Bezpečná komunikace s aplikacemi pro IP kamery

[darebacik]

Riesim vseobecny problem ako pouzivat bezpecne aplikaciu, ktora sluzi na prehliadanie streamu z IP kamier.
Vo vseobecnosti sa hovori, ze IP kameram a NVR je potrebne zakazat pristup na internet. Myslim si, ze to je v poriadku a ak zakazeme tymto zariadeniam pristup na inet, tak data mimo LAN neprejdu.
Lenze clovek zvycajne potrebuje kontrolovat kamery, ked  je niekde mimo LAN a s mobilom.
To znamena, ze v LAN postavime VPN (WG) server a na mobile pouzijeme VPN (WG) klienta. Pravidla vo firewalle nastavime tak, aby akakolvek komuniacia, ktora bude smerovat na internet prechadzala cez WG server. Proste WG server bude pre mobil GW do internetu. To znamena, ze s mobilom budeme stale uzavrety v LAN.
Je tato ochrana dostacujuca, alebo aplikacia pre IP kamery moze stale komunikovat s tretou stranou?
Tych aplikacii pre streamovanie s IP kamier je mnoho. Niektore su vyvinute cisto pre konkretne IP kamery, cize nie je mozne pouzit inu aplikaciu. Ine aplikacie je mozne pouzit pre rozne IP kamery.
Dolezite je to, ze ked si zabezpecime IP kamery a NVR aby  neopustili LAN, tak aby tiez aplikacia neposielala nieco tam kde to posielat nema.
Da sa to nejak zabezpecit ?
Je to mozne spravit na urovni mobilu (zakazat aplikacii inet, ale povolit LAN) ?

[Reklama]

[LivingLegend]

Mel byc dotaz, kdyz zakazes tem vecm pristup do internetu, jak to budes aktualizovat? Lze to vubec aktulizovat bez internetu?

[_Tomáš_]

nepoužívej ty aplikace na IP kamery, jsou nezabezpečitelné. Tvoje řešení dá přístup na kamery všem aplikacím, které máš na telefonu, což jak bych řekl je z bláta do louže a nedělej to.

Pokud chceš bezpečnost, musíš implementovat nějaký VMS (video management software), který bude co nejblíže u kamer, jak jediný (!) k nim bude mít přístup po síti a on ti bude pak bezpečnou cestou zpřístupňovat záznamy z kamer. Můžeš začít třeba tady https://github.com/bluenviron/mediamtx, ale těch projektů je celá řada. Záznam z kamery prostě nikdy nepouštěj z lokální sítě přímo, WG vpn ti k nic nevyřeší.

Mel byc dotaz, kdyz zakazes tem vecm pristup do internetu, jak to budes aktualizovat? Lze to vubec aktulizovat bez internetu?

To je správně těm všem věcem zakazovat přístup na internet, pokud něco neumí se aktualizovat offline, raději od toho ruce dál. Zpravidla jsou dva způsoby, buď se musí k zařízení jít osobně, připíchnout na admin/usb rozhraní programátor a nahrát nový SW nebo si dané zařízení pravidelně kontroluje dostupnost aktualizace z lokální adresy a tu případně aplikuje, občas je možné využít i vzdáleně api, kdy kameře řekneš, že se má aktualizovat a ona si v té době stáhne aktualizaci (což je nejlepší, protože ten proces máš pod kontrolou, samozřejmě vše z lokální sítě, ideálně z nějakého VMS).

[_Jenda]

Nerozumím jak tam figuruje "aplikace". Moje kamery poskytují RTSP stream, a ten přehrávám například pomocí mpv, VLC nebo prohlížeče (tam byla potřeba nějaká javascriptová knihovna, dělal to kolega a nevím jak to funguje).

Přijde mi divné dávat mobilu jako gateway ten WG "server". Přistupoval bych přes něj jen na adresy kamer, ne všude.

Mel byc dotaz, kdyz zakazes tem vecm pristup do internetu, jak to budes aktualizovat? Lze to vubec aktulizovat bez internetu?

Například kamery Hikvision se aktualizují tak, že si na webu výrobce stáhneš soubor a ten nahraješ přes webové rozhraní kamery. Internet netřeba (teda, nezkoušel jsem to bez něj, ale nevypadalo to, že by byl nějak potřeba).

[darebacik]

Aplikacia je  rychla a po otvoreni vidis hned live streams. Mozes prehravat streams z NVR. Proste z aplikacie mozes menezovat kamery a NVR. Preto nechcem aplikaciu rusit a vytvarat si nejaku vlastnu (ani by som to nevedel, lebo nie som vyvojar).
Ano NVR aj kamery poskytuju RTSP, ale je to dost neprakticke ohladom k tomu co som napisal vyssie.
Apps ktore menezaju kamery a NVR sa mi pacia. Vacsinou tam nastavim vsetko, co by som nastavil cez webove rozhranie. Samozrejme namiesto app by sa dalo pouzit aj webove rozhranie, tak by som sa vyhol appke, ale asi by to nebolo take pohodlne ako cez appku.

Ze pouzivam GW, WG servera, to by som neriesil. Mamto tak z inych dovodov.

[Reklama]