Je suis sur le point d'emménager dans une nouvelle maison et j'aimerais installer des caméras de sécurité.
L'entrepreneur m'a dit que pour que je puisse vérifier les vidéos enregistrées par les caméras en temps réel lorsque je suis absent, je devrai avoir une adresse IP statique.
Y a-t-il des problèmes avec cela? Est-ce moins sûr?
Je ne suis ni milliardaire ni célèbre, il est donc peu probable qu'il y ait des attaques ciblées. D'un autre côté, ce serait mon réseau domestique et il arrivera que j'entrerai mes informations bancaires tôt ou tard, donc je veux que ce soit sûr.
Je considérerais un autre entrepreneur, car cette déclaration n'augmente pas précisément ma confiance en ses connaissances/compétences.
La bonne façon de configurer un système de caméras de sécurité afin que vous puissiez les vérifier lorsque vous êtes absent est d'avoir une redirection de port sur votre routeur exclusivement pour VPN ou HTTP/TLS mappé sur la machine enregistrant les données de les caméras. Cela fonctionnera avec une adresse IP statique ou avec DynDNS. Si vous utilisez par exemple un Diskstation pour faire l'enregistrement (comme je le fais à la maison) puis vous obtenez déjà DynDNS ainsi que le logiciel de surveillance (avec un nombre limité de licences, 4 dans mon cas) gratuitement.
Jamais, jamais , exposez une caméra IP à Internet. Ceci est une invitation ouverte non seulement pour des gens comme les Russes qui ont mis en place une insecam il y a six mois pour vous moquer ainsi sur leur site Web ainsi que toutes sortes de pervers et bien sûr de cambrioleurs.
Vous risquez également d'être exploité et d'avoir des logiciels malveillants (peut-être un logiciel de contrôle de botnet?) Installés à l'intérieur de votre réseau domestique. De là, ils attaqueront les autres ordinateurs qui verront le trafic provenant d'une source "de confiance". Presque toutes les caméras IP ont un firmware bon marché par défaut à non sécurisé, certaines ne prennent même pas en charge le cryptage de base. Le micrologiciel est mis à jour rarement, voire jamais, et pas nécessairement pour tenir compte des problèmes de sécurité. Les caméras de ma maison sont sensibles à Heartbleed (bien que cela soit connu du public depuis près d'un an). Il n'y a rien à y faire, à part ne laisser personne y accéder. La documentation ne le mentionne même pas, mais ils sont manifestement exploitables.
Vous pourriez autoriser les caméras à établir une connexion sortante pour télécharger des fichiers vers un serveur externe lorsque l'alarme se déclenche, ce qui rend le vol ou la destruction de votre serveur à la maison futile. Mais ne jamais autoriser les connexions entrantes que ce soit.
Personnellement, je n'autoriserais même pas une caméra à établir des connexions sortantes, vu comment pratiquement toutes les caméras IP et leur micrologiciel sont produites en Chine (et celles qui ne le sont pas aux États-Unis, ce qui est tout aussi mauvais).
L'espionnage soutenu par le gouvernement et en particulier l'espionnage industriel est une grande entreprise, et comment pourriez-vous faire mieux qu'en exigeant un canal secret intégré à chaque caméra que vos cibles potentielles placeront facilement là où il y a quelque chose d'important? Bien sûr, vous avez dit que vous n'êtes pas une personne importante (... mais qui est vraiment assez peu important pour que personne ne se soucie de regarder? Pourquoi le NSA lit-il vos courriels alors?). Ne pas être le La cible principale ne signifie pas que la porte dérobée n'est de toute façon pas intégrée à votre caméra, ce qui pourrait être utilisé et abusé par à peu près n'importe qui.
N'importe qui, y compris les cambrioleurs qui peuvent facilement vérifier si quelqu'un est à la maison. Ne leur simplifiez pas la vie.
Mise à jour:
Pendant ce temps, ma déclaration sur le risque de voir un logiciel de botnet installé sur vos caméras IP n'est plus une simple possibilité. La déclaration ci-dessus, qui ressemblait peut-être à une paranoïaque, s'est révélée tout à fait prophétique (attaque d'octobre 2016 contre Dyn).
