IP kamera eldugása a hálózaton

Hálózatok egyéb

Kedves Mindenki!

 

Hozzájutottam egy kis kamerához (https://hetiolcso.hu/Mobilrol-iranyithato-kompakt-WiFi-IP-kamera-ejjell), ami képes kapcsolódni egy meglévő wifi hálózathoz. Érdekessége, hogy nem ip-címmel lehet elérni, hanem telefonra lehet letölteni egy programot, ami kezeli a kamera mozgatását (ptz), és a közvetített képet. Én nem tartom magam paranoiásnak, de az ilyen kínai kütyük felé nem től erős a bizalmam, nem szeretném ha kici kínai nézegetné a lakásomat, neadjisten végighekkelné az itthoni hálózatomat. Arra gondoltam, hogy ráteszem egy dedikált routerre, ami a wan portjával kapcsolódik a meglévő switch-re, ami aztán ereszti tovább az internetre. Emberileg elfogadható biztonságra szeretnék törekedni, nem célom a pentagonnal felvenni a versenyt. Mi a véleményetek, ez már használható megoldás lenne, vagy esetleg van valami jobb?

  • 902 megtekintés

( uid_6201 v | 2022. 02. 03., cs – 18:02 )

Menedzselhető kis switch kamerához menő portja önálló VLAN és innentől a felettes router tűzfalszabályok mentén való korlátozással routolja a másik szegmensbe.
Azaz a kamera nem kezdeményezhet kapcsolódást, kivéve rögzítő felé, ha a kamera jelentkezik rá és nem a rögzítő a kamerára.
No meg az internet felé se kapcsolódhat a kamera. Kizárólag te kezdeményezheted a kapcsolódást rá és kizárólag a VPN koncentrátorod felöl.

Mindezt egy olcsó néhány portos Mikrotik routerrel megoldhatod (VLAN-képes switch, router, tűzfal, VPN koncentrátor funkciók egyben), szóval nem Pentagon-téma.

( st3v3 v | 2022. 02. 03., cs – 18:08 )

Szerkesztve: 2022. 02. 03., cs – 18:09

Nemrég pont volt a kezem között egy drágább ~300e kamera. Kicsit furcsálltam, hogy van rajta helyből ssh, de sehol sincs dokumentálva hozzá a hozzáférés. A webes management felületen nem lehetett ssh kapcsán semmit sem állítani, az ottani user kezelés kizárólag a webui felhasználót érintette. Triviális dolgokat(pl http forgalom, login folyamat) megnézve már elkezdett égnek állni a hajam:a management felületen a felhasználó kezelésnél plaintextben visszaadta a tárolt user-jelszavakat. Na ez után kezdtem el kicsit behatóbban megnézni mi ez az egész. Sikerült hozzá firmware frissítést találni ami mint kiderült nem inkrementális, hanem tartalmazta teljes filerendszert (kicsit trükkös volt kicsomagolni). Kiderült, hogy természetesen van beégetett root user pár óra alatt kinyerhető jelszóval van külön backdoor user/jelszó a webes admin felülethez is. A futó binárisokat nem néztem át annyi időm nem volt, de alaposan meglepett. Főleg a shodan keresés után ami mutatott egy rakat ilyen kamerát direktben kirakva a hálóra. Külön röhej kategória volt, hogy a "jogosultság kezelés" (user: mozgathatja a kamerát, nézheti a képét de nem konfigurálhat) úgy volt megoldva, hogy javascriptből rejtett láthatóságúra állítják a konfigurációs gombot az admin felületen).

Szóval jól gondold meg, hogy hova akarod felrakni és mire használod.

nem szeretném ha kici kínai nézegetné a lakásomat, neadjisten végighekkelné az itthoni hálózatomat

Rakd be egy csak neki szeparált hálózatra, netre ne engedd ki. Control forgalomhoz külön wifi. Távoli használathoz nem úszod meg a saját illesztő/proxy összerakását. Legalábbis nekem az most jön majd ha sikerül rá időt találni.

**

Amúgy abszolút nem vagyok otthon ip kamerák terén, érdekes betekintési folyamat volt..

( pgabor v | 2022. 02. 03., cs – 18:17 )

Egy guest wifit javasolnek uj subnet-tel a meglevo router-eden (nem szukseges masik router) es le kell korlatozni, hogy ne erje el az eredeti subnet-et, illetve a router admin feluletenek port-jat. Ha telefon kozvetlenul kapcsolodik hozza, akkor a wan fele is lehet tiltani a kamerat. A telefont (akar MAC alapjan) lehet engedelyezni a kamera fele.

Ha a telefon egy cloud szolgaltaton keresztul kapcsolodik a kamerahoz, akkor nem lesz ilyen egyszeru a megoldas.

( sargarigo | 2022. 02. 03., cs – 20:35 )

Először is köszönöm a hozzászólásokat!

Próbálom összegezni az eddigeket. Rákölteni egyáltalán nem akarok, annyit nem ér. Viszont routerem van itthon egy pár, azokból nem sajnálok egyet erre elhasználni. A véleményeitek alapján azt gondolom hogy nem volt rossz az elgondolásom, hogy ha kap egy saját routert (és ezzel egy saját alhálózatot) akkor onnan nem fog tudni szétnézni a rendes hálózatomon, de az internetre kimehet. A téma első fele tehát letudva, a dolgaim biztonságban vannak. Ha kerti kamerának használom, akkor biztonsági aggályokat se sokat vet fel, aki a kerítésen benéz ugyanezt látja. Tehát kültéri kamera lesz belőle! Solved :)

Nagyon helyesen gondolod.., - be ne engedd a nappalidba, hálószobádba, még SSH, cloud, stb. mellett sem. (Vőm távolról a kertben lévő kutyákat szokta ellenőrizni napközben, szöktek-e vagy megvannak-e még! - Arra, ha "térképészeti" szempontból semleges területre irányul, megfelel.)

Ha a kamera routeret osszedugod a masik halozatoddal, hogy netet adj neki, akkor ugyan nem egy szegmensben lesznek, de a kamera IP szinten meg mindig eleri a halozatod, csak lesz koztuk egy NAT. Ahhoz, hogy ez jo legyen kellene tuzfal valamelyik routeredre, ami csak a publikus Internet fele meno forgalmat engedi at.

"nem fog tudni szétnézni a rendes hálózatomon, de az internetre kimehet" - na pont ez az utóbbi nem biztos, hogy kéne. Ami nekem van kamera, az  DHCP-ben rögzített fix IP-vel van a hálózaton, az IP-je tűzfalon explicit tiltva van a nagyvilág felé - ha rá akarok nézni, akkor VPN-en csattanok be az otthoni hálózatra, és onnan közvetlenül kapcsolódok a kamerára. Sajnos a wifi-jét nem tudtam még lelőni, de a rendszeresen cserélt, erősnek tekinthető wifi "jelszó" remélhetőleg elég ahhoz, hogy ne másszon be rá wifi-n se senki.

Számold bele, hogy egy wifi router áramfogyasztása egy évben simán lehet 4-5 ezer forintnyi. Hiába nem akarsz rákölteni, de fogsz :) Hosszútávon megérheti egy okosabb eszköz szeparálható hálózatokkal.

Szerintem érdemes lehet lekorlátozni a hálózatod elérésén túl az internet elérését is a minimálisra, ne tudjon olyan könnyen egy kínai botnet hasznos tagja lenni.

( daemon82 v | 2022. 02. 04., p – 07:19 )

Ilyen van a gyerekszobaban.

Yoosee app?

Az appban engedelyezheto az NVR kapcsolodas, aztan mar nem kell neki net, azt hiszem.

( ng123 | 2022. 02. 04., p – 09:41 )

Van a kamera és van a program a telefonra. Ugyan az a cég csinálta?

Ha nem bízol a kamerában miért bízol meg a programban?

A telefont is elszigeteled a külvilágtól?

Nagy Gábor   https://sign-el-soft.hu

( sargarigo | 2022. 02. 04., p – 11:08 )

Hát jó sok minden érkezett, próbálok végigmenni! :)

 

A második router-t még nem bogarásztam át hogy mit tud, ő egy dlink DIR-879. Elvileg tud jó sok okosságot, hátha ez is benne lesz. Ezt a tűzfal dolgot alaposabban körül kell járnom úgy érzem. Most így hirtelen nem látom át, hogyan lehetne beállítani azt, hogy az első router (ami az internet van) teljes értékűen kiszolgáljon minden eszközt, és a második router eszköze meg kizárólag az internet felé tudjon kapcsolódni.

A program V380 amivel kipróbáltam, és a google store-ról származik. A Yoosee-t még nem próbáltam, lehet hogy azzal is megy. A tesztelt programmal az volt, hogy amikor élesztettem fel, az utolsó lépésben szükség volt élő internetre, mert amíg a router nem volt feldugva, addig nem tudott összekapcsolódni vele. Ez nem éppen jó ómen.

És nem, nem bízom a programban sem, csak annyi időre volt a telefonomon, amíg kipróbáltam. Ezt a program dolgot azért nem említettem eddig, mert nem akartam még jobban elbonyolítani a témát. Reményeim szerint meg lehet oldani hogy ip-vel elérjem a stream-et, és akkor nem kellene hozzá program. Ha működne, akkor mondjuk egy HomeAssist tudná kezelni. Sajnos ez a reményem egyre halványabb, ahogy gondolkodom a lehetőségeimen.

háát nagy taknyolás de a maszkokkal talán lehet játszani, még sohasem próbáltam, de majd valaki itt elmondja miért nem működik...:)

első router LAN->másidok router WAN
Például az 1. routered a 192.168.0.1/24
szóval az első routered ip cimét beállitod 192.168.0.254-re (vagy nem tudom milyen ip-kkel dolgoznak a routereid)
 

a második router:
wan beállitásai:

ip:192.168.0.253
maszk: 255.255.255.252
gw:192.168.0.254

a második routered természetesen a lan porton nem lehet 192.168.0.x

igy elvieg működhet, és nem látja az előző hálózatot, mert el van maszkolva :)

Mert azt mondta a kérdező, hogy nem akar rá költeni.

Meg amikor reggel megnyitottam ezt a fórumot elsőként az ugrott be, hogy ajánlok egy mikrotiket meg vlanozást, de sajnos abban az esetben meg jön a:
mikrtotik meg pilótavizsgás szar....stb stb

Sajnos nem jó. GW_xxxx wifi nevet vár a program az eszköztől, az enyém meg MV_xxxx formátumú. Nem is enged tovább. :(

Viszont a router (a továbbiakban sandbox lesz az egyszerűség kedvért) tud guest_wifit! Most a próbára rá van dugva a wan portja a switch egy szabad portjára, és a kamerán meg a telefonon kívül más nem is csatlakozik hozzá. Tesztelem.