VPN-Server vs. Cloud

[francy_space]

Hallo,

ich habe einen Freund, der auf seine IP-Kameras daheim fernzugreifen möchte. Er tendiert zu einer kostenfreien Cloud-Lösung. Ich habe ihm empfohlen, einen VPN-Server (Raspberry Pi) neben seinem DS-lite Router aufzusetzen. Das habe ich auch getan und bin damit zufrieden. Der vServer kostet zwar bisschen was, aber ohne Portmapper geht es bei meinem DS-lite Router auch nicht.

Als er von mir wissen wollte, was seine Vorteile von einem eigenen VPN-Server wären, habe ich ihm zwei Gründe genannt:

1.) Wenn Du über VPN surfst, hast Du von außen einen sicheren Zugang zu deinem Netzwerk und deiner Kamera daheim. Sprich keiner kriegt mit, was du tust, wo du dich rumtreibst, welche Anwendungen (Apps) du startest und welche Websiten du ansurfst. Bezogen auf die Kamera bedeutet dies, dass keiner so einfach herausfinden kann, was die IP-Adresse deiner Kamera ist, weil du verschlüsselt surfst. Entscheidest Du dich für eine Cloudanwendung so gelangen die IP-Pakete von deiner IP-Kamera zu den Servern deines Cloudanbieters. In den Paketen stecken Daten von den Aufnahmen deiner Kamera drinne, die ungeschützt sind. Blindes Vertrauen auf den Cloudanbieter ist nicht gut.

2.) Angenommen Du bist mit deinem Smartphone unterwegs und möchtest die Videos deiner Kamera besichtigen. Entscheidest Du dich für die Cloud-Lösung so gelangen all deine IP-Pakete von deinem Smartphone zu den Servern deines Cloudanbieters. Von dort aus gelangen sie über deinen Router zu deiner Kamera. Und das ganze wieder zurück. Das dauert länger, und die Qualität der Videoframes nehmen dadurch ab. Du hast kein flüssiges Video. Entscheidest Du dich hingegen für einen eigenen VPN-Server, so ist der Weg, den die Pakete hinterlegen müssen, kürzer. Dadurch empfängst Du dich Videoframes schneller und die Qualität ist auch besser.

Ich bin kein hausgemachter Informatiker. Haben die Vorteile, die ich benenne Hand und Fuß oder sehe ich die Sache zu einfach?

Vielen Dank.

 

[Christian1297]

Die Qualität der Videoframes nimmt nicht ab solange die Geschwindigkeit des Netztes ausreichend ist. Die Frames sind auch nur 0 und 1 für den PC und denen ist es egal wie weit die Strecke ist.
Ansonsten sehe ich die Lösung über das VPN aber auch als die bessere an. Lediglich die Einfachheit der Benutzung ist bei der Hersteller-Cloud besser.

 

[calippo]

Die Qualität ist wohl abhängig von der Serverauslastung und Kapazität beim Anbieter. Wenn das einigermaßen ordentlich dimensioniert ist, sollte das kein Problem sein. Kostenfrei hört sich erst mal komisch an, insbesondere was die Langzeitstabilität angeht. Wenn das Geld knapp wird, dann lassen sich die Anbieter meist was einfallen oder der Service wird von heute auf morgen eingestellt.

Zu klären ist, was mit den Cams erreicht werden soll. Push Alarm wird über die manuell herzustellende VPN Verbindung nicht möglich sein.

Ansonsten ist natürlich richtig, dass bei VPN alles im eigenen Netz bleibt und bei Cloudlösungen alles über die Server der Anbieter geht.

 

[DeusoftheWired]

Er tendiert zu einer kostenfreien Cloud-Lösung.

Bezahlst du nicht, bist du das Produkt. Der Anbieter muß die Kosten für Mitarbeiter, Anbindung, Rechenzentrum etc. ja irgendwie wieder reinbekommen. Die naheliegendste Finanzierung für so was ist heute Werbung oder Datenverkauf. Weil sich Werbung bei dem Produkt schlecht unterbringen läßt, wird es auf Datenanalyse und -verkauf hinauslaufen.

Entscheidest Du dich für eine Cloudanwendung so gelangen die IP-Pakete von deiner IP-Kamera zu den Servern deines Cloudanbieters. In den Paketen stecken Daten von den Aufnahmen deiner Kamera drinne, die ungeschützt sind. Blindes Vertrauen auf den Cloudanbieter ist nicht gut.

Wie heißt der Cloudanbieter denn, um den es geht?

Heute kann es sich eigentlich kein Anbieter mehr leisten, keine verschlüsselte Verbindung anzubieten. In die Pakete können andere unterwegs also nicht hineingucken, wenn der Anbieter die Verschlüsselung nicht absolut vergurkt hat. Auf seinen Servern kann er die Sachen allerdings im Klartext sehen. Ob ein Anbieter da hineinschaut, ist fraglich, weil er sein Geschäft dichtmachen kann, wenn das rauskommt. Auf der anderen Seite wissen wir von Polizei, Amazon, Facebook und Co., daß Angestellte manchmal Langeweile haben oder einfach neugierig sind und in Dingen stöbern, die sie nichts angehen.

