Estoy exponiendo demasiado a través del alcance del puerto hacia adelante en el sistema de seguridad del hogar

3

Acaba de instalar un sistema de seguridad para el hogar lorex. Este es un sistema nvr muy parecido a este:

enlace

Aunque no es exactamente como este vinculado anteriormente, es bastante similar, sin embargo, es un modelo más nuevo. El manual solicita abrir algunos puertos, pero me pregunto si estoy exponiendo demasiado al mundo exterior con algo como esto:

Sé que los sistemas como este son vulnerables debido a que los propietarios de viviendas rara vez actualizan el firmware, pero estoy bastante por encima de las actualizaciones de firmware siempre que Lorex las proporcione.

¿Alguna vez alguien ha instalado uno de estos y son los puertos que abrí para acceder a estas cosas?

Olvidé mencionar que esto es para una casa personal mía, no un negocio. Hace poco sufrió vandalismo en nuestra comunidad y una gran redada de drogas de una familia que recientemente se mudó cerca de nosotros ... Cosas de miedo ... incluso cuando piensas que estás viviendo en un lugar seguro, como esto sucede.

    
pregunta JonH 19.02.2016 - 21:29
fuente

7 respuestas

11

Usted preguntó si era demasiados puertos. Esa es una pregunta equivocada. Un puerto puede ser demasiado.

Si desea los servicios que proporciona el dispositivo, y está dispuesto a aceptar los riesgos de que personas externas obtengan acceso al dispositivo como resultado, entonces un puerto o 10, no importa.

Todavía quisiera limitar su riesgo al colocar este dispositivo en una red invitada o en una VLAN separada, en caso de que el dispositivo se convierta en un punto de pivote para un atacante.

    
respondido por el schroeder 19.02.2016 - 22:00
fuente
3

Solo debe habilitar el reenvío de puertos si desea ver las cámaras desde el mundo exterior, ej. Desde su teléfono o computadora de trabajo. El puerto 80 es obviamente la interfaz web desde la que inicias sesión desde fuera, no estoy seguro de qué puertos están usando las otras aplicaciones. Definitivamente, debe mantener el firmware actualizado y usar contraseñas seguras a menos que quiera aparecer en shodan.io ... Recomendaría obtener una frambuesa pi y configurar openvpn y pfsense o ufw firewall. Configúrelo de manera que solo ciertas direcciones IP puedan acceder a él, como su teléfono y una clave de firma ca.

    
respondido por el donny 19.02.2016 - 22:03
fuente
3

Hemos recibido esta idea de que "los puertos abiertos == no son seguros". Eso es al menos un poco cierto, por lo que se repite a las personas en un fragmento de conversación de 2 minutos para explicar la seguridad a un nivel micro. Se podría llevar a creer que "más puertos abiertos == más inseguros". Eso simplemente no es cierto en absoluto.

La realidad es que son los dispositivos o servicios en sí los que no son seguros. Las cámaras de internet tienen un historial particularmente malo. La forma en que tiene que pensar sobre esto es, ¿se siente cómodo con cualquier schmo antiguo que sea capaz de piratear de forma trivial su cámara web y verla? Porque eso es al menos un escenario semi-probable con este tipo de dispositivos. Simplemente hay un pequeño incentivo para que los fabricantes de dispositivos se preocupen por la seguridad, y está en gran medida fuera de su control.

Usted dice que está dispuesto a mantenerse al día con las actualizaciones. Usted asume que el fabricante realmente se preocupa por la seguridad, lo que generalmente no les importa. Incluso si lo hacen, todavía te estás abriendo para el período hasta que te proporcionen un parche. ¿Quién puede decir cuántas personas sabían sobre una vulnerabilidad en una cámara de Internet oscura antes de que se reparara?

El resultado final es, piense en la cámara como un dispositivo de difusión pública disponible en un canal de televisión oscuro. Cortafuegos desde el resto de su red. Entonces lo peor que puede pasar es que alguien pueda romperlo. (Lo que ya es cierto, ya que cualquiera podría simplemente lanzar una piedra de buen tamaño a la cosa).

    
respondido por el Steve Sether 19.02.2016 - 22:33
fuente
2

Veo dos riesgos principales:

  1. El cuadro NVR es inseguro. Si bien no tenemos conocimiento de esta marca, los dispositivos de IoT son, como usted mencionó, notoriamente inseguros. ¿Qué tan grande es el riesgo es muy específico de marca / producto. Es una buena señal si el fabricante ha lanzado parches de seguridad para este u otro producto. Significa que les importa (al menos un poco). Pero pueden lanzar parches sin decir que están relacionados con la seguridad, así que esto no es una prueba de fuego.
  2. De alguna manera, otro dispositivo en su red obtiene esa dirección IP. Supongo que está utilizando IP estáticas para el cuadro NVR, pero probablemente IP dinámicas para otros dispositivos. Así que asegúrese de que su enrutador no pueda asignar esa IP a otro dispositivo. Probablemente pueda limitar el rango de IP dinámicas en la configuración del enrutador. Esto evitará que un atacante haga fallar el NVR y se le reasigne la IP para acceder a otros dispositivos en su red.

Una alternativa a solo abrir el firewall es obtener un enrutador / firewall que le permita configurar VLAN o que tenga una red de invitado. Luego podría restringir el acceso para que solo el dispositivo NVR esté expuesto a Internet. Esto evitará que un NVR comprometido se use como un cuadro de salto para atacar al resto de la red.

Es posible que también desee desactivar el puerto 80 y otros puertos no encriptados si el sistema aún funciona. Como usted es el único que accede a la casilla, solo el uso de SSL no debería ser un problema.

    
respondido por el Neil Smithline 19.02.2016 - 22:11
fuente
0

Estos productos de cámaras web IP son notoriamente inseguros, por lo que un puerto ya es demasiado grande. Considere usar un producto VPN (en lugar de reenvío de puertos) para asegurar el acceso remoto ... OpenVPN es bastante práctico y está respaldado por enrutadores DD-WRT.

Recuerde que un compromiso permitirá que un atacante acceda al video / audio de la cámara, lo cual es mucho más peligroso que el gizmo que se usa como punto de incursión en la red.

    
respondido por el trognanders 20.02.2016 - 03:39
fuente
0

La respuesta es sí, es peligroso abrir puertos como este. Ayer mismo vi este artículo en el que se discutía la revelación de contraseñas de root codificadas en algunos DVR de Lorex (entre otros).

enlace

Desafortunadamente, el reenvío de puertos a través de su firewall es la única forma en que muchos de estos DVR baratos le permiten usar un cliente remoto / móvil para acceder al video cuando no está. Con ese fin, definitivamente pondría este sistema en una zona DMZ para proteger al resto de su red doméstica en caso de un compromiso. O configura tu propia VPN.

    
respondido por el S Mitchell 20.02.2016 - 06:22
fuente
0

Como otros indicaron, desea colocar este sistema en una VLAN separada detrás de un enrutador / conmutador y ser más seguro, cierre todos esos puertos y sacrifique la posibilidad de ver sus cámaras a través de la web. Puede verlos configurando una VPN en su red doméstica que le permita enviar y recibir tráfico cifrado para ver las cámaras y administrarlas cuando se encuentre lejos de su hogar.

Los motores de búsqueda como shodan.io existen específicamente para encontrar cámaras que han sido configuradas sin tener en cuenta la seguridad, y podría encontrarse dando un paso adelante en la seguridad de su hogar y dos pasos atrás.

    
respondido por el veggiefish 20.02.2016 - 11:22
fuente

Lea otras preguntas en las etiquetas