web-dev-qa-db-ja.com

ホームセキュリティカメラのセキュリティの評価

私の両親は田舎に別荘を持っており、遠隔監視のために家の監視システムをセットアップしようとしています。これらの製品には深刻な脆弱性がある可能性があると聞きました。これらの製品の評価に役立つガイドラインにはどのようなものがありますか?

私はソフトウェア開発のバックグラウンドを持っているので、技術的な答えには満足していますが、システム管理やネットワーク構成に関する限り、私は確かに専門家ではありません。私の両親は300ドル未満で過ごすことを考えていますが、十分に保護されたシステムでは現実的ではないほど多くの費用を費やすことができるため、セキュリティ評価を自分で実行するための資金は限られています。

physicalrisk-analysisthreat-modeling
41
mercurial

ほとんどの組み込みハードウェア(ルーターなど)と同様に、ファームウェアはしばしば機能しません。無制限の時間がない限り、すべてのカメラを完全にチェックする方法はないと思います。そして、あなたが現在安全なものを見つけたとしても、将来発見される脆弱性のアップデートを確実に入手できるでしょうか?

代わりに、USBウェブカメラ(または安価で安全でないIPカメラ)を使用して独自のIPカメラを作成し、それらを実際にすべての認証/セキュリティを処理するLinux/BSDコンピューターに接続して、カメラのビデオフィードを再ブロードキャストすることをお勧めします(できれば、 HTTPSのような安全なもの)。こうすることで、自家製の「カメラ」のインターネットに接続する部分を、コンピューターと同じように更新して強化できます。その後ろに、露出しないので、最も安いごみを含め、好きなカメラを自由に配置できます。とにかくインターネット。

最後に、カメラシステムをインターネットからエアギャップされた別のネットワークに配置することを検討してください-それはあなたのケースには当てはまりませんが、私はそれについて言及したいです-物理的なアクセスの要件は、かなり良いセキュリティ対策です。あなたをスパイしたい人は、何千マイルも離れているのではなく、物理的にあなたの家に侵入しなければなりません。オフサイトでの記録が必要な場合は、ビデオを暗号化し、キーが安全に保たれた状態で一方向イーサネットケーブルを介してエアギャップの外側にストリーミングできるため、正しいキーがなければ、エアギャップを離れるデータは無意味になります。提供されます。

37
André Borie

これはアンドレの答えに対するコメントとして始まりましたが、少し長くなりました。

ホストから16フィートを超えるカメラがない限り、USBは問題ありません。

とにかくカメラに電力を供給する必要があるので、LANへの有線イーサネット接続を実行するだけです(または、それをサポートするカメラを見つけることができる場合はPOEを使用します)。ルーティングされていないサブネットでは、固有のセキュリティ脆弱性のほとんどがなくなります。

その場合、リアルタイムで(または十分近く)データをオフロードする必要があるサーバーソフトウェアの問題が残ります。結局のところ、サーバー自体は簡単にリセットできるアイテムです。

これで、強盗が何をしているかを正確に記録することができます。強盗を阻止する機能をどのように使用するかについて考える方が理にかなっていますか?一部のツール(zoneminderなど)にはx10統合(ライトをオンにする)があります。

10
symcbean

編集-この回答を少し修正しました(現在は3つの部分)

低予算バージョン

使用済みのルーター(家の周りに敷設していますか?)を拾い、dd-wrtをインストールしてWiFiをオフにします。ビンゴ、既製の4ポートスイッチ。カメラにPoEを取得することはできませんが、必要に応じて、PoEアダプターまたは壁のいぼだけで簡単に修正できます(意図的にしゃれた)。 dd-wrtルーターでVPNを実行し、メインルーターのDMZ(またはポートフォワード)に配置すれば、問題ありません。本当に必要ない場合は、Linux管理は必要ありません。カメラはホームネットワークから隔離され、インターウェブから保護されています。

中古のネットワークとカメラのハードウェアを安く手に入れればかなり遠いかもしれません。ラズベリーPIも素晴らしいデバイスであり、ネットワークの実行に役立ちます。

高予算バージョン

比較のための私の現在のセットアップ。私は現在、ホームセキュリティーシステム用に5つのAxisカメラを所有しており、Cisco PoEスイッチを搭載し、Ciscoルーターを前面に持っています。あなたの両親が使いたいよりもはるかに多く。ただし、このモデルはリーチとして考えるのに適していると思います。私はこれまでにネットワーク(IT)の経験がなく、このセットアップを自分で設計しました。確かに、それは学習の瞬間でした。

ネットワーク保護

あなたが持つ最大の懸念は、あなたがすでに心配しているもの、インターネットからのハッキングです。これは、3つの方法で解決するのが最適です。

まず、インターネットに面したハードウェアが高ければ高いほど、それはより安全になります。

次に、インターネットに直面して内部にあるものをすべて強化します(可能な場合は、すべてのデフォルトパスワードを変更し、不要なポートを閉じ、UPnPではなくVPNを実行します)。可能であれば、ユーザーからシステムを分離します(つまり、スイッチがある場合は、カメラをVLANに配置します)。

3番目に、強化されたネットワークを外部からnmapでスキャンし、内部からwww.grc.comを使用します。 GRCは素晴らしい出発点です。内部からもnmapを使用して、将来問題が発生する可能性のある、内部で開いたままにしたポートを確認します。

9
Andrew Philips

ホームセキュリティシステムを保護するには、いくつかのことを行う必要があります。

  1. 別のポスターが言ったように、独自のLinuxサーバー(Raspberry Piが良いソリューションです)とIP接続されたカメラをセットアップすることが最善の方法ですが、脆弱性はカメラ自体に発生します。
  2. デフォルトのパスワードを使用していないことを確認してください。このようにすると、たとえ発見されたとしても侵入は難しくなります。特に、可能な場合はrootパスワードを変更してください。
  3. Incapsulaには Mirai脆弱性スキャナー があり、IPをスキャンして何が危険にさらされているかを確認します。 https://www.incapsula.com/mirai-scanner.html
  4. Webアプリケーションファイアウォール(WAF)を使用してデバイスを背後に置く
  5. 不要なリモート接続を無効にします。
  6. 最新のファームウェアを実行して、検出されたセキュリティの脆弱性にパッチが適用されるようにします。ただし、パッチが適用されていない脆弱性が多数残っていることに注意してください。これは、私たち自身の自宅/職場のコンピュータよりも、デバイスに対して行う可能性が低いことです。
  7. 再起動して、すべてが正常に機能することを確認します。

Miraiや他のボットネットの影響を受けて、個人的にターゲットではない場合でも、デバイスが危険にさらされていることを理解してください。

1
White Hat