Byggahus.se

Hur säkra nätverk med övervakningskameror?

  1. C
    Medlem Nivå 3
    Har funderat mycket runt att installera några övervakningskameror runt huset.
    Det finns funderingar kring kabeldragning, kameraval, server/NVR-val osv.

    En annan viktig aspekt, där jag känner mig ytterst novis, är det här med nätverkssäkerhet.
    Jag har idag ingen access "utifrån och in" till mitt nätverk, men när jag har satt upp mitt övervakningssystem vill jag ju på något sätt kunna se om saker händer/hänt.

    För att kunna se "live view" från mina kameror måste jag ju komma in i mitt nätverk säkert. Hur löser man det?

    Ett alternativ är väl att man efter "larm" eller liknande lägger screenshots/video på Google Drive, Dropbox eller liknande, men det innebär ju samtidigt att man skickar ut grejer i "molnet". Säkert eller inte, vad vet jag?

    Så, kan ni kunniga ge en paranoid nätverksokunnig person några tips i frågan?

    /C
     
  2. Z
    Medlem Nivå 8
    Hej,

    Du har helt rätt i att man ska vara lite försiktigt. Lite förenklat finns det olika sätt att lösa det på.

    Enklaste (och enligt mig det sämsta) metoden är att använda kameratillverkarens "molntjänst" vilket i många fall innebär att dina kameror pratar direkt med en Kinesisk server.

    Bättre alternativ är att låta kameror spela in lokalt och nå dem utifrån via VPN-tjänst. Denna VPN-tjänst kan t.ex. vara inbyggd i vissa dyrare routers (men då är man också beroende av tillverkaren av routern).

    Det bästa enligt mig är att helt enkelt spärra all Internetåtkomst för kameror och sätta upp egen VPN-åtkomst med open-source mjukvara som tillåter dig att koppla upp dig mot din hemnätverk vid behov. T.ex. en router som kör OpenWRT och OpenVPN. OpenVPN-klienter finns i sin tur för de flesta platformar. OpenVPN är dock krångligt att sätta upp, men väldigt säkert när det görs rätt (med t.ex. 256-bit AES CMP-kryptering)
     
  3. MathiasS
    Medlem · Nivå 25
    Ubiquitys Edgerouter kan köra en Openvpn server så den lösningen blir det här.....
     
  4. C
    Medlem Nivå 3
    Tackar för responsen.
    Ser att min router, Asus RT-AC68U, ska kunna köra OpenVPN om jag väljer att köra ”alternativ” programvara i den.
    Antar att det i alla fall blir den billigaste lösningen.

    Om man går på VPN-spåret, ansluter jag då till mitt nätverk mha någon app/program i telefon/dator? Och när jag väl gjort det, är det då som att jag satt hemma lokalt? Är det i sig nog och en säker lösning, eller bör man ha skilda nät eller liknande också?

    /C
     
  5. MathiasS
    Medlem · Nivå 25
    Du ansluter till ditt nät med en VPN-klient och då går din trafik från din klient till ditt nät i en säker tunnel. Separera nät i hemma nätet verkar helt överdrivet och rätt opraktiskt när man är hemma också....
     
  6. C
    Medlem Nivå 3
    Ok. Det ska nog funka bra för mitt ändamål.

    Det är väl bara då att om jag i förlängningen vill ge barnen remote access till NASen eller liknande så vill det till installation och utbildning för att de ska kunna använda det.
    Men det där får man kanske bara tugga i sig om det ska funka någorlunda säkert.

    /C
     
    • Laddar…
  7. Z
    Medlem Nivå 8
    Den ska kunna köra OpenVPN även i originalmjukvaran. Se här:
    https://www.asus.com/support/FAQ/1008713/
    Hur "bra" eller säker den är låter jag vara osagt. Personligen anser jag fabriksmjukvaror för konsumentrouters osäkra och byter dem mot OpenWRT.

    Ja, det finns klienter för iOS, Android, Linux och Windows.
    Beror på hur du ställen in. Vet ej hur begränsad inbyggda ASUS-servern är men på "riktig" OpenWRT OpenVPN server kan man ställa in diverse konfigurationer beroende på vad man vill uppnå.
    Allt från att endast nå vissa IP-adresser på hemmanätverket (TUN) men surfa som vanligt till att i stort sett ha "virtuell" tråd rakt in i hemmanätverket (TAP). iOS stödjer inte TAP t.ex...
    Det är så säkert som du vill det ska bli. Om kameror i sig inte är kopplade till eget dedikerat NAS och switch blir det ganska krångligt att "separera näten". (att ha olika IP-subnät är inte riktigt säkert). VPN krypteringen i sig är också konfigurerbar. Tänk dock att den inbyggda ARM CPU:n i routern pallar typ 17Mbit med "riktig" 256-bitars kryptering.


    Vilka kameror använder du? Hur är de kopplade?
     
    Redigerat 4 jan 2019 11:31
    • Laddar…
  8. M
    Medlem Nivå 1
    Dagens kameror har inbyggt högre säkerhet, du kan kika på synologys lösning för övervakning.
    trafiken går via https,
    Jag själv kör:
    4st Hikvision Mini Dome 1280x960, 25 fps via POE switch.
    dag/natt, finns app, går att spara till minneskort

    Inspelning NAS:
    1st DiskStation DS218+ 4tb
    Applikationer finns tillgängliga till iphone/ipad/android.

    Deras applikation
    https://www.synology.com/sv-se/surveillance


     
  9. C
    Medlem Nivå 3
    Mmm, konstaterade igår att routern ju redan har OpenVPN server. Tydligen något som tillkommit efter det att jag köpte den.
    Tror jag kommer köra med den, åtminstone till en början.

    Angående kameror har jag inte bestämt mig än. Det lutar dock åt någon/några modeller från Hikvision som har stöd i både Synologys Surveillance station och Zoneminder, då det är de två programvarorna som ligger närmast till hands för mig.

    /C
     
  10. C
    Medlem Nivå 3
    Ja, Synologys system tänkte jag testa då jag har en sådan Nas. Den är dock rätt gammal, en DS411, så jag hoppas den orkar med.
    En nackdel är ju att man bara har fri licens för två kameror. Därför ska jag även undersöka Zoneminder.
    Som kameror lutar det åt några Hikvision bullet-kameror.

    /C
     
  11. J
    Medlem Nivå 1
    Att också tänka på, om sysftet nu är att säkra huset från inbrott, är att inbrottstjuvar gör allt för att övervaknigen inte skall funka, som att stänga av elen, bredbandet, larmet m.m
    Läste nyligen i någon morgontidning om ett hushåll som drabbats av inbrott där larmet saboterades genom att slå sönder elcentralen, klippa av fiberkabeln m.m
     
  12. S
    Medlem Nivå 3
    Kan tipsa om UniFi Video från Ubiquiti, man kan köpa en när från dem eller installera mjukvaran skälv (gratis) på valfri Linux maskin med lagom stor disk.
    Åtkomlig via VPN eller inlogg som studsar via deras server (video-materialet sparas ej hos dem).
    Deras FLEX kameror är mycket prisvärda tycker jag.

    Edit:

    Sen vad gäller säkerhet, så får man säkra alla delar av utrustningen med UPS som ska funka vid ”strömavbrott”...
    Vad gäller internet så kan du skydda fibern med en 4G backup som fail-over.
    Samt skydda centrala delar av systemet fysiskt.
     
    Redigerat 5 jan 2019 08:46
    • Laddar…
  13. J
    Medlem Nivå 1

    Sätt upp en SSH server från den kan du sen nå ditt nätverk, som en jumphost. Tillåt endast inloggning med nycklar/certifikat, ej lösenord.
     
  14. C
    Medlem Nivå 3
    Ja, såklart finns det en massa saker att tänka på för att få ett övervakningssystem ostörbart.
    Ursprungsfrågan gällande säkerhet här var ”IT-säkerhet”, hur jag (någorlunda) säkert kan få access till live ström eller händelser utifrån.

    De övriga, fysiska, säkerhetsaspekterna är en annan fråga. Jag räknar inte med att skapa en helt ostörbar installation, utan en lite budgetvariant som håller lite koll.

    Bra tips hur som helst, så de tackar jag för.

    /C
     
  15. Joacimz
    Medlem · Nivå 6
    Kör ni verkligen med UPS till router och NAS. 3/4G backup till fibern och krypterade anslutningar för att komma åt kameran?
    Vill tjuvar ta sig så gör dom det ändå. De flesta larm har backup, mitt klarar sig nog ett dygn om någon skulle klippa inkommande elen.