海康威视身陷“棱镜门”,手把手教你如何避免家中陷入“艳照门”
时间:2015-03-01 00:42:00 来源: 作者:
IP Cameras现在已经越来越便宜了,很多人都可以买得起,并且大家也乐意去购买。这些cameras基本上具有内建的网络服务器和API接口,让大家可以从任何有网络接入的地方,通过网络浏览器或者你的iPhone来进行访问。
2月28日“棱镜门”后再曝重大信息安全事故!27日中午,江苏省公安厅发布的特急通知称,主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患,部分设备已被境外IP地址控制,并要求各地立即进行全面清查,开展安全加固,消除安全隐患。
监控设备漏洞或引发敏感信息泄露
海康威视主要涉足安防领域,视频监控是其核心业务,客户主要面向政府职能部门,如:公安系统等,曾参与北京奥运会、60年国庆大阅兵和上海世博会的安保工作。业内人士透露,这个问题不仅仅是海康,国内其他类似的公司产品或也存在安全隐患。
作为敏感信息入口点的监控设备,遍布于金融、智能交通、公安、能源、司法等领域。此次海康威视“安全门”事件的监控设备被国外不法分子控制,必然会导致监控的敏感图像信息被不法分子获得,例如政府部门内部监控图像、银行内部监控图像、交通监控图像、酒楼监控图像等。监控设备被不法分子控制,相当于不法分子安装了一个“天眼”,各类信息一览无余,危害严重。
海康威视“安全门”并非偶然
腾讯电脑管家安全专家马劲松表示,此次事件并非偶然,仅在乌云平台上搜索到的就有20余条关于海康威视漏洞信息,大部分是关于SQL注入和弱口令(弱口令包括使用产品初始密码或其他简单密码,如123456、888888、admin等)的问题,而弱口令也是网络安全中最低级的安全漏洞。目前作为国内最大的监控设备生产商海康威视,虽然致力于设备功能的完善,但忽略了最基本的信息安全问题,就是这一“蚁穴”,可以使千里的“堤坝”毁于一旦。
信息安全任重道远
马劲松提醒,由于监控设备被不法分子控制的危害性极大,所以设备生厂商应该重视这一问题。对于监控设备产品进行升级,完善认证机制和权限管理机制,如初次使用必须强制修改密码等,并对web平台进行加固,对系统进行高强度入侵测试,防止被不法分子入侵。同时,普通用户也需要强化网络安全意识,家里的路由器、WiFi和智能设备一定要使用高强度的密码,切忌使用默认密码;同时关于网络帐号,如QQ、微信和邮箱密码等,也应使用高强度的密码,并定期更换。
大数据时代虽然带来了新的机遇与信息面貌,但是由于信息的聚集性越来越高,云安全问题也带来了新的挑战。对不法分子来说,只要击破云服务器,意味着可以获得更多的资源,例如iCloud泄露门,12306信息泄露,携程信息泄露等。此次事件,对正在大力发展信息经济与互联网经济的中国,提出了信息安全的极大思考。信息安全任重而道远,千里之堤,毁于蚁穴。所以在信息安全上,应仔细排查安全隐患,防患于未然。
手把手教你把当今最HOT的家庭监控IP Camera变得网络安全起来
监控技术哪家强?相信你不再会去找南翔。那么问题来了,连接访问这些IP Cameras的大部分公共连接接入其实都是没有对数据进行加密的,且所谓的安全仅限于用户名和密码的验证而已。也许有些地方还是增强了一些如防止暴力破解的保护功能,但是,把你购买的最新的最潮的IP Camera的网络连接直接暴露到公共网络外面,难道你真的想学陈冠希老师来通过艳照门做一回八卦新闻网站和周刊的头条霸主吗?相信这不是大家想要的吧?毕竟,连玛莲梦露在风吹起来的时候都会下意识的捂着裙子,连苍老师都要从良了,你该不会是想要“不小心”把你的床上英雄史在网上分30集不停的循环播放再播放的。
通过VPN进行访问
众多方法之一就是避免在你家的路由中做端口转发到你的IP Camera的设置,而是通过VPN来进行穿透直接通过公共网络访问你的IP Camera。如果你是使用vpn访问你的家庭网络的话,你就在等用于本地网络安全的情况下对你的IP Camera进行安全访问了。也就是你的反问设备和你的IP Camerar之间的通信数据是被加密了的。
