¿Es malo tener cámaras con una dirección IP estática?

Consideraría a otro contratista, ya que esa declaración no aumenta precisamente mi confianza en su conocimiento / habilidad.

La forma correcta de configurar un sistema de cámaras de seguridad para que pueda verificarlas cuando no está en casa es tener el reenvío de puertos en su enrutador exclusivamente para VPN o HTTP / TLS asignados a la máquina Grabación de datos de las cámaras. Esto funcionará con una IP estática o con DynDNS. Si utiliza por ejemplo una Diskstation para hacer la grabación (como lo hago yo en casa) y luego obtienes DynDNS y el software de vigilancia (con un número limitado de licencias, 4 en mi caso) gratis.

Nunca, nunca jamás , exponga una cámara IP a Internet. Esta es una invitación abierta no solo para las personas como los rusos que crearon Insecam hace medio año para burlarse de usted en su sitio web, así como para todo tipo de pervertidos y, por supuesto, ladrones. También corre el riesgo de ser explotado y de tener malware (¿quizás un software de control de botnet?) Instalado dentro de su red doméstica. Desde allí atacarán a las otras computadoras que verán el tráfico proveniente de una fuente "confiable". Casi todas las cámaras IP tienen firmware barato, predeterminado a inseguro, algunas ni siquiera admiten el cifrado básico. El firmware se actualiza rara vez, si es que lo hace, y no necesariamente para tener en cuenta los problemas de seguridad. Las cámaras de mi casa son susceptibles de sufrir Heartbleed (aunque esto se conoce públicamente desde hace casi un año). No hay nada que hacer al respecto, aparte de no permitir que nadie acceda a ellos. La documentación ni siquiera lo menciona, pero son demostrables explotables.

Usted podría permitir que las cámaras realicen una conexión saliente para cargar archivos a un servidor externo cuando se dispara la alarma, lo que hace que robar o destruir su servidor en casa sea inútil. Pero nunca permite conexiones entrantes en absoluto.

Personalmente, ni siquiera permitiría que una cámara realice conexiones salientes, al ver cómo se producen prácticamente todas las cámaras IP y su firmware en China (y las que no lo están, en EE. UU., lo que es igual de malo) .
El espionaje apoyado por el gobierno y, en particular, el espionaje industrial es un gran negocio, y ¿cómo podría hacerlo mejor que exigiendo un canal oculto integrado en cada cámara que sus posibles objetivos ubicarán fácilmente donde haya algo importante? Por supuesto, usted dijo que no es una persona importante (... pero ¿quién es realmente lo suficientemente insignificante para que a nadie le importe mirar? ¿Por qué la NSA está leyendo sus correos?). No ser el objetivo principal no significa que la puerta trasera no esté integrada en su cámara de todos modos, que puede ser usada y abusada por casi cualquier persona.
Cualquiera que incluya a los ladrones que pueden verificar convenientemente si hay alguien en casa. No hagas sus vidas más fáciles de lo que debe ser.

Actualización:
Mientras tanto, mi declaración sobre el riesgo de que se instale un software de botnet en sus cámaras IP ya no es una mera posibilidad. La declaración anterior, que tal vez sonó como un paranoico, resultó ser completamente profética (ataque de octubre de 2016 a Dyn). Por lo tanto: no hay acceso directo a Internet para dispositivos presumiblemente inseguros, nunca, nunca .

La IP estática o dinámica no es un problema.

Pero desde que abrió las cámaras, debe saber que muchas cámaras IP tienen una seguridad MUY deficiente. Muchas de estas cámaras tienen un firmware defectuoso conocido que permite la descarga no autenticada de toda la memoria del dispositivo a través de simplemente ir a / proc / kcore, sin la necesidad de autenticarse. Esto permite que cualquiera pueda obtener la contraseña de su cámara.

enlace

La única diferencia entre la dirección IP estática a la que se refiere su técnico y una dirección dinámica y cambiante en esta situación es que una nunca cambia y la otra sí (la frecuencia depende de muchos factores).

