Auteur Sujet: Caméra IP bavardes  (Lu 616 fois)

0 Membres et 1 Invité sur ce sujet

doctorrock

  • Client Orange Fibre
  • *
  • Messages: 181
  • Courbevoie 92
Caméra IP bavardes
« le: 11 septembre 2018 à 17:37:20 »
Hello.

Juste un petit point concernant une caméra IP que j'ai achetée il y a peu. (ieGeek Sricam)
La plupart des caméras IP permettent d'être accédées via une applicatiion sur smartphone ; et ce; depuis l'extérieur (de l'autre coté de la NAT et du FW).
Donc ya pas 30 mille possibilités pour faire ça sans intervention humaine : la caméra fait du NAT Hole Punching.

La caméra va d'elle même se connecter sur des endpoints (en ce qui me concerne, un endpoint en Chine (AS45102)) et ces endpoints vont faire relai des commandes pour établir la connexion directe avec le smartphone (ça ressemble a du STUN mais ça ne suit pas le protocole).

Conclusion, sans même analyser si le traffic est chiffré ou pas : le provider à l'autre bout du endpoint peut accéder sans aucun problème à la caméra, et ce, firewall/NAT ou pas  (c'est le principe du Hole Punching).
Aussi, cette caméra essaye de résoudre des noms, et utilise 8.8.8.8 comme résolveur, sans moyen de le changer ...  C'est pas top du tout je trouve.


En conclusion : si vous tenez à votre vie privée, je vous conseille de firewaller comme il faut le traffic sortant de la caméra (en gros, de tout DROPer), et de n'autoriser de l'entrant qu'à partir de sources sures, comme par exemple un VPN.
On perd alors souvent la connexion via le logiciel dédié (l'appli smartphone), mais si vous avez été malin, vous avez acheté une caméra compatible ONVIF, et vous avez son URL d'accès direct.
Donc un coup de VLC, et vous voila totalement safe, chez vous , avec aucune opportunité pour personne d'autre que vous, de regarder l'image de votre propre caméra ;-)

Zeda

  • Client Orange vdsl
  • *
  • Messages: 86
  • Toulouse (31)
Caméra IP bavardes
« Réponse #1 le: 13 septembre 2018 à 11:32:02 »
Sans vouloir dénigrer ta "découverte", il n'est pas possible d'initier une connexion de l'extérieur derrière un NAT (à moins de disposer des règles de NAT/PAT correspondantes, ce qui n'est pas le cas ici).

L'initiation de la connexion est forcèment réalisée par l'objet connecté au LAN de l'utilisateur. Donc, toutes les applications en lien avec les objets connectés passent par un intermédiaire avec lequel tous les objets de la marque discutent (généralement une infrastructure de la marque). Et c'est cet intermédiaire qui est sollicité par l'application du smartphone.
Et parfois, pour éviter les blocages tiers, certains configurent des serveurs DNS en dur par exemple (au lieu de récupérer celui du DHCP).

J'ai l'exemple avec une caméra IP Somfy chez moi. J'ai capturé son trafic, et j'ai observé tout simplement qu'elle discute avec des serveurs Somfy en permanence (chiffré) pour, je suppose, les questions d'authentification et compagnie. Et lorsque je l'allume, on voit un nouveau flux chiffré à destination d'un serveur Somfy. Pas de flux directs entre ma caméra et mon smartphone donc.

Tu retrouves ce phénomène avec les caméras IP, mais aussi avec tous les objets connectés auxquels tu accèdes via une application sur le smartphone (robots aspirateurs, etc.).

doctorrock

  • Client Orange Fibre
  • *
  • Messages: 181
  • Courbevoie 92
Caméra IP bavardes
« Réponse #2 le: 13 septembre 2018 à 11:40:16 »
Ouaip , et c'est pas normal ; au moins que ce ne soit pas clairement indiqué.

En ouvrant une connexion VPN vers mon infra, je rentre, et j'accède à mes IOTs sans avoir besoin d'un tiers de confiance.

Bon c'est sur, c'est technique, et c'est pas pour madame michu qui veut que tout fonctionne sans rien toucher (et rien comprendre).
Sauf que ses datas, à madame michu, elles passent en partie par une infra tier, qui elle-même a un accès à l'IOT en question des chez madame michu, qu'elle le veuille ou non.

Non merci pour moi  , je reste sur ma solution : j'accède à mon IOT depuis l'exterieur en entrant par VPN ou par IPSEC. De cette manière, l'IOT ne commique pas avec l'exterieur (je DROP tout son traffic), et ma connexion à l'IOT depuis l'exterieur est entièrement chiffrée par mes soins ^_^

Flo_77

  • Client Orange Fibre
  • *
  • Messages: 143
  • Meaux (77)
Caméra IP bavardes
« Réponse #3 le: 13 septembre 2018 à 22:27:47 »
C'est comme tous les services grand-public, il y a toujours besoin d'une partie tierce pour faire communiquer indirectement deux clients ensemble : TeamViewer, skype (maintenant) etc...

Ou sinon le mieux pour un objet connecté reste de le construire soi-même, si on a du temps devant soi, à base de Raspberry Pi par exemple. On sera gagnant sur le coût et certain de sa fiabilité.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 454
  • Paris (15ème)
    • MilkyWan
Caméra IP bavardes
« Réponse #4 le: 13 septembre 2018 à 22:29:05 »
Ouais alors faire tourner une stack debian, a maintenir, etc etc... Pour une caméra, quand il y'a des produits déjà fait avec un OS embarqué minimaliste et les bons protocoles, c'est pas vraiment efficient. Vaut mieux trouver une bonne caméra :p

Flo_77

  • Client Orange Fibre
  • *
  • Messages: 143
  • Meaux (77)
Caméra IP bavardes
« Réponse #5 le: 13 septembre 2018 à 22:35:47 »
Oui c'est rapidement une usine à gaz. M'enfin un Archlinux minimaliste c'est pas mal (si on a le courage de faire l'install et la conf à la main)  ;D

doctorrock

  • Client Orange Fibre
  • *
  • Messages: 181
  • Courbevoie 92
Caméra IP bavardes
« Réponse #6 le: 13 septembre 2018 à 23:03:00 »
DIY , yeah ^^

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 454
  • Paris (15ème)
    • MilkyWan
Caméra IP bavardes
« Réponse #7 le: 13 septembre 2018 à 23:12:13 »
On est en train de refaire le système de vidéosurveillance du DC là, ben je préfère acheter 10 caméras chinoises sur Amazon que de bricoler 10 RPis qui auront chacun besoin de MAJs, etc etc..

Le temps homme, c'est de l'argent !

Flo_77

  • Client Orange Fibre
  • *
  • Messages: 143
  • Meaux (77)
Caméra IP bavardes
« Réponse #8 le: 13 septembre 2018 à 23:32:59 »
On est en train de refaire le système de vidéosurveillance du DC là, ben je préfère acheter 10 caméras chinoises sur Amazon que de bricoler 10 RPis qui auront chacun besoin de MAJs, etc etc..

Le temps homme, c'est de l'argent !
:) Tout à fait
Le DIY ça reste intéressant pour des besoins perso, mais effectivement le coût du temps passé à la fabrication et à la résolution de petits soucis, c'est couteux en prod

 

Mobile View