防犯カメラ録画機DVRのネットワーク設定について (インターネット接続しての遠隔監視)

DVRやNVRと言われる防犯カメラ録画機やIPカメラは
インターネットに接続して遠隔監視ができるものが多数販売されております。

弊社でも

顔認識ができるDVR(IPカメラとアナログカメラ両対応なので正しくはNVR)、

IPカメラ(PTZタイプや固定型タイプ)

を販売しており、これらはインターネットに接続して遠隔監視が可能です。

↓顔検出機能付DVR

↓IPカメラ

さて、これらで気を付けなければいけないのが、セキュリティです。

下記のNHKスペシャルでも放送されていましたが、家庭用防犯カメラ録画機(DVR)が乗っ取られて、

サイバー攻撃に加担していたという事が実際に起きています。

2017年にIoT機器を大量に乗っ取った「MIRAI」事件が有名ですね。

NHKスペシャル

あなたの家電が狙われている
~インターネットの新たな脅威~

2017年11月26日(日) 
午後9時00分~9時49分

http://www6.nhk.or.jp/special/detail/index.html?aid=20171126

 

まず、必ずルーターを設置⇒設定するようにしましょう。

DVRやIPカメラをダイレクトにモデムに繋ぎインターネット上にさらすことをしてはいけません。

もしくはルーターのDMZ設定で事実上インターネットに直接さらすような事は避けましょう。

 

インターネット経由での遠隔監視の設定手順

1.  インターネットから防犯カメラにアクセスできるようにルーターにポート開放設定(ポートフォワーディング)を行う

※家庭用ブロードバンドルーターを使用する事を前提にしています。企業向けルーターにはセキュリティ上好ましくないためポートフォワード機能が無い場合があります。

2. 開放するポート(例:7000番ポート)を開ける

※必要のないポートを開けないようにしましょう。必要のないポートは全て閉じられているか確認しましょう。

 

3. 開放した7000番ポート⇒LAN内の防犯カメラIPアドレス及び映像用ポート宛のポートフォワーディング設定

をルーターに行う

WAN側:ポート番号7000 ⇒ LAN側:192.168.0.123(IPアドレス):9000(ポート番号)

というような感じです。

これは、例えばDDNSサービス企業からドメイン名を取得していたと仮定して、

そのアドレスがipcamera.no-ip.comとすると、ブラウザアクセスする際には下記になります。

http://ipcamera.no-ip.com:7000

:7000というように書いてルーターのWAN側ポート番号を指定します。

そうするとルーターは、

ポート番号7000 ⇒ LAN側:192.168.0.123(IPアドレス):9000(ポート番号)

へと転送します。

 

5. スマホアプリ用のポートフォワーディング設定を行う(必要がある場合のみ)

DVRによってはスマホアプリで遠隔監視する場合に、別のポートにアクセスする必要がある場合があります。

例えばスマホアプリ向けに

DVR(もしくはIPカメラ):192.168.0.123(IPアドレス):5000(ポート番号)

にアクセスする必要がある場合、ルーターに下記ポートフォワーディング設定を追加します。

ポート番号5000 ⇒ LAN側:192.168.0.123(IPアドレス):5000(ポート番号)

※さきほどのポート番号7000と同じでWAN側の開放ポート番号は何でもいいです。

 

ルーターは全てのポートを閉じている状態が最も安全です。

ですので、今回のようにポートを開放するという事はセキュリティに穴を空ける事になります。

なので、明けたポート経由で防犯カメラが乗っ取られてしまった場合、

同じLANに接続するサーバーやコンピューターにアクセスし、データを外部に流すことも可能になります。

また、MIRAIのように踏み台として使われ、勝手に外部サーバーに大量のアクセスを行うことも可能になります。

 

このようなリスクをどのように防ぐか?

安上がりな家庭用ブロードバンドルーターでも対応できるのか?

簡単な対応方法に下記3点を例に挙げておきます

 

①ルーターの2重(2個)化

モデム

第1ネットワーク(ルーター1:192.168.1.0)⇒防犯カメラ(192.168.1.1)

第2ネットワーク(ルーター2:WAN側192.168.1.2、LAN側192.168.2.0)⇒その他パソコン達(192.168.2.1)

というような二つのネットワーク構成にすれば、防犯カメラから第2ネットワークにはアクセスできないので、

第2ネットワークのパソコン達にももちろんアクセスできません。

これで、防犯カメラが乗っ取られても、LAN内のサーバーやPCへ被害が出ることは防げます。

ですが、ネットワーク内部から外部へのアクセス(アウトバウンド)を禁止しているわけではないため、MIRAIのように踏み台として使われる事を防ぐ事はできません。

 

企業でネットアクセス可能なDVRやIPカメラを利用する場合で、

家庭用ブロードバンドルーターを使用する場合には、上記のような2重ルーター設定にする事をお勧めします。

ただし、二重にすることで内部ネットワーク速度が遅くなるので、その点はご注意ください。

 

②指定したIPアドレス以外からのアクセスは拒否する「アクセス制限をかける」

これは、文字通り登録したIPアドレスからのアクセスはDVR側が全て拒否する、もしくはルーターが拒否するというもの。

しかし、これを行うには固定IPアドレスを取得する必要があります。

1ヶ月1000円程度の利用料で取得できますので、企業利用であれば

監視カメラ以外の用途でも固定IPアドレスを取得することがあるかと思うので

利用しやすいかもしれませんね。

ちなみに弊社で販売している顔認識機能付DVRには

IPアドレスによるアクセス制限をする機能がついているので

簡単にIPアドレスアクセス制限の実現が可能です!

※メインメニュー⇒ネットワーク⇒NetApply⇒IP設定⇒アクセスを許可するIPアドレスを登録(複数可能)

 

IPカメラ等を使う場合にはルーターの設定をしっかり行うようにしましょう。

プラグ&プレイ(UPnP)でのワンタッチ接続などは極力使わないようにし、DDNS等を使うようにしましょう。

※UPnPは自動でポート開放することになります。

 

③マルチセッションでネットワークを分ける

NTT東(西)のフレッツのサービスにある、

「1回線で2セッションの接続先を設定できるマルチセッション」

を利用する。これは1回線で2セッション、つまり2つのプロバイダに同時にPPPoE接続が可能です。

なので、防犯カメラ用のセッション、通常利用するパソコン用のセッションと分ける事が可能です。

ただ、この場合は2つのプロバイダ料金を払わなければなりません。

 

このようネットワークカメラは便利な反面、必ずセキュリティの問題が付いて回ります。

これは、どこの製品であってもインターネットに接続する以上しょうがない問題になります。

これを理解して、安全にネットワークカメラの運用をしていきましょう。

PoE 48Vスプリッター増産しました

IEEE802.3af PoE スプリッター が完売となったため、増産いたしました。

本品はPoE規格である48V入力から12V 出力に変換することができるため、PoE非対応IPカメラをPoE化することが可能です。

なので、通常のIPカメラに本品のDCケーブルとLAN(RJ45)を接続してもらうだけでOK.

PCBができて、最後の組立の風景はこのような感じです。

外見(筐体)が同じで、中身が全く違うものが多数存在していますので、

他社のものを買う場合には中身のPCBを確認してください。

安物のコピー品にはPDチップが入ってなかったり、干渉防止のための隔離設計などがされていなかったりします。

PoEに使用するLANケーブルの規格について

PoE関連商品を販売していますが、少しづつ一般の方にも浸透してきたためか誤解されている人が増えてきたので簡単に説明します。

PoE(Power over Ethernet)給電機能 :イーサネットで使用するツイストペアケーブル(UTP)を利用して、 PoE対応機器(ネットワークカメラ、IP電話、無線アクセスポイント等)に電力を供給できる機能

 

要するにLANケーブル1本で「通信」と「電気」も一緒に送る

と言うことです。

で、誤解に多いのが

どんなLANケーブルでもOK

ではないという事。

よく、注意書きに

「Cat5e以上の規格でご利用ください」

と書かれているものがあるかと思いますが、これは

「通信規格」

であって、PoEの目玉である

「電力を送る」

という点について言及したものではありません。

なので、PoE対応防犯カメラなどで、

1. 夜間に動かなかった!

2. PTZカメラが動かなかった!

というのは電力不足によるものです。

電気を供給するPoEルーターの出力がしっかり出ているのものであれば、

ケーブルによる電力損失が大きな原因であることがほとんどです。

それは、そのはずでLANケーブルはそもそも通信ケーブルなので、電力を送る用途を想定して作られていません。(PoE対応LANケーブル除く)

上記1、2の原因は下記が考えられます。

1. 夜間に動かなかった!→赤外線LEDが多数搭載された機種の場合、夜間に最も消費電力が大きくなるため

2. PTZカメラが動かなかった!→PTZカメラはモーターを2個以上内臓しているため消費電力が1A〜3A程度と大幅に大きくなります。

 

これに対処するには下記LANケーブルの規格のものを使用しましょう

単線タイプ →より線タイプは電流が流れにくいため使用しないこと

24AWG以下 →表記があれば24AWG以下のものを使用する。AWGは26→24→22と値が低いほど線が太く大きな電流を流せるため、フラットケーブルは使用しない、またできるだけ途中で変換アダプタや中継アダプタを使用しない(抵抗になるため)

長さ →長いほど電圧降下が起き、かつ大きな電流を流しにくい。そのため50M以上などの長距離をつなぐ場合には、設置前にカメラとLANケーブル、PoEルータを繋いでの動作テストをすること

 

ざっと、こんな感じですがPoEの電力部分についてよく理解して

トラブルの際には、機械や商品を疑う前に、自分の知識が正しいか?

から疑ってみて、正しい使い方をしよう!