Telecamere IP o webcam e sicurezza wifi / rete

Naviga le tue risposte
3

Se ho un:

  • router con controllo stato dei pacchetti attivato, oltre alla sicurezza WPA2 sulla rete wifi
  • una telecamera IP o webcam collegata a questa rete WiFi

C'è un modo per assicurarti che:

  • la videocamera stessa non può provare a chiamare un servizio esterno e ignorare il firewall SPI
  • l'unico modo per visualizzare il feed video è quello di ssh su un server Linux connesso allo stesso wifi?
posta Uzumaki Naruto 05.01.2014 - 02:48
fonte

2 risposte

5

Impedire che la videocamera parli al mondo esterno è banale, o quasi impossibile, a seconda di quanto sia malvagia la fotocamera. Da un lato, qualsiasi router decente dovrebbe essere in grado di bloccare o non bloccare il traffico da qualsiasi IP locale verso il mondo esterno; pertanto, è possibile configurare il router su:

  • assegna un indirizzo IP specifico alla telecamera (in base al suo indirizzo MAC);
  • blocca tutto il traffico non locale verso e da questo indirizzo IP.

Se la fotocamera è "per lo più onesta", funzionerà. Tuttavia, se la videocamera è intento per eludere le tue misure, la situazione diventa più complessa:

  • La videocamera potrebbe assumere un altro indirizzo IP autonomamente, ignorando il filtro IP.
  • La fotocamera potrebbe cambiare il suo indirizzo MAC, in modo da evitare qualsiasi filtro basato su MAC sul router.
  • La fotocamera potrebbe provare a inviare dati segretamente tramite richieste DNS. Infatti, mentre il router blocca il traffico verso il mondo esterno, la telecamera potrebbe comunque comunicare con il router, in particolare con il server DNS gestito dal router. Quel server DNS può quindi inoltrare richieste DNS a entità esterne. Un sacco di dati possono essere contrabbandati in quel modo; vedi questa presentazione per un'introduzione sull'argomento.
  • E, naturalmente, dato che la telecamera è dotata di alcuni circuiti WiFi-able, può provare a parlare con altri punti di accesso WiFi nelle vicinanze.

Quindi si potrebbe dire che si sarà in grado di contenere il traffico della telecamera sulla rete locale solo finché la telecamera proverà a parlare con i server esterni solo per motivi stupidi ma non deliberatamente disonesti (ad esempio, controllare l'aggiornamento del firmware).

Come per impedire l'accesso alla telecamera dall'esterno: di nuovo, si deve presumere che la telecamera non stia aprendo volontariamente un canale nascosto. Quando le query DNS portano dati, vanno in entrambe le direzioni ... Supponiamo che la telecamera si comporti correttamente. In tal caso, è necessario verificare quanto segue:

  • Il livello WiFi è robusto. Per farla breve, significa che WPA2 ha una password sufficientemente casuale (vedi la pagina di Wikipedia sulla sicurezza WiFi come punto di partenza su il soggetto). Per assicurarsi che la fotocamera sia effettivamente compatibile con WPA2, configura il tuo router in modo da consentire solo WPA2 e rifiutare WPA e WEP; se la fotocamera comunica ancora, allora funziona WPA2 e va bene. Altrimenti, abbandonalo.

    In ogni caso, lascia il tuo router in modalità solo WPA2.

  • Il resto della rete locale è robusto. In questo caso il router fungerà da primo livello di protezione; i pacchetti esterni lo raggiungeranno, non altre macchine. Configurerai il router per inoltrare le connessioni alla porta 22 a uno specifico indirizzo IP locale, assegnato al tuo server Linux, e quel server eseguirà un daemon SSH su quella porta. Assicurati che gli aggiornamenti di sicurezza siano applicati regolarmente su quel server; non vuoi un buco sfruttabile da remoto nel daemon SSH o nel kernel per consentire a un intruso di dirottarlo.

    Un corollario è che alcuni malware su qualsiasi macchina client connessa alla rete locale possono aprire porte e dare accesso agli estranei. Dovresti pensarci due volte prima di consentire agli amici di "connettersi al WiFi" con i propri dispositivi, di cui non si può garantire la pulizia.

    Un altro corollario è che tutto fa affidamento sull'assenza di vulnerabilità sfruttabili a distanza nel router stesso. Questo potrebbe essere un po 'ottimistico ...

Se vuoi essere sicuro , fai quanto segue:

  1. Non utilizzare una fotocamera che supporta la rete WiFi o persino la rete. Utilizzare una fotocamera USB, collegata a un PC con Linux (ad esempio il proprio server). Quella macchina riceverà il feed. Ora il problema diventa quello di controllare cosa fa quel sistema Linux, e questo è almeno fattibile senza troppi presupposti sul comportamento di firmware e driver closed-source.

  2. Metti un router / firewall dedicato tra il tuo router WiFi e il router fornito dal tuo ISP. Quel router dedicato dovrebbe essere, di nuovo, un piccolo PC con un sistema simile a Unix. L'idea non è che Linux sarebbe intrinsecamente migliore del sistema operativo all'interno di un normale router economico; in effetti, alcuni di loro eseguono anche un kernel Linux. Il punto è che, con un PC, è possibile applicare gli aggiornamenti su base giornaliera, mentre gli aggiornamenti del firmware per i router sono rari, quando esistono.

L'intera idea alla base è che può ottenere una sicurezza decente, a condizione che tu spenda tempo di amministrazione del sistema su di esso, e che gli aggiornamenti di sicurezza possano essere applicati a tutti.

    
risposta data 05.01.2014 - 15:20
fonte
1

Non hai bisogno di un'ispezione dei pacchetti attivata devi solo limitare l'accesso alla rete della videocamera. Limitarlo in modo che solo l'IP della macchina da cui si desidera poterlo visualizzare sia la sola connessione in uscita consentita. Da lì hai configurato l'accesso ssh a quella macchina e sei pronto.

Le impostazioni di rete e l'installazione del server ssh dipenderanno dalle scelte hardware e software. HTH

    
risposta data 05.01.2014 - 04:21
fonte

Leggi altre domande sui tag

Heartbleed: soffiato a dismisura? [duplicare] La stessa stringa crittografata con la stessa chiave non genera lo stesso valore crittografato?