web-dev-qa-db-fra.com

Évaluation de la sécurité des caméras de sécurité à domicile

Mes parents ont une maison de vacances à la campagne et cherchent à mettre en place un système de surveillance à domicile pour la visualisation à distance. J'ai entendu dire qu'il peut y avoir de graves vulnérabilités dans ces produits. Quelles sont les directives que je pourrais utiliser pour aider à évaluer ces produits?

J'ai une formation en développement logiciel, donc je suis à l'aise avec les réponses techniques, mais je ne suis certainement pas un professionnel de l'administration système ou de la configuration réseau. Mes parents cherchent à dépenser moins de 300 $, mais ils peuvent dépenser plus si ce n'est pas réaliste pour un système bien protégé, donc mes ressources financières pour effectuer moi-même une évaluation de la sécurité sont limitées.

41
mercurial

Comme la plupart des matériels embarqués (routeurs, etc.), leur firmware est souvent nul, et à moins que vous n'ayez un temps illimité, je crains qu'il n'y ait aucun moyen de vérifier minutieusement chaque caméra. Et même si vous en trouvez un qui est actuellement sécurisé, qu'est-ce qui garantit que vous obtiendrez des mises à jour pour les vulnérabilités qui seront découvertes à l'avenir?

Au lieu de cela, je suggère simplement de créer vos propres caméras IP en utilisant des webcams USB (ou des caméras IP bon marché/non sécurisées) et de les connecter à un ordinateur Linux/BSD qui gérera réellement toute l'authentification/sécurité, puis rediffusera le flux vidéo de la caméra (de préférence sur quelque chose de sécurisé comme HTTPS). De cette façon, la partie Internet de votre "appareil photo" fait maison peut être mise à jour et renforcée comme n'importe quel ordinateur, et derrière elle, vous êtes libre de mettre tout appareil photo que vous voulez, y compris les ordures les moins chères car il ne sera pas exposé à Internet de toute façon.

Enfin, envisagez de placer le système de caméras sur un réseau séparé et insuffisant d'Internet - je sais que cela ne s'applique pas dans votre cas mais j'aimerais quand même le mentionner - l'exigence d'un accès physique est une assez bonne mesure de sécurité, car quelqu'un qui veut vous espionner doit maintenant pénétrer physiquement chez vous plutôt que d'être à des milliers de kilomètres. Si un enregistrement hors site est requis, la vidéo peut être cryptée, puis diffusée en dehors de l'entrefer via un câble Ethernet unidirectionnel avec la clé conservée en toute sécurité, de sorte que les données quittant l'entrefer n'ont de sens que si la bonne clé est à condition de.

37
André Borie

Cela a commencé comme un commentaire sur la réponse d'André, mais cela a pris un peu de temps.

L'USB est bien tant qu'aucune des caméras n'est à plus de 16 pieds de l'hôte :)

Étant donné que vous devez de toute façon éteindre les caméras, exécutez simplement une connexion Ethernet filaire au LAN (ou utilisez POE si vous pouvez trouver des caméras qui le prennent en charge). Sur un sous-réseau non routé, la plupart des failles de sécurité inhérentes disparaissent.

Cela laisse alors le problème du logiciel serveur qui devra décharger les données en temps réel (ou assez près). Après tout, le serveur lui-même est un élément facilement réinitialisé.

Vous avez maintenant la possibilité d'enregistrer exactement ce que font les cambrioleurs. Ne serait-il pas plus logique de réfléchir à la façon dont vous pourriez utiliser la capacité de dissuader les cambrioleurs? Certains outils (par exemple zoneminder) ont une intégration x10 (allumez les lumières).

10
symcbean

EDIT - Modifie légèrement cette réponse (maintenant en trois parties)

Version à petit budget

Ramassez un routeur utilisé (posé autour de la maison?), Installez dd-wrt dessus et éteignez le WiFi. Bingo, commutateur 4 ports prêt à l'emploi. Vous n'obtiendrez pas PoE pour les caméras, mais, si nécessaire, cela est facilement corrigé (jeu de mots) avec un adaptateur PoE ou simplement des verrues murales. Exécutez un VPN sur le routeur dd-wrt, placez-le dans le routeur principal DMZ (ou port forward) et vous êtes prêt à partir. Pas de gestion Linux, si vous ne voulez vraiment pas Les caméras sont isolées du réseau domestique et protégées des réseaux Internet.

Vous pouvez aller assez loin en achetant du matériel réseau et caméra d'occasion à bon marché. Les PI de framboise sont également de merveilleux appareils et peuvent aider à gérer un réseau.

Version à budget élevé

Ma configuration actuelle à des fins de comparaison. Je possède actuellement cinq caméras Axis pour mon système de sécurité domestique, alimentées par un commutateur Cisco PoE et dotées d'un routeur Cisco. Beaucoup plus que vos parents ne veulent dépenser. Cependant, je pense que le modèle est bon à considérer comme une portée. J'ai moi-même conçu cette configuration sans aucune expérience préalable en réseau (TI). C'était un moment d'apprentissage, c'est sûr.

Protection réseau

La plus grande préoccupation que vous aurez est celle qui vous inquiète déjà, les piratages sur Internet. Ceci est mieux résolu avec une approche en trois volets.

Premièrement, meilleur est le matériel face à Internet, plus il sera sécurisé.

Deuxièmement, durcissez tout ce que vous avez face à Internet et assis à l'intérieur (changez tous les mots de passe par défaut, fermez les ports inutiles, exécutez un VPN plutôt que UPnP, si vous le pouvez). Isolez les systèmes des utilisateurs, si possible (c.-à-d., Si vous avez un commutateur, placez les caméras sur un VLAN).

Troisièmement, scannez votre réseau renforcé avec nmap de l'extérieur et utilisez www.grc.com de l'intérieur. GRC est un excellent point de départ. Utilisez également nmap de l'intérieur pour voir quels ports vous avez laissés ouverts en interne qui pourraient créer de futurs problèmes.

9
Andrew Philips

Il y a quelques choses à faire pour protéger votre système de sécurité domestique:

  1. Comme l'a dit une autre affiche, la configuration de votre propre serveur Linux (Raspberry Pi est une bonne solution) et des caméras connectées IP est le meilleur moyen, mais la vulnérabilité va venir des caméras elles-mêmes.
  2. Assurez-vous que vous n'utilisez pas le mot de passe par défaut. De cette façon, même si vous êtes découvert, il sera plus difficile de pénétrer. Modifiez en particulier les mots de passe root, si possible.
  3. Incapsula a un scanner de vulnérabilité Mirai , qui scanne votre IP pour voir ce qui peut être à risque. https://www.incapsula.com/mirai-scanner.html
  4. Utilisez un pare-feu d'application Web (WAF) pour mettre votre appareil derrière
  5. Désactivez toutes les connexions à distance inutiles.
  6. Exécutez le micrologiciel le plus récent pour vous assurer que les failles de sécurité découvertes sont corrigées. Mais réalisez qu'il reste de nombreuses vulnérabilités non corrigées. C'est quelque chose que nous sommes moins susceptibles de faire pour les appareils que notre propre ordinateur personnel/professionnel.
  7. Redémarrez et assurez-vous que tout fonctionne toujours.

Dans le sillage de Mirai et d'autres réseaux de zombies, sachez que votre appareil est en danger même si vous n'êtes pas personnellement une cible.

1
White Hat