Open Source Überwachungssystem: Praktische Umsetzung

Hardware
1

In einem anderen Thread hat @media-floppy schon sehr gut den theoretischen Aufbau aufgelistet, wie man ein open source Überwachungssystem datenschutzfreundlich aufbaut. Dieser Thread soll über die praktische Umsetzung handeln und auch gezielt Marken von Hardware (z.B. Kameras, VLAN-Switches, etc.) nennen.

Anforderungen:

  • 4 Kameras sollen angeschlossen werden. Power over Ethernet vorhanden (kein WLAN)
  • Kameras müssen kompatibel mit open source CCTV Software sein
  • Aufnahmen sollen (falls möglich) für bestimmte Zeit gespeichert werden (z.B. Festplatte über Raspberry Pi)
  • Aufnahmen sollen nur bei Aktivität (z.B. Bewegung, Gesichtserkennung) erstellt werden
  • Kameras sollen sich im VLAN befinden (spezieller Switch nötig)
  • Nur bestimmte Geräte sollen Zugriff auf Kameras haben
  • Zugriff von außen soll nur über VPN erfolgen
  • Keine Cloud (von Drittanbietern)
  • Keine Kommunikation nach außen (nur VPN für bestimmte Geräte nach innen)

Fragen:

  • Welches Aufnahmegerät/welcher Computer kann verwendet werden? Würde ein Raspberry Pi mit externer Platte reichen oder müssen das spezielle Geräte sein? Was benutzt ihr?
  • Wie schnell muss der Speicher sein, um 4 Kameras aufzeichnen zu können? Reicht eine HDD oder muss es schon SSD sein?
  • Welche Kameras können für dieses Setup benutzt werden? (Marke & Modell)
  • Welche VLAN Switches sind empfehlenswert? Gibt es große Unterschiede bei den Marken?
  • Wie heißt die open source CCTV Software?
  • Was gibt es noch zu beachten?

Da es sich um ein sicherheitskritisches System handelt, bin ich um jedes Feedback und jede Empfehlung dankbar und falls euch Sachen auffallen, die suboptimal sind, dann freue ich mich auch über euren Input.

Vielen Dank für eure Hilfe :slight_smile:

1 „Gefällt mir“
2

das war vor meiner Zeit hier im Forum. Von datenschutzfreundlich kann m.E. keine Rede sein, Überwachung ist darüberhinaus ein massiver Eingriff in das Selbstbestimmungsrecht der Betroffenen. Da stehen allenfalls ein paar Sicherheitsvorkehrungen oder technische Überlegungen. Du musst eigentlich eine Datenschutzfolgenabschätzung machen.

meiner Auffassung nach klares Nein. Jeder mit physischem Zugriff kann alles lesen oder manipulieren. „Sicherheitskritisch“ geht so nicht.

3

@Joachim Vorab: Ich sehe Kameraüberwachung grundsätzlich kritisch, was aber schlimmer ist, sind Menschen, die diese einsetzen und sich nicht der möglichen Gefahren für sich selbst und anderer (Familie und Dritte) bewusst sind. Ich selbst habe mal so ein System genutzt, werde mich aber aktuell wegen Umzug mit der Frage beschäftigen, ob ich so ein System weiterhin nutzen werde.

Es ging beim Thema Datenschutz um die Frage, ob die zu verarbeitenden Daten auch Dritten zugänglich sein werden, d.h. wenn ich einen Clouddienst des Anbieters der Kamera und Videorecorders nutze, dass dann Dritte, sei es der Anbieter oder andere Personen, auf diese Daten zugreifen würden können.

Kann ein Eingriff sein, darf es aber nicht. D.h. jemand der eine Kameraüberwachung einsetzt muss sich auch an Gesetz und Recht halten. Deshalb ist aber nicht grundsätzlich verboten eine Kameraüberwachung zu besitzen und einzusetzen, siehe hierzu z.B. auch „Kameraüberwachung auf dem Privatgelände. Was ist erlaubt und was verboten?“ (Link).

