网络摄像头泄密事情层出不穷,搞的我都不敢随便网上买监控。
之前搞过一个小监控,USB 摄像头模组+iSpy 开源监控管理软件,有 web 界面,只给我自己用,想看回放就 VPN 回家,但家里领导根本不屑一顾。
现在换房子打算搞一整套四口的监控,海鲜市场有解决方案,400 以内带网络录像机那种,厂家也是知名厂家,好像还可以通过手机 APP 查看(这点未验证,但家里领导很需要)。不知道这种方案下,到底有哪些安全漏洞可能泄密,比如组播不小心放到公网? PS 暂不考虑自己账密泄露和厂家故意搞鬼的情况,这种情况也无能为力。
因为我家里有一个 Windows 服务器 24 小时开机,我感觉可以直接让我的服务器作为录像机可能更安全,不知道有哪些录像机管理软件可以使用,大家有 idea 也可以分享出来。
谢谢各位大佬,抱拳!
 |
1
MacsedProtoss 2 天前 via iPhone  4
只要自带远程查看的都不安全 都是走厂商的中转或打洞 而这就是漏洞出现的地方
真的安全的必须是纯本地的 仅局域网可以访问 然后你自己的回家代理来确保安全性 |
 |
2
wxw752 2 天前 1
我目前用的都是萤石的摄像头,软路由里,把*.ys7.com 都拦截掉就可以了。
用群晖做录像机,然后 homeassistant 读取群晖的摄像头,最后反接入到苹果 HomeKit 。这样应该既方便实时查看,又很安全 |
 |
3
Puteulanus 2 天前 1
Windows 虚拟机跑个黑群晖,然后用 Surveillance Station ,我记得也有手机 App
不过四个摄像头好像超过免费的了,可能得去淘宝看看多摄像头的授权 |
 |
4
yhm2046 2 天前
领导是指老婆?
|
 |
5
balckcloud37 2 天前 1
目前用 tplink ,先用 tplink 的 app 绑定设备做初始化,初始化完之后就删掉绑定,改成添加局域网设备。在路由器里把摄像头的出局域网流量 ban 了。
这样应该就可以做到仅局域网能访问,出门的时候就打洞回来。 |
|
6
balckcloud37 2 天前
@balckcloud37 这样看监控还是用 tplink 的 app ,录像用的 sd 卡,不上云。个人感觉使用成本比自己维护 Surveillance Station 低点。
|
 |
7
puzzle9 2 天前
用 poe 摄像头 几乎都支持 onvif 协议
数据用 nvr 存起来 再禁止此设备联网就行 远程 看的话 可能需要自己开发 |
 |
8
littlewing 2 天前
@wxw752 在外面可以看吗?流量走的什么?苹果的?
|
 |
10
wanmyj OP @balckcloud37 我如果没理解错的话,在外面看监控需要 vpn 回家就可以,对不啦?
|
|
11
balckcloud37 2 天前
@wanmyj 对的,这个方法就有很多了。我目前用的 tailscale 。
|
 |
12
TimG 2 天前 via Android
同意 1#。nas 有两个口,留一个跟摄像头群组组网就行,想看先代理回家,这里的安全做好就没问题。
|
|
13
wanmyj OP @balckcloud37 你用的摄像头,有用录像机吗?是不是只能看实时,如果想要回看是不是就没办法了?
