È brutto che le telecamere utilizzino un indirizzo IP statico?

Considererei un altro appaltatore, dal momento che questa affermazione non aumenta precisamente la mia fiducia nelle sue conoscenze / abilità.

Il modo corretto di configurare un sistema di telecamere di sicurezza in modo da poterli controllare quando si è assenti è avere il port forwarding sul proprio router esclusivamente per VPN o HTTP / TLS mappati alla macchina registrazione dei dati dalle telecamere. Funzionerà con un IP statico o con DynDNS. Se usi, ad es. una Diskstation per fare la registrazione (come faccio a casa) quindi hai già DynDNS e il software di sorveglianza (con un numero limitato di licenze, 4 nel mio caso) già gratis.

Mai, mai e poi mai , esporre una telecamera IP a Internet. Questo è un invito aperto non solo per le persone come i russi che hanno installato insecam mezzo anno fa per prendersi gioco del loro sito web così come di tutti i tipi di pervertiti e, naturalmente, i ladri.
Rischia anche di essere sfruttato e di avere malware (magari software di controllo botnet?) Installato all'interno della rete domestica. Da lì attaccheranno gli altri computer che vedranno il traffico proveniente da una fonte "fidata". Quasi tutte le telecamere IP dispongono di firmware economico, predefinito e non sicuro, alcuni addirittura non supportano la crittografia di base. Il firmware viene aggiornato raramente, se mai, e non necessariamente per tenere conto di problemi di sicurezza. Le telecamere di casa mia sono sensibili a Heartbleed (anche se questo è pubblicamente noto per quasi un anno). Non c'è niente da fare a riguardo, a parte non permettere a nessuno di accedervi. La documentazione non ne parla nemmeno, ma è dimostrabilmente sfruttabile.

potrebbe consentire alle telecamere di effettuare una connessione in uscita per caricare file su un server esterno quando scatta l'allarme, il che rende inutile il furto o la distruzione del server a casa. Ma mai consente connessioni in entrata di sorta.

Personalmente, non permetterei nemmeno a una telecamera di effettuare connessioni in uscita, visto come praticamente tutte le telecamere IP e il loro firmware sono prodotti in Cina (e quelli che non sono fatti negli Stati Uniti, il che è altrettanto negativo) .
Lo spionaggio sostenuto dal governo e, in particolare, lo spionaggio industriale è un grande business, e come si potrebbe fare meglio che richiedere un canale segreto incorporato in ogni telecamera che i tuoi potenziali obiettivi metteranno facilmente dove c'è qualcosa di importante? Ovviamente hai detto che non sei una persona importante (... ma chi è davvero poco importante quindi nessuno si preoccuperebbe di guardare? Perché la NSA legge le tue mail allora?). Non essere l'obiettivo principale non significa che la backdoor non sia comunque incorporata nella tua fotocamera, che potrebbe essere utilizzata e abusata da praticamente chiunque.
Chiunque, compresi i ladri che possono comodamente verificare se qualcuno è a casa. Non rendere le loro vite più facili di quanto dovrebbe essere.

Aggiornamento:
Nel frattempo, la mia affermazione sul rischio di software botnet installato sulle telecamere IP non è più una mera possibilità. L'affermazione di cui sopra che forse sembrava un paranoico un bocconcino è risultata essere assolutamente profetica (attacco di ottobre 2016 su Dyn).
Pertanto: nessun accesso diretto a Internet per dispositivi presumibilmente insicuri, mai, mai e poi .

L'IP statico o dinamico è un non-problema.

Ma dal momento che hai tirato fuori le telecamere, dovresti sapere che molte telecamere IP hanno MOLTO scarsa sicurezza. Molte di queste fotocamere hanno un firmware difettoso noto che consente il download non autenticato dell'intera memoria del dispositivo semplicemente andando a / proc / kcore, senza la necessità di autenticarsi. Ciò consente a chiunque di ottenere la password per la tua fotocamera.

link

L'unica differenza tra l'indirizzo IP statico cui si riferisce il tecnico e un indirizzo dinamico e mutevole in questa situazione è che non si cambia mai, e l'altra (la frequenza dipende da molti fattori).

Non c'è nulla di intrinsecamente più o meno sicuro di entrambi. Entrambi sono un mezzo per identificare te e la tua rete domestica su Internet.

Non proprio ...

Gli indirizzi dinamici e statici presentano diversi vantaggi / inconvenienti.

Static

• Vulnerabile al data mining poiché utilizzi sempre lo stesso indirizzo.
• Ottimo per ospitare un server (ad esempio visualizzare il contenuto della videocamera di sicurezza in remoto)
• Cattivo troll nei forum poiché puoi facilmente bloccarlo

Dinamico

• Meno vulnerabile al data mining poiché spesso cambi il tuo indirizzo IP
• Non è bello ospitare un server (può rendere più difficile la connessione o è possibile condividere l'IP con un altro server che invia un sacco di spam che potrebbe farti avere un brutto nome)
• Buono per troll nei forum poiché è più difficile bloccarti

L'unica cosa rilevante per la sicurezza è il data mining. È un grosso problema per te?

Di solito, il tuo ISP deciderà se avrai un indirizzo statico o dinamico. Basato su ciò che vuoi, sperare per il meglio.

Per un tipico utente residenziale, l'IP statico e dinamico non ha importanza dal punto di vista della sicurezza. Proprio come l'indirizzo della tua residenza è piuttosto statico. Non cambierai mai quell'indirizzo (a meno che tu non ti muovi, naturalmente). Importa solo se qualcuno vuole targetizzare in modo specifico tu e conosce il tuo indirizzo. Un utente tipico non dovrebbe preoccuparsi di ciò che accade con il loro IP. Oltre a questo, le minacce saranno casuali. Non importa se il tuo IP è statico o dinamico, solo che ne hai uno.

Vedi Un utente malintenzionato ha il mio indirizzo IP, quindi?

Se stai utilizzando una videocamera, l'IP dinamico potrebbe avere qualche vantaggio. Se qualcuno trova l'IP, può almeno provare ad accedere alla telecamera e potrebbe condividere l'IP con altre persone. Un IP dinamico cambierà, nel senso che dovrebbero trovarlo di nuovo.

Inoltre, ci sono modi per accedere alla rete domestica anche se ha un IP dinamico . Ovviamente questo significa che anche altre persone potrebbero usare il metodo per accedervi.

I tuoi problemi di sicurezza saranno i seguenti, a seconda della tua valutazione del rischio.

1. Una telecamera di rete, specialmente quella esterna, mi darebbe accesso cablato alla rete se la rimuovessi dal muro e collegassi il mio portatile o anche il mio router WiFi Raspberry Pi

2. Sul router sarà necessario inoltrare le porte a ciascuna telecamera e / o DVR.

   Qualsiasi porta aperta sono possibili punti di accesso in una rete.

3. Hardware, possibili difetti di exploit ecc. nella fotocamera.

Assicurati di averlo protetto con nome utente / password richiesti, ci sono molti siti che indicizzano telecamere IP non protette, come shodanhq

Non è essenziale utilizzare indirizzi IP statici. Potresti utilizzare una combinazione di indirizzi IP dinamici, port forwarding nel tuo router e un servizio come dyndns.org (che ti dà un indirizzo statico che reindirizza al tuo indirizzo dinamico, che devi aggiornare ogni volta che cambia l'indirizzo dinamico. l'aggiornamento può avvenire manualmente o molti router hanno funzionalità integrate per contattare automaticamente dyndns e aggiornare il tuo indirizzo ogni volta che cambia). dyndns.org non è l'unico sito che fornisce questo servizio, è solo quello con cui ho familiarità.

Anche se si sta utilizzando un indirizzo statico per le telecamere, potrebbe essere necessario uno strumento come dyndns se la propria connessione Internet è dinamica, altrimenti non si conoscerà l'indirizzo IP a cui connettersi quando non si è a casa.

Tutto ciò che ho detto, da un punto di vista della sicurezza, non c'è differenza tra indirizzi statici e dinamici. Come altre persone hanno sottolineato, indipendentemente dal tuo indirizzo IP, dovresti prendere altre misure per proteggere le telecamere, come tenere il firmware in alto

Il motivo principale per cui desideri un IP statico è che hai un modo per raggiungere le tue videocamere quando sei assente. Immagina questo, se dovessi chiamare qualcuno ma non aveva il loro numero di telefono o era stato cambiato senza alcun numero di inoltro da chiamare, come li avresti raggiunti? L'IP statico ti dà sempre lo stesso numero. Detto questo, ci sono altri modi per connettersi dall'esterno usando una sorta di sistema DDNS.

Dato che userete una telecamera di sicurezza IP, raccomanderei un Synology NAS, hanno un sistema DDNS che funziona abbastanza bene e viene fornito con il costo dell'acquisto NAS e non vi è alcun controllo mensile in cui è necessario fare con alcuni dei servizi DDNS gratuiti. Inoltre, è possibile puntare la telecamera per registrare sul NAS, in modo da ottenere un sacco di spazio di archiviazione e espansione facile e hanno anche la propria App che è possibile utilizzare per accedere alle registrazioni.

Detto questo, vorrete mettere il NAS dietro un router e portarlo sul NAS. Un Netgear WNDR 3700 è piuttosto economico e farà il lavoro, la cosa bella di quel router è che tutte le porte si presentano come stealth, anche quando sono aperte al port forwarding. Quindi, se qualcuno esegue la scansione del tuo router da Internet, non sapranno nemmeno che è lì. Se non sai come eseguire il port forwarding, il Synology NAS può essere collegato con il tuo codice di connessione rapida personalizzato che hai configurato per te.

In passato questi dispositivi NAS sono stati abbastanza buoni, hanno un elenco di compatibilità da verificare, quindi acquistano una telecamera da quell'elenco per lavorare con il NAS, l'unica cosa che ti avviserà, il recente DS1815 è un po 'rumoroso quando i dischi rigidi sono attivi e potrebbe essere vero con gli altri modelli del 2015, quindi tienilo a mente quando decidi di prendere il NAS e dove vuoi metterlo. Uso gli HDD Red WD e funzionano benissimo, dal momento che registrerete video, potrebbe essere una buona idea andare con i dischi rigidi WD RED Pro, sono più veloci e, a quanto si dice, più silenziosi.

Una volta che tutte le impostazioni sono state installate, non distribuire automaticamente gli aggiornamenti, monitorare quando viene rilasciato un aggiornamento, ti dirà nell'interfaccia di gestione web, penso che puoi configurare il NAS per inviarti e-mail anche per quello, quindi controlla il forum Synology per vedere quali altri utenti hanno esperienza con l'aggiornamento e puoi anche fare domande agli altri per vedere se hanno una certa webcam e NAS e se sono buoni con l'aggiornamento. Non tutti gli aggiornamenti di Synology sono perfetti, ma fintanto che fai attenzione, dovresti essere abbastanza tranquillo con il NAS.

Inserirò un collegamento al sito e potrai decidere autonomamente. link

Spero che questo ti aiuti

Saluti

Anche se personalmente potresti non essere un bersaglio, gli hacker potrebbero comunque voler intromettersi per divertimento o per mettere in comune il dispositivo connesso IP e renderlo parte di un attacco botnet più ampio. Molti hacker stanno raggiungendo telecamere di sicurezza e unendole insieme come parte della botnet Mirai.

Gli utenti possono scansionare se il loro IP (comprese le telecamere) e la rete sono infetti dalla botnet Mirai: link

È anche una buona idea cambiare la tua password, mettere la tua rete dietro un WAF (Web Application Firewall) e assicurarti che il tuo DNS abbia anche protezione (vedi il recente attacco DDoS contro Dyn, per esempio).

L'IP statico con gateway e server DNS verrà specificato dall'utente nelle proprietà della scheda di rete. Quindi usando l'IP dinamico tutti questi parametri ti saranno assegnati da DHCP. Inoltre può essere un server malevolo, quindi riceverai, ad esempio, indirizzi specifici di DNS e verrai reindirizzato su un sito speciale. Dall'altro ci sono alcuni modi per proteggere l'accesso alla rete con DHCP, come i criteri di accesso alla rete, ma ho qualche dubbio che sarà implementato nel tuo sistema video. Quindi le regole di sicurezza di base ti aiuteranno a memorizzare le tue informazioni, tuttavia utilizzerai l'IP statico o dinamico.