隐私安全：P2P直连访问---家用摄像头安全使用指南

一、网络摄像头安全隐患原因

1、隐私数据不仅自己有

• 使用最多的“移动监控功能”，视频数据基本走设备厂商网络进行存储/转发。隐私数据通过或留存第三方，安全风险巨大

2、隐私数据泄漏

• 系统安全漏洞频发，特别是主打低价的小众厂商，甚至厂家服务器运维管理薄弱，非主观因素泄漏防不胜防

3、用户配置不当

• 小白用户密码简单或使用默认密码，部分摄像头会开启路由器upnp功能，加大暴力破解风险
• 有一定能力用户，为图便利，路由器上做些端口映射或直接映射公网，摄像头基本裸奔在外网

二、解决思路

1、隐私数据自己掌握

• 不用官方提供的云监控、云存储。视频只存储到本地SD卡

2、杜绝泄漏风险（拔卡类的物理泄漏不讨论）

• 摄像头完全局域网化
• 掐断外网直接访问的口子，即便有漏洞或配置不当，“坏人”也进不来

3、解决移动监控问题

• 使用P2P工具进行“内网”--》“内网”的端口映射（不在路由器上映射、不映射到公网）
• 使用官方提供的app 配置局域网摄像头，随时随地安全访问

三、实操指南（以TP-LINK摄像头为例）

1、初始化配置

• 摄像头到货后，第一步需要连接内网wifi，按官方说明进行（或自行操作，重点是联内网）
• 摄像头联网后，首先进行密码修改。
• 如果通过注册用户进行设备绑定的，完成上两步后可解绑摄像头，退出app登录

2、让摄像头彻底变成内网摄像头（可选）

• 路由器中配置摄像头上网时间，这里让它每天只能联网1分钟（家中使用华为路由器，貌似允许上网时间段不能为0），也可以阻断摄像头到厂商域名的网络访问

image.png

3、使用工具进行IPC摄像头端口映射（重点）

a、祭出工具

• 推荐使用SG（github.com/lazy-luo/smarGate），主要做手机私网-->家中局域网的P2P映射

b、具体操作步骤

• 官网下载app（目前只支持android/鸿蒙），注册用户（免费）
• 下载SG服务端配置运行到摄像头所在局域网任何设备上，本例使用树莓派进行安装
• 登录app，可以看到刚才配置好的树莓派节点，配置好摄像头端口（TP-LINK摄像头HTTP默认80端口，视频端口为8800，192.168开头的IP为摄像头内网IP）如图
  

  image.png
  这样SG的配置就完成了，通过SG工具已将内网摄像头的80端口映射到手机8000端口，内网摄像头8800视频端口映射到手机8800端口

4、 配置"TP-LINK物联" app（重要）

• 打开"TP-LINK物联" app，不用登录。找到“我的”->“设备管理”->"局域网设备"->"添加局域网设备"->“手动添加”。如图
  

  image.png

image.png

• 在“手动添加”页面输入咱们刚才映射到手机上的HTTP端口（8000），为了让手机切换网络时不用改这里的配置，我们将IP配置成127.0.0.1 ，另外视频端口没有配置的地方，默认是8800，因此手机映射时必须是8800。配置好后如下图
  

  image.png

四、效果展示

image.png

五、总结&注意

• 摄像头实时数据走P2P直连（4G手机有ipv6，家中宽带可自行桥接开通v6，SG可直接穿透防火墙）
• 摄像头视频只用本地SD卡存储，不外泄
• SG客户端需要设置后台运行权限，且保持运行
• SG客户端看到绿色的颜色条就代表是P2P的
• 举一反三其它局域网的服务都可以通过类似的方式进行安全访问