隐私安全:P2P直连访问---家用摄像头安全使用指南

2021-12-31 10:47:20 浏览数 (1)

一、网络摄像头安全隐患原因

1、隐私数据不仅自己有

  • 使用最多的“移动监控功能”,视频数据基本走设备厂商网络进行存储/转发。隐私数据通过或留存第三方,安全风险巨大

2、隐私数据泄漏

  • 系统安全漏洞频发,特别是主打低价的小众厂商,甚至厂家服务器运维管理薄弱,非主观因素泄漏防不胜防

3、用户配置不当

  • 小白用户密码简单或使用默认密码,部分摄像头会开启路由器upnp功能,加大暴力破解风险
  • 有一定能力用户,为图便利,路由器上做些端口映射或直接映射公网,摄像头基本裸奔在外网

二、解决思路

1、隐私数据自己掌握

  • 不用官方提供的云监控、云存储。视频只存储到本地SD卡

2、杜绝泄漏风险(拔卡类的物理泄漏不讨论)

  • 摄像头完全局域网化
  • 掐断外网直接访问的口子,即便有漏洞或配置不当,“坏人”也进不来

3、解决移动监控问题

  • 使用P2P工具进行“内网”--》“内网”的端口映射(不在路由器上映射、不映射到公网)
  • 使用官方提供的app 配置局域网摄像头,随时随地安全访问

三、实操指南(以TP-LINK摄像头为例)

1、初始化配置

  • 摄像头到货后,第一步需要连接内网wifi,按官方说明进行(或自行操作,重点是联内网)
  • 摄像头联网后,首先进行密码修改。
  • 如果通过注册用户进行设备绑定的,完成上两步后可解绑摄像头,退出app登录

2、让摄像头彻底变成内网摄像头(可选)

  • 路由器中配置摄像头上网时间,这里让它每天只能联网1分钟(家中使用华为路由器,貌似允许上网时间段不能为0),也可以阻断摄像头到厂商域名的网络访问
image.pngimage.png

3、使用工具进行IPC摄像头端口映射(重点)

a、祭出工具

  • 推荐使用SG(github.com/lazy-luo/smarGate),主要做手机私网-->家中局域网的P2P映射

b、具体操作步骤

  • 官网下载app(目前只支持android/鸿蒙),注册用户(免费)
  • 下载SG服务端配置运行到摄像头所在局域网任何设备上,本例使用树莓派进行安装
  • 登录app,可以看到刚才配置好的树莓派节点,配置好摄像头端口(TP-LINK摄像头HTTP默认80端口,视频端口为8800,192.168开头的IP为摄像头内网IP)如图 image.pngimage.png 这样SG的配置就完成了,通过SG工具已将内网摄像头的80端口映射到手机8000端口,内网摄像头8800视频端口映射到手机8800端口

4、 配置"TP-LINK物联" app(重要)

  • 打开"TP-LINK物联" app,不用登录。找到“我的”->“设备管理”->"局域网设备"->"添加局域网设备"->“手动添加”。如图 image.pngimage.png
image.pngimage.png
  • 在“手动添加”页面输入咱们刚才映射到手机上的HTTP端口(8000),为了让手机切换网络时不用改这里的配置,我们将IP配置成127.0.0.1 ,另外视频端口没有配置的地方,默认是8800,因此手机映射时必须是8800。配置好后如下图 image.pngimage.png

四、效果展示

image.pngimage.png

五、总结&注意

  • 摄像头实时数据走P2P直连(4G手机有ipv6,家中宽带可自行桥接开通v6,SG可直接穿透防火墙)
  • 摄像头视频只用本地SD卡存储,不外泄
  • SG客户端需要设置后台运行权限,且保持运行
  • SG客户端看到绿色的颜色条就代表是P2P的
  • 举一反三其它局域网的服务都可以通过类似的方式进行安全访问

0 人点赞