©2024 kdt-meerbusch

IT-Security Management · Cybersicherheit - Krammer Datentechnik

Details
Sicherheit

Synology NVR & Reolink Duo .. warum nur

Reolink hat mit der Duo2 POE eine wirklich gute Überwachungskamera im Angebot, die hervorrragend mit den Synology NVR Aufzeichungsystemen harmoniert. Die WLAN und LTE Variante mit Photovoltaik Panel wäre in einigen Aufstellungsumgebungen eine Bereicherung. Mehr als ein Befestigungspunkt wird nicht benötigt. Hier unsere Meinung zur Sicherheit der WLAN-Variante und weshalb das Gerät mit den Synology-NVR-Produkten nicht läuft.

Vorab, wer sich ersthaft mit dem Datenschutz bei Überwachungsanlagen beschäftigt, kommt an Aufzeichungsgeräten im eigenen Serverraum nicht vorbei.  Auch einer Konfiguration der eigenen Vlans und Firewall, um die teilweise sehr geschwätzigen Kameras in die Schranken zu weisen, sollte zwingend erfolgen.

Reolink DUO 2 POE:

Der Installationvorgang erfolgt über das Webinterface, das Gerät steht default auf DHCP also Kabel dran und nachsehen, welche IP das Gerät bekommen hat. Ein Passwort vergeben. Kamera einstellen, wichtig:

  • Watermark unter Einstellungen Display
  • Besser Onvif aktivieren unter Einstellungen Surveilliance -> Network Settings -> Port Settings -> 8000 einschalten
  • IPadresse in der Firewall statich machen und den Internetzugriff verhindern.
  • Camera in der Synology einrichten und nur über diese APP auch per Handy auf die Kamera zugreifen
  • Des Synology CLoud Backup möglichst´*nicht* aktivieren

 

Reolink DUO WLAN / LTE / PV:

Der Installationvorgang erfolgt über die Handy-APP und ist technisch gelungen. Aber jetzt aber nur noch ein Sicherheitstechnisch Katastrophe. Ohne Zugriff auf den Reolink Server geht die Handy-APP nicht. Der Windows Client von Reolinks eigener Software hantiert sogar lokal mit 256 offen UDP-Ports > 12000 als Revese Proxies rum, die Kamera selber hat ein properitätes Protokoll auf Port 9000 und sucht aktiv in eigenen Subnetz nach dem Client. Die Synology kann den Stream deshalb nicht verarbeiten. Um den datenschutzrechtlichen Ansprüchen eingermaßen gerecht werden zu können, darf nur mit dem Windows Client gearbeitet werden und selbst der meldet sich erst mal beim Hersteller. Wir hoffen, das es sich nur um eine Updateprüfung handelt. Aber gut 5 Minuten nach jedem Start auf einen Server bei Hersteller ist schon ganz schon lang dafür.

Fazit:

Ausschlagend wäre es, wenn die WLAN - Varianten genauso wie die LAN/POE-Varienten zumindesten ein ONVIF Interface hätten. Bei vielen Aufstellungsplätzen würde das viel Kabelverlegen sparen. Und PV-driven IOTs sind sowieso die Zukunft. Aber nicht um den Preis, das Personen und KIs die Aufnahmen nach nicht Europäschen Rechtsvorschriften einsehen und auswerten können. So lange die WLAN-Variante nicht das Sicherheitslevel der POE-Variante zuläßt, werden diese Modelle nicht von uns angeschlossen.