新しい家に引っ越そうとしていて、防犯カメラを設置したいのですが。
請負業者は、私が離れているときにカメラで記録されたビデオをリアルタイムで確認するために、静的IPアドレスが必要になると言っています。
問題はありますか?安全性は低いですか?
私は億万長者でも有名でもないので、標的型攻撃が行われる可能性は低いです。一方、それは私のホームネットワークであり、遅かれ早かれ銀行の資格情報を入力する可能性があるため、安全にしたいと考えています。
その発言は彼の知識/スキルへの私の信頼を正確に高めるものではないため、私は別の請負業者を検討します。
セキュリティカメラシステムをセットアップして、離れているときにそれらをチェックできるようにする正しい方法は、ルーターでポート転送を行うことです排他的に VPNまたはHTTP/TLSのデータを、カメラ。これは、静的IPまたはDynDNSで機能します。あなたが使用する場合録画を行うDiskstation(私が自宅で行うように)を使用すると、DynDNSと監視ソフトウェア(限られた数のライセンス、私の場合は4つ)を既に無料で入手できます。
決して、決して、IPカメラをインターネットに公開しないでください。これは、半年前にインセカムを設置してロシア人のウェブサイトやあらゆる種類の変質者、そしてもちろん泥棒にあなたをからかうためのオープンな招待だけではありません。
また、ホームネットワーク内に悪用され、マルウェア(おそらくボットネット制御ソフトウェア?)がインストールされるリスクもあります。そこから他のコンピュータを攻撃し、「信頼できる」ソースからのトラフィックを確認します。ほとんどすべてのIPカメラは安価でデフォルトから安全でないファームウェアを備えており、基本的な暗号化をサポートしていないものもあります。ファームウェアが更新されることはほとんどありませんが、セキュリティ上の問題を考慮する必要はありません。私の家のカメラはHeartbleedの影響を受けます(ただし、これはほぼ1年間公に知られています)。誰にもアクセスさせないこと以外、何もする必要はありません。ドキュメントはそれについてさえ触れていませんが、明らかに悪用可能です。
あなたmightは、アラームがトリガーされたときにカメラが外部サーバーにファイルをアップロードするために送信接続を行うことを許可します。これにより、自宅のサーバーを盗んだり破壊したりできなくなります。ただし、neverは、着信接続をまったく許可しません。
個人的には、カメラが発信接続を確立することさえ許可しません。事実上すべてのIPカメラとそのファームウェアが中国で製造されている(そして、米国で製造されていないものも同様に悪い)ので。
政府が支援するスパイ活動、特に産業スパイ活動は大きなビジネスです。すべてのカメラに組み込まれている潜在的なターゲットが重要な場所にすぐに配置できる秘密のチャネルを要求するよりも、どうすればそれを上手にできるでしょうか。もちろん、あなたはあなたが重要な人物ではないと言っていました(しかし、誰も本当に重要ではないので誰も気にしないでしょう。なぜNSAメールを読んでいるのですか?)。プライムターゲットは、バックドアがカメラに組み込まれていないことを意味するものではありません。バックドアは、ほとんどの人が使用して悪用することができます。
誰かが家にいるかどうかを簡単にチェックできる強盗を含むすべての人。彼らの生活を必要以上に楽にしないでください。
更新:
一方、ボットネットソフトウェアがIPカメラにインストールされる危険性についての私の声明は、もはや単なる可能性ではありません。ちょっとしたパラノイアのように聞こえる上記のステートメントは、完全に予言的であることがわかりました(Dynに対する2016年10月の攻撃)。
そのため、おそらく安全でないデバイスへの直接インターネットアクセスはありません決して、決して。
静的または動的IPは問題ではありません。
しかし、カメラを起動したので、多くのIPカメラのセキュリティが非常に低いことを知っておく必要があります。これらのカメラの多くには既知の不正なファームウェアが含まれており、認証することなく/ proc/kcoreにアクセスするだけで、デバイスのメモリ全体を認証なしでダウンロードできます。これにより、誰でもカメラのパスワードを取得できます。
この状況で技術者が参照する静的IPアドレスと動的で変化するアドレスの唯一の違いは、1つは変更されず、もう1つは変更されることです(多くの要因に依存する頻度)。
どちらについても、本質的に多かれ少なかれ安全なものはありません。どちらも、あなたとあなたのインターネット上のホームネットワークを識別する手段です。
実際には...
動的アドレスと静的アドレスには、異なる利点/不便があります。
静的
動的
セキュリティに関連する唯一のものはデータマイニングです。それはあなたにとって大したことですか?
