Byggahus.se

Hur säkra nätverk med övervakningskameror?

  1. A
    Medlem Nivå 3
    Alla i tråden har diskuterat en router, nästa steg upp, för ännu bättre säkerhet är att köpa en hårdvarubrandvägg. Visserligen blir man, som någon påpekade, beroende av tillverkaren då för uppgradering osv, men en riktig brandvägg har fler funktioner för säkerhet, än en router har. MEN, det krävs lite mer kunskap då också att hantera en sådan på rätt sätt. Själv har jag en ZyWall 110 med IDS och lite annat igång. Den har även en inbyggd VPN där man kan kontrollera vad de ska få lov att komma åt. Den ska ha stöd för engångslösenord också (har ej testat det, så paranoid är jag inte).

    Det negativa är dock 2 saker, kostnaden, den kostade mig runt 5-6000 när jag köpte den och som jag tidigare nämnt, det krävs en del kunskap att hantera den. Men den är säkrare än en "vanlig" router, om man konfigurerar den rätt...
     
    • Laddar…
  2. C
    Medlem Nivå 3
    Har funderat i de banorna också, utan att för den delen fördjupat mig i de verkliga vinsterna.
    Det är ju som sagt ett tveeggat svärd det där med kompetenta/avancerade lösningar.
    Kräver de kunskap som man inte har kan man istället stå där med ett dåligt konfigurerat system som är mindre säkert än vad en rätt konfigurerad enklare lösning är.

    /C
     
    • Laddar…
  3. T
    Medlem Nivå 1
    Har ni tittat på Netgear Arlo? Molntjänst gratis. Film sparas 1 mån.
    Små kameror som körs via ehet wifi-system.
    Endera batter eller usb-laddare. Fungerar skitbra. Filmen med ev. Inbrottstjuv kan laddas hem från molnet.
    Ingen idé att skjuta mygg med kanoner.
     
  4. C
    Medlem Nivå 3
    De är ju svåra att missa när man inleder sin research, då de ju verkar populära.
    Säkert egentligen helt ok för min del, men jag vill helst ha trådade med PoE, som använder någon form av standardprotokoll för att inde vara ”fast” i en tillverkares system (varför också Ubiquitis populära varianter (väl?) faller bort).

    /C
     
  5. J
    Medlem Nivå 6
    Hade det varit på jobbet hade jag tänkt som dig, öppen standard och inte tillverkares egna lösning men hemma vill jag ha det enkelt och smidigt. Skalbarheten är inte ett problem.
     
  6. G
    Medlem Nivå 2
    Ett par punkter.
    1, Kommer den orka med det antal kameror/upplösning/hz du vill ha?
    Det är ju en rätt gammal burk med en Intel Atom D510 Dualcore (2C/4T) 1.67GHz x86 Processor (enligt prisjakt).
    Alla Synology nas har modelnummer där dom två sista siffrorna säger vilket år den släpptes/kom ut så 2011 i detta fallet och för DS218 som mbrt sa sig använda 2018.
    Denna info kan vara bra o veta om du det är lätt att se hur gammalt det man äger/tittar på är, kan ju givetvis vara sålt nåt år efteråt med.

    2, Säkerhet!
    För ett tag sedan (kommer dock ej ihåg när men runt 6-18mån) så upptäcktes en väldigt allvarlig säkerhets risk i alla synolgy nasar (i alla fall dom billigare konsument nasarna).
    Det var av risken att det var extremt enkelt för vem som helst att ta sig in i nasen som root (dvs kan göra vad dom vill och ha 100% åtkomst till LAN/etc från nasen).
    Detta kunde göras från LAN/WIFI och utifrån från internet det tog under 15min att lära sig hur och 15-30sek för en relativt oerfaren dator användare som följde en guide att logga in som root i nasen.
    Kommer givetvis inte ihåg exakta tider/osv men det var ungefär dessa tider och deffinitivt inte det dubbla (som även det skulle vara extremt allvarligt).

    Och vad jag kommer ihåg så uppdaterades aldrig dom "äldre" nasarna och om detta var för ett år sedan så var ju ds411 7år redan då och skulle jag gissa så var den en "äldre" nas redan då.
    Även här kommer ej ihåg hur gammla dom var för att klassas äldre och jag har själv aldrig ägt en synology produkt så detta var inget jag läste särskilt mycket om och därav inte kommer ihåg detaljer/tider/osv.

