Beveiligen thuisnetwerk, met name (beveiligings) camera's

Er zijn grofweg twee manieren waarop mensen toegang kunnen krijgen tot de camerabeeld:
1. Ze krijgen toegang tot je netwerk thuis en kunnen zo lokaal meekijken
2. Ze krijgen toegang tot de server waar de app gebruik van maakt.

De kans dat het eerste gebeurd is met een reguliere KPN installatie verwaarloosbaar.

De kans op het tweede is wat groter. Hoe groot het risico exact is (en welke maatregelen je moet nemen) is afhankelijk van het soort camera's en hoe je NAS en camera's zijn ingesteld om te communiceren met de app.

Welk merk zijn de camera's en welke app gebruik je?

Sterke lange wachtwoorden gebruiken op wifi apparatuur en SSIDs (ook gasten wifi)
Standaard logins (admin en dat soort standaard namen) van camera's veranderen in een eigen accountnaam met sterk wachtwoord.

Firewall is sowieso actief in je KPN modem/router.

Met vlans maak je inderdaad een apart netwerk, maar wordt het lastiger voor jezelf om beelden terug te kijken vanuit je reguliere netwerk.

[ Voor 3% gewijzigd door EverLast2002 op 27-06-2024 13:35 ]

Ik zou beginnen met het veranderen van wachtwoorden, dat vraagt geen verdere investeringen en dan weet je iig zeker dat een vorige bewoner niet meer kan meekijken.

Alles wat via een app van een fabrikant loopt is te hacken

Persoonlijk zie ik de use case van cloud cameras binnen zonder meldkamer niet zo
- detectie staat vaak uit of je je moet geofencing configureren/handmatig in/uit schakelen
- als er al zou ingebroken worden dan zie je de beelden achteraf, en dan?

Dat gecombineerd met het feit dat je cloud cameras potentieel gehackt kunnen worden en mensen kunnen meekijken en vooral meeluisteren.
Brrrrr

Buiten vind ik anders, dan zijn de consessies die je doet een stuk minder

[ Voor 8% gewijzigd door laurens0619 op 27-06-2024 19:38 ]

Kans is er altijd maar een lokaal only camera heeft wel een ander risico profiel (tenzij je poorten gaat mappen voor toegang van buiten)

Als alles wordt opgeslagen op een nas, dan zou ik ze een statisch ip geven zonder gateway.

Alle camera's die via een app beelden kunnen tonen zetten een verbinding op met een server ergens op het internet.
De verbinding kan gehacked worden maar ook die servers en je hoeft maar het nieuws te volgen met de eindeloze rij van datalekken om te weten dat de beveiliging van servers heel vaak bagger is.

Persoonlijk zou ik nooit zo'n ding in huis willen hebben.

Als je camera's wil gebruiken zorg dan dat ze enkel 100% lokaal blijven en zet een VPN server op zodat je met een vpn client veilig van buiten op je lan kunt komen om de beelden te bekijken.

Ik ben wellicht wat paranoia (beroepsdeformatie) - maar ik denk niet dat je genoeg moet nemen met het unlinken van de camera's met de cloud. Het feit dat die dingen te linken zijn met de cloud en overal ter wereld te bekijken zijn zonder een aanpassing in de firewall te doen, geeft aan dat ze gebruik maken van hole punching. De kans is aannemelijk dat ze zonder account nog steeds terugbellen naar de fabrikant.

Ik ben zelf niet genoeg bekend met die Reolink meuk - werkt het ook alleen lokaal? Zo ja, dan heb je twee opties:

1. Camera's vervangen. Waarschijnlijk de meest dure oplossing - maar ook de meest makkelijke (als minder technisch persoon).
2. Je netwerk herzien zodat je de beschikking krijgt over VLANs, een fatsoenlijke firewall, etc. Is goedkoper, kun je veel meer mee, maar vergt een tijdsinvestering om de kennis op te doen.

Persoonlijk zou ik voor de tweede optie gaan, maar ik weet niet wat je daarmee op de hals haalt in jouw situatie. Je geeft aan dat je een Experiabox hebt - maar verder? Is het alleen die Experiabox, geen losse accesspoints (wat ze wel eens noemen "WiFi versterkers"), switches, etc? Dan kan het vrij eenvoudig zijn.

Wat je dan wilt bereiken is: een dedicated VLAN voor die camera's die geen toegang tot internet heeft. De camera's kunnen qua alleen maar communiceren met je nassieschijf - en zelfs dat het liefste alleen op de RTSP poort (...of whatever protocol in gebruik is).

Gaat deze oplossing ver? Wellicht. Heb je een aluhoedje nodig? Waarschijnlijk! Is het veilig? Zeker! Mocht je meer informatie willen, vraag het vooral - in dit topic maar voel je ook vrij om mij te DM'en.