通常、ISPが静的アドレスと動的アドレスのどちらを使用するかを決定します。あなたが望むものに基づいて、最高のものを望んでください。
一般的なレジデンシャルユーザーにとって、静的IPと動的IPはセキュリティの観点からはあまり重要ではありません。ちょうどあなたの住居の住所がかなり静的であるように。そのアドレスを常に変更するわけではありません(もちろん、移動しない限り)。誰かがあなたを明確にターゲットにしたい場合にのみ重要であり、彼らはあなたのアドレスを知っています。一般的なユーザーは、IPの問題を心配する必要はありません。それ以外は、脅威はランダムです。 IPが静的か動的かは関係ありません。IPが1つだけあるだけです。
カメラを実行している場合、動的IPにはいくつかの利点があります。誰かがIPを見つけた場合、少なくともカメラへのアクセスを試みることができ、IPを他の人と共有することができます。動的IPは変化します。つまり、動的IPを再度見つける必要があります。
また、 動的IPがある場合でもホームネットワークにアクセスする方法はあります 。もちろん、これは、他の人がこのメソッドを使用してアクセスすることもできることを意味します。
自分のリスク評価に応じて、セキュリティの問題は次のようになります。
ネットワークカメラ、特に外部カメラを壁から取り外し、ラップトップまたはRaspberry Pi WiFiルーターを接続すると、ネットワークに有線でアクセスできるようになります
ルーターでは、各カメラやDVRにポートを転送する必要があります。
開いているポートはすべて、ネットワークへのアクセスポイントとなります。
カメラのハードウェア、可能な悪用の欠陥など。
静的IPが必要な主な理由は、離れているときにカメラに到達する方法があるためです。これを想像してください。誰かに電話をかけなければならないが、その電話番号を持っていなかったか、電話番号を転送するように変更されていなかった場合、どのように彼らに連絡しますか?静的IPは常に同じ数を提供します。とはいえ、なんらかのDDNSシステムを使用して外部から接続する方法は他にもあります。
IPセキュリティカメラを使用するので、Synology NASをお勧めします。DDNSシステムが非常にうまく機能し、NAS購入の費用がかかります。毎月の費用はかかりません。無料のDDNSサービスの一部を使用する必要があることを確認します。さらに、カメラをNASに記録するようにポイントできるため、大量のストレージと簡単な拡張が得られ、記録にアクセスするために使用できる独自のアプリさえあります。
NASをルーターの後ろに配置し、NASにポートフォワードすることができます。NetgearWNDR 3700はかなりコスト効率が高く、そのルーターでうまく機能します。つまり、ポート転送に開放されている場合でも、ポートはすべてステルスとして表示されます。そのため、誰かがインターネットからルーターをスキャンしたとしても、そこにあることさえわかりません。ポート転送の方法がわからない場合は、Synology NASは、自分で設定したカスタムクイック接続コードに接続できます。
過去にこれらのNAS=デバイスはかなり良いものでした、彼らはあなたがチェックアウトすべき互換性リストを持っています、そしてNASで動作するためにそのリストからカメラを購入します、私があなたに警告する唯一のものです約、最近のDS1815は、ハードドライブがアクティブであるときにやや騒々しく、2015年の他のモデルでもそうである可能性があるため、NASを取得することを決定するときは、そのことを覚えておいてください。私はWD Red HDDを使用していますが、それらは非常に機能します。ビデオを録画するので、WD RED Proハードドライブを使用することをお勧めします。
すべての設定が完了したら、更新を自動的にロールアウトせず、更新が出されるときに監視します。それにより、Web管理インターフェイスで通知されます。NASを設定してメールを送信できます。同様に、Synologyフォーラムをチェックして、アップデートの経験について他のユーザーが何を持っているかを確認し、他のユーザーに特定のWebカメラとNASとSynologyが展開するすべてのアップデートが完璧なわけではありませんが、注意している限り、NASをかなりスムーズに航行できるはずです。
私はサイトへのリンクを貼り付けます、そしてあなたはあなた自身のために決めることができます。 https://www.synology.com/en-us/products/DS1815+
これがお役に立てば幸いです
乾杯
必要なユーザー名/パスワードで保護されていることを確認してください。shodanhqのように、保護されていないIPカメラにインデックスを付けるサイトがたくさんあります。
静的IPアドレスを使用する必要はありません。動的IPアドレス、ルーターのポート転送、dyndns.orgなどのサービスの組み合わせを使用できます(動的アドレスにリダイレクトする静的アドレスを提供し、動的アドレスが変更されるたびに更新する必要があります)。更新は手動で行うこともできますが、多くのルーターにはdyndnsに自動的に接続し、アドレスが変更されるたびにアドレスを更新する機能が組み込まれています。このサービスを提供しているのはdyndns.orgだけではなく、私がよく知っているサイトです。
カメラに静的アドレスを使用している場合でも、インターネット接続自体が動的である場合はdyndnsのようなツールが必要になる場合があります。そうでない場合、不在時に接続するIPアドレスがわかりません。
とはいえ、セキュリティの観点からは、静的アドレスと動的アドレスに違いはありません。他の人が指摘したように、あなたのIPアドレスに関係なく、ファームウェアをアップに保つなど、カメラを保護するために他の手順を実行する必要があります
個人的にはターゲットではないかもしれませんが、ハッカーは楽しみのために侵入したり、IP接続されたデバイスをプールしてそれをより大きなボットネット攻撃の一部にしたりしたいと思うかもしれません。多くのハッカーがセキュリティカメラに到達し、Miraiボットネットの一部としてそれらを一緒にプールしています。
ユーザーは、IP(カメラを含む)とネットワークがMiraiボットネットに感染しているかどうかをスキャンできます。 https://www.incapsula.com/mirai-scanner.html
また、パスワードを変更し、ネットワークをWAF(Web Application Firewall)の背後に置き、DNSも保護されていることを確認することをお勧めします(たとえば、Dynに対する最近のDDoS攻撃を参照)。