Zdalny dostęp do kamery – nie otwierajcie portów!!!
Zdalny dostęp do kamery przez zewnętrzne IP
Wiele osób zastanawia się w jaki sposób dostać się na swoją kamerę zdalnie, poprzez zewnętrzny adres IP. Jak się okazuje jest to banalnie proste wystarczy odpowiednio skonfigurować router.
Praktycznie każde urządzenie urządzenie brzegowe posiada możliwość konfiguracji NAT czyli przekierowania odpowiednich portów z zewnętrznego adresu IP na porty wewnętrzne wewnętrznego adresu IP. Sprawa może się jedynie skomplikować przypadku routerów z dostępem do Internetu poprzez usługi mobilne, na przykład LTE.
Nie znam operatora, który nie dawałby możliwości wykupienia dodatkowej usługi, tak zwanego zewnętrznego adresu IP. Po aktywacji oraz opłaceniu usługi dostajemy możliwość skonfigurowania naszego routera tak, aby była możliwość zalogowania się zarówno na sam router, jak i urządzenie umiejscowione „za nim” w sieci LAN. Takim urządzeniem może być na przykład kamera IP.
Zmienne IP zewnętrzne
Dodatkowym utrudnieniem jakie może pojawić się po wykupieniu zewnętrznego adresu IP może być jego „stałość”. Oczywiście wykupując zewnętrzny adres IP możemy wybrać opcję aby był on zawsze taki sam. Niestety stały zewnętrzny adres IP może nieść za sobą spore ryzyko, jeśli nie zadbamy o porządnie skonfigurowany firewall.
Przy zmiennym zewnętrznym adresem adresie IP przychodzi nam z pomocą usługa zwana dynamicznym DNS-em. Polega ona na skonfigurowaniu routera w ten sposób, że w określonym interwale czasowym router informuje usługodawcę jaki w danym momencie posiada adres IP. Zwykle jest to czas od jednej minuty do 10-15 minut. W takim przypadku gdy adres IP zostanie zmieniony, subdomena lub domena wskazująca na nasz adres dynamicznie zostanie przypisana do nowego. Tak krótki interwał pozwala na niemalże niezauważalną zmianę zewnętrznego adresu IP na inny. Oczywiście łącząc się z naszym urządzeniem będziemy używać domeny lub subdomeny przypisanej do ciągle zmieniającego się adresu…
Zagrożenia związane z otwartymi portami na zewnętrznym adresie IP
Można zadać pytanie skąd się biorą zagrożenia? Otóż w internecie nieustannie mamy do czynienia z maszynami poszukującymi możliwości włamania się na urządzenia „widoczne” z internetu i słabo chronione. Polega to na ciągłym skanowaniu dostępnych, zewnętrznych adresów IP. Nieumiejętne skonfigurowanie zdalnego dostępu na przykład do kamery może w najgorszym wypadku doprowadzić do trwałego jej uszkodzenia.
Dla zobrazowania zasady działania robotów (maszyn skanujących), opiszę sytuację, w której możemy zostać narażeni nie tylko na koszty zakupu np. nowej kamery.
Zakupiliśmy kamerę IP, zamontowaliśmy ją oraz podłączyliśmy do routera skonfigurowanego w taki sposób, że kamera jest dostępna z sieci Internet. Cel został osiągnięty, ponieważ mamy możliwość zalogowania się do niej oraz dokonywania dowolnych zmian konfiguracyjnych. W tym momencie pojawia się pierwsze zagrożenie. Otóż wiele osób po zainstalowaniu kamery nie zmienia jej domyślnego hasła. Skąd robot wie jakie może być domyślne hasło do naszej kamery? Jest to łatwe do sprawdzenia: skaner wchodzi na naszą kamerę w dokładnie taki sam sposób jak my i widzi okno logowania z tą różnicą, że dla niego nie jest istotny wygląd graficzny lecz tak zwane źródło strony. Poniżej na grafice widać jak wygląda źródło strony logowania przykładowej kamery IP.
Jak widać na powyższym obrazku strona logowania posiada w sobie bardzo dużo charakterystycznego kodu html. W momencie gdy automat ją odwiedzi – bez większego problemu jest w stanie rozpoznać jaka jest to kamera a dokładniej kto jest jej producentem. Należy pamiętać o tym, że producenci zwykle stosują w swoich urządzeniach takie same domyślne hasła.
OK. Robot dostał się do naszej kamery, ale skąd zagrożenie?
W tym momencie nasza kamera może zostać wykorzystana na przykład jako serwer proxy dostępu do internetu. Skąd niebezpieczeństwo? W przypadku gdy haker uzyska możliwość „przedstawiania się” w internecie naszym adresem IP dokonując np. przestępstwa, to wszystkie ślady będą prowadziły do naszej kamery a dokładniej do naszego adresu IP. W ten sposób może zostać wykorzystane każde niewłaściwie zabezpieczone urządzenie…
Zmiana hasła nie gwarantuje bezpieczeństwa!
Pamiętajmy, że każda kamera IP to tak naprawdę komputer z systemem operacyjnym. Jak wiadomo każdy system operacyjny powinien być aktualizowany pod względem bezpieczeństwa nawet się kilka razy w miesiącu. Zadajmy w takim razie pytanie: ile razy aktualizujemy kamerę? czy w ogóle to robimy?
Mając na uwadze ilość uruchamianych monitoringów, prawdopodobnie niewielki odsetek kamer jest aktualizowana we właściwym czasie. Niesie to za sobą duże możliwości dla automatów wykrywających niezaktualizowane oprogramowanie, czego skutkiem może być nieautoryzowany dostęp oraz wykorzystanie niezabezpieczonych urządzeń do przestępstw.
Dodatkowym zagrożeniem jest możliwość uszkodzenia kamery poprzez wgranie wadliwego oprogramowania. Często nawet „twardy reset” nie jest w stanie przywrócić urządzenia do normalnego funkcjonowania.
Jak się zabezpieczyć?
Chcąc mieć zdalny dostęp do kamery (wszystkich możliwości konfiguracyjnych), przy minimalnym zagrożeniu, można zastosować tzw. chwilowy dostęp.
Polega on na włączeniu dostępu tylko gdy jest potrzebny. Koszt uruchomienia oraz utrzymania takiej usługi jest niższy niż wykup zewnętrznego adresu IP, a przy okazji jest na pewno bezpieczniejszy.
Jest wiele firm w Polsce i na świecie oferujących tego typu dostęp. Przykład: TECH5 – kontakt.
Po po wykupie odpowiedniego urządzenia oraz jego konfiguracji możemy zapomnieć o niebezpieczeństwach płynących z otwierania naszych urządzeń „na świat”.