» »

Varnost IP kamer za video nadzor

Varnost IP kamer za video nadzor

Ribič ::

Živjo,

Tisti, ki moda delate pri kakšni firmi, ki se ukvarja z namestitvijo video nadzornih kamer, bi tole verjetno znali odgovoriti.

Zanima me kako se v kakšnih podjetjih, tovarnah oz. drugih upravnih stavbah praviloma nameščajo video nadzorne kamere, ki delujejo na podlagi IP protokola (IP Kamere). Vem, da se stvari (za razliko od koaksialca) povežejo v omrežje preko navadnega UTP kabla in morda napajajo tudi preko power-over-ethernet načina. Kako pa se kamere skonfigurirajo glede notranje mreže npr. glede prenosa slike do strežnika? Ali se zadeve priklopijo kar na obstoječi LAN ali se morajo priklopiti na izolirano LAN mrežo, kjer so za kamere napeljani ločeni UTP kabli? Kako se potem zaščiti transport video vsebin do strežnika, če so kamere priklopljene na obstoječo mrežo oz. če napadalec pridobi dostop do ločenega LAN-a? Je tu v uporabi kakšen VPN ali so prenosi kar nešifrirani?


Hvala,
lp

SeMiNeSanja ::

Ali postaviš poseben ločen LAN segment (kvazi lastno omrežje), ali pa se poslužiš VLAN-ov (navidezno lastno omrežje).

korenje3 ::

prenosi so načeloma nešifrirani, omrežje je ločeno do strežnika. strežnik je pa povezan z omrežjem podjetja, tako da se lahko v živo spremlja preko drugih računalnikov. to da bi nekdo gledal stream iz teh kamer ne predstavlja neke varnostne luknje. važn je da se video shranjuje, ki se potem lahko uporabi kot dokazno gradivo.
Pentium I7 3770k@4,5Ghz; 16GB RAM@2133MHz; ASUS Radeon 6850 1GB;
SSD Kingston hyperX 240GB; 30" HPZR30w monitor;
BeQuiet! E9 580W; http://www.the-nox.com

shadow7 ::

Svoj VLAN/switch in priklop na POE switch.
Odločitev o priklopu na ločen VLAN obstoječega POE switcha ali nov POE switch je odvisna od racionalnosti ene in druge variante (beri: prostih portov, števila kamer in POE).

Načeloma je tudi server na istem vlan kot kamere, saj je praviloma občutno več prometa kamere -> server kot server -> klient in je tako manjša obremenitev za FW.

Promet kamere -> server je praviloma nezaščiten. Če imaš težave s fizičnim vdorom v ta del (ali nepravilno konfiguracijo VLAN), potem imaš že tako dovolj velike probleme, ki jih moraš zaznati (monitoring dosegljivosti kamer za prvo, arpwatch za drugo).
Običajno tudi promet server -> lokalni klienti ni kriptiran. Predvidevam, da če bi bile varnostne zahteve tako velike, da bi potreboval tudi ta del kriptiran, potem tega ne bi tu spraševal. A če sta server in klient na Win, potem je postavitev IPSEC tunela preprosto opravilo.

#000000 ::

Ne vem če je posnetek ŽE dokaz za na sodišče, je pa lahko indic za policijo oz začetek preiskave, da pa bi bil posnetek neposreden dokaz ki bo odločil o obsodbi pa ne verjamem ?

drugač pa največkrat je zadeva na svojem LAN-u kar je tudi ok, ampak če je omrežje zaščiteno kot treba, nek spodoben router in pozaprti porti kot treba, nebi smel bit problemov tud v istem lanu kot domača mrreža, so pa bile axis kamere ranljive, pa verjetno še katere druge tudi, pač napaka v kodi in nepokrpanost sistema, ampak več kot da nekdo vidi kar vidiš ti se ne more zgodit, v tem smislu so imel luknjo pred leti, ni pa se dalo spreminjati nastavitev same kamere, razen da si lahko spremljal stream.

korenje3 ::

#000000 je izjavil:

Ne vem če je posnetek ŽE dokaz za na sodišče, je pa lahko indic za policijo oz začetek preiskave, da pa bi bil posnetek neposreden dokaz ki bo odločil o obsodbi pa ne verjamem ?

drugač pa največkrat je zadeva na svojem LAN-u kar je tudi ok, ampak če je omrežje zaščiteno kot treba, nek spodoben router in pozaprti porti kot treba, nebi smel bit problemov tud v istem lanu kot domača mrreža, so pa bile axis kamere ranljive, pa verjetno še katere druge tudi, pač napaka v kodi in nepokrpanost sistema, ampak več kot da nekdo vidi kar vidiš ti se ne more zgodit, v tem smislu so imel luknjo pred leti, ni pa se dalo spreminjati nastavitev same kamere, razen da si lahko spremljal stream.