Par conséquent: Pas d'accès direct à Internet pour les appareils présumés non sécurisés, jamais, jamais .
L'IP statique ou dynamique n'est pas un problème.
Mais depuis que vous avez apporté des caméras, vous devez savoir que de nombreuses caméras IP ont une sécurité TRÈS médiocre. Beaucoup de ces caméras contiennent un mauvais firmware connu qui permet le téléchargement non authentifié de la mémoire entière de l'appareil via simplement aller dans/proc/kcore, sans avoir besoin de s'authentifier. Cela permet à quiconque d'obtenir le mot de passe de votre appareil photo.
La seule différence entre l'adresse IP statique à laquelle votre technicien se réfère et une adresse dynamique et changeante dans cette situation est que l'une ne change jamais et que l'autre change (la fréquence dépend de nombreux facteurs).
Il n'y a rien intrinsèquement plus ou moins sûr dans l'un ou l'autre. Les deux sont un moyen de vous identifier ainsi que votre réseau domestique sur Internet.
Pas vraiment ...
Les adresses dynamiques et statiques ont différents avantages/inconvénients.
Statique
Dynamique
La seule chose pertinente pour la sécurité est l'exploration de données. Est-ce important pour vous?
Habituellement, votre FAI décidera si vous aurez une adresse statique ou dynamique. En fonction de ce que vous voulez, espérez le meilleur.
Pour un utilisateur résidentiel typique, l'IP statique ou IP dynamique n'a pas beaucoup d'importance du point de vue de la sécurité. Tout comme la façon dont l'adresse de votre résidence est assez statique. Vous ne changez pas cette adresse tout le temps (sauf si vous déménagez bien sûr). Cela n'a d'importance que si quelqu'un veut vous cibler spécifiquement et qu'il connaît votre adresse. Un utilisateur typique ne devrait pas avoir à se soucier de ce qui se passe avec son adresse IP. En dehors de cela, les menaces seront aléatoires. Peu importe que votre IP soit statique ou dynamique, juste que vous en ayez une.
Voir n attaquant a mon adresse IP; Et alors?
Si vous utilisez une caméra, l'IP dynamique peut avoir un certain avantage. Si quelqu'un trouve l'IP, il peut au moins essayer d'accéder à la caméra et partager l'IP avec d'autres personnes. Une adresse IP dynamique va changer, ce qui signifie qu'ils devraient la retrouver.
Aussi, il existe des moyens d'accéder à votre réseau domestique même s'il a une IP dynamique . Bien sûr, cela signifie que d'autres personnes pourraient également utiliser la méthode pour y accéder.
Vos problèmes de sécurité seront les suivants, selon votre propre évaluation des risques.
Une caméra réseau, en particulier une caméra externe, me donnerait un accès câblé à votre réseau si je la retirais du mur et branchez mon ordinateur portable ou même mon routeur WiFi Raspberry Pi
Au niveau du routeur, vous devrez soit rediriger les ports vers chaque caméra et/ou DVR.
Tous les ports ouverts sont des points d'accès possibles à un réseau.
Matériel, exploits possibles défauts, etc. dans la caméra.
La principale raison pour laquelle vous voulez une adresse IP statique est que vous ayez un moyen d'atteindre vos caméras lorsque vous êtes absent. Imaginez ceci, si vous deviez appeler quelqu'un mais que vous n'aviez pas son numéro de téléphone ou qu'il avait été changé sans numéro de transfert à appeler, comment le contacteriez-vous? L'IP statique vous donne toujours le même numéro. Cela dit, il existe d'autres façons de se connecter de l'extérieur en utilisant une sorte de système DDNS.
Puisque vous allez utiliser une caméra de sécurité IP, je recommanderais un Synology NAS, ils ont un système DDNS qui fonctionne assez bien et vient avec le coût de l'achat NAS et il n'y a pas de mois vérifiez que vous avez besoin de faire avec certains des services DDNS gratuits.En outre, vous pouvez pointer la caméra pour enregistrer sur le NAS, de sorte que vous obtenez beaucoup de stockage et une extension facile et ils ont même leur propre application que vous pouvez utiliser pour accéder aux enregistrements .