No hay nada inherentemente más o menos seguro en ninguno de los dos. Ambos son un medio para identificarlo a usted y a su red doméstica en Internet.

En realidad no ...

Las direcciones dinámicas y estáticas tienen diferentes ventajas / inconvenientes.

Estático

• Vulnerable a la minería de datos ya que siempre usa la misma dirección.
• Excelente para alojar un servidor (como ver el contenido de su cámara de seguridad de forma remota)
• Mal de troll en los foros, ya que puede ser bloqueado fácilmente

Dinámico

• Menos vulnerable a la minería de datos, ya que a menudo cambia su dirección IP
• No es tan bueno alojar un servidor (puede dificultar la conexión o puedes compartir la IP con otro servidor que está enviando una gran cantidad de correo no deseado, lo que podría provocarte un mal nombre)
• Es bueno hacer troll en los foros porque es más difícil bloquearte

Lo único relevante para la seguridad es la minería de datos. ¿Es un gran problema para ti?

Por lo general, su ISP decidirá si tendrá una dirección estática o dinámica. Según lo que quieras, espera lo mejor.

Para un usuario residencial típico, la IP estática frente a la dinámica no importa mucho desde el punto de vista de la seguridad. Al igual que la dirección de su residencia es bastante estática. No cambia esa dirección todo el tiempo (a menos que se mude, por supuesto). Solo importa si alguien quiere dirigirse específicamente a usted y sabe su dirección. Un usuario típico no debería tener que preocuparse de que eso suceda con su IP. Aparte de eso, las amenazas serán aleatorias. No importa si tu IP es estática o dinámica, solo que tienes una.

Consulte Un atacante tiene mi dirección IP; ¿y qué?

Si está ejecutando una cámara, la IP dinámica puede tener alguna ventaja. Si alguien encuentra la IP, al menos puede intentar acceder a la cámara y podría compartirla con otras personas. Una IP dinámica cambiará, lo que significa que tendrían que encontrarla nuevamente.

También, hay formas de acceder a su red doméstica incluso si tiene una IP dinámica . Por supuesto, esto significa que otras personas también podrían usar el método para acceder a él.

Sus problemas de seguridad serán los siguientes, dependiendo de su propia evaluación de riesgos.

1. Una cámara de red, especialmente una externa me brindaría acceso por cable a tu red si la quito de la pared y conecto mi computadora portátil o incluso mi enrutador WiFi Raspberry Pi

2. En el enrutador, deberá reenviar los puertos a cada cámara y / o DVR.

   Todos los puertos que están abiertos son posibles puntos de acceso a una red.

3. Hardware, posibles fallos de vulnerabilidad, etc. en la cámara.

Asegúrese de que esté protegido con el nombre de usuario / contraseña requerido, hay muchos sitios que indexan cámaras IP no seguras, como shodanhq

No es esencial que uses direcciones IP estáticas. Puede usar una combinación de direcciones IP dinámicas, reenvío de puertos en su enrutador y un servicio como dyndns.org (que le brinda una dirección estática que redirige a su dirección dinámica, que debe actualizar cada vez que cambie su dirección dinámica. la actualización puede realizarse manualmente, o muchos enrutadores tienen funcionalidad incorporada para contactar automáticamente con dyndns y actualizar su dirección cada vez que cambie). dyndns.org no es el único sitio que proporciona este servicio, es solo el que estoy familiarizado.

Incluso si está utilizando una dirección estática para las cámaras, es posible que necesite una herramienta como dyndns si su conexión a Internet es dinámica; de lo contrario, no sabrá la dirección IP a la que conectarse cuando no esté en casa.

Todo lo dicho, desde un punto de vista de seguridad, no hay diferencia entre las direcciones estáticas y dinámicas. Como han señalado otras personas, independientemente de su dirección IP, debe tomar otras medidas para asegurar las cámaras, como mantener el firmware actualizado

La razón principal por la que desea una IP estática es para tener una forma de llegar a sus cámaras cuando no está. Imagínese esto, si tuviera que llamar a alguien pero no tenía su número de teléfono o si se había cambiado sin un número de reenvío para llamar, ¿cómo se comunicaría con ellos? La IP estática te da ese mismo número todo el tiempo. Dicho esto, hay otras formas de conectarse desde el exterior utilizando algún tipo de sistema DDNS.