|
|
14
balckcloud37 2 天前
不过这个方法虽然监控不会连外网,但由于查看还是用的 tplink 的 app ,假如 app 偷偷上传了视频流那还是会泄露,也许可以抓包看看。个人感觉已经比流量全走他们的服务器要可控一些了。
|
|
15
balckcloud37 2 天前
@wanmyj 没有录像机,有 sd 卡录像,可以回放。如果你想录像的话,tplink 支持 rtsp ,我试过用 Surveillance Station 录像,是可以用的(只是太麻烦了最终还是选择只用 sd 卡)
|
|
16
wanmyj OP @balckcloud37 了解了,装 surveillance station 要装个黑群,sd 卡也是个办法,不过如你所说,这个局域网 app 已经是非常好的方案了
|
 |
18
e3c78a97e0f8 2 天前
直接在路由器上禁止摄像头连接外网
|
 |
19
kzhangWhy 2 天前 1
之前用树莓派装了一个 motion ,自带动态监测,并保存捕捉的视频和图像。motion 可以配置视频保存完之后执行特定的脚本。我用这个脚本上传视频到自己的云主机上,并用 bark app 发送通知消息到手机。
这些视频和图像都在自己的控制之下,基本不会有啥隐私泄露风险。 |
 |
20
ndxxx 2 天前 1
猜测所谓家用摄像头在线被 hack 、甚至直播隐私内容的泄密事件,大多是因为摄像头在线服务商的一些公网接口被 hack 。这种情况很难靠用户单方面来完全避免。
所以就我个人而言,如果我想远程查看家里的摄像头,我会选择通过代理访问家里的网络。我的具体方案是:用威联通的 QVR Pro 服务来管理家用摄像头。摄像头使用 ONVIF 协议,在路由器层面彻底屏蔽所有互联网访问。NAS 上开一个 NTP 服务,让摄像头能够校准时间。手机端使用 QVR Pro 的 App 查看和导出回放。 这个方案对我来说唯一的缺点是,QVR Pro 免费版只能查看 14 天以内的录像。 不过看楼主的需求,是要给不太懂 VPN 或代理的小白用户提供远程看回放的功能(手机端),那公网访问估计还是得有的。先蹲个楼,看看有没有大佬分享更易用的方案。 |
|
21
wxw752 2 天前 1
@littlewing #8 在外面可以看,我家有 apple tv 和 homepod 这俩都可以当中枢。
优先直连 (P2P 直连),如果无法直连才走苹果服务器。我家有公网 ipv4 ,在外面一直是直连的,观看很快就打开了,也不卡。 |
 |
22
zealotxxxx 2 天前
我是 tplink 摄像头 + Scrypted + apple Homekit
后面可能会换成大华的头,不过还没仔细看型号 |
 |
23
zhf883680 2 天前
个人目前方案:
tp 摄像头支持 onvif 路由器屏蔽所有摄像头的外网访问 每天放风 1m 用来校准时间 群晖 Surveillance 接入摄像头,反向代理限制访问的 http 头,只允许 ds cam 的头访问这个反代 https 域名 scrypted 接入摄像头 转到 homekit,有人在家关闭摄像头 日常看就 homekit 或者 ds cam |
 |
24
NoKey 2 天前
门口,阳台,公共区域,加上监控,是不是就可以完成覆盖了?这些区域一般也不会有太多隐私问题
是不是直接考虑常规产品即可? |
|
25
wanmyj OP @ndxxx 我们家也有公网的,手机端可以 OpenVPN 一键回家,就是缺个手机 APP(刚才楼上有说 TPLINK 但还没尝试),也缺个录像机(大华和海康的录像机不知道有没有手机端的 APP 支持,我有自己的 Windows 服务器,但没可以给手机使用的录像机的软件,专门再买个 NAS 感觉有点不值当,摊手。。。)
|
 |
27
crayygy 2 天前 4
我用的最简单的方案,智能插座+摄像头,需要看的时候就远程给插座通电,需要隐私的时候就断电,也可以每天定时开关
|
|
28
ndxxx 2 天前
@wanmyj #25 已经蹲到好几个老玩家了。用 scrypted 做服务端的方案看起来不错,安卓苹果都有客户端。然后可能需要再加个 HA 网关或者 HomeKit 网关,有空可以折腾下。
|
|
29
wanmyj OP @ndxxx 我刚搜了一下你说的 scrypted ,这个软件感觉太好了,我家也有 AppleTV ,可以作为中枢,大概浏览了一眼看起来还是免费的。等我买来设备搞定以后出个测评贴 ♥
