Palomuuri ja valvontakameran etäkäyttö

Liittynyt
08.10.2024
Viestejä
8
Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?
 
Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?
Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)
 
Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
 
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
Eri valmistajilla erilaisia toteutuksia, tietoturvan kannalta sen tarkoittaa ensin sitä että kameraan pääsee ulkoverosta, eli riski sinänsä. jonka taso riippuu siitä kuinka varma, turvallinen se pääsynhallinta on.

Ko valmistajan palvelu ilmeisesti ensisijaisesti yrittää aukoa palomuuriin reitin niin että varsinainen datasiirto tapahtuu suoraan kamerasta katsojalle. Eli valmistajan palvelin on siinä yhteyden muodostamisessa apuna, eli kamera pitää yhteyttä sinne palvelimeen, ja katsoja ottaa yhteyden palvelimeen, ja sen jälkeen kameran ja katsojan väliin muodostetaan yhteys NATosaa reitittää ja mahdollinen palomuuri luottaa kun aloitteelinen sisäverkosta.

Jos suorahteys ei onnistu, niin tuolla valmistajalla ilmeisesti tuki sille että stream kulkee sen hallitseman palvelimen kautta, eli tässä kamera on yhteydessä palvelimeen, eli palomuurin mielestä juuri sinne minne sallittu, palvelin toimii välityspalvelimena minkä kautta se data kiertää.

Eli toimii operaattorien NATien kautta, toimii palomuurien läpi jotka sallii sisältäalkaneet yhteydet . Jos sen haluaa torpata niin pitää estää kameralta moiset. Jos kuitenkin haluaa ulkoa kameraan yhteyden, niin jos ei halua suoria reittejä kameraan aukoa, niin VPN tunnelilla sisäverkkoon missä kamera.


Se kuinka turvallista siirtää data valmistajan palvelunkautta, jos siihen ei kuulu muita ominaisuuksia ja yhteys on päästä päähän salattu, ja ylläpito laadukasta, ja pääsynhallinta, niin turvallisempaa kuin itse touhuta reittejä.

Toki jos jos sieltä paljastuu aukkoja joihin helppo hyökätä ja niihin hyökätään, niin varautua että kaikki mitä kameran edes näkyy ja kuuluu, niin voi joutua nettiin, sama riski toki itse ylläpitämässä reitissä. (*

Jos mennään ääripäähän, Uikuuri taustaa, niin eiköhän peli ole menetetty. Tuohon väliin sitten mahtuu kaikkea karvahatusta foliohattuun


(*
Näitä kamera aukkoja löynyt ja paljastanut eri taoisilta toimijoilta, välllä uhrina kansalaisia palvelevat tahot, välillä ihan koti käyttäjät. Se että jokin "ison" toimija palvelu vuotaa yleensä tulee julkisuuteen nopeasti, vs se että oma reitti vuotaa, niin sitä ei välttämättä huomaa kukaan ei julkisuuteenkaan ei tule ellei sieltä vuoda jotain hauskaa ja nouse iltapäivälehtiin yksittäis tapauksena.

Edellä oleva tarkistamatonta "faktaa", kyseisen valmistajan väitetty välityspalvelin tuki poimittu jostain. Sinänsä uskottava, kuin monella toimijalla tuollaiset.
 
Viimeksi muokattu:
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
Tuossa on tosiaan monenlaisia eri tapoja miten tuo voi olla toteutettu, pulatunnus jo vähän noita avasikin. Varmaan yleisimmät tavat noissa on että joko netin yli katsellaan kuvaa valmistajan pilvipalvelun kautta tai että kamera kertoo valmistajan pilvipalvelulle olemassaolostaan ja esimerkiksi mobiililaitteen äppi pyytää pilvipalvelulta kamerakuvaa jolloin pilvipalvelu kertoo kameralle suoran yhteyden mobiililaitteeseen ja kamera ottaa sitten suoraan mobiililaitteeseen yhteyden. Tietty tuo jälkimmäinen ei toimi jos molemmissa päissä on NAT, ainakaan ihan helposti.

Tietoturvahan noissa on vähän kyseenalainen, esimerkiksi jos joku onnistuu esittämään oikeaa käyttäjää pilvipalvelun suuntaan ja saa sitä kautta esimerkiksi tuon suoran yhteyden kameraan muodostettua. Sen jälkeenhän ei tarvitse kuin joku sopiva tietoturva-aukko tuossa kameran käyttämässä protokollassa ja sieltä pääsee kotiverkkoon sisälle. Todennäköisyys tuollaiselle ei tietty ole järin suuri tavan tallaajalla että hakkeri jaksaisi nähdä edes tuon verran vaivaa mutta on kuitenkin teoriassa täysin mahdollista.

Kaikenlaisia aukkojahan varsinkin kiinalaisista kameroista ja tallentimista löytyy koko ajan mutta nykyään niitä tunnutaan myös paikkailemaan yleensä kohtalaisen nopeasti, ainakin jos ei ole kyse ihan halvimmasta "hinnat alkaen" -tuotteesta. Eli ainakin kannattaa pitää päivitykset ajantasalla. Ja tietty kannattaa ylipäätäänkin kaikki nettiin jollakin tavalla yhteydessä olevat laitteet koittaa palomuurata mahdollisimman mukaan mahdollisimman tarkkaan että esimerkiksi jos joku pääsee kameraan sisään jonkun reiän kautta niin ainakaan siltä kameralta ei pääse mitään ssh:ta tai rdp:tä käyttämällä muihin verkon laitteisiin käsiksi eli laitetta ei voi käyttään niinsanottuna "pomppukoneena".
 
Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
 
He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
Jos kameralla ei ole nettiyhteyttä, se ei pääse nettiin, eikä netistä siihen, niin se puoli kunnossa.

Sitten seuraava pohdinta että on pääsy estetty jollain palomuurilla, vai ihan erillinen verkko mistä ei mitään yhteyttä nettiin. Siitä seuraava onko vihamilisillä pääsy laitteeseen tai lähettyville, esim onko siinä Wifi, onko verkkoon pääsy vihamielisillä. tallentaako. Kameroita ja tallentimia on pöllitty, joitain harmittanut kun ei mennyt pilveen niin olis nähnyt vakrkaat,, joitain taasen se sisältö mikä joutu varkaiden haltuun.

Joo sori vähän lähti laukalle, mutta en tiedä tilannetta. onko jollain mitään väliä.
 
Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
Teoriassa kyllä, jos internetistä ei pääse kameraan eikä kamera pääse internetin suuntaan liikennöimään valmistajan pilveen niin on aikalailla tuon osalta turvassa. Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.

Tavalliselle käyttäjälle tuskin tulee mitään kovin kohdistettuja hyökkäyksiä joten pitäisin todennäköisyyttä lähinnä olemattomana mutta kun ottaa huomioon tämän nykyisen maailmantilanteen niin jos vaan on mahdollista mitenkään suojautua "kaikelta" niin se kyllä kannattaa. Onhan nyt esim Nordeaan hyökätty hakkeroitujen kotireitittimien kautta joten kukin suojatkoon laitteensa ja verkkonsa parhaan osaamisensa mukaan, pienetkin teot on aina kotiinpäin, kuten oletus-salasanojen vaihtaminen ja turhien palveluiden sammuttaminen.

Täytyy myöntää että itse kun olen tavallaan osittain tietoturvahommissa työkseni niin oman kotiverkon palomuurit sun muut turvallisuusasiat ovat aikalailla yliampuvia, jopa siinä määrin etten samanlaisia ratkaisuja edes suosittelisi liki kenellekään. Mutta kun työn puolesta tulee touhuttua palomuurien sun muiden kanssa niin pitäähän sitä vähän harrastella kotonakin :D (lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)
 
Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.
Kameran kanssa oli omassa mielessä se että mitä kameran kuvassa näkyy, joku pihatie, maisema, mitä ei nyt halua nettiin, mutta ei nyt mailmaa kaada, vai eteinen, olohuone, jotain muuta, mitä pitää tärkeänä suojella.

(lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)
Mikään ei pelaa ennenkuin on säätänyt palomuurin. :-)
 

Statistiikka

Viestiketjuista
257 935
Viestejä
4 483 461
Jäsenet
74 036
Uusin jäsen
Janezky

Hinta.fi

Back
Ylös Bottom