programm dann auch. Andere Programme können diesen Port nicht nutzen.
Willst du verhindern, dass alle anderen Ports offen sind (auch wenn kein Programm an ihnen lauscht), nutzt du iptables. Ein REJECT für alle ungenutzten Ports reicht da schon.
Natürlich musst du den Port XYZ dann auch explizit freigeben sonst wird auch dieser gesperrt.

Das Thema iptables ist sehr sehr komplex aber du scheinst ja Interesse und wohl auch schon ein bisschen rumprobiert zu haben. Darum glaub ich, dass du - wenn du viel darüber lernst - auch eine für dich perfekte iptables einrichten kannst.
Würd außerdem auch immer wieder versuchen von außen in das System zu kommen um deine Konfiguration zu testen.

[Pinaut]

Danke mal soweit

VNC ist nur im lokalen Netzwerk frei, ich habe nur ein Forwarding für den Streaming-Port im Router. Aber ja: den Port auf der IPTables aufgemacht um im Heimnetzwerk darauf zuzugreifen. Meine per gufw eingestellten Regeln blocken nach ein paar Anfragen von der selben IP.

fail2ban schau ich mir später gleich an. Was zum loggen wäre schon mal interessant

Wird also eine passende Anfrage am Port XYZ erkannt, reagiert dieses Programm dann auch. Andere Programme können diesen Port nicht nutzen..

Das beruhigt mich doch auch schon mal. Ein wenig. Die Frage ist wie motion mit 'Anfragen' die nicht den Stream wollen umgeht.

@smartifahrer:
Ja, das der Raspy mit streamen wohl schnell mal an seine Grenzen kommen wird dachte ich auch. Bandbreite Internetanschluss ist knapp 40Mbit beide Richtungen. Das Thema kommt dann noch beim Host meines Vertrauens, nachdem der Rest mal steht.

[mline]

Wird also eine passende Anfrage am Port XYZ erkannt, reagiert dieses Programm dann auch. Andere Programme können diesen Port nicht nutzen..

Das beruhigt mich doch auch schon mal. Ein wenig. Die Frage ist wie motion mit 'Anfragen' die nicht den Stream wollen umgeht.

Grundsätzlich sollte ein Programm nur auf korrekte Anfragen reagieren und den Rest ignorieren. Da muss man sich aber auf die Entwickler verlassen. Es ist auf jeden Fall ne gute Idee, Software die von Außen erreichbar ist, up-to-date zu halten

[Pinaut]

So! Habe mich dann doch mal noch dazu aufgerafft den Youtube Stream anzuschauen. Und siehe da: Fast alle Probleme auf einen Schlag gelöst! Kein offener Port, kein unsicheres Setup, keine Probleme falls dann doch mal halb Japan gucken will.
Alles noch beta, aber es macht mal erst was es soll: http://keinkunst.ch

Danke Euch!

[smartifahrer]

Schönes Projekt! Kannst du uns mehr darüber verraten.

[Pinaut]

Zum Projekt:
2014 kaufte ich dieses Scara-Roboter Kit aus einem Kickstarter Projekt. Mein Ziel war es aus dem Kartesischen Koordinatensystem auf die Winkel der Arme zu kommen. Als mir das gelang war ich über die Genauigkeit des Roboters erstaunt als er mit einem Bleistift auf ein Blatt Papier malte.
Inspiriert von einer Installation im Technorama.ch (Sisyphus von Bruce Shapiro) spendete ich meinem Roboter die Kugelschreibermine und das Sandbett in einem Bilderrahmen...

2015 und ZENrobot war geboren. Damals noch ohne Wissen um GCode und Arduino schrieb ich die Steppersteuerung auf dem Arduino noch selbst. Processing macht die Patterns und die Wegberechnung (der Arm muss Pfade fahren; Punkt zu Punkt bring nix) und schickt die Werte zum Arduino. Der macht einen Schritt und meldet wenn erledigt. usw.... Das ganz ist ziemlich langsam, aber eben genau das gefällt mir und soll genau so bleiben. (Eine mini Version mit ausgeschlachteten CD-ROM Schlitten und GCode läuft hier auch und zeichnet die Pattern in 2-3Minuten)

ZENrobot schaffe es beinahe in eine Kunstausstellung in Zürich. Aber dann eben doch nicht. Also musste ein anderer Weg her das Ding öffentlich zu machen. Von der Streaming Idee bis zum Kauf eines Raspberry dann nochmals 2 Jahre vergangen und die letzten Wochen war ich intensiv mit Debian, Linux. html, php und Java Script beschäftigt. Gestern Nacht dann doch noch mal das "How to" für den Youtube Stream gelesen, dem Raspberry libav-tools verpasst und 30 Minuten später war der Roboter online. Der Stream läuft nun seit 14 Stunden und ich bin gespannt was so passiert...

(Und sorry für den Doppelpost)
Grüsse aus der Schweiz
P.

[smartifahrer]

Habe es schon mit 2 Muster ausprobiert
Ich dacht die ganze Zeit ich habe über so was hier schon mal gelesen. Es war über den von dir erwähnten Sisyphus
https://www.raspberrypi.org/blog/sisyph ... art-table/

[mline]

Als Erweiterung könntest du den Text der neben dem YT-Player steht noch in den Stream integrieren, den Restart/Auswahl-Button nach unten verschieben und den Player dann auf die gesamte Bildschirmbreite erweitern (Kino-Modus oder so).
Außerdem würde ich die Kamera für ne Vogelperspektive oder Aufriss montieren und die Beleuchtung so anpassen, dass man die Muster gut erkennen kann.

Im nächsten Schritt könntest du die Steuerung noch über die YT-Chat API lösen - also ein Votingtool mit dem das nächste Pattern gewählt wird - und GUI-Elemente auf der Homepage komplett weglassen.