Como va a utilizar una cámara de seguridad IP, recomendaría un NAS de Synology, tienen un sistema DDNS que funciona bastante bien y viene con el costo de la compra del NAS y no hay una verificación mensual de lo que necesita ver con algunos de los servicios gratuitos de DDNS. Además, puede apuntar la cámara para grabar en el NAS, de modo que obtiene gran cantidad de almacenamiento y fácil expansión e incluso tienen su propia aplicación que puede usar para acceder a las grabaciones.

Dicho esto, querrá poner el NAS detrás de un enrutador y puede enviarlo al NAS. Un Netgear WNDR 3700 es bastante rentable y hará el trabajo, lo bueno de ese enrutador es que todos los puertos se muestran como ocultos, incluso cuando están abiertos al reenvío de puertos. Entonces, si alguien escanea su enrutador desde Internet, ni siquiera sabrán si está allí. Si no sabe cómo realizar el reenvío de puertos, el Synology NAS puede conectarse con su código de conexión rápida personalizado que usted mismo configura.

En el pasado, estos dispositivos NAS han sido bastante buenos, tienen una lista de compatibilidad que debe revisar, luego compre una cámara de esa lista para trabajar con el NAS, de lo único que le advertiré, el reciente DS1815 es un poco ruidoso cuando los discos duros están activos y puede ser que sea así con los otros modelos de 2015, así que tenlo en cuenta a la hora de decidir dónde obtener el NAS y dónde quieres colocarlo. Uso discos duros WD Red y funcionan bien, ya que grabará un video, podría ser una buena idea usar los discos duros WD RED Pro, son más rápidos y, según se informa, más silenciosos.

Una vez que haya finalizado la instalación, no se actualicen las actualizaciones automáticamente, supervise cuando salga una actualización, le indicará en la interfaz de administración web, creo que puede configurar el NAS para que le envíe un correo electrónico también para eso, luego consulte el foro de Synology para ver qué experiencias tienen otros usuarios con la actualización e incluso puede hacer preguntas a otros para ver si tienen una cámara web y un NAS determinados y si fueron buenos con la actualización. No todas las actualizaciones implementadas por Synology son perfectas, pero siempre y cuando tenga cuidado, debe navegar bastante bien con el NAS.

Pegaré un enlace al sitio y usted puede decidir por sí mismo. enlace

Espero que esto te ayude

Saludos

A pesar de que, personalmente, puede que no sea un objetivo, los piratas informáticos pueden querer ingresar por diversión o para agrupar su dispositivo conectado a IP y convertirlo en parte de un ataque de botnet más grande. Muchos hackers están llegando a las cámaras de seguridad y los agrupan como parte de la botnet Mirai.

Los usuarios pueden escanear si su IP (incluidas las cámaras) y la red están infectadas con la botnet Mirai: enlace

También es una buena idea cambiar su contraseña, poner su red detrás de un WAF (Web Application Firewall) y asegurarse de que su DNS también tenga protección (vea el reciente ataque DDoS contra Dyn, por ejemplo).

La IP estática con puerta de enlace y servidores DNS será especificada por usted en las propiedades de su adaptador de red. Por lo tanto, mediante el uso de la IP dinámica, DHCP le asignará todos estos parámetros. También puede ser un servidor malintencionado, por lo que obtendrá, por ejemplo, direcciones específicas de DNS y será redirigido a un sitio especial. Por otro lado, hay algunas formas de proteger el acceso a la red con DHCP, como las políticas de acceso a la red, pero tengo algunas dudas de que se implementará en su sistema de video. Así que las reglas de seguridad básicas te ayudarán a almacenar tu información, sin embargo, usarás una IP estática o dinámica.