Mes parents ont une maison de vacances à la campagne et cherchent à mettre en place un système de surveillance à domicile pour la visualisation à distance. J'ai entendu dire qu'il peut y avoir de graves vulnérabilités dans ces produits. Quelles sont les directives que je pourrais utiliser pour aider à évaluer ces produits?
J'ai une formation en développement logiciel, donc je suis à l'aise avec les réponses techniques, mais je ne suis certainement pas un professionnel de l'administration système ou de la configuration réseau. Mes parents cherchent à dépenser moins de 300 $, mais ils peuvent dépenser plus si ce n'est pas réaliste pour un système bien protégé, donc mes ressources financières pour effectuer moi-même une évaluation de la sécurité sont limitées.
Comme la plupart des matériels embarqués (routeurs, etc.), leur firmware est souvent nul, et à moins que vous n'ayez un temps illimité, je crains qu'il n'y ait aucun moyen de vérifier minutieusement chaque caméra. Et même si vous en trouvez un qui est actuellement sécurisé, qu'est-ce qui garantit que vous obtiendrez des mises à jour pour les vulnérabilités qui seront découvertes à l'avenir?
Au lieu de cela, je suggère simplement de créer vos propres caméras IP en utilisant des webcams USB (ou des caméras IP bon marché/non sécurisées) et de les connecter à un ordinateur Linux/BSD qui gérera réellement toute l'authentification/sécurité, puis rediffusera le flux vidéo de la caméra (de préférence sur quelque chose de sécurisé comme HTTPS). De cette façon, la partie Internet de votre "appareil photo" fait maison peut être mise à jour et renforcée comme n'importe quel ordinateur, et derrière elle, vous êtes libre de mettre tout appareil photo que vous voulez, y compris les ordures les moins chères car il ne sera pas exposé à Internet de toute façon.
Enfin, envisagez de placer le système de caméras sur un réseau séparé et insuffisant d'Internet - je sais que cela ne s'applique pas dans votre cas mais j'aimerais quand même le mentionner - l'exigence d'un accès physique est une assez bonne mesure de sécurité, car quelqu'un qui veut vous espionner doit maintenant pénétrer physiquement chez vous plutôt que d'être à des milliers de kilomètres. Si un enregistrement hors site est requis, la vidéo peut être cryptée, puis diffusée en dehors de l'entrefer via un câble Ethernet unidirectionnel avec la clé conservée en toute sécurité, de sorte que les données quittant l'entrefer n'ont de sens que si la bonne clé est à condition de.
Cela a commencé comme un commentaire sur la réponse d'André, mais cela a pris un peu de temps.
L'USB est bien tant qu'aucune des caméras n'est à plus de 16 pieds de l'hôte :)
Étant donné que vous devez de toute façon éteindre les caméras, exécutez simplement une connexion Ethernet filaire au LAN (ou utilisez POE si vous pouvez trouver des caméras qui le prennent en charge). Sur un sous-réseau non routé, la plupart des failles de sécurité inhérentes disparaissent.
Cela laisse alors le problème du logiciel serveur qui devra décharger les données en temps réel (ou assez près). Après tout, le serveur lui-même est un élément facilement réinitialisé.
Vous avez maintenant la possibilité d'enregistrer exactement ce que font les cambrioleurs. Ne serait-il pas plus logique de réfléchir à la façon dont vous pourriez utiliser la capacité de dissuader les cambrioleurs? Certains outils (par exemple zoneminder) ont une intégration x10 (allumez les lumières).
EDIT - Modifie légèrement cette réponse (maintenant en trois parties)
Ramassez un routeur utilisé (posé autour de la maison?), Installez dd-wrt dessus et éteignez le WiFi. Bingo, commutateur 4 ports prêt à l'emploi. Vous n'obtiendrez pas PoE pour les caméras, mais, si nécessaire, cela est facilement corrigé (jeu de mots) avec un adaptateur PoE ou simplement des verrues murales. Exécutez un VPN sur le routeur dd-wrt, placez-le dans le routeur principal DMZ (ou port forward) et vous êtes prêt à partir. Pas de gestion Linux, si vous ne voulez vraiment pas Les caméras sont isolées du réseau domestique et protégées des réseaux Internet.
Vous pouvez aller assez loin en achetant du matériel réseau et caméra d'occasion à bon marché. Les PI de framboise sont également de merveilleux appareils et peuvent aider à gérer un réseau.
Ma configuration actuelle à des fins de comparaison. Je possède actuellement cinq caméras Axis pour mon système de sécurité domestique, alimentées par un commutateur Cisco PoE et dotées d'un routeur Cisco. Beaucoup plus que vos parents ne veulent dépenser. Cependant, je pense que le modèle est bon à considérer comme une portée. J'ai moi-même conçu cette configuration sans aucune expérience préalable en réseau (TI). C'était un moment d'apprentissage, c'est sûr.
La plus grande préoccupation que vous aurez est celle qui vous inquiète déjà, les piratages sur Internet. Ceci est mieux résolu avec une approche en trois volets.
Premièrement, meilleur est le matériel face à Internet, plus il sera sécurisé.
Deuxièmement, durcissez tout ce que vous avez face à Internet et assis à l'intérieur (changez tous les mots de passe par défaut, fermez les ports inutiles, exécutez un VPN plutôt que UPnP, si vous le pouvez). Isolez les systèmes des utilisateurs, si possible (c.-à-d., Si vous avez un commutateur, placez les caméras sur un VLAN).
Troisièmement, scannez votre réseau renforcé avec nmap de l'extérieur et utilisez www.grc.com de l'intérieur. GRC est un excellent point de départ. Utilisez également nmap de l'intérieur pour voir quels ports vous avez laissés ouverts en interne qui pourraient créer de futurs problèmes.
Il y a quelques choses à faire pour protéger votre système de sécurité domestique:
Dans le sillage de Mirai et d'autres réseaux de zombies, sachez que votre appareil est en danger même si vous n'êtes pas personnellement une cible.