|
 |
30
crz 2 天前
不是针对监控,所有不能离线使用的智能家居都是垃圾
|
 |
31
Pethidine 2 天前
摄像头+NVR+硬盘,设置录像数据全部存本地硬盘,远程也可以查看
|
|
32
yhm2046 2 天前
@wanmyj #9 不知道你老婆满意的指标是什么?如果是嫌麻烦你可以告诉她隐私性和便利性是成反比的。而且不存在 100%安全的系统,只要是联网就有可能被泄漏,何况生活在天朝。我妈就是担心这个才一直反对我装摄像头。
|
 |
33
cydian 2 天前
上面这些都太麻烦了,海康威视录像机一体机 + 海康威视摄像头,没烦恼。
|
 |
34
mMartin 2 天前 1
全部 ban 掉
 |
 |
38
wangsd 2 天前
买支持 onvif 的摄像头,添加到群晖或者威联通的 NAS 上,用 NAS 充当录机,录像是存储在本地的,需要看的话可以配合 NAS 的监控软件去看。
|
 |
40
ixixi 2 天前
用 nvr 存储录像 ,只管理 nvr 这一台设备的网络访问权限就好了 ,不难的。
|
 |
42
swiftg 2 天前 via iPhone
理解不了在家里甚至卧室装监控,记录自己的生活起居吗?只要连了外网,就一定有除自己以外的人有权限或能力看到,再爆个漏洞啥的,全世界都可以看到了
|
 |
43
Donaldo 2 天前
在你不想让他泄密的时候把电源拔掉是最安全的
|
 |
44
AdminZ 2 天前
局域网撘一个,然后家里看监控的电脑的网页开着看,再下一个远程控制软件看?(不知道是否可行)
|
 |
45
forgottencoast 2 天前 1
@swiftg 要是真的全世界都看,刚好可以带货,财富自由垂手可得。
|
 |
46
ajaxfunction 2 天前 2
所有批量泄漏的只有 360 家的水滴,就是那个号称做安全的,真是丢人丢到家。
其他个别泄漏,是因为初始密码没改,分享了万能 wifi ,连上后被弱口令拿到后台。 这个事件发酵后,现在新的摄像头,出厂必须手动设密码才能用。 |
 |
47
spiritV 2 天前
@wanmyj #36 萤石呗,不用云存储,录像存本地硬盘录像机,APP 只用来查看硬盘录像机或者内存卡的录像,但是查看的时候估计还是会到云端中转一下。
节约事少型:建议还是 摄像头+海康录像机+萤石 APP ,很多市面上的第三方方案都只能满足看实时视频和看录像,至于对讲和抓拍还有一些事件报警都支持不是很好。 海康其实有那种 app 支持支持查看局域网录像,外在面 openvpn 回去查看视频和录像的,完全没什么云功能的,但是这两年在家用市场没看到了(至少我没看到),都是在商用 iVMS-3000C 这一类平台上配套的。 |
 |
48
wwhc 2 天前
只要你有动手及服务器配置能力,motion-project.github.io 是最佳的解决方案,免费开源
|
 |
49
hanguofu 2 天前
有没有人总结一下:scrypted 和 motion-project.github.io 这些监控平台对硬件的要求 ?
|
 |
50
512357301 2 天前 via Android
原来也想过为了隐私问题专门搞一套,后来发现还不如 100 块钱一个,买几个呢,隐私的地方不安装就行了。
楼上各位推荐的可能没断网停止录像的“功能”,我问了几家,哪怕是米家的都会断网停止录像。。。 后来我买的是 [看护家] 的,拼多多 80 一个机器,京东 18 一个内存卡,它的 APP 广告满天飞,找商家报一下用户名,他们可以找厂家去广告。 就酱,晚安各位。 |
|
51
wanmyj OP @ajaxfunction 终于有个大佬解释清楚了。那其实这种风险是可控呃呃。我之前还以为是公网泄露组播导致的,但想了想逻辑也不通,毕竟组播也过不了运营商的网关。
|
 |
52
datocp 2 天前 via Android
早些年我是用萤石 c4w ,它可以用海康的 ivms4500 ,在使用 vpn 时获得和 lan 不一样的网段,跨网段管理。这也是绝对无隐私风险的方法,网关直接屏蔽。
但是据客服说萤石产品在 2023 年 7 月份和海康做了切割,有些用户是更新了固件导致无法使用 ivms4200 管理。目前虽然能在华为交换机配置 hybrid 进行跨网段发现,反而在使用 softether 配合 android 里的 openvpn 不知道怎么玩了。还是可以用 ivms4500 访问海康录像机上的镜头。访问萤石即便用最新的 ivms4200 也是萤石账户登录,还有 5 分钟访问限制。。。萤石的软件基本要求要在一个网段,hybrid 进行跨网段发现,至少也得让 vpn 桥接到相应网段,平时使用的 softether tun 接口,暂时没去研究有没有可能。也许它的 3 层路由功能加上广播包发现是有可能实现的。 至于海康基本是有线,无线也有价格不低。萤石的基本要求是 vpn 时的 ip 得桥接在局域网内才可能使用萤石的 app 局域网预览功能。 萤石这种公司脑袋有坑的,给用户制造各种麻烦,连同时看镜头数量都要 vip ,它是消费者的爹。要不是多年的习惯,真想把它替换。售后技术支持非常差,得人工直接告诉那啥也不懂的客服让技术打我电话。现在 8 个头,我已经发现在萤石这种破软件里很难使用,更别提将录像备份到异地。对于这种品牌当然是让消费者拒绝购买,让萤石倒闭关门。卖个东西还挑用户想想赚钱,跨 vlan 访问多少年了都故意不做。这样的公司不倒闭,天地难容。。。 |
 |
53
james2013 2 天前 via Android
用智能插座设置摄像头定时开关,自己不在家时间段摄像头通电,在家则关掉,还可以用智能插座临时开关,虽然方案不太灵活,好处是简单
|
 |
54
HackerTerry 1 天前
我国内的家里目前是买的 tplink 监控,开了 onvif 协议连接威联通 nas 的 qvr pro 套件,既可以录像存储到 nas 也可以用它们的 app 看监控,还能远程操控云台旋转。要不是家里人不会用 VPN 回家,我早就像楼上各位大佬一样禁止摄像头连外网了。
话说如果禁止摄像头连外网,不用 tplink 的 app 看监控,这样做是安全的吗?公网上能抓到我监控的 rtsp 流吗? onvif 都是用局域网 ipv4 地址连接的,已经在爱快主路由把摄像头的 ipv6 给 ban 了。 |
 |
55
quu 1 天前
哈哈,咋说呢,按哲学来看只有有公网访问,那就存在被黑的可能性,但是实际上如果你手搓的话,有点过于紧张了,我们把入侵摄像头常见方式一个个列下来:
1.弱口令,最蠢!但是最有效的,大部分摄像头其实都是被弱口令暴力跑出来的; 2.厂商存在“调试后门”,或摄像头组件及云平台漏洞导致通过“网络空间测绘引擎”直接批量搞了; 3.存储介质出现安全问题,泄密,其实这个概率不高; 4.供应链攻击,系统没问题用的组件出安全漏洞导致出问题.... 其实避开这些问题,核心都是网络上能扫到你,IP 测绘的逻辑就是直接访问 IP 爆端口,看返回上面有无状态、根据响应头确认资产是什么,断开摄像头外网访问能力,隐藏资产相对来说确实是最有效的方式。 至于大家一直在提的 ONVIF 协议,“随便”找个支持 ONVIF 的摄像头.... 大华其实就报过 ONVIF 配置不当导致的身份绕过漏洞,在意供应链攻击的话,那你就只能自己从手搓摄像头开始了,哈哈哈。所以核心还是回到“断开摄像头外网访问”这一条上就行了。 |
|
56
wwhc 1 天前
Motion 录像监控配置最低要求是一个基本的 linux 系统和摄像头(例如 usb 摄像头),没有接入网络的要求
|
 |
57
gransh 1 天前
[厂家也是知名厂家,好像还可以通过手机 APP 查看]
你就告诉她,厂家几千人,随便一个员工都有权限看你在家干什么。实际肯定没有几千人有权限,但这也不算污蔑吧 |
 |
58
EchoYang7 1 天前
看了 #5 的教程,准备把家里的 tplink 也转成局域网设备,结果发现小米路由器设置了摄像头禁止联网之后,摄像头仍然可以正常联网。。。。
|
 |
59
chenzw2 1 天前
谁家摄像头放私密的地方
|
 |
60
testver 1 天前
|
 |
61
hjq632233317 1 天前
怕直播的时候可以把摄像头关了或者一般的摄像头应该都有摄像头遮蔽功能开一下遮蔽功能,其余时间就一直录就行了 方便大于隐私吧,你家领导不屑就是因为让你弄的太麻烦了,摄像头在那的时候你就知道那里有监控不会因为习惯了忘了那有个监控,要是有什么敏感的问题,当时自己就想着去关摄像头了 而且被直播问题不是百分之百发生的 明明是极小概率事件 直播的前提也得是你干的东西值得被播 平常的生活谁看
|
 |
62
sicifus 1 天前
看起来 LZ 主要担心外网访问时用厂家 app 不安全的场景对吧?
那就找内网 NAS/homelab 装好 home assistant ,再找一个能兼容 ha 的摄像头就行了, 在外面用 ha app 看。 其他的屏蔽原厂 ip 地址的方法楼上头提到了 |
 |
65
Huelse 1 天前
大多是连云服务或上传云存储后泄漏,加上用的低安全的密码( 123456 )
建议使用 wireguard 、tailscale 等构建私网然后本地访问 |
|
67
datocp 1 天前
隐私这种东西是绝对的。
有条件当然是让监控录像存于本地,无法通过互联网经过第三方服务器访问,vpn 到内网。 其它的什么定时开关之类的都是退而求其次的,没有更好的办法。难道在家里裸奔,想到那里有个摄像头,你是拿件衣服遮一下,还是快速跑过去,还是蹲在沙后后面,还是真的喊一下小爱关闭了电源。。。 另外昨天我在萤石 app 明显看到的是人家发布的厅电视的画面,萤石 app/发现里面那些热门视频明显是监控画面,不知道谁共享的。。。 |
 |
68
magic3584 1 天前
准备等 Apple TV 新品出来,换苹果的摄像头了。
目前只在客厅放了一个,并开了云备份。 孩子小的时候在卧室睡觉,为了看孩子用了另一个在线的。孩子大了以后直接不用了。 |
 |
69
lambdaq 1 天前
1. 禁止摄像头联网
2. 打开摄像头保存到 NAS 的功能 3. 自己通过 NAS 查看视频。缺点是无法实时查看。 4. 可以自己手撸 rstp |
 |
70
lff0305 1 天前
摄像头是自己买的便宜货,拍室外入户门口的。
用路由器禁了摄像头所有外网访问。 在 NAS 上写个脚本,ffmpeg 把摄像头的 rtsp 流保存到本地,定期清空过期的 如果想看实时的就用支持 rtsp 的客户端,试了 win 上的 potplayer 和 android 上的 mxplayer 都可以 |
 |
71
loading 1 天前
其实我觉得问题不大,只要不是对着浴室卫生间,或者床上这些敏感区域,不必大费周章。买个大牌子用就是了。
|
 |
72
simo 1 天前
也计划搞几个摄像头,自己预计的方案:
第一步 用树莓派做,功耗低,ffmpeg 推流到 内网的 srs 服务器,录制到存储服务器。 下一步 用 yolo 做些监控逻辑,message-pusher 做推送 看视频监控,用网页做个监控页面,tailscale 或者 frp 打洞,手机上直接访问查看。 |
 |
73
huaiyin 1 天前
C 端带远程查看的产品,肯定是有除了你之外的第三人可以看到的,但是一般都有权限限制或者读取记录要登记的流程。摄像头所有者想要找服务商调监控历史的话一般都需要有警方文件支持。但是这也是一般,有胆子大的人的话,流程权限什么的也挡不住。
|
 |
74
Autonomous 1 天前
@zhf883680 我在 NAS 上开启了 NTP 协议,让摄像头从 NAS 获取时间,这样就能彻底屏蔽摄像头的外网权限了。
|
 |
76
NoOneNoBody 1 天前 1
|
|
77
wanmyj OP @NoOneNoBody 笑死,你上清华都屈才
|
 |
78
msmmbl 1 天前
hik 曾经出过一个,他的管理 web 页面的一个 API 接口,对 post 还是 put 的数据没做转义,导致可以发送一段 bash 指令并执行。现在的摄像头基本就是一个小型 linux ,于是可以直接修改/etc/下的文件新建一个管理员账户,然后接下来就是随便玩了。一些老的小区、学校,内网扫一下很多摄像头都有。虽然现在的固件更新了,但是很摄像头都是没升级的。
|
 |
79
syx86 1 天前
我的解决方案是:弄几个支持 onvif 协议的摄像头,用群晖管理,路由器上再屏蔽掉这几个摄像头的公网访问权限
|
 |
80
nzbstn 1 天前
@zealotxxxx #22 非苹果用户 有没什么安卓平替方案
刚刚爬楼看到 这个 Scrypted 还不太了解, 正在搜教程 |
 |
81
Emma24 1 天前
本想买个不联网的,那样没法实现实时的了, 不如一样开 VPNban 掉一些公网访问的,或者随时监控访问然后封 IP 就好
|
 |
82
lovelylain 18 小时 56 分钟前 via Android
@balckcloud37 这方法好,对家人没什么影响
|
 |
83
cybort 18 小时 55 分钟前 via Android
你能怎么访问 别人就能怎么访问 摄像头也不认主人
|
|
84
zealotxxxx 18 小时 22 分钟前
@nzbstn 跟一般 NVR 没太大区别,只是说接入 HA 和苹果生态比较方便而已。
|
|
85
balckcloud37 12 小时 28 分钟前
@lovelylain 家人在外面想看的话也需要打洞,需要在他们手机上也装个 vpn
|
 |
86
soar0712 10 小时 58 分钟前
前提条件:有公网 IP (没有的话去营业厅要,不给就说我要携号转网,总能要到的)
局域网有四五个摄像头,萤石、tp 、咸鱼杂牌都有 |
|
87
soar0712 10 小时 54 分钟前
@soar0712 先用自带的 app 配置好,然后通过 rtsp 或者 onvif 协议添加到群晖的 SurveillanceStation 里,然后路由器屏蔽掉摄像头的 ip 外网访问能力,在外直接用 SurveillanceStation 自带的 app 就可以看了。
缺陷 1:摄像头隔三差五需要进行网络对时,不然显示的时间水印会出错,之前问过有人说放行 123 端口的请求就行,我没搞好 缺陷 2: 依赖于 SurveillanceStation 的证书个数,超过的话需要自己想办法 缺陷 3: 安全性依赖群晖账号本身的安全性,我是套了 ssl 证书、开启了两步认证 |
Select Language