je dokaz, če kamere snemajo lastnikovo parcelo.
Pentium I7 3770k@4,5Ghz; 16GB RAM@2133MHz; ASUS Radeon 6850 1GB;
SSD Kingston hyperX 240GB; 30" HPZR30w monitor;
BeQuiet! E9 580W; http://www.the-nox.com

#000000 ::

si 100% DA JE POSNETEK NEPOSREDNI DOKAZ ?

edit, za caps lock sorry

Zgodovina sprememb…

  • spremenilo: #000000 ()

Furbo ::

Zakaj pa ne, če so izpolnjeni vsi pogoji, tiste nalepke pa to?
Lp,f

matter ::

Določeni snemalniki imajo UTP POE porte za priklop IP kamer. V tem primeru so kamere fizično ločene od LAN omrežja.
In če snemalnika ne povežeš v LAN omrežje, je tudi ta praktično nedostopen.

Tako lahko pregleduješ le s priklopljenim monitorjem in miško/tipkovnico na snemalniku.

S tem imaš zagotovljeno popolno varnost, da ti kdo tretji ne bi prišel na video stream, če imaš zagotovljeno dobro fizično varnost prostora, kjer je snemalnik.

Druga možnost pa je, da na strani kamer daš spredaj kak Mikrotik router, narediš EOIP-IPSEC /32 tunel do drugega mikrotika na snemalniku :) Nisem še tega delal btw., bi bilo pa zabavno se s tem igrat.
Grem basket pa bom neloke metal

Zgodovina sprememb…

  • spremenil: matter ()

#000000 ::

Furbo je izjavil:

Zakaj pa ne, če so izpolnjeni vsi pogoji, tiste nalepke pa to?


zato ker se posnetki z lahkoto editirajo, enako slike

bastadu ::

#000000 je izjavil:

Furbo je izjavil:

Zakaj pa ne, če so izpolnjeni vsi pogoji, tiste nalepke pa to?


zato ker se posnetki z lahkoto editirajo, enako slike

Zato se (verjetno) preverja tudi avtentičnost posnetka, če pa že hočeš posnetek/sliko editirati tako, da res izgleda kot pristen posnetek pa je to vse prej kot lahkotno ...

Invictus ::

matter je izjavil:

Določeni snemalniki imajo UTP POE porte za priklop IP kamer. V tem primeru so kamere fizično ločene od LAN omrežja.
In če snemalnika ne povežeš v LAN omrežje, je tudi ta praktično nedostopen.

Tako lahko pregleduješ le s priklopljenim monitorjem in miško/tipkovnico na snemalniku.

S tem imaš zagotovljeno popolno varnost, da ti kdo tretji ne bi prišel na video stream, če imaš zagotovljeno dobro fizično varnost prostora, kjer je snemalnik.

Druga možnost pa je, da na strani kamer daš spredaj kak Mikrotik router, narediš EOIP-IPSEC /32 tunel do drugega mikrotika na snemalniku :) Nisem še tega delal btw., bi bilo pa zabavno se s tem igrat.

Še lažje je če imaš v omrežje VLANe ...

Kamere daš v svoj VLAN, blokiraš routing do VLANa za kamere in do delovne postaje potegneš trunk z več VLANi.

Ne rabiš routerjev v lokalnem omrežju. Razen enega seveda ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Vlani so 'izhod v sili' oz. kompromis, da ne postavljaš ločenega dodatnega LAN segmenta, ker je vse preveč opreme tam zunaj, ki ne zna handlat z dodatnimi segmenti drugače, kot da jih definiramo kot VLAN-e. So tudi edina rešitev, ko ti na routerju zmanjka prostih portov ali nimaš licence za dodatne porte / subnete.

Do določene velikosti omrežja in v določenih scenarijih to ne predstavlja bistvene ovire ali problema. Problemi pa lahko nastanejo, ko skupni promet na VLANih, ki jih imamo na istem kablu preraste 1Gbps. Takrat se potem začne čaranje z omejevanjem pasovnih širin, prioretizacijo prometa, rezervacijami pasovnih širin....

Ko to stopnjo dosežeš, je bolj enostavno dodati ločen subnet, namenjen samo kameram.

Invictus ::

Saj na VLANih tako ali tako imaš ločen subnet. Samo onemogočiš routing z ostalimi subneti ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Ribič ::

Baje VLAN-i niso neka uber zaščita mreže (še posebej, če niso v rabi "managed" switchi), kolikor sem prebral na raznih straneh. Bolj se priporoča kakšen VPN, samo je pa spet vprašanje koliko kamer sploh podpira to stvar.

SaXsIm ::

Joj, ko kompliciraš, da je veselje. Videonadzoru se je včasih reklo CCTV (v bistvu se mu še danes). To pomeni "Closed circut TV." Tudi IP videonadzor je do snemalnika zaprto omrežje. Lahko ga sicer povežeš v odprto omrežje, dostopno od zunaj, ampak to je potem tvoja napaka in ne napaka sistema. Šele na snemalniku narediš povezavo v zunanji svet, če jo sploh potrebuješ. In tukaj se potem lahko greš VPN ali SSL kriptiranje ali kaj tretjega. Seveda, to vse v primeru, da imaš kamere na samostojnem switchu, kar ponavadi je praksa, sploh ker POE switchi zaenkrat še niso tako razširjeni.

