Även en bra brandvägg är verkningslös ifall kameror/utrustning på insidan är backdoor:ade.
Därför avråder från att låta kameror eller NAS:en komma ut på Internet. Spärra dess MAC-adresser samt IP'n i routern. Om du behöver komma åt dem utifrån kan du då göra det via VPN.
P.S.
F.ö. skickar min robotdammsugare (f.ö. utsedd som "bäst i test" av Bygga Hus) mina GPS-koordinater, SSID, IP, utseende av våra rum och WiFi lösenord (!) till en Kinesisk server. Den kör Ubuntu 14.04.3 med extra Kinesisk mjukvara. Detta by design. Appen som styr dammsugaren vill ha tillgång till mikrofonen och platstjänster
Därför avråder från att låta kameror eller NAS:en komma ut på Internet. Spärra dess MAC-adresser samt IP'n i routern. Om du behöver komma åt dem utifrån kan du då göra det via VPN.
P.S.
F.ö. skickar min robotdammsugare (f.ö. utsedd som "bäst i test" av Bygga Hus) mina GPS-koordinater, SSID, IP, utseende av våra rum och WiFi lösenord (!) till en Kinesisk server. Den kör Ubuntu 14.04.3 med extra Kinesisk mjukvara. Detta by design. Appen som styr dammsugaren vill ha tillgång till mikrofonen och platstjänster
Yupp. En Linuxdator som även råkar ha hjul och dammpåse. Den skickar precis allt till Kinesien...M mrmlz skrev:
Visst, den måste skicka Lidar-bilder till molnet för att appen ska kunna funka. Men vad ska den ha min SSID/pw till?
Givetvis. För att det är roligt. Har dock bara ca 8h för all "kritisk" IT, fjärrvärme mm.Joacimz skrev:
Har kört OpenWRT på olika routrar senaste tio åren..Fungerar bra och smidigt. Linksys WRT 1900 ACS klarar ca 100Mbit OpenVPN.k så det är lugnt.
Redigerat:
Jag tänkte beskriva hur mitt nätverk är uppsatt då jag har tagit mig igenom precis de som du frågar efter. Sedan finns det ju massor med olika sätt. Både bra och dåliga. Någon annan får bedöma om mitt är bra eller dåligt. De fungerar i alla fall och både jag och frugan är nöjda.
Jag kör med NAS lagring lokalt mot en Synology NAS DS916+. På denna kör jag Synology's egna surveillance station.
Jag har 5st D-link dcs-4602ev kameror utomhus. Dessa har mörkersende samt 1080P i 25/30fps (pal/ntsc). Samt även 1st Unif UVC-G3-AF inomhus.
Jag nojade mig lite gällande över om någon skulle klättra upp, skruva loss en kamera och koppla in en laptop och ansluta sig emot mitt nätverk. Så alla kameror ligger taggade med separata vlan id:n. Jag har även labbat lite med Onedrive som jag har via Office 365 för säkerhetskopiering av de inspelade materialet. Så länge man har skaplig Internetfart så synkar de upp rätt snabbt. Finns en bra cloud app för detta ändamål inne i Synologys NAS också.
För att kunna segmentera upp ditt nätverk så behöver du produkter som stödjer vlan taggning. I mitt fall så fall valet på Unifi Switch 8-60W. Eftersom mina kameror har PoE (Strömdrivs över nätverkskabeln) så blir de perfekt att switchen har stöd för att kunna strömsätta över PoE också. Sedan är Unifi riktigt nice och enkelt att konfigurera när man väl satt sig in i allt.
Jag kör med NAS lagring lokalt mot en Synology NAS DS916+. På denna kör jag Synology's egna surveillance station.
Jag har 5st D-link dcs-4602ev kameror utomhus. Dessa har mörkersende samt 1080P i 25/30fps (pal/ntsc). Samt även 1st Unif UVC-G3-AF inomhus.
