cámaras IP o cámaras web y wifi / seguridad de red

3

Si tengo un:

  • enrutador con inspección de paquetes con estado activada, además de seguridad WPA2 en la red wifi
  • una cámara IP o una cámara web conectada a esta red wifi

¿Hay alguna manera de asegurar que:

  • la cámara en sí no puede intentar llamar a algún servicio externo y pasar por alto el firewall SPI
  • ¿la única forma de ver la transmisión de video es ssh en un servidor linux conectado al mismo wifi?
pregunta Uzumaki Naruto 05.01.2014 - 02:48
fuente

2 respuestas

5

Evitar que la cámara se comunique con el mundo exterior es trivial o casi imposible, dependiendo de cuán mala sea la cámara. Por un lado, cualquier enrutador decente debería poder bloquear o no bloquear el tráfico de cualquier IP local al mundo exterior; por lo tanto, puede configurar su enrutador para:

  • asigne una dirección IP específica a la cámara (según su dirección MAC);
  • bloquear todo el tráfico no local hacia y desde esta dirección IP.

Si la cámara es "en su mayoría honesta", esto funcionará. Sin embargo, si la cámara tiene intención para evadir sus medidas, entonces la situación se vuelve más compleja:

  • La cámara puede asumir otra dirección IP por su cuenta, sin pasar por el filtro de IP.
  • La cámara puede cambiar su dirección MAC, para evitar cualquier filtrado basado en MAC en el enrutador.
  • La cámara puede intentar enviar datos de forma encubierta a través de solicitudes de DNS. De hecho, mientras el enrutador bloquea el tráfico hacia el mundo exterior, la cámara aún puede hablar con el enrutador, en particular con el servidor DNS que mantiene el enrutador. Ese servidor DNS puede entonces transmitir solicitudes de DNS a entidades externas. Muchos datos pueden ser contrabandeados de esa manera; vea esta presentación para una introducción sobre el tema.
  • Y, por supuesto, dado que la cámara está equipada con algunos circuitos con capacidad para Wi-Fi, puede intentar hablar con otros puntos de acceso WiFi cercanos.

Entonces, se puede decir que podrá contener el tráfico de la cámara a la red local siempre y cuando la cámara intente hablar con servidores externos solo por razones estúpidas pero no deliberadamente deshonestas (por ejemplo, verifique la actualización del firmware).

En cuanto a impedir el acceso a la cámara desde el exterior: nuevamente, debe asumir que la cámara no está abriendo voluntariamente un canal oculto. Cuando las consultas de DNS llevan datos, van en dos direcciones ... Supongamos que la cámara se comporta correctamente. En ese caso, debe asegurarse de lo siguiente:

  • La capa WiFi es robusta. Para abreviar, esto significa WPA2 con una contraseña suficientemente aleatoria (consulte la página de Wikipedia en la seguridad de WiFi como punto de partida en el tema). Para asegurarse de que la cámara sea compatible con WPA2, configure su enrutador para permitir solo WPA2 y rechace WPA y WEP; Si la cámara aún se comunica, entonces hace WPA2 y eso está bien. De lo contrario, deshazte de él.

    En cualquier caso, deje su enrutador en modo solo WPA2.

  • El resto de la red local es robusta. El enrutador actuará como primera capa de protección en este caso; Los paquetes externos lo alcanzarán, no otras máquinas. Configurará el enrutador para reenviar las conexiones al puerto 22 a una dirección IP local específica, asignada a su servidor Linux, y ese servidor ejecuta un demonio SSH en ese puerto. Asegúrese de que las actualizaciones de seguridad se apliquen regularmente en ese servidor; no quieres un agujero explotable de forma remota en el demonio SSH o en el kernel para permitir que un intruso lo secuestre.

    Un corolario es que algunos programas maliciosos en cualquier máquina cliente conectada a la red local pueden abrir puertas y dar acceso a personas externas. Debería pensarlo dos veces antes de permitir que los amigos se "conecten a su WiFi" con sus propios dispositivos, cuya limpieza no puede garantizar.

    Otro corolario es que todo se basa en la ausencia de vulnerabilidades de explotación remota en el propio enrutador. Esto podría ser un poco optimista ...

Si realmente quieres estar seguro , haz lo siguiente:

  1. No use una cámara con capacidad de WiFi o incluso de red. Use una cámara basada en USB, conectada a una PC que ejecute Linux (por ejemplo, su servidor). Esa máquina recibirá el feed. Ahora, el problema consiste en controlar lo que hace el sistema Linux, y eso es al menos factible sin demasiadas suposiciones sobre el comportamiento del firmware y los controladores de código cerrado.

  2. Coloque un enrutador / firewall dedicado entre su enrutador WiFi y el enrutador provisto por su ISP. Ese enrutador dedicado debe ser, nuevamente, una PC pequeña que ejecute un sistema similar a Unix. La idea no es que Linux sea intrínsecamente mejor que el sistema operativo dentro de un enrutador normal y barato; de hecho, algunos de ellos también ejecutan un kernel de Linux. El punto es que, con una PC, puede aplicar actualizaciones diariamente, mientras que las actualizaciones de firmware para enrutadores son raras, cuando existen.

La idea subyacente es que puede obtener una seguridad decente, siempre y cuando dedique tiempo de administración del sistema a la misma, y se puedan aplicar actualizaciones de seguridad.

    
respondido por el Tom Leek 05.01.2014 - 15:20
fuente
1

No es necesario que la inspección de paquetes esté activada, solo tiene que limitar el acceso de red a la cámara. Limítelo para que solo la IP de la máquina desde la que desea verla sea su única conexión saliente permitida. Desde allí, configura el acceso ssh a esa máquina y ya está listo.

La configuración de red y la configuración del servidor ssh dependerán de las opciones de hardware y software. HTH

    
respondido por el Ajaxasaur 05.01.2014 - 04:21
fuente

Lea otras preguntas en las etiquetas