Estoy exponiendo demasiado a través del alcance del puerto hacia adelante en el sistema de seguridad del hogar

Usted preguntó si era demasiados puertos. Esa es una pregunta equivocada. Un puerto puede ser demasiado.

Si desea los servicios que proporciona el dispositivo, y está dispuesto a aceptar los riesgos de que personas externas obtengan acceso al dispositivo como resultado, entonces un puerto o 10, no importa.

Todavía quisiera limitar su riesgo al colocar este dispositivo en una red invitada o en una VLAN separada, en caso de que el dispositivo se convierta en un punto de pivote para un atacante.

Solo debe habilitar el reenvío de puertos si desea ver las cámaras desde el mundo exterior, ej. Desde su teléfono o computadora de trabajo. El puerto 80 es obviamente la interfaz web desde la que inicias sesión desde fuera, no estoy seguro de qué puertos están usando las otras aplicaciones. Definitivamente, debe mantener el firmware actualizado y usar contraseñas seguras a menos que quiera aparecer en shodan.io ... Recomendaría obtener una frambuesa pi y configurar openvpn y pfsense o ufw firewall. Configúrelo de manera que solo ciertas direcciones IP puedan acceder a él, como su teléfono y una clave de firma ca.

Hemos recibido esta idea de que "los puertos abiertos == no son seguros". Eso es al menos un poco cierto, por lo que se repite a las personas en un fragmento de conversación de 2 minutos para explicar la seguridad a un nivel micro. Se podría llevar a creer que "más puertos abiertos == más inseguros". Eso simplemente no es cierto en absoluto.

La realidad es que son los dispositivos o servicios en sí los que no son seguros. Las cámaras de internet tienen un historial particularmente malo. La forma en que tiene que pensar sobre esto es, ¿se siente cómodo con cualquier schmo antiguo que sea capaz de piratear de forma trivial su cámara web y verla? Porque eso es al menos un escenario semi-probable con este tipo de dispositivos. Simplemente hay un pequeño incentivo para que los fabricantes de dispositivos se preocupen por la seguridad, y está en gran medida fuera de su control.

Usted dice que está dispuesto a mantenerse al día con las actualizaciones. Usted asume que el fabricante realmente se preocupa por la seguridad, lo que generalmente no les importa. Incluso si lo hacen, todavía te estás abriendo para el período hasta que te proporcionen un parche. ¿Quién puede decir cuántas personas sabían sobre una vulnerabilidad en una cámara de Internet oscura antes de que se reparara?

El resultado final es, piense en la cámara como un dispositivo de difusión pública disponible en un canal de televisión oscuro. Cortafuegos desde el resto de su red. Entonces lo peor que puede pasar es que alguien pueda romperlo. (Lo que ya es cierto, ya que cualquiera podría simplemente lanzar una piedra de buen tamaño a la cosa).

Veo dos riesgos principales:

1. El cuadro NVR es inseguro. Si bien no tenemos conocimiento de esta marca, los dispositivos de IoT son, como usted mencionó, notoriamente inseguros. ¿Qué tan grande es el riesgo es muy específico de marca / producto. Es una buena señal si el fabricante ha lanzado parches de seguridad para este u otro producto. Significa que les importa (al menos un poco). Pero pueden lanzar parches sin decir que están relacionados con la seguridad, así que esto no es una prueba de fuego.
2. De alguna manera, otro dispositivo en su red obtiene esa dirección IP. Supongo que está utilizando IP estáticas para el cuadro NVR, pero probablemente IP dinámicas para otros dispositivos. Así que asegúrese de que su enrutador no pueda asignar esa IP a otro dispositivo. Probablemente pueda limitar el rango de IP dinámicas en la configuración del enrutador. Esto evitará que un atacante haga fallar el NVR y se le reasigne la IP para acceder a otros dispositivos en su red.

Una alternativa a solo abrir el firewall es obtener un enrutador / firewall que le permita configurar VLAN o que tenga una red de invitado. Luego podría restringir el acceso para que solo el dispositivo NVR esté expuesto a Internet. Esto evitará que un NVR comprometido se use como un cuadro de salto para atacar al resto de la red.

Es posible que también desee desactivar el puerto 80 y otros puertos no encriptados si el sistema aún funciona. Como usted es el único que accede a la casilla, solo el uso de SSL no debería ser un problema.

Estos productos de cámaras web IP son notoriamente inseguros, por lo que un puerto ya es demasiado grande. Considere usar un producto VPN (en lugar de reenvío de puertos) para asegurar el acceso remoto ... OpenVPN es bastante práctico y está respaldado por enrutadores DD-WRT.

Recuerde que un compromiso permitirá que un atacante acceda al video / audio de la cámara, lo cual es mucho más peligroso que el gizmo que se usa como punto de incursión en la red.

La respuesta es sí, es peligroso abrir puertos como este. Ayer mismo vi este artículo en el que se discutía la revelación de contraseñas de root codificadas en algunos DVR de Lorex (entre otros).

enlace

Desafortunadamente, el reenvío de puertos a través de su firewall es la única forma en que muchos de estos DVR baratos le permiten usar un cliente remoto / móvil para acceder al video cuando no está. Con ese fin, definitivamente pondría este sistema en una zona DMZ para proteger al resto de su red doméstica en caso de un compromiso. O configura tu propia VPN.

Como otros indicaron, desea colocar este sistema en una VLAN separada detrás de un enrutador / conmutador y ser más seguro, cierre todos esos puertos y sacrifique la posibilidad de ver sus cámaras a través de la web. Puede verlos configurando una VPN en su red doméstica que le permita enviar y recibir tráfico cifrado para ver las cámaras y administrarlas cuando se encuentre lejos de su hogar.

Los motores de búsqueda como shodan.io existen específicamente para encontrar cámaras que han sido configuradas sin tener en cuenta la seguridad, y podría encontrarse dando un paso adelante en la seguridad de su hogar y dos pasos atrás.