Jag nojade mig lite gällande över om någon skulle klättra upp, skruva loss en kamera och koppla in en laptop och ansluta sig emot mitt nätverk. Så alla kameror ligger taggade med separata vlan id:n. Jag har även labbat lite med Onedrive som jag har via Office 365 för säkerhetskopiering av de inspelade materialet. Så länge man har skaplig Internetfart så synkar de upp rätt snabbt. Finns en bra cloud app för detta ändamål inne i Synologys NAS också.
För att kunna segmentera upp ditt nätverk så behöver du produkter som stödjer vlan taggning. I mitt fall så fall valet på Unifi Switch 8-60W. Eftersom mina kameror har PoE (Strömdrivs över nätverkskabeln) så blir de perfekt att switchen har stöd för att kunna strömsätta över PoE också. Sedan är Unifi riktigt nice och enkelt att konfigurera när man väl satt sig in i allt.
Redigerat:
Intressant tankeställare! Dock fattar jag inte hur separata vlan-id hjälper mot direktuppkopplad laptop då kameror måste i slutändan ändå spela in på NAS:en. Dvs. kopplar man in sig på kamerans ETH får man ändå kontakt med hela din NAS...och då är det bara upp till NAS:ens säkerhet att neka uppkoppling för annat än kameror?Kendobendo skrev:
Såvitt jag ser det är enda sättet att säkra övervakningsnätet att:
1. Ha separat LAN (virtuell eller fysisk) för kameror
1. Bara tillåta kamerornas MAC/IP på övervaknings-LAN:et (vilket iofs går att spoofa)
2. Ha separat övervaknings-NAS med lösen på shares som bara tillåter ovanstående kameror att koppla upp sig (kräver autentisering innan uppkoppling).
Eller har jag missat något?
Så länge NASen ska vara ansluten till båda nät är det ju svårt att skydda sig mot buggar i den. Men trafiken mellan VLANen behöver passera någonting, t,ex, en router, så där man man strama upp så att NASen åtminstone bara kan använda vissa portar i viss riktningar, så att den t.ex. inte fritt kan användas som hackerverktyg i det privata nätverket.Z Zakalwe skrev:
Ett sätt att göra NASen säkrare kan vara att inte alls använda en fristående NAS, utan någon form av dator med alltid uppdaterad programvara (FreeNAS tex).
Stämmer men du har inget annat på nätverket vilket är en bra början. Sedan sätter du upp en virtuell pfSense som du låter svara på samma vlan id. Den agerar sedan brandvägg i mellan dessa olika nät. Inte speciellt svårt eller överdrivet komplex. Just mitt förslag kräver dock en server som är igång och lite tekniskt kunnande och tålamod.Z Zakalwe skrev:
Om man oroar sig för att någon tar sig in på nätet via en kameras lan tror jag det är läge att först stänga av allt Wifi man har påslaget. Det känns som en avsevärt större risk även om man måste ta sig förbi ett lösenord för att komma in.
Det är oerhört osannolikt att någon flyttar på en kamera för att titta runt på nätverket, men mer troligt att någon sniffar wifi för "att går" med relativt enkla verktyg.
Det är oerhört osannolikt att någon flyttar på en kamera för att titta runt på nätverket, men mer troligt att någon sniffar wifi för "att går" med relativt enkla verktyg.
Kanske förr i tiden när man körde WEP eller gamla WPA. WiFi säkrad med t.ex. WPA2 Enterprise är oerhört svårt att knäcka. Även WPA2 Personal med bra lösen är i stort sett kört om du inte är en regering.MathiasS skrev:
Tom. "känsliga" arbetsplatser använder rutinmässigt WiFi. Det är väldigt säkert så länge man vet vad man gör.
Du får gärna motbevisa mig med "enkla verktyg" som man kan sniffa saker på ett vanligt WiFi nätverk säkrat med WPA2. På sin höjd kan man "sniffa sig till" MAC-adresser över trådlösa enheter.
Ethernet däremot är som att jacka in sig rakt på nätverket.
Ja det är bara att googla wpa2 enterprise exploits så är du hemma. Om det är enkelt eller inte är kanske upp till var och en att avgöra.
Poängen var att grannen kan sitta och lura sig in via wifi i veckor och månader utan att jag har en aning. Om någon monterar ner en kamera och ansluter sin dator så blir det en rätt kort aktivitet av praktiska skäl, därför är jag inte speciellt oroad.
Poängen var att grannen kan sitta och lura sig in via wifi i veckor och månader utan att jag har en aning. Om någon monterar ner en kamera och ansluter sin dator så blir det en rätt kort aktivitet av praktiska skäl, därför är jag inte speciellt oroad.
Jo, jag har Googlat. Det finns (fanns) en (1) exploit: "Key Reinstallation Attack". Den blev välkänd 2017 och är därefter patchad på alla seriösare Accesspunkter. Annars skulle våra "trådlösa" arbetsplatser snabbt kablats upp.
Och även om man råkar "sniffa" trafik på en opatchad AP är det inte så enkelt att få till det. Och i slutändan tillåter den inte angriparen att "koppla upp sig" utan i bästa fall dekryptera trafik mellan just den enhet och AP-n. Definitivt inget som "grannen" kan göra utan seriös hårdvara, mycket loggad trafik och opatchad målenhet.
Som sagt, WPA2 är väldigt säker protokoll med tillräckligt bra nyckel.Hade det inte varit för faktum att man kan lätt störa ut signalen (och PoE) skulle WiFi-kopplade kameror varit the thing.
För att besvara trådstartarens ursprungsfråga:
Jag har nu luskat på detta och lösningen för att säkra utsatta nätverksportar är en Smart Switch/kameror med stöd för 802.1X. (Hikvision kameror har stöd för 802.1X t.ex.)
https://en.wikipedia.org/wiki/IEEE_802.1X
Då blir det lika säkert som WiFi. (Vill man göra det ännu säkrare kan låsa enskilda portar till kamerans MAC-adress.) Nackdelen är att man behöver en RADIUS-server. Å andra sidan kan man då använda samma server för WiFi/WPA2 Enterprise.
Kör man RADIUS/802.1X/WPA2 Enterprise så är man så säkrad som det praktiskt går....det är typ så man gör på myndigheter/företag innan man tar till sista steget med helt isolerade nät.
Jag har nu luskat på detta och lösningen för att säkra utsatta nätverksportar är en Smart Switch/kameror med stöd för 802.1X. (Hikvision kameror har stöd för 802.1X t.ex.)
https://en.wikipedia.org/wiki/IEEE_802.1X
Då blir det lika säkert som WiFi. (Vill man göra det ännu säkrare kan låsa enskilda portar till kamerans MAC-adress.) Nackdelen är att man behöver en RADIUS-server. Å andra sidan kan man då använda samma server för WiFi/WPA2 Enterprise.
Kör man RADIUS/802.1X/WPA2 Enterprise så är man så säkrad som det praktiskt går....det är typ så man gör på myndigheter/företag innan man tar till sista steget med helt isolerade nät.
Redigerat:
Enligt din egna länk så framgår det ju att det krävs en "authentication server" (Radius även för 802.1X. Så jag ser inte hur man kommer undan kravet om man hoppar över MAC-låsning. Vidare är MAC-låsning inte säkert. Det går lätt att läsa av MAC från en befintlig nätverksenhet fysiskt och sedan redigera sin egna för att bereda sig tillgång. Men 802.1X ser ut att vara säkert eftersom man tillämpar inloggningsuppgifter i själva handskakningen mot radius servern. Eller har jag missuppfattat detta ksnke?Z Zakalwe skrev:
Jag har gjort så att strömmen till kameran slås automatiskt på och av när larmet slås på och av. På det viset blir det svårare att hacka dem när jag är hemma.
