+7 (8634) 431-132

Сетевая безопасность для камер наблюдения

Обновлено 20 февраля 2024 - 9 месяцев назад

В последнее время в новостях было много шума по поводу безопасности сети при удаленном мониторинге системы камер безопасности. В новостных сюжетах, которые мы смотрели, зрителей оповещали об уязвимости и информировали всех, кто владеет системой, о необходимости сменить пароли по умолчанию. Хотя пресс-релизы - это хорошо, некоторой информации, похоже, не хватало. Поэтому мы написали эту статью, чтобы добавить больше информации, которая будет полезна любому конечному пользователю системы камер безопасности.

Примеры известных угроз в прошлом

Mirai (Мирай)

Mirai - это вредоносная программа, используемая для заражения IoT-устройств на базе Linux, таких как старые системы камер безопасности. Она сканирует IP-адреса в поисках подходящих целей по всему интернету. Тот, кто по несчастью допустил это, не позаботился о смене имени пользователя и пароля. Эта атака в интернет для удаленного доступа была частью DDoS-атаки на Dyn мощностью 1,2 Тбит/с 21 октября 2016 года. По мнению некоторых исследователей, перезагрузка устройств эффективно останавливает атаку, однако если вы не предпримите необходимые меры предосторожности для защиты старой системы, вы можете снова оказаться под ударом в считанные минуты. Подробнее об атаке можно прочитать на вики-странице Mirai.

Insecam

Существует сайт, который просмотрел десятки тысяч IP-адресов в поисках открытых портов для систем безопасности, подобных вредоносной программе Mirai. Insecam проверяет, открыты ли порты:

  1. Они могут добраться до вашего видеорегистратора, чтобы войти в систему удаленно
  2. Они могут войти в систему, используя имя пользователя и пароль по умолчанию

Как только найден открытый порт, они размещают прямую трансляцию на своем сайте вместе с приблизительными координатами камеры. Более того, вы можете отсортировать их по городам и посмотреть, какие каналы доступны. Вы можете проверить, есть ли ваши камеры на этом сайте, перейдя по этой ссылке и выбрав свой город. Если ваша система не имеет удаленного доступа или вы изменили имя пользователя и пароли по умолчанию, то вас не должно быть в этом списке.

Изменение пароля по умолчанию - для систем, выпущенных до 2017 года

Для DVRs/NVRs с прошивкой после 2017 года нет причин менять пароль. Если прошивка вашего видеорегистратора выпущена до 2017 года, измените пароль пользователя admin на какой-либо специфический для вас. Изменение пароля каждой IP-камеры не требуется, если IP-камеры подключены к внутренним портам PoE NVR, поскольку они защищены NVR. Однако IP-камерам, подключенным к отдельному PoE-коммутатору, может потребоваться обновление прошивки или смена пароля. Изменение пароля на IP-камере - более сложная задача. Для входа в IP-камеру можно воспользоваться нашим руководством "Как получить доступ к камере безопасности PoE с компьютера" в нашем блоге. Настройки пароля учетной записи обычно находятся в разделе System>Accounts или Users веб-интерфейса IP-камеры.

QR-коды и P2P-сервисы

Многие модели IP-камер безопасности, NVR и DVR имеют QR-код, который можно отсканировать для удаленного просмотра камеры или системы. Это удобная функция, которая позволяет быстро просматривать камеры. P2P использует методы обхода брандмауэров и использует одноранговые соединения, поэтому трансляция может осуществляться без переадресации портов. Вы используете приложение для смартфона, чтобы ввести имя пользователя, пароль и идентификатор устройства. Используется удаленный облачный сервер, обычно Amazon Web Services, где регистрируется трафик от тысяч пользователей, а затем сопрягается с соответствующей камерой или регистратором. Способ подключения P2P-сервисов зависит от приложения, и не все P2P-сервисы одинаковы. Ничто не мешает приложению P2P пересылать вашу запись, чтобы ее могли просматривать хакеры. В связи с тем, что P2P не является столь безопасным методом удаленного просмотра камер безопасности, мы не рекомендуем использовать P2P вместо переадресации портов. Даже если вы будете использовать P2P, время передачи данных будет не таким надежным, как при переадресации портов. На форумах есть множество сообщений о недостаточной надежности.

Мы предлагаем услугу проброса портов в виде сеанса сетевой поддержки. Купив сеанс, вы получите полчаса времени для общения с нашими техниками удаленной поддержки, которые смогут удаленно подключиться к вашему компьютеру и помочь с настройкой проброса портов на маршрутизаторе или модеме.

Переадресация портов

Вы можете получить полную функциональность удаленного просмотра с повышенной надежностью и безопасностью, пробросив порты вашего маршрутизатора на DVR и войдя в систему напрямую. Переадресация портов предотвращает необходимость передачи данных на облачные серверы или ставит под угрозу безопасность вашей системы камер. У нас есть обширная база статей, объясняющих, как переадресовывать порты, Обзор переадресации портов и Статьи о переадресации портов. Если у вас есть маршрутизатор, о котором мы не рассказываем, вы можете найти дополнительную информацию о том, как пробросить порты на вашем конкретном маршрутизаторе, на следующем веб-сайте: portforward.com . Использование сетевых портов по умолчанию - еще одна потенциальная уязвимость, которой могут воспользоваться хакеры. В наших системах используются следующие порты по умолчанию:

  • HTTP 80
  • TCP 37777
  • UDP 37778

Чтобы оставаться защищенным, когда ваша система подключена к Интернету, и предотвратить использование черного хода, вы можете изменить порты по умолчанию на пользовательские. По сути, вы можете использовать любой открытый порт, но вот несколько примеров:

  • HTTP 45880
  • TCP 45777
  • UDP 45778
ports before after w remarks_b_

Каждый маршрутизатор отличается от другого, но принцип работы всегда один и тот же.

  1. Войдите в маршрутизатор, используя учетную запись администратора
  2. Найдите настройки переадресации портов. Обычно они находятся в настройках "Брандмауэр" или "Дополнительно".
  3. Создайте новое правило для каждого порта:
    • HTTP 45880
    • TCP 45777
  4. Проверьте, открыты ли ваши порты, посетив раздел GRC Port Scan и выполнив пользовