Valutazione della sicurezza delle telecamere di sicurezza domestiche

41

I miei genitori hanno una casa di vacanza nel paese e stanno cercando di installare un sistema di sorveglianza domestica per la visione remota. Ho sentito che ci possono essere gravi vulnerabilità in questi prodotti. Quali sono alcune linee guida che potrei utilizzare per aiutare a valutare questi prodotti?

Ho uno sfondo di sviluppo software, quindi mi sento a mio agio con le risposte tecniche, ma di certo non sono un professionista per quanto riguarda l'amministrazione del sistema o la configurazione di rete. I miei genitori stanno cercando di spendere meno di $ 300, anche se possono spendere di più se questo è irrealisticamente basso per un sistema ben protetto, quindi le mie risorse finanziarie per eseguire personalmente una valutazione della sicurezza sono limitate.

    
posta mercurial 28.12.2015 - 20:08
fonte

4 risposte

38

Come la maggior parte dell'hardware incorporato (router, ecc.), il loro firmware spesso fa schifo e, a meno che tu non abbia tempo illimitato, temo che non ci sia modo di controllare accuratamente ogni singola telecamera. E anche se ne trovi uno che è attualmente sicuro, che cosa garantisce che riceverai aggiornamenti per le vulnerabilità che verranno scoperte in futuro?

Invece, suggerisco di creare le tue telecamere IP usando webcam USB (o telecamere IP economiche / insicure) e collegandole a un computer Linux / BSD che gestirà effettivamente tutta l'autenticazione / sicurezza e poi ritrasmetterà il feed video della videocamera (preferibilmente su qualcosa di sicuro come HTTPS). In questo modo la parte di internet della tua "fotocamera" fatta in casa può essere aggiornata e indurita come qualsiasi computer, e dietro di essa sei libero di mettere qualsiasi videocamera che desideri, compresa la spazzatura più economica dal momento che non sarà esposta a Internet comunque.

Infine, considera la possibilità di mettere il sistema della telecamera su una rete separata aperta da Internet - so che non si applica al tuo caso, ma vorrei ancora menzionarlo - il requisito per l'accesso fisico è una sicurezza piuttosto buona misura, come qualcuno che vuole spiarti ora deve irrompere fisicamente nella tua casa piuttosto che essere a migliaia di chilometri di distanza. Se è necessaria la registrazione off-site, il video può essere crittografato e quindi trasmesso in streaming all'esterno del traferro tramite un cavo Ethernet unidirezionale con la chiave tenuta in modo sicuro, in modo che i dati che lasciano il traferro non abbiano significato a meno che la chiave corretta non sia fornito.

    
risposta data 28.12.2015 - 21:32
fonte
10

Questo è iniziato come un commento alla risposta di Andre, ma è stato un po 'lungo.

USB va bene fintanto che nessuna telecamera è a più di 16 piedi dall'host:)

Dal momento che devi comunque alimentare le telecamere, esegui una connessione Ethernet cablata alla LAN (o utilizza POE se trovi telecamere che la supportano). Su una sottorete non indirizzata, la maggior parte delle vulnerabilità di sicurezza intrinseche vanno via.

Questo lascia il problema del software server che dovrà scaricare i dati in tempo reale (o abbastanza vicino). Dopo tutto, il server stesso è un elemento facilmente resettato.

Ora hai la possibilità di registrare esattamente cosa fanno i ladri. Non avrebbe più senso pensare a come si potrebbe usare la capacità di scoraggiare eventuali ladri? Alcuni strumenti (ad es. Zoneminder) hanno l'integrazione x10 (accende le luci).

    
risposta data 28.12.2015 - 22:34
fonte
9

EDIT: modifica leggermente questa risposta (ora tre parti)

Versione budget ridotto

Prendi un router usato (che gira intorno alla casa?), installa dd-wrt su di esso e spegni il WiFi. Bingo, interruttore a 4 porte pronto all'uso. Non si otterrà PoE per le telecamere, ma, se necessario, questo è facilmente rettificato (gioco di parole) con un adattatore PoE o solo verruche. Esegui una VPN sul router dd-wrt, inseriscilo nel DMZ del router principale (o porta in avanti) e sei a posto. Nessuna gestione di Linux, se davvero non la vuoi. Le telecamere sono isolate dalla rete domestica e protette dagli inter-web.

Potresti andare molto lontano recuperando la rete usata e l'hardware della videocamera a buon mercato. Anche i Raspberry PI sono dispositivi meravigliosi e possono aiutare a far funzionare una rete.

Versione ad alto budget

La mia attuale configurazione per scopi di confronto. Attualmente possiedo cinque telecamere Axis per il mio sistema di sicurezza domestica, alimentato da uno switch PoE Cisco e gestito da un router Cisco. Molto più di quanto i tuoi genitori vogliano spendere. Tuttavia, ritengo che il modello sia adatto per te da considerare come una portata. Ho progettato questo set da solo senza alcuna esperienza di rete (IT). È stato un momento di apprendimento, di sicuro.

Protezione di rete

La più grande preoccupazione che avrai è quella di cui sei già preoccupato, hack da Internet. Questo è meglio risolto con un approccio a tre punte.

In primo luogo, migliore è l'hardware che si trova su Internet, più sicuro sarà.

In secondo luogo, indurisci tutto ciò che hai di fronte a Internet e seduto dentro (cambia tutte le password predefinite, chiudi le porte non necessarie, esegui una VPN piuttosto che UPnP, se puoi). Isolare i sistemi dagli utenti, se possibile (ad esempio, se si dispone di un interruttore, posizionare le telecamere su un vlan).

Terzo, esplora la tua rete consolidata con nmap dall'esterno e usa www.grc.com dall'interno. GRC è un ottimo punto di partenza. Usa anche nmap dall'interno per vedere quali porte hai lasciato aperte internamente e potresti creare problemi futuri.

    
risposta data 29.12.2015 - 00:03
fonte
1

Ci sono alcune cose da fare per proteggere il tuo sistema di sicurezza domestica:

  1. Come diceva un altro poster, la configurazione del proprio server Linux (Raspberry Pi è una buona soluzione) e le telecamere connesse IP sono il modo migliore, ma la vulnerabilità arriverà nelle telecamere stesse.
  2. Assicurati di non utilizzare la password predefinita. In questo modo, anche se venissi scoperto, sarà più difficile evadere. Soprattutto cambia le password di root, laddove possibile.
  3. Incapsula ha uno scanner di vulnerabilità di Mirai , che analizza il tuo IP per vedere quali potrebbero essere a rischio. link
  4. Utilizzare un firewall per applicazioni Web (WAF) per mettere il dispositivo dietro
  5. Disattiva tutte le connessioni remote non necessarie.
  6. Esegui il firmware più aggiornato per garantire che le vulnerabilità di sicurezza scoperte vengano corrette. Ma renditi conto che ci sono molte vulnerabilità prive di patch che rimangono. Questo è qualcosa che siamo meno propensi a fare per i dispositivi rispetto al nostro computer di casa / lavoro.
  7. Riavvia e assicurati che tutto funzioni ancora.

Sulla scia di Mirai e di altre botnet, comprendi che il tuo dispositivo è a rischio anche se non sei un bersaglio.

    
risposta data 13.11.2016 - 14:50
fonte

Leggi altre domande sui tag