    Googlade 10min men hittade inget om detta och det vart om jag minns rätt aldrig nån direkt uppmärksamhet om detta, troligen delvis för att synology var snabba att skicka ut en uppdatering som fixade detta men ej till "äldre" nasar dock.
    Och kommer givetvis inte ihåg var jag läste om detta heller.


    Du kan ju givetvis börja med DS411 och se hur det funkar och om synologys kamera övervakning är nåt du vill fortsätta med heller ej.


    3, Netgear prylar med molntjänst skulle jag personligen inte använda då netgear dom senaste åren har rätt dålig säkerhets historia och då vad jag hört/läst enbart i en del olika hårdvaror och med routers så har dom varit en av dom absolut sämsta tillverkaran med deras säkerhet.
    Har ej hört nåt om molntjänsten men skulle själv absolut inte lita på den!


    4, Kamera övervakning som inte är säker.
    Menar då en osäker molntjänst men även en osäker nas/router/LAN/WIFI.
    En punkt med detta är att tjuvar kan sitta o titta på kamera övervakningen och sen när dom ser att man åker hemifrån snabbt gå in o plocka på sig vad dom vill ha och dom vet troligen redan var allt detta finns då dom kan ha sett det på kameror (om det finns kameror inne vill säga).
    Visserligen är det nog rätt osanolikt att detta händer men omöjligt är det inte.

    Och sen givetvis om dom kan se kamerorna så är dom ju halvvägs till att få total åtkomst till LAN och allt annat som finns på det och det gäller även dom flesta molntjänster då deras säkerhet oftas är obefintlig och det är ofta trivialt att hacka kameran direkt genom dessa.

    WIFI och säkerhet?
    Vad är påslaget/avslaget?
    Tex gästkonto är det på utan lösenord och ej har eget LAN=vidöppet LAN heller tex wep (dvs där du kan trycka på en knapp på routern för att koppla upp enheter) som tar sekunder att hacka för nån som laddat ner ett prg som tar 10sek att hitta/ladda ner.
    WPA är bättre (nån/några minuter istället för sekunder) men har även det en hel del hål och både wep o wpa går ej att fixa utan dom är och kommer att vara enkla att hacka.

    Kamera över WIFI? (Inget som Costanza har talat om i tråden dock men skadar ju inte att skriva med då det kanske kan hjälpa nån nångång)
    Det är extremt lätt och billigt=några få kr att tillverka en hemgjord WIFI störningsändare som helt kommer slå ut WIFI kameror.
    Visst dom flesta kameror har ju en liten buffert inbyggd men det handlar oftas om nån/några få minuter innan den är full och det inspelade blir överskrivet.
    Finns ju även kameror med minneskort då gå rdet ju givetvis att filma under längre tid utan wifi kontakt men det lilla jag sett så har dessa varit lika dyra heller dyrare än kablade kameror.
     
  7. S
    Medlem Nivå 3
    Ubiquity kamerorna kan man köra RTSP antingen direkt från kamerorna eller från NVR’en om man vill. Så inte helt inlåsta. Men unifi grejerna har sin enkelhet.
    Har både en FLEX och en MICRO. Funkar fint.
     
    Redigerat 5 jan 2019 22:55
  8. J
    Medlem Nivå 1

    Jag klurar på vad syftet med bygget ska vara.

    Flera av förslagen som kommer upp låter både dyrt o omständigt att genomföra. Sedan ska det underhållas oxå.

    Är det för att avskräcka, så är larmdekaler från en larmleverantör nog det som avskräcker mest. Ansikt kan man lätt dölja med en mask.

    Flera av de larm som finns på marknaden erbjuder m backup via mobilnät och batteridrift = du slipper tänka på ups:er och extra 4G abonnemang (som kostar pengar).

    Som egen backup kan du sedan har några bra webbkameror som sparar bilder/ video i molnet. För vem är bilderna viktiga, dig eller kineserna? Tror du kan vara lugn över den saken...
     
    • Laddar…
  9. C
    Medlem Nivå 3
    Syftet är att ha lite koll. Jag inser att ett hemmasystem, egentligen hur man än gör, kommer gå att komma undan om man verkligen vill. Men nu består ju tack och lov inte våra svenska villakvarter i så stor utsträckning av superskurkar. Det finns ju vanliga snorungar och småligister som smäller brevlådor, snor en cykel eller bara jävlas t.ex.
    Kanske inte skäl nog för att lägga tid och energi på att bygga nåt komplicerat övervakningssystem, men det är ju så att till viss del handlar det inte bara om nyttan, utan ett kul arbete för att komma till ett bra resultat. Ursprungsfrågan i tråden gällde ju hur jag på säkert vis kan komma åt mitt nätverk utifrån, och där känns ju just nu VPN som ett vettigt sätt utifrån vad jag begriper.

    /C
     
    Redigerat 5 jan 2019 22:42
  10. S
    Medlem Nivå 3
    VPN med OpenVPN (på routern eller kanske hellst på en server för god prestanda). En Raspberry Pi av senaste modellen kanske är ett alternativ?..
    Jag har själv OpenVPN, kan koppla upp mig mot hemma-nätet från mobil, platta o laptop etc.
     
  11. M
    Medlem Nivå 6
    Min setup är en MikroTik-router med OpenVPN och sedan Ubiquitis kameror. Det fungerar alldeles utmärkt.
     
  12. Z
    Medlem Nivå 8
    Du behöver egentligen ingen speciell NAS-mjukvara för att få HIKvision-kameror att spela in på ett NAS. Du kan konfigurera triggers och mappa en NFS-share direkt i kameran. Sen kan man använda deras egna mjukvara (iVMS) för att övervaka alla kameror och kolla på inspelningar. NAS-baserade övervakningsprogram är ofta ganska enkla, ej hårdvaruaccellererade och egentligen onödiga då iVMS finns redan gratis.

    Med det sagt vill jag också påpeka att HIKvision-kameror är egentligen fullfjädrade Linux-datorer med okänd kinesisk mjukvara. Det finns inte en chans att jag jag släpper dem ut på nätet. Moln eller ej. Mina är spärrade och kan endast spela in på sin share samt generera triggers, that's it.
     
  13. J
    Medlem Nivå 6
    Finns bara en sak som är säker här
    Kör du med vanliga hemkonsumentprylar så kan dom garanterat hackas, vad du än gör.

    Men om du är en normal svenne som ingen har något speciellt intresse för så är det klokt att följa dom säkerhetsråd som finns för att undvika andra "svennar" att hacka ditt nät. Gör det svårt för noviserna, men proffsen kan du aldrig stänga ute om du vill ha en rimlig prislapp på prylarna (prislapp = HW + konfigureringshjälp från proffs)

    Så har du typ konst för ett antal miljoner på väggarna så ska du nog vända dig till mera professionella rådgivare än oss här på det här forumet :)
     
  14. Z
    Medlem Nivå 8
    Min erfarenhet från "branschen" är att det inte alltid är prislappen som avgör säkerheten utan snarare mjukvaran och kunskapen om hur man konfigurerar den.

    Du kan t.ex. köpa en billig fläktlös PC, installera senaste OpenWRT, stänga av allt utom NAT och OpenVPN (konfad för 256 bitars AES) och du har "hårdvarubrandvägg" som är väldigt hård att knäcka även för "proffsen" och klarar av hårt krypterad VPN i >100Mbit. Detta för 2500:-

    En brandvägg är så säker som dess mjukvara. Patchas inte mjukvaran är hårdvaran värdelös...
     
    • Laddar…
  15. M
    Medlem Nivå 6
    Ja alltså, det man definitivt vill undvika är ju att åka dit på scriptkiddie-scans pga att du har en public-facing kamera med default pw.

    Du blir ju av med 99.9% av alla intrångsförsök bara genom att byta från default port (flytta port 22 -> 2222), så det handlar ju om att göra rimliga åtgärder som plockar bort de lägst hängande frukterna.

    Så jag håller med Zakalwe, fixa en router som inte är skit, har aldrig själv använt OpenWRT men bara hört goda saker. Annars funkar linux med iptables, pfsense eller alla de andra opensource lösningar som finns. Och sen sätter du upp en VPN så kan alla dina IoT / Kameror etc. gömma sig bakom din brandvägg.