Če imaš zadevo na kakšnem enterprise switchu in videonadzoru dodeliš svoj VLAN, je spet enkripcija streamov do snemalnika nepotrebna. Spet daješ zunanji dostop samo snemalniku, seveda, če to potrebuješ.

Če ti v bilokaterem primeru potencialni napadalec pride med kamero in snemalnik, potem imaš tako ali tako večji problem. Bodisi fizično dostopno infrastrukturo nepooblaščenim osebam, ali pa slabo konfiguriran firewall.
SaXsIm

Invictus ::

Ribič je izjavil:

Baje VLAN-i niso neka uber zaščita mreže (še posebej, če niso v rabi "managed" switchi), kolikor sem prebral na raznih straneh. Bolj se priporoča kakšen VPN, samo je pa spet vprašanje koliko kamer sploh podpira to stvar.

Če nimaš "managed" switcha, VLANov sploh ne moreš narediti ...

In povsem dobro zaščitijo mrežo, če jih seveda znaš uporabljati.

Niso pa namenjeni zaščiti pred zunanjim svetom. Ampak potem imaš tako ali tako večji problem.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Furbo ::

#000000 je izjavil:

Furbo je izjavil:

Zakaj pa ne, če so izpolnjeni vsi pogoji, tiste nalepke pa to?


zato ker se posnetki z lahkoto editirajo, enako slike


Ne vem v kakšni službi si, ampak če nisi ravno v kakem podjetju, kjer lahko najamejo vrhunski hollywoodski studio, potem imaš malce preganjavice.
Lp,f

#000000 ::

@Furbo motiš se in to zelo, že z domačim PCjem se da narest fotomontažo da zgleda original, enako videoposnetek, tako da ni preganjavica ampak dejstvo, zato vsak posnetek ne more kr avtomatsko dobit dokazne vrednosti, ker ga bo vsak še tako zabit odvetnik uspel izločit še preden bo sploh predstavljen na glavni obravnavi, pač neveredostojen, ali na nezakonit način pridobljen dokaz se izloči.

SaXsIm ::

Samo problem je v tem, da ni štos v PCju, ampak v znanju uporabe le-tega. In z nekaj urami gledanja youtube tutorialov o video editingu pač ne boš naredil fotomontaže video posnetka. Poleg tega se zelo enostavno na večini kamer nastavi digitalni watermark, tako da je kakšno naknadno editiranje takoj razvidno.
SaXsIm

bastadu ::

#000000 je izjavil:

@Furbo motiš se in to zelo, že z domačim PCjem se da narest fotomontažo da zgleda original, enako videoposnetek ...

Posnetki se res z lahkoto editirajo, ampak da se editirajo tako, da izgledajo kot "original" pa veliko težje (tudi v težkopropračunskih filmih, poznavalci hitro opazijo kaj je CGI in kaj ne), narediti takšen edit, da pa še izvedenec ne ve ali je posnetek avtentičen ali ne, pa je še bistveno težje oz. na meji mogočega ...

Zgodovina sprememb…

  • spremenilo: bastadu ()

#000000 ::

In pripelje tožilec svojega poznavalca ki pravi da je posnetek pristen, barabon pripelje svojega ki pravi da ni pristen, nekaj podobnega je bilo za izvedenci v primeru tekačevo, izvedenci in strokovnjaki so si kar kljuko podajal tolk jih je bilo, a vsak je reku drugače :) tolk o izvedencih, važno je kar vidi sodnik, če je on mnenja da si na sliki ti, se tega mnenja ne bo odreku, bo reku da ga ne upošteva ampak na koncu ga bo recimo, kva pa pol ? Uglavnem ne more bit vsak posnetek dokaz na sodišču.

Ribič ::

Pa ima na sodišču kakšen faktor vpliva hardware, s katerim se izvaja video nadzor? Npr. če uporabljam doma izdelane nadzorne kamere ter navadni PC z linux-om kot snemalnik vs. kupljene kamere in komercialni snemalnik? Govorim za video nadzor na lastni hiši? Npr. na lastnih kamerah oz. snemalniku lahko naredim, da zadeva avtomatsko digitalno podpisuje vse posnetke z programom GPG.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hikvision, 5MP IP kamera

Oddelek: Kaj kupiti
251311 (140) starfotr
»

Videonadzor kako in kaj? (strani: 1 2 )

Oddelek: Elektrotehnika in elektronika
505092 (1443) starfotr
»

Videonadzorni sistem

Oddelek: Omrežja in internet
181286 (462) dc10
»

VLAN za telebane

Oddelek: Omrežja in internet
405353 (3481) SeMiNeSanja
»

Domače omrežje - precej veliko

Oddelek: Omrežja in internet
485108 (3407) SeMiNeSanja

Več podobnih tem