Evaluar la seguridad de las cámaras de seguridad domésticas

Como la mayoría de los hardware integrados (enrutadores, etc.), su firmware a menudo apesta y, a menos que tenga tiempo ilimitado, me temo que no hay manera de revisar a fondo cada una de las cámaras. E incluso si encuentra uno que sea actualmente seguro, ¿qué garantiza que obtendrá actualizaciones para las vulnerabilidades que se descubrirán en el futuro?

En su lugar, sugiero que solo cree sus propias cámaras IP utilizando cámaras web USB (o cámaras IP baratas / inseguras) y conectándolas a una computadora Linux / BSD que realmente manejará toda la autenticación / seguridad y luego retransmitirá la transmisión de video de la cámara. (Preferiblemente sobre algo seguro como HTTPS). De esa manera, la parte de su "cámara" hecha en casa que se enfrenta a Internet puede actualizarse y reforzarse como cualquier computadora, y detrás de ella puede colocar cualquier cámara que desee, incluida la basura más barata, ya que no estará expuesta a Internet de todos modos.

Finalmente, considere colocar el sistema de la cámara en una red separada sin aire desde Internet. Sé que no se aplica en su caso, pero todavía me gustaría mencionarlo: el requisito de acceso físico es una seguridad bastante buena. mida, ya que alguien que quiere espiarlo ahora tiene que irrumpir físicamente en su hogar en lugar de estar a miles de kilómetros de distancia. Si se requiere una grabación fuera del sitio, el video podría cifrarse y luego transmitirse fuera del espacio de aire a través de un cable Ethernet unidireccional con la clave guardada de manera segura, de modo que los datos que salen del espacio de aire no tienen sentido a menos que la clave correcta sea proporcionado.

Esto comenzó como un comentario sobre la respuesta de Andre, pero se alargó un poco.

El USB está bien siempre y cuando ninguna de las cámaras se encuentre a más de 16 pies del host :)

Como de todas formas necesita apagar las cámaras, simplemente ejecute una conexión Ethernet por cable a la LAN (o use POE si puede encontrar cámaras compatibles). En una subred no enrutada, la mayoría de las vulnerabilidades de seguridad inherentes simplemente desaparecen.

Eso deja el problema del software del servidor que necesitará descargar los datos en tiempo real (o lo suficientemente cerca). Después de todo, el servidor en sí es un elemento que se puede restablecer fácilmente.

Ahora tienes la capacidad de registrar exactamente lo que hacen los ladrones. ¿No tendría más sentido pensar en cómo podría usar la capacidad para disuadir a los ladrones? Algunas herramientas (por ejemplo, zoneminder) tienen integración con x10 (encender luces).

EDITAR - Modificó esta respuesta ligeramente (ahora tres partes)

Versión de bajo presupuesto

¿Recoger un enrutador usado (por la casa?), instalar dd-wrt y apagar el WiFi. Bingo, interruptor de 4 puertos ya hecho. No obtendrá PoE para las cámaras, pero, si es necesario, se rectifica fácilmente (con un juego de palabras) con un adaptador PoE o simplemente con verrugas de pared. Ejecute una VPN en el enrutador dd-wrt, póngala en el DMZ del enrutador principal (o puerto hacia adelante) y estará listo. No hay gestión de Linux, si realmente no lo quieres. Las cámaras están aisladas de la red doméstica y protegidas de las redes internas.

Puede ir bastante lejos al adquirir el hardware de la red y la cámara usados a bajo precio. Raspberry PIs también son dispositivos maravillosos y pueden ayudar a ejecutar una red.

Versión de alto presupuesto

Mi configuración actual para fines de comparación. Actualmente tengo cinco cámaras Axis para mi sistema de seguridad residencial, alimentadas por un switch PoE de Cisco y lideradas por un enrutador Cisco. Mucho más de lo que tus padres quieren gastar. Sin embargo, creo que el modelo es bueno para que lo consideres como un alcance. Diseñé esta configuración yo mismo sin experiencia previa en redes (TI). Fue un momento de aprendizaje, seguro.

Protección de red

La mayor preocupación que tendrás es la que ya te preocupa, hacks de Internet. Esto se resuelve mejor con un enfoque de tres puntas.

Primero, cuanto mejor sea el hardware al que se enfrenta Internet, más seguro será.

Segundo, refuerce todo lo que tenga frente a Internet y sentado (cambie las contraseñas predeterminadas, cierre los puertos innecesarios, ejecute una VPN en lugar de UPnP, si puede). Aísle los sistemas de los usuarios, si es posible (es decir, si tiene un interruptor, coloque las cámaras en un vlan).

Tercero, escanee su red reforzada con nmap desde el exterior y utilice www.grc.com desde el interior. GRC es un gran punto de partida. Use nmap desde el interior, también, para ver qué puertos dejaron abiertos internamente que podrían crear problemas en el futuro.

Hay algunas cosas que hacer para proteger su sistema de seguridad residencial:

1. Como dijo otro póster, configurar su propio servidor Linux (Raspberry Pi es una buena solución) y las cámaras conectadas mediante IP es la mejor manera, pero la vulnerabilidad vendrá en las mismas cámaras.
2. Asegúrate de que no estás utilizando la contraseña predeterminada. De esta manera, incluso si lo descubren, será más difícil ingresar. Cambie especialmente las contraseñas de root, cuando sea posible.
3. Incapsula tiene un escáner de vulnerabilidad Mirai , que escanea su IP para ver qué puede estar en riesgo. enlace
4. Use un Servidor de seguridad de aplicaciones web (WAF) para dejar atrás su dispositivo
5. Deshabilita cualquier conexión remota innecesaria.
6. Ejecute el firmware más actualizado para garantizar que las vulnerabilidades de seguridad descubiertas estén parcheadas. Pero ten en cuenta que hay muchas vulnerabilidades sin parchear que permanecen. Esto es algo que es menos probable que hagamos para los dispositivos que nuestra propia computadora del hogar / trabajo.
7. Reinicia y asegúrate de que todo siga funcionando.

A raíz de Mirai y otras botnets, comprenda que su dispositivo está en riesgo incluso si usted no es un objetivo.