Ik zou de cameras een static ip geven zonder gateway en de cameras lokaal koppelen aan een NVR.

Vlans etc is nog stukje erbij maar het grootste gedeelte dek je al af puur door de gateway eraf te halen.

mieke_d schreef op donderdag 27 juni 2024 @ 20:34:
En ik begrijp dus goed dat als ze niet aan de cloud hangen, maar alleen aan het thuisnetwerk de kans op hacker er eigenlijk niet is?

Het is nooit niet, maar erg kleine kans.

Kan je zelf de beelden zien als je buitenshuis bent? Zo niet zit je redelijk veilig. Wel zorgen dat je geen standaard wachtwoorden gebruikt, en zorg dat je regelmatig checkt op updates (en die dan ook daadwerkelijk instaleelrt natuurlijk).

(Zo wel, mag je blind vertrouwen op de Chinese ontwikkelaar).

Het zijn keuzes, maar ik begrijp dat de camera's sowieso buiten hangen? In dat geval is het allemaal iets minder spannend wat mij betreft, elke voorbijganger kan je huis sowieso zien en als je bang bent voor inbrekers dan denk ik dat die echt geen moeilijke technische toeren gaan uithalen, een inbreker kan veel eenvoudiger bij je huis langslopen als hij wat wil stelen.

Zelf heb ik alles gescheiden met VLAN's en mogen de camera's niet uit hun VLAN komen. Mijn NAS verbindt zelfstandig naar de camera's en daarvoor heb ik dus de benodigde TCP/UDP poorten openstaan. Maar dat is wel een technisch verhaal verder, dat is niet weggelegd voor de huis-tuin-keuken consument met een modem van KPN wat eigenlijk niks kan.

Het is belangrijk om te bepalen wat het doel is. Wil je de beelden buitenshuis kunnen bekijken? Ben je bereid iets uit te geven aan extra apparatuur? Gebruik je de NAS ook voor andere dingen?

De simpelste oplossing die het minste technische kennis vereist is een extra wifi punt kopen wat je verder niet verbind met je huidige netwerk. Verbind de camera's en NAS met die wifi en alles draait op zichzelf (vergelijkbaar met een VLAN). Als je de beelden wil bekijken dan verbind je met je telefoon (of ander apparaat) even met die wifi en kan je alles zien.

Maar alles staat of valt met wat je wil bereiken.

Drardollan schreef op vrijdag 28 juni 2024 @ 10:21:
Het zijn keuzes, maar ik begrijp dat de camera's sowieso buiten hangen? In dat geval is het allemaal iets minder spannend wat mij betreft, elke voorbijganger kan je huis sowieso zien en als je bang bent voor inbrekers dan denk ik dat die echt geen moeilijke technische toeren gaan uithalen, een inbreker kan veel eenvoudiger bij je huis langslopen als hij wat wil stelen.

Zelf heb ik alles gescheiden met VLAN's en mogen de camera's niet uit hun VLAN komen. Mijn NAS verbindt zelfstandig naar de camera's en daarvoor heb ik dus de benodigde TCP/UDP poorten openstaan. Maar dat is wel een technisch verhaal verder, dat is niet weggelegd voor de huis-tuin-keuken consument met een modem van KPN wat eigenlijk niks kan.

Het is belangrijk om te bepalen wat het doel is. Wil je de beelden buitenshuis kunnen bekijken? Ben je bereid iets uit te geven aan extra apparatuur? Gebruik je de NAS ook voor andere dingen?

De simpelste oplossing die het minste technische kennis vereist is een extra wifi punt kopen wat je verder niet verbind met je huidige netwerk. Verbind de camera's en NAS met die wifi en alles draait op zichzelf (vergelijkbaar met een VLAN). Als je de beelden wil bekijken dan verbind je met je telefoon (of ander apparaat) even met die wifi en kan je alles zien.

Maar alles staat of valt met wat je wil bereiken.

Dat, aparte vlans welke door router/firewall worden gescheiden.

Als je alles zo aantreft met wel/geen zicht op wat de vorige eigenaar er nog mee kan doen; ik zou alles resetten naar fabrieksinstellingen en van daar af opnieuw inrichten.

mieke_d schreef op maandag 1 juli 2024 @ 10:22:
Iedereen tot zover bedankt voor alle reacties! Dit is heel fijn en helpt mij echt!

De camera’s zijn inderdaad gereset en geüpdatet en hebben nieuwe gebruikersnamen en wachtwoorden.

We willen de beelden graag van buiten het lokale netwerk kunnen bekijken. En naast het modem van KPN maken we gebruik van Devolo magic 2 powerline adapters.