Blindes Vertrauen auf den Cloudanbieter ist nicht gut.

Genau so sieht’s aus! Der Nachteil der vServer/Portmapper-Lösung sind nur die paar monatlichen Euro. Frag ihn doch mal, ob er einem Wildfremden von der Straße alle seiner Kameraaufnahmen zeigen würde. Wahrscheinlich wird er das nicht wollen. Weshalb sollte das dann nicht auch für die Mitarbeiter des Cloudanbieters gelten? Nur weil man’s nicht mitbekommt, heißt es ja nicht, daß es nicht passiert.

Das dauert länger, und die Qualität der Videoframes nehmen dadurch ab. Du hast kein flüssiges Video.

Die Qualität eines Videos wird nicht davon beeinflußt, wieviele Hops zwischen Sender und Empfänger liegen. Die Videoinformationen sind digital, 1 und 0, und stecken so in jedem gesendeten Paket. Da fällt unterwegs nicht mal ’ne 0 raus oder so.

Das einzige, was sich mit mehr Hops ändert, ist die Latenz. Pro Hop rechnet man mit 1 ms, eine oder zwei Hops mehr sind vielleicht gerade noch so meß- aber garantiert nicht spürbar.

Was die Videoqualität beinflussen kann, ist mangelnder Upload auf Seite des Senders oder mangelnder Download auf Seite des Empfängers. Mit Buffern/Warten bekommt man aber auch das in den Griff.
Die Bitrate des Kameravideos kann man sich z. B. mit MediaInfo anzeigen lassen. Dann weiß man, ob sie über oder unter dem eigenen Down- bzw. Upload liegt und ob man die Qualität reduzieren sollte, um nicht an die Down/Uploadgrenze zu stoßen.

 

[Frazer1]

Soweit stimmt das schon, allerdings das Argument mit der Strecke und Qualität nicht. Wenn der Cloud-Anbieter die Videos komprimiert um Platz zu sparen natürlich schon, pauschal kann man das aber nicht sagen. Ich würde immer aufpassen wenn es um kostenlose Dienstleistungen geht, weil irgendwo muss bei denen das Geld ja auch herkommen!

Der mit Abstand größte Nachteil der VPS Lösung ist aber halt, dass man sich selbst darum kümmern muss. Man muss das OS aktuell halten, den VPN richtig konfigurieren etc. Wenn das nicht gemacht wird, kann das alles auch nach hinten losgehen.

Es gibt übrigens auch IPv6 Port-Mapper Dienste zum Buchen. Das ist dann nur diese Funktion, man kann den Pi aber anschließend auch von außerhalb erreichen. Das ist dann aber alles ohne VPN und mit einer (IPv6) Portfreigabe im Router. Da könnte dann also von außen versucht werden auf den Pi, statt den VPS zugegriffen zu werden. Dürfte dafür aber billiger sein, wobei es auch kleine günstige VPS gibt. (Gibt es nicht bei Amazon AWS sogar einen ganz kleinen umsonst?)

Zusammendfassend würde ich sagen, dass der VPS dir mehr Sicherheiten, bei einer höheren Verantwortung gibt, ein Cloudanbieter (ich gehe mal von einem seriösen aus) gibt dir mehr Komfort.

 

[calippo]

Zusammendfassend würde ich sagen, dass der VPS dir mehr Sicherheiten, bei einer höheren Verantwortung gibt, ein Cloudanbieter (ich gehe mal von einem seriösen aus) gibt dir mehr Komfort.

Ja, das muss man beachten. Es ist eine Sache, sich in z.B. Wireguard auf einem Raspi reinzufuchsen und sich anhand von Anleitungen an einem Wochenende einen wunderbar funktionieren VPN Dienst einzurichten.
Aber selbst wenn man den Raspi und Wireguard einigermaßen aktuell hält, als wirklich sicher kann man das nicht betrachten, wenn man nicht wesentlich tiefer in die Materie einsteigt.

Für jemanden der nur am Ergebnis "Fernüberwachung per Cam" interessiert ist, scheint mir das keine gute Alternative zu sein.

 

[francy_space]

Also, er hat eine chinesische IP-Kamera der Marke Hikvision. Den kostenfreien Cloud-Service soll er vom Hersteller aber nur für eine gewisse Zeit bekommen. Aber ganz sicher bin ich mir auch nicht.

Ja, ich nutze auch die VPN-Technik Wireguard auf meinem Raspberry Pi 3. Wireguard ist openVPN Lichtjahre voraus. Seit drei Monate nutze ich es und hatte keine Probleme.

Ich habe auch mal Ipv6 Portmapper-Dienste genutzt. Da gibt es das Unternehmen 'feste-ip.de'. Das Problem dort ist das mit jedem weiteren ip-fähigen Gerät die Kosten steigen. Für 2-3 Geräte mag das günstiger als der VPS-Server sein. Aber bei mehr Geräten tendiere ich zum vServer, da sich damit mehrere Geräte konfigurieren lassen. Aber wie ihr richtig gesagt habt: Was hilft einem ein vServer, wenn man nie in der Materie 'Server-Sicherheit in der Linux-Umgebung' gelernt hat.

