一、网络摄像头安全隐患原因
1、隐私数据不仅自己有
- 使用最多的“移动监控功能”,视频数据基本走设备厂商网络进行存储/转发。隐私数据通过或留存第三方,安全风险巨大
2、隐私数据泄漏
- 系统安全漏洞频发,特别是主打低价的小众厂商,甚至厂家服务器运维管理薄弱,非主观因素泄漏防不胜防
3、用户配置不当
- 小白用户密码简单或使用默认密码,加大暴力破解风险
- 有一定能力用户,为图便利,路由器上做些端口映射或直接映射公网,摄像头基本裸奔在外网
二、解决思路
1、隐私数据自己掌握
- 不用官方提供的云监控、云存储。视频只存储到本地SD卡
2、杜绝泄漏风险(拔卡类的物理泄漏不讨论)
- 摄像头完全局域网化
- 掐断外网直接访问的口子,即便有漏洞或配置不当,“坏人”也进不来
3、解决移动监控问题
- 使用P2P工具进行“内网”--》“内网”的端口映射(不在路由器上映射、不映射到公网)
- 使用官方提供的app 配置局域网摄像头,随时随地安全访问
三、实操指南(以TP-LINK摄像头为例)
1、初始化配置
- 摄像头到货后,第一步需要连接内网wifi,按官方说明进行(或自行操作,重点是联内网)
- 摄像头联网后,首先进行密码修改。
- 如果通过注册用户进行设备绑定的,完成上两步后可解绑摄像头,退出app登录
2、让摄像头彻底变成内网摄像头(可选)
- 路由器中配置摄像头上网时间,这里让它每天只能联网1分钟(家中使用华为路由器,貌似允许上网时间段不能为0),也可以阻断摄像头到厂商域名的网络访问
3、使用工具进行IPC摄像头端口映射(重点)
a、祭出工具
- 推荐使用SG(github.com/lazy-luo/smarGate),主要做手机私网-->家中局域网的P2P映射
b、具体操作步骤
- 官网下载app(目前只支持android/鸿蒙),注册用户(免费)
- 下载SG服务端配置运行到摄像头所在局域网任何设备上,本例使用树莓派进行安装
- 登录app,可以看到刚才配置好的树莓派节点,配置好摄像头端口(TP-LINK摄像头HTTP默认80端口,视频端口为8800,192.168开头的IP为摄像头内网IP)如图
这样SG的配置就完成了,通过SG工具已将内网摄像头的80端口映射到手机8000端口,内网摄像头8800视频端口映射到手机8800端口
4、 配置"TP-LINK物联" app(重要)
- 打开"TP-LINK物联" app,不用登录。找到“我的”->“设备管理”->"局域网设备"->"添加局域网设备"->“手动添加”。如图
- 在“手动添加”页面输入咱们刚才映射到手机上的HTTP端口(8000),为了让手机切换网络时不用改这里的配置,我们将IP配置成127.0.0.1 ,另外视频端口没有配置的地方,默认是8800,因此手机映射时必须是8800。配置好后如下图
四、效果展示
五、总结&注意
- SG客户端需要设置后台运行权限,且保持运行
- SG客户端看到绿色的颜色条就代表是P2P的
- 举一反三其它局域网的服务都可以通过类似的方式进行安全访问