Das „allenfalls ein paar“ kann man an dieser Stelle streichen, denn wenn ich Kameraüberwachung nutzen will, dann bitte richtig und zwar auch technisch.

Wichtiger als kategorisch Nein zu sagen ist doch die Frage, wie ist der Raspberry Pi vor physikalischem Zugriff durch Dritte geschützt. Es kann ja durchaus sein, dass @maxmoon in seinem Keller einen Raum mit verstärkter Tür, besonders sicherem Türschloss und da drin nochmal einen Safe hat. Das ist garantiert mehr als in so manch einem Schnellrestaurant, dass in jeder Ecke eine Kamera hat und zu dem die Cloudfunktionen der Hersteller nutzt. Auf shoodan findet man immer noch genug Beispiele von Kameras, die frei zugänglich sind.

Umgekehrt - nehme ich deine Argumentation mal auf - dürfte man z.B. kein NAS unterm Schreibtisch oder im Regal haben, denn da könnten ja auch schützenswerte Daten drauf sein und ein Dritter könnte „alles lesen oder manipulieren“.

Zu den Fragen von @maxmoon :

  • Aufnahmegerät: Nach meiner Erfahrung reicht ein Raspberry Pi nicht dafür aus, ich habe dafür einen NUC genommen. Man kann wahrscheinlich die SW auch auf einem NAS laufen lassen. Du solltest auf jeden Fall das System verschlüsseln und eine sinnvolle Zeit für den Ringpuffer wählen. Zoneminder fand ich aufgebläht und hat zu viel Ressourcen gebraucht.
  • HDD als Speicher reicht aus, es gibt spezielle Festplatten für Kamerasysteme.
  • Ich habe Vivotek Fisheye Kameras mit IR. Fisheye Kameras haben den Vorteil, dass sie nicht an einem langen Arm im freien hängen sondern sich nur wenig von der Wand abheben. Bei den Funktionen gibt es ja heutzutage eine lange Liste und da hat sicher jeder seine Präferenzen und es kommt sicher auch auf den Einsatzfall an. Ich würde aber auf jeden Fall erst eine Kamera kaufen und die testen und dann weitere kaufen. Ich habe z.B. eine von der ct hochgelobte IP Kamera gekauft, die jetzt bei mir im Keller Staub fängt …
  • Ich selbst habe Ubiquity managed Switches mit PoE auf allen Ports und VLAN Fähigkeit, würde mir aber bei einem Neukauf auch die Mikrotik Geräte genauer anschauen.
  • Software: Ich habe anfangs Zoneminder genutzt, und bin später auf Shinobi umgestiegen.
  • Was gibt es noch zu beachten? Eine USV für den zentralen Videorechner und den Switch zu haben.

Und noch abschließend ein Gedanken: Man sollte keine zu hohen Erwartungen an solch ein System haben, da man eventuell gar nicht soviel sieht wie man bräuchte, um eine Person erkennen und identifizieren zu können.

4

ich rate tatsächlich auch von NAS wegen mangelhafter Sicherheit ab, insbesondere auch allen die unverschlüsselt sind und nicht im Tresor stehen (letzteres noch nie erlebt). Der Pi ist in meinen Augen besonders ungeeignet weil er auch kein TPM oder Flash hat, das als Vertrauensanker dienen könnte. Damit kannst Du auch ein theoretisch mögliches Safe-Boot vergessen.

Ich glaube nicht, dass das Forum ein geeigneter Ort ist um Legalität, Datenschutz, und Sicherheit abschließend zu bewerten. Dafür sind zu wenig Fakten und zu viel Meinung dabei, und wenn nicht wäre das ein Verstoß gegen das RDG.

5

Ok, dann wird es wohl ein NUC sein. Ich habe mich aber gerade gefragt für was man es sonst noch nutzen kann, wenn es in einem VLAN hängt, was kein Internet nach außen hat und nur von wenigen Geräten per VPN zugegriffen werden kann? Syncthing sinnvoll?

In einem Video von Vivotek kann man sehen, dass man bestimmte Bildareale definieren und eine Intrution Detection aktivieren kann.

Wie und wo genau stellt man dies ein? Ich bin bisher davon ausgegangen, dass das Aufnahmegerät (in diesem Fall die Software auf dem NUC) dies können muss. Doch wenn es ein System direkt auf der Kamera ist, braucht es da nicht auch proprietäre Software, wie eine Android App, um die Bildareale auf der Kamera einzustellen?

Sind die Fisheyes auch für Wände geeignet, weil in den Videos scheinen diese ausschließlich an Decken im Innenbereich angebracht zu sein?

Und macht 360° im Außenbereich Sinn? Denn man würde ja auch den Himmel filmen.

Ich glaub ich bestelle mir diese auch, doch mir ist noch nich t ganz klar welchen?

Es gibt welche, die einen dicken Stromstecker hinten haben und andere kommen mit einem Netzteil. Und das mit PoE-IN und PoE-OUT verstehe ich noch nicht ganz? Heißt das, dass nur ein Port PoE unterstützt (also das PoE-OUT) oder doch alle Ports und das PoE-OUT ist dann einfach für ein weiteres Ubique Switch, welches PoE unterstützt?

Der Raspberry Pi/NUC und die externe Platte auf der die Videodaten landen werden natürlich verschlüsselt. Nur zwei Personen (inkl. mir) kennen den Schlüssel oder sogar den Weg, wie es entschlüsselt wird. Wo der Raspi/NUC genau stehen wird und der genaue Entschlüsselungsweg möchte ich aus Sicherheitsgründen nicht veröffentlichen.

Wer sich von meinen Kameras gestört fühlt, hat asap mein Grundstück zu verlassen und überhaupt nichts bei mir zu suchen.

Relevant ist jetzt die Hardware und die Software und nicht irgendwelche Leute, die sich davon gestört fühlen, die sollen wirklich nicht Teil dieses Threads sein.

Bin schon über einem Monat dran, doch bin ich immer noch unsicher was für Open Source Software verwendet werden soll, welche Hardware gut ist und was einfach nur Internet-of-Shit ist. :frowning:

Update 2024-06-25: Ich habe wirklich Probleme herauszufinden, wie das Setup aussehen soll, wenn man die Kameras nicht ins Netz lassen möchte, aber per VPN auf die Kameras Zugriff haben möchte.

Nach meinem Plan sieht es momentan so aus:

Router → Raspberry PI (VPN) → Switch (VLAN) → Intel NUC (Überwachungszentrale mit Videodaten) → Kameras

Habe ich da einen Denkfehler oder braucht es wirklich zwei Systeme, da eines im abgeschotteten VLAN ist (NUC) und der außerhalb (Raspi) sagen muss, wer rein darf (VPN)?

Update 2024-07-02: Leider kann ich den ersten Post nicht editieren. Von daher poste ich hier meine Skizze für das Setup.

Verstehe ich es richtig, dass das Gerät, auf dem die Kameradaten verwaltet werden außerhalb vom VLAN sein darf? (grüne Linie) Und dann einen Server bereitstellt (z.B. Zoneminder, Frigate, etc.) und die Geräte im Heimnetz (schwarze Linien) darauf zugreifen können und wenn noch ein VPN Server auf dem NUC läuft, von außen (lila Linie) auch auf die Daten zugegriffen werden können? Oder muss unbedingt aus Sicherheitsgründen der NUC auch Teil von VLAN1 sein und nur bestimmte Endgeräte bekommen Zugriff von außen auf VLAN1?

vlan1
vlan11080×1146 69.4 KB

Danke für eure Hilfe.