We willen ons absoluut geen zorgen hoeven maken dat de beelden op plekken komen waarvan wij het niet weten.

Graag zou ik daarom voor de oplossing met VLAN’s willen gaan die o.a. @jurroen en @Drardollan aandragen. Wat meer moeite daarvoor doen is geen probleem als we daardoor meer safe zitten.

Zouden jullie kunnen aangeven wat wij daarvoor nog nodig hebben?

Aangezien je enkel het modem van KPN hebt wordt het wel heel lastig. Die ondersteunt geen VLAN's. Je zou er in dat geval een meer serieuze router tussen moeten zetten. Dat is niet iets wat je als leek zomaar voor elkaar krijgt en is ook afhankelijk van je verbinding en wat je precies moet hebben.

Wat denk ik het simpelste apparaat is is een Draytek, bijvoorbeeld een Vigor 2927 (https://www.draytek.nl/pr...2927-serie/?tab=overzicht). Je kan dan je LAN op de P1 poort aansluiten, je camera's op P2 poort (beiden waarschijnlijk met een simpele switch) en je KPN modem aan de WAN1 poort. Je kan dan vervolgens in de Draytek vrij eenvoudig regelen dat P1 en P2 naar het internet mogen babbelen en je van P1 naar P2 mag babbelen maar niet andersom. VPN configureren op de Draytek zorgt ervoor dat je vanaf buiten overal bij kan.

Dan voorkom je het hele configuratiestuk wat betreft VLAN's, een VLAN is namelijk niets anders dan een gescheiden LAN. Via bovenstaande oplossing heb je die scheiding ook gemaakt en hoef je je niet druk te maken over VLAN ID's, tagging, etc.

Zullen overigens nog wel meer merken op de markt zijn die dit kunnen, maar mijn ervaring met Draytek is dat het goed te begrijpen is en ze voorzien is ontzettend veel handleidingen online. Ook hebben ze een behoorlijk goede support.

Powerline is overigens zo ongeveer altijd de slechtste oplossing om een verbinding te maken. Traag en instabiel. Indien je de mogelijkheid hebt altijd kabels trekken of zorgen voor een degelijke wifi oplossing.

[ Voor 4% gewijzigd door Drardollan op 01-07-2024 11:03 ]

mieke_d schreef op maandag 1 juli 2024 @ 10:22:
Iedereen tot zover bedankt voor alle reacties! Dit is heel fijn en helpt mij echt!

De camera’s zijn inderdaad gereset en geüpdatet en hebben nieuwe gebruikersnamen en wachtwoorden.

We willen de beelden graag van buiten het lokale netwerk kunnen bekijken. En naast het modem van KPN maken we gebruik van Devolo magic 2 powerline adapters.

We willen ons absoluut geen zorgen hoeven maken dat de beelden op plekken komen waarvan wij het niet weten.

Graag zou ik daarom voor de oplossing met VLAN’s willen gaan die o.a. @jurroen en @Drardollan aandragen. Wat meer moeite daarvoor doen is geen probleem als we daardoor meer safe zitten.

Zouden jullie kunnen aangeven wat wij daarvoor nog nodig hebben?

Zoals met alles in security bestaat er geen 100% security. Mijn advies is te kijken naar de grootste risicos en die te pletten. Veel mensen neigen naar VLANS voor security oplossing maar als je naar de risicos gaat kijken is dat vaak veel werk/kosten voor niet altijd de juiste risico mitigatie

Grootste risico:
Dat je online account gehackt wordt.
Nu: Cameras verbonden met cloud dienst
Veilig alternatief:
- Camera loskoppelen van internet (vast IP, Gateway eraf halen)
- Cameras laten feeden naar een lokale NVR (bv synology nas)
- Camera beelden bekijken je nu via je NVR app, niet via de camera app zelf. Dit werkt echter allleen lokaal dus als je het ook van buiten wilt
- VPN server opzetten thuis om vanaf extern toegang te krijgen tot je lokale netwerk.

Kleiner risico's:
- Apparaat in je netwerk wordt gehackt en vanuit daar hacken ze je cameras.
Behoorlijk theoretisch scenario. Als ze al in je netwerk zouden zitten dan kunnen ze ook bij andere zaken. Je kunt bij mitigatie aan VLANS hiervoor denken. Echter VLANS introduceren heeft best veel impact voor weinig security waarde.

- Buren kijken per ongeluk mee via Powerline
Als je geen wachtwoord op je powerline hebt, dan is de kans groot dat als je buren ook powerline hebben je in 1 groot netwerk terecht komt. Hierdoor kunnnen je buren meekijken.
Ik zou afscheid nemen van powerline maar in ieder geval hier een wachtwoord opzetten.

[ Voor 3% gewijzigd door laurens0619 op 01-07-2024 11:16 ]