Cela dit, vous voudrez mettre le NAS derrière un routeur et vous pouvez transférer vers le NAS. Un Netgear WNDR 3700 est plutôt rentable et fera le travail, la bonne chose à propos de ce routeur est que les ports apparaissent tous comme furtifs, même lorsqu'ils sont ouverts à la redirection de port. Donc, si quelqu'un scanne votre routeur depuis Internet, il ne saura même pas qu'il est là. Si vous ne savez pas comment faire la redirection de port, le Synology NAS peut être connecté avec votre code de connexion rapide personnalisé que vous avez configuré pour vous-même.
Dans le passé, ces appareils NAS ont été plutôt bons, ils ont une liste de compatibilité que vous devriez vérifier, puis achetez un appareil photo de cette liste pour travailler avec le NAS, la seule chose que je vous avertirai À propos, le récent DS1815 est un peu bruyant lorsque les disques durs sont actifs et cela pourrait être le cas avec les autres modèles de 2015, alors gardez cela à l'esprit lorsque vous décidez d'obtenir le NAS et où J'utilise les disques durs WD Red et ils fonctionnent très bien, puisque vous allez enregistrer de la vidéo, ce pourrait être une bonne idée d'aller avec les disques durs WD RED Pro, ils sont plus rapides et seraient plus silencieux.
Une fois que vous êtes tous installés, ne déployez pas les mises à jour automatiquement, surveillez quand une mise à jour sort, cela vous le dira dans l'interface de gestion Web, je pense que vous pouvez configurer le NAS pour vous envoyer un e-mail également pour cela, puis consultez le forum Synology pour voir ce que les autres utilisateurs ont des expériences avec la mise à jour et vous pouvez même poser des questions à d'autres pour voir s'ils ont une certaine webcam et NAS et s'ils étaient bons avec la mise à jour. Toutes les mises à jour que Synology déploie ne sont pas parfaites, mais tant que vous faites attention, vous devriez naviguer assez facilement avec le NAS.
Je vais coller un lien vers le site et vous pouvez décider vous-même. https://www.synology.com/en-us/products/DS1815+
J'espère que cela vous aide
À votre santé
Assurez-vous de le sécuriser avec le nom d'utilisateur/mot de passe requis, il existe de nombreux sites qui indexent les caméras IP non sécurisées, comme shodanhq
Il n'est pas essentiel que vous utilisiez des adresses IP statiques. Vous pouvez utiliser une combinaison d'adresses IP dynamiques, de redirection de port dans votre routeur et d'un service tel que dyndns.org (qui vous donne une adresse statique qui redirige vers votre adresse dynamique, que vous devez mettre à jour chaque fois que votre adresse dynamique change. la mise à jour peut se produire manuellement, ou de nombreux routeurs ont une fonctionnalité intégrée pour contacter automatiquement les dyndns et mettre à jour votre adresse chaque fois qu'elle change). dyndns.org n'est pas le seul site qui offre ce service, c'est juste celui que je connais.
Même si vous utilisez une adresse statique pour les caméras, vous pourriez avoir besoin d'un outil comme dyndns si votre connexion Internet elle-même est dynamique, sinon vous ne connaîtrez pas l'adresse IP à laquelle vous connecter lorsque vous n'êtes pas chez vous.
Cela dit, du point de vue de la sécurité, il n'y a pas de différence entre les adresses statiques et dynamiques. Comme d'autres personnes l'ont souligné, quelle que soit votre adresse IP, vous devez prendre d'autres mesures pour sécuriser les caméras, telles que la mise à jour du firmware
Même si vous n'êtes peut-être pas une cible, les pirates peuvent toujours vouloir intervenir soit pour le plaisir, soit pour mettre en commun votre appareil connecté à IP et l'intégrer à une attaque de botnet plus importante. De nombreux pirates atteignent des caméras de sécurité et les regroupent dans le cadre du botnet Mirai.
Les utilisateurs peuvent analyser si leur IP (y compris les caméras) et leur réseau sont infectés par le botnet Mirai: https://www.incapsula.com/mirai-scanner.html
C'est aussi une bonne idée de changer votre mot de passe, de placer votre réseau derrière un WAF (Web Application Firewall) et de vous assurer que votre DNS est également protégé (voir la récente attaque DDoS contre Dyn, par exemple).