Vielen Dank für Eure ratvollen Tipps!

 

[Frazer1]

Je nachdem, wie du zu ihm stehst, kannst du das dann natürlich auch über deinen VPS mitlaufen lassen. Ein zweiten VPN aufsetzen sollte ja kein Problem sein. Wenn das bei dir eh schon alles läuft ist das vermutlich das leichteste. Er ist dann halt in gewisser Weise von dir abhängig und du musst dir überlegen, ob du diese Verantwortung übernehmen willst, oder ihr überhaupt in einem solchen Verhältniss steht.
Als Gegenleitstung kann er dich ja ab und an mal zum essen einladen, nen Kasten Bier vorbei bringen o.ä. Da findet sich ja viel...

 

[calippo]

Meine Einstellungen zu solchen Gefälligkeitsdiensten, die eigentlich ein Geschäftsmodell von professionellen Anbietern sind: Finger weg. Sei es WLAN teilen, oder VPN Server aufsetzen, oder VPS mitnutzen lassen, etc.

Gerade wenn dann doch was passiert oder die Cam im entscheidenden Moment nicht läuft, fangen die Probleme an. Reicht ja, wenn sich der Bekannte aus eigener Dummheit Malware unbemerkt einfängt und dann er dann in alle Richtungen Verdacht schöpft. Da können Freundschaften zerbrechen, das ist keinen Kasten Bier wert.

 

[Raijin]

Bei einem eigenen VPS muss man ganz klar sagen: Die Sicherheit definiert sich durch die fachgerechte Konfiguration des Servers. Wenn man keine Ahnung davon hat und sein Wissen ausschließlich aus Tutorials, Youtube-Videos und Foren holt, stehen die Chancen gut, dass man bei der Firewall des VPS Fehler macht. Zwar ist so eine Firewall kein Hexenwerk, aber man muss die Funktionsweise verstehen, um etwaige Tutorials nachvollziehen und ggfs anpassen zu können.

Die Botnetze von anonymous und Co bestehen zu großen Teilen aus laienhaft eingerichteten Servern mit mehr Sicherheitslücken als man zählen kann - und das sind nicht immer nur private Server, sondern durchaus auch Server von Firmen mit Admins, deren einzige Klassifikation das Einrichten von Druckern ist. Gibt dazu gerade eine nette Reklame im Radio:

A: "Hey, mein Laptop spinnt wieder, kannst du mir helfen?"
B: "Wieso? Du bist doch der IT-Admin!"
A: "Und das als Bäckermeister, verrückt, oder?"


Eine selbstgestrickte Lösung über einen VPS kann also sicherer sein als eine Cloud, aber nicht per Definition sondern durch einen fachkundigen Administrator - ob mit Ausbildung/Studium im Rücken oder durch intensives Selbstlernen.

 

[till69]

Zwar ist so eine Firewall kein Hexenwerk

Richtig, auf IPv4 komplett dicht machen außer den VPN Port, und den SSH Zugang nur über IPv6, dann dauert es wahrscheinlich Jahrzehnte oder mehr, bis jemand den SSH gefunden hat

 

[Raijin]

Schon, aber dann mal folgendes Szenario, das ich selbst erlebt habe:

INPUT-Chain bis auf wenige Ausnahmen auf drop.
FORWARD-Chain unangetastet
pihole nativ installiert -> durch INPUT-Chain abgesichert, weil lokal -> pihole nicht öffentlich erreichbar.
Dann Umstieg auf Docker nebst pihole-Container.
Plötzlich ist pihole offen im Netz verfügbar, warum?
Docker richtet ein virtuelles Subnetz für die Container ein, auch für pihole. In diesem Fall greift dann nicht mehr die INPUT-Chain, sondern die FORWARD-Chain und die war ungesichert. Die vermeintlich sichere Firewall ist somit wirkungslos und durch einen Open Resolver ist der VPS beliebig für DNS Amplification Attacks nutzbar.

Klar, das kann man alles wieder absichern, aber der Teufel steckt eben im Detail. Man muss das Prinzip einer Firewall verstanden haben, dann kann man auch Tutorials, Anleitungen, etc. befolgen und deren Inhalt bewusst wahrnehmen und ggfs anpassen.


Und von IPv6, das mutmaßlich in vielen Servern sowieso offen ist wie ein Scheunentor, ganz zu schweigen.


Nichtsdestotrotz kann das auch ein ambitionierter Laie, aber er muss sich intensiv mit dem Thema auseinandersetzen und es nachvollziehen können. Bei einem professionell administrierten Clouds muss man sich diesbezüglich wenig Sorgen machen, weil es im Sinne des Anbieters ist, dass seine Server sicher sind. Hier geht die Gefahr dann wie @DeusoftheWired schon schreibt eher von den Mitarbeitern aus, weil die hinter der Firewall und Verschlüsselung sitzen.