那么今天哥就来跟你说说应该如何已最简单的方式在你的家庭网络环境中安装OpenVPN,当然,一如既往,在你根据哥的知道安装好后,可别忘了针对网络安全方面做更多的研究,然后如果你发现或者学习到了任何有意思的东东的话,切记要在我们网站的评论区给出你的领悟哦。
安装OpenVPN
以哥斥巨资购买的长宽3米的珠江大桥第四个桥孔的爱巢的网络环境为例,哥现在爱巢里用的可是Linux发行版炙手可热的Ubuntu 14服务器版本兼且是64位的炒作系统哦,噢,sorry,是操作系统,没炒作。因此呢,好吧,那么我们的安装流程就基于它吧。哥这里就先假设其他的linux发行版都是类似的了(天地会珠海分舵注: 当然,你非要拿哥minix教学系统跟我较劲的话我也没有办法,虽然想当年哥对该操作系统可是有透彻的源码研究和分析的,但可惜“当年”这个词在这里需要用“10年”来代理)。对了,大家转发哥的博客的时候记得加上个引用出处呗,我这里做个榜样和模版,“本文往下的一些步骤是引用了OpenVPN官网内容的,我爱OpenVPN, OpneVPN是最好的,OpenVPN是无私奉献的,我要给OpenVPN捐助1万美刀...",大家有引用哥的文章的话就按照这种格式去填写就好了, 只是别忘了把里面的"OpenVPN"改成"天地回珠海分舵" ;如果是妹纸的话也可以在以上基础上把 “一万美刀“改成“我自己”,不捐助就算了。哥也不是个见钱眼开的人,只是不见钱就眼睛瞪的老大如张飞罢了。
下载安装OpenVPN
那么我们要做的第一步就是去下载正确的OpenVPN安装包,你可以从 这里 找到它。
那么就去下载吧。下载完成后请打开你的终端并定位到该安装包所下载存放的位置,假如你是下载到~/Downloads的话,就请定位到该目录下面。然后就执行dpkg命令来安装该安装包。
执行了以上命令后,你大致会看到如下的输出信息:
基本上来说,该安装包会包所有包括你的认证都会安装好,因为我们一直的目标都是简单即是美。在安装好后请记住你的管理平台地址,因为你将会用到它的。如果你真的没有记住的话,那么尝试下用例如https://192.168.0.9:943/admin“这个地址尽心访问吧,注意前面的ip要换成你自己机器的ip地址了,因为一般我们的默认地址都是这么设置的。
还有就是我们的默认用户是openvpn。这里有一点很重要的是,openvpn这个用户是根服务器用户绑定的,当初始化安装完成之后,该初始化脚本同时会创建一个openvpn的用户来给你的Ubuntu服务器使用。下一步需要做的事情就是给你的openvpn这个用户添加一个强口令了,这里敬请你使用随机密码生成器来生成如1Password之类的数字和大小写都有的口令来保证你在一开始就拥有一个不容易攻破的密码。
如上所提及的,改变密码的命令如下:
创建另外一个用户
下一步需要做的事情就是去创建另外一个用户以便我们今后用来接管掌控默认用户openvpn的管理权限。这其实也是也是我常用的安全保障手段之一,为了以防万一,在特定情况下使用另外一个用户来取代一个默认的用户。
故此,请选取一个唯一的用户名来创建你的用户。在创建好后直接使用一个高强度的安全密码。在我们的教程中我们使用的是用户padawan。我们在下一个小节依然会用到。
指派新的管理员
原文再接上一回,请通过浏览器登录你的OpenVPN管理平台界面。在提醒一次,这应该是如https://192.168.0.9:943/admin这样的url格式。登录过程请使用上面你说设置的openvpn用户和对应的密码。
当登录成功后你将会看到状态概览页面,该页面会为你展示服务器版本,端口等等信息。
在左边的导航栏中请导航到"用户权限"位置。当该页面加载完成后,请在该页面增加一个如下所示的padawan的用户。
点击保存设置并根据以下步骤进行设置:
- 保存后,正常来说opevpn服务器应该自动进行服务重启的,但是上一次我却必须要手动重启才能激活用户。
- 你可以通过后来命令如下来重启OpenVPN: sudo service openvpnas restart
- 回到用户权限页面
- 为你新创建的用户padawan勾选"Admin"权限选项
- 登出管理平台
- 使用padawan用户来重新登录。这一步是用来测试该用户是否正常设置好。
- 回到用户权限界面
- 启动openvpn的拒绝访问权限。当有了新的管理权限用户padawan后,我们再也不需要该默认用户了。
开启谷歌身份认证器
为了安全起见,我们会增加多一层的安全验证,我们希望启用的是谷歌身份安全认证器。在过去的版本中我们必须把该认证器一步步建立起来,但是在本版本的OpenVPN中就简单多了:
- 导航到"客户设置"页面
- 勾选"需要用户每次登录时提供谷歌身份认证器提供的一次性密码"
- 保存设置
恭喜,你现在已经有个谷歌认证器的支持了。往下你需要做的就是去建立你的认证器应用而已了。我自己使用的时iOS版本的谷歌认证器,但我相信安卓版本的的设置过程应该时一致如下所示的:
- 在你的网络浏览器中打开你的vpn服务器
- 老调重弹,改地址应该时如下所示格式的:https://192.168.0.9。请注意使用的时https且该地址不会带有任何端口相关信息。
- 过程中将会有一个弹出框提示你要下载OpenVPN的连接客户端,先不用管它,我们可以在今后来安装
- 往下翻页后你会看到一个二维码以及一个唯一的代码,你可以把该码输入到谷歌身份认证器里面
- 拷贝并粘贴该唯一的代码
- 打开你的谷歌身份验证器并把该新号码输入进去
再次恭喜,谷歌身份验证器已经在你的不懈努力下建立好了。‘
开启VPN的网络访问权限
既然我们已经把基本安全配置给搞定了,那么下一步我们就应该需要去把该VPN服务器建立起来给公共网络进行访问了。
- 登录OpenVPN网络管理平台
- 选择"服务器网络设置"
- 在"主机名称或IP地址"中输入你的公开IP地址
- 暂时先把其他设置保持不变
- 保存设置
下一步就是去对你的家庭路由进行OpenVPN端口的转发了。鉴于每个提供商的路由都有不同的设置界面,所以我这里不能不能详细的告诉你该如何在你的路由中进行设置。但是总的来说,你需要做的事情就就是把你在“服务器网络设置”页面看到的TCP和UDP端口进行转发,默认来说这些端口会是443和1194。
建立VPN客户端
其实这一小节还真的没有多少东西好说的,你要做的事情首先就是从AppStore中下载OpenVPN的客户端并安装好。
在此过程中当提示添加一个档案的时候,只需要选择“从OpenVPN访问服务器倒入档案"就好了。在该页面提供的输入框中,请输入你的公共IP地址。然后该过程就会自动下载对应的正确的档案,然后你所需要做的事情就是在你的OpenVPN连接应用中点击打开功能而已。
完成以上步骤后,你的档案应该已经建立起来且你已经能通过你的用户名和密码登录到你的VPN了。因为我们前面启动了谷歌身份认证器,你还需要输入你的认证器令牌。
为了保证你在你的电脑上安装了正确的VPN软件,请跟随以下步骤:
- 登录你的VPN客户端地址,也就是以https开始的IP地址
- 点击下载客户端。在我的Mac机器上,在客户端安装完成后,档案已经自动建立好了。所有我需要做的事情仅仅是使用正确的身份凭证来进行登录而已。
访问你的IP Camera
这个是本教程最容易的一部分了,你首先需要做的仅仅是保证你的VPN连接是ok的。然后你就既可以通过网络浏览器或便携式的iOS软件如IP Cam Lite(个人看来这款工具是便宜且实用的)来访问你的IP Camerar了,我相信Android同样也有类似的应用供你选择。
无论你用的是哪种访问方式,到了现在,相信你已经可以通过本地地址加上正确的端口地址来访问你的IP Camera了。
闭幕
恭喜恭喜,通过你的VPN服务器对你的IP Camera进行简易访问的教程就到此为止了。如我们之前所言,这可能是一个最简单的安装教程了,当然,如果要把安全性做的更好的话,你尚需要做很多其他的事情。我希望本文能帮助到你并期望如果你有更进一步的想法和问题的话,可以在评论中给我们留下只言片语。谢谢。
部分内容作 者:codingepiphany, 译者:天地会珠海分舵, 微信知识共享公众号:TechGoGoGo
来源:腾讯科技、译言网
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
