Videoövervakning - var på nätet ska det in?

[Fumble]

Hej kloka forum!

Nu har jag köpt min första övervakningskamera. Om det blir succé, köper jag fler likadana, annars någon annan sort och börjar om...

Första frågan inställer sig förstås direkt: Var på nätverket hör den hemma?

Jag tänkte att den skulle streama till min NAS och Home assistant, som står på det privata segmentet, men också vara åtkomlig via telefonen när man är borta, liksom från ev larmcentral.

Home assistant står på privata segmentet, SPC-larmet på DMZ. Allt på det privata segmentet kommer åt allt på DMZ, men inte tvärtom. SPC-larmet står på DMZ, eftersom det är åtkomligt från deras online-tjänst, alltså åtkomlig utifrån.

Home assistant är inte åtkomligt utifrån än, eftersom jag inte känner mig tillräckligt säker på hur detta ska göras. Ja, det är inte bara videoövervakningen som är frågan här. Allt hänger ihop...

Era kloka råd om vad som hör hemma på vilket segment vore värdefulla!

/Fumble

 

[Mats]

Jag är skadad men jag har ett dedikerat IoT nät .....

 

[tommib]

och jag kör VPN in till lokalnätet för att komma åt kameraserven. Den, och kamerorna, är blockerade i brandväggen för att prata externt efter att jag upptäckte att kamerorna ringde hem till kamrat Xi.

 

[Fumble]

Jag är skadad men jag har ett dedikerat IoT nät .....

Hur skiljer det sig från ett typiskt DMZ?

/Fumble

 

[Mats]

I mitt fall har jag betydligt striktare regler på IoT nätet, tex ingen access utåt till nått annat än videoservern. Ingen access in heller förutom från en management burk

 

[Fumble]

Man lär sig - tack!

/Fumble

 

[Mats]

Man lär sig - tack!

/Fumble

Varsågod och nej, man behöver absolut inte göra som jag gör. Jag är lätt yrkesskadad efter trettio år plus och iom det har jag också lite kraftigare prylar än vad man normalt har för hemmabruk.

 

[anis16]

Aldrig använda DMZ till nått då det blir vidöppet för attacker på alla portar och en enhet kan enkelt bli brygga mellan privata LAN:et och det ni tror är skyddad zon. För remote access så finns det en rad möjligheter som egen speglad ssh/webserver på exempelvis Amazon eller alla andra lösningar som openVPN, remote-it eller zero tier mf. Många av dessa lösningar har nu också 2-FA.

 

[gol]

Hej kloka forum!

Nu har jag köpt min första övervakningskamera. Om det blir succé, köper jag fler likadana, annars någon annan sort och börjar om...

Första frågan inställer sig förstås direkt: Var på nätverket hör den hemma?

Jag tänkte att den skulle streama till min NAS och Home assistant, som står på det privata segmentet, men också vara åtkomlig via telefonen när man är borta, liksom från ev larmcentral.

Home assistant står på privata segmentet, SPC-larmet på DMZ. Allt på det privata segmentet kommer åt allt på DMZ, men inte tvärtom. SPC-larmet står på DMZ, eftersom det är åtkomligt från deras online-tjänst, alltså åtkomlig utifrån.

Home assistant är inte åtkomligt utifrån än, eftersom jag inte känner mig tillräckligt säker på hur detta ska göras. Ja, det är inte bara videoövervakningen som är frågan här. Allt hänger ihop...

Era kloka råd om vad som hör hemma på vilket segment vore värdefulla!

/Fumble

SPC-larmet ska du definitivt inte ha i DMZ. Du ökar då risken betydligt att någon lyckas ta över ditt larm.

 

[Fumble]

Tror jag kanske använder begreppet DMZ fel? Jag menar den zonen där sådant står som behöver vara åtkomligt utifrån för diverse prylars fjärrtjänster - inte att alla dörrar står öppna.

VPN-tanken är bra och nog den vägen jag behöver gå. Verkar jobbigt att få till, bara. Tror jag behöver uppgradera min OpenWRT och installera lämplig modul och konfigurera den. Har aldrig konfigurerat VPN förr.

Tack ska ni ha för värdefull input!

/Fumble

 

[Johan.Andersson.81]

Tror jag kanske använder begreppet DMZ fel? Jag menar den zonen där sådant står som behöver vara åtkomligt utifrån för diverse prylars fjärrtjänster - inte att alla dörrar står öppna.

VPN-tanken är bra och nog den vägen jag behöver gå. Verkar jobbigt att få till, bara. Tror jag behöver uppgradera min OpenWRT och installera lämplig modul och konfigurera den. Har aldrig konfigurerat VPN förr.

Tack ska ni ha för värdefull input!

/Fumble

Tanken med det man lägger i DMZ är det som är tänkt vara publikt åtkomligt från internet, mailserver ex.vis. Vill man inte att det ska vara publikt åtkomligt, men ändå åtkomligt, så gör den åtkomlig via en ssh-tunnel och placera de enheterna på ett eget subnät. De flesta tillverkare av IoT-prylar för hemmabruk förenklar uppsättning för användaren genom att göra dem tillgängliga via sitt eget DMZ men på bekostnad av säkerhet, då de ligger publikt åtkomligt. Vill man inte använda sig av tillverkarens lösning för access utifrån så lägg enheterna på ett separat internt nät och gör dem åtkomliga utifrån genom en ssh-tunnel in till en hoppserver som har access till de enheterna du vill komma åt utifrån.

 

[LoweW]

Varsågod och nej, man behöver absolut inte göra som jag gör. Jag är lätt yrkesskadad efter trettio år plus och iom det har jag också lite kraftigare prylar än vad man normalt har för hemmabruk.

Får man fråga vilken hårdvara du använder eller förstör det din opsec?

 

[Vedhuggarrn]

Tänk va skönt om man hade kunnat nåt om sånt här och även haft intresse för det.. Skulle gärna haft lite kameror på diverse ställe på mina fastigheter men kan absolut noll om det..
Sorry för off topic men va bara tvungen att lufta min avund inför er som kan.. Imponerad!

 

[hsd]

Övervaknings bild å ljud borde läggas på enhet i annan fastighet, rent fysiskt

 

[Mats]

Får man fråga vilken hårdvara du använder eller förstör det din opsec?

Fråga får man alltid
I det här fallet blir det svar också. Jag kör PFSense som brandvägg ihop med "smarta" switchar och VLAN. Rent praktiskt så kan jag skapa så många olika nät jag vill och sen låta brandväggen styra trafiken till/från det nätet. Har jag då en enhet jag inte litar 100% på så hamnar den på ett eget nät med restriktiva regler på vad den får prata med