Sto esponendo troppo attraverso l'intervallo di porte in avanti sul sistema di sicurezza domestica

Hai chiesto se erano troppe porte. È una specie di domanda sbagliata. Una porta può essere troppe.

Se desideri i servizi forniti dal dispositivo e sei disposto ad accettare i rischi di estranei che accedono al dispositivo di conseguenza, quindi una porta o 10, non importa.

Desidero comunque limitare il rischio inserendo questo dispositivo in una rete ospite o in una VLAN separata, nel caso in cui il dispositivo venga sostituito per diventare un punto di pivot per un utente malintenzionato.

Dovresti abilitare il port forwarding solo se vuoi vedere le telecamere dal mondo esterno, es. dal tuo telefono o computer di lavoro. La porta 80 è ovviamente l'interfaccia web in cui si effettua l'accesso dall'esterno, non sono sicuro di quali porte stanno utilizzando le altre app. Si dovrebbe sicuramente mantenere aggiornato il firmware e usare password complesse a meno che non si voglia mostrare su shodan.io ... Si consiglia di ottenere un raspberry pi e l'impostazione di firewall openvpn e pfsense o ufw su di esso. Configuralo in modo che solo alcuni indirizzi IP possano accedervi, come il tuo telefono e una chiave di firma ca.

Abbiamo avuto questa idea che "porte aperte == non protette". Questo è almeno un po 'vero, quindi viene ripetuto alle persone in uno snippet di conversazione di 2 minuti per spiegare la sicurezza a livello micro. Si potrebbe pensare che "porti più aperti == più insicuri". Semplicemente non è affatto vero.

La realtà è che sono i dispositivi oi servizi stessi a essere insicuri. Le telecamere Internet hanno un track record particolarmente negativo. Il modo in cui devi pensare a questo è, ti senti a tuo agio con qualsiasi vecchio schmo è in grado di hackerare banalmente nella tua webcam e guardarlo? Perché questo è almeno uno scenario semi-probabile con questo tipo di dispositivi. C'è semplicemente un piccolo incentivo per i produttori di dispositivi a preoccuparsi della sicurezza, ed è in gran parte fuori dal tuo controllo.

Dici che sei disposto a tenere il passo con gli aggiornamenti. Stai supponendo che il produttore si preoccupi veramente della sicurezza, che in genere non lo fa. Anche se lo fanno, ti stai ancora aprendo per il periodo fino a quando non forniscono una patch. Chi può dire quante persone erano a conoscenza di un exploit in una oscura videocamera internet prima di essere riparato?

Il risultato finale è, pensate alla fotocamera come a un dispositivo pubblicamente disponibile trasmesso su un oscuro canale TV. Firewall fuori dal resto della rete. Quindi il peggio che può succedere è che qualcuno possa romperlo. (Il che è già vero, dal momento che chiunque potrebbe anche solo lanciare una roccia di buone dimensioni sulla cosa).

Vedo due rischi principali:

1. La scatola NVR non è sicura. Pur non avendo conoscenza di questo marchio, i dispositivi IoT sono, come hai detto, notoriamente insicuri. Quanto è grande il rischio di una marca / prodotto specifico. È un buon segno se il produttore ha rilasciato patch di sicurezza per questo o un altro prodotto. Significa che si preoccupano (almeno un po '). Ma potrebbero rilasciare patch senza dire che sono legate alla sicurezza, quindi non è una cartina di tornasole.
2. In qualche modo un altro dispositivo sulla rete ottiene quell'indirizzo IP. Presumo che tu stia utilizzando IP statici per la scatola NVR, ma probabilmente IP dinamici per altri dispositivi. Assicurati quindi che il tuo router non possa assegnare quell'IP a un altro dispositivo. Probabilmente è possibile limitare l'intervallo di IP dinamici nella configurazione del router. Questo fermerà un utente malintenzionato che si bloccherà l'NVR e avrà l'IP riassegnato per accedere ad altri dispositivi sulla rete.

Un'alternativa all'apertura del firewall è quella di ottenere un router / firewall che permetta di configurare le VLAN o una rete ospite. È quindi possibile limitare l'accesso in modo che solo il dispositivo NVR sia esposto a Internet. Questo fermerà un NVR compromesso usato come una jump box per attaccare il resto della rete.

Potresti anche voler disabilitare la porta 80 e altre porte non criptate se il sistema funzionerà ancora. Dato che sei l'unico ad accedere alla scatola, solo l'utilizzo di SSL non dovrebbe essere un problema.

Questi prodotti con webcam IP sono notoriamente insicuri, quindi una porta è già di gran lunga troppa. Prendi in considerazione l'utilizzo di un prodotto VPN (anziché il port forwarding) per proteggere l'accesso remoto ... OpenVPN è molto utile e supportato dai router DD-WRT.

Ricorda che un compromesso consentirà a un utente malintenzionato di accedere a video / audio dalla videocamera, il che è in molti modi molto più pericoloso del gizmo utilizzato come punto di incursione di rete.

La risposta è sì è pericoloso aprire porte come questa. Proprio ieri ho visto questo articolo discutere della divulgazione delle password di root hardcoded in alcuni Lorex (tra gli altri) DVR.

link

Sfortunatamente, il port forwarding attraverso il firewall è l'unico modo in cui molti di questi DVR economici ti permettono di utilizzare un client remoto / mobile per accedere ai video quando sei lontano. A tal fine, metterei questo sistema su una DMZ per proteggere il resto della rete domestica da esso in caso di compromissione. O imposta la tua VPN.

Come altri hanno indicato che vuoi mettere questo sistema su una VLAN separata dietro un router / switch e per essere più sicuro, chiudi tutte queste porte e sacrifica la possibilità di vedere le tue telecamere via web. È possibile visualizzarli configurando una VPN nella rete domestica che consente di inviare e ricevere traffico crittografato per visualizzare le telecamere e amministrarle quando sono fuori casa.

I motori di ricerca come shodan.io esistono appositamente per trovare telecamere che sono state progettate senza sicurezza in mente e potresti trovarti a fare un passo avanti sulla sicurezza della tua casa e due passi indietro.