Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?
Palomuuri ja valvontakameran etäkäyttö
- Keskustelun aloittaja AkrRA
- Aloitettu
Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
- Liittynyt
- 10.01.2019
- Viestejä
- 19 248
Eri valmistajilla erilaisia toteutuksia, tietoturvan kannalta sen tarkoittaa ensin sitä että kameraan pääsee ulkoverosta, eli riski sinänsä. jonka taso riippuu siitä kuinka varma, turvallinen se pääsynhallinta on.
Ko valmistajan palvelu ilmeisesti ensisijaisesti yrittää aukoa palomuuriin reitin niin että varsinainen datasiirto tapahtuu suoraan kamerasta katsojalle. Eli valmistajan palvelin on siinä yhteyden muodostamisessa apuna, eli kamera pitää yhteyttä sinne palvelimeen, ja katsoja ottaa yhteyden palvelimeen, ja sen jälkeen kameran ja katsojan väliin muodostetaan yhteys NATosaa reitittää ja mahdollinen palomuuri luottaa kun aloitteelinen sisäverkosta.
Jos suorahteys ei onnistu, niin tuolla valmistajalla ilmeisesti tuki sille että stream kulkee sen hallitseman palvelimen kautta, eli tässä kamera on yhteydessä palvelimeen, eli palomuurin mielestä juuri sinne minne sallittu, palvelin toimii välityspalvelimena minkä kautta se data kiertää.
Eli toimii operaattorien NATien kautta, toimii palomuurien läpi jotka sallii sisältäalkaneet yhteydet . Jos sen haluaa torpata niin pitää estää kameralta moiset. Jos kuitenkin haluaa ulkoa kameraan yhteyden, niin jos ei halua suoria reittejä kameraan aukoa, niin VPN tunnelilla sisäverkkoon missä kamera.
Se kuinka turvallista siirtää data valmistajan palvelunkautta, jos siihen ei kuulu muita ominaisuuksia ja yhteys on päästä päähän salattu, ja ylläpito laadukasta, ja pääsynhallinta, niin turvallisempaa kuin itse touhuta reittejä.
Toki jos jos sieltä paljastuu aukkoja joihin helppo hyökätä ja niihin hyökätään, niin varautua että kaikki mitä kameran edes näkyy ja kuuluu, niin voi joutua nettiin, sama riski toki itse ylläpitämässä reitissä. (*
Jos mennään ääripäähän, Uikuuri taustaa, niin eiköhän peli ole menetetty. Tuohon väliin sitten mahtuu kaikkea karvahatusta foliohattuun
(*
Näitä kamera aukkoja löynyt ja paljastanut eri taoisilta toimijoilta, välllä uhrina kansalaisia palvelevat tahot, välillä ihan koti käyttäjät. Se että jokin "ison" toimija palvelu vuotaa yleensä tulee julkisuuteen nopeasti, vs se että oma reitti vuotaa, niin sitä ei välttämättä huomaa kukaan ei julkisuuteenkaan ei tule ellei sieltä vuoda jotain hauskaa ja nouse iltapäivälehtiin yksittäis tapauksena.
Edellä oleva tarkistamatonta "faktaa", kyseisen valmistajan väitetty välityspalvelin tuki poimittu jostain. Sinänsä uskottava, kuin monella toimijalla tuollaiset.
Viimeksi muokattu:
Tuossa on tosiaan monenlaisia eri tapoja miten tuo voi olla toteutettu, pulatunnus jo vähän noita avasikin. Varmaan yleisimmät tavat noissa on että joko netin yli katsellaan kuvaa valmistajan pilvipalvelun kautta tai että kamera kertoo valmistajan pilvipalvelulle olemassaolostaan ja esimerkiksi mobiililaitteen äppi pyytää pilvipalvelulta kamerakuvaa jolloin pilvipalvelu kertoo kameralle suoran yhteyden mobiililaitteeseen ja kamera ottaa sitten suoraan mobiililaitteeseen yhteyden. Tietty tuo jälkimmäinen ei toimi jos molemmissa päissä on NAT, ainakaan ihan helposti.
Tietoturvahan noissa on vähän kyseenalainen, esimerkiksi jos joku onnistuu esittämään oikeaa käyttäjää pilvipalvelun suuntaan ja saa sitä kautta esimerkiksi tuon suoran yhteyden kameraan muodostettua. Sen jälkeenhän ei tarvitse kuin joku sopiva tietoturva-aukko tuossa kameran käyttämässä protokollassa ja sieltä pääsee kotiverkkoon sisälle. Todennäköisyys tuollaiselle ei tietty ole järin suuri tavan tallaajalla että hakkeri jaksaisi nähdä edes tuon verran vaivaa mutta on kuitenkin teoriassa täysin mahdollista.
Kaikenlaisia aukkojahan varsinkin kiinalaisista kameroista ja tallentimista löytyy koko ajan mutta nykyään niitä tunnutaan myös paikkailemaan yleensä kohtalaisen nopeasti, ainakin jos ei ole kyse ihan halvimmasta "hinnat alkaen" -tuotteesta. Eli ainakin kannattaa pitää päivitykset ajantasalla. Ja tietty kannattaa ylipäätäänkin kaikki nettiin jollakin tavalla yhteydessä olevat laitteet koittaa palomuurata mahdollisimman mukaan mahdollisimman tarkkaan että esimerkiksi jos joku pääsee kameraan sisään jonkun reiän kautta niin ainakaan siltä kameralta ei pääse mitään ssh:ta tai rdp:tä käyttämällä muihin verkon laitteisiin käsiksi eli laitetta ei voi käyttään niinsanottuna "pomppukoneena".
Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
- Liittynyt
- 10.01.2019
- Viestejä
- 19 248
Jos kameralla ei ole nettiyhteyttä, se ei pääse nettiin, eikä netistä siihen, niin se puoli kunnossa.
Sitten seuraava pohdinta että on pääsy estetty jollain palomuurilla, vai ihan erillinen verkko mistä ei mitään yhteyttä nettiin. Siitä seuraava onko vihamilisillä pääsy laitteeseen tai lähettyville, esim onko siinä Wifi, onko verkkoon pääsy vihamielisillä. tallentaako. Kameroita ja tallentimia on pöllitty, joitain harmittanut kun ei mennyt pilveen niin olis nähnyt vakrkaat,, joitain taasen se sisältö mikä joutu varkaiden haltuun.
Joo sori vähän lähti laukalle, mutta en tiedä tilannetta. onko jollain mitään väliä.
Teoriassa kyllä, jos internetistä ei pääse kameraan eikä kamera pääse internetin suuntaan liikennöimään valmistajan pilveen niin on aikalailla tuon osalta turvassa. Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.
Tavalliselle käyttäjälle tuskin tulee mitään kovin kohdistettuja hyökkäyksiä joten pitäisin todennäköisyyttä lähinnä olemattomana mutta kun ottaa huomioon tämän nykyisen maailmantilanteen niin jos vaan on mahdollista mitenkään suojautua "kaikelta" niin se kyllä kannattaa. Onhan nyt esim Nordeaan hyökätty hakkeroitujen kotireitittimien kautta joten kukin suojatkoon laitteensa ja verkkonsa parhaan osaamisensa mukaan, pienetkin teot on aina kotiinpäin, kuten oletus-salasanojen vaihtaminen ja turhien palveluiden sammuttaminen.
Täytyy myöntää että itse kun olen tavallaan osittain tietoturvahommissa työkseni niin oman kotiverkon palomuurit sun muut turvallisuusasiat ovat aikalailla yliampuvia, jopa siinä määrin etten samanlaisia ratkaisuja edes suosittelisi liki kenellekään. Mutta kun työn puolesta tulee touhuttua palomuurien sun muiden kanssa niin pitäähän sitä vähän harrastella kotonakin
(lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)- Liittynyt
- 10.01.2019
- Viestejä
- 19 248
Kameran kanssa oli omassa mielessä se että mitä kameran kuvassa näkyy, joku pihatie, maisema, mitä ei nyt halua nettiin, mutta ei nyt mailmaa kaada, vai eteinen, olohuone, jotain muuta, mitä pitää tärkeänä suojella.
Mikään ei pelaa ennenkuin on säätänyt palomuurin.
Uutiset
-
AMD haukkasi kerralla yli 5 % Intelin osuudesta työpöytäprosessoreista
8.11.2024 15:32
-
Vuotajat povaavat Intelin Battlemage-näytönohjainten julkaisua vielä tämän vuoden puolella
8.11.2024 14:01
-
Lian Li julkaisi kaksi tietokonetta sisäänsä mahduttavan DK-07-pelipöydän
8.11.2024 03:08
-
AMD:n uusi Ryzen 7 9800X3D pääsi heti ylikellottajien käsittelyyn
8.11.2024 02:17
-
Uusi artikkeli: Testissä AMD Ryzen 7 9800X3D
6.11.2024 16:25
Uutisia lyhyesti
-
-
Nothing aloitti Android 15:n avoimen beetan jakelun Phone (2):lle- Juha Kokkonen
- Vastauksia: 0
-
-
Exynos 2500 -piirillä varustettu Galaxy S25+ esiintyy Geekbench-tulospalvelussa
- Juha Kokkonen
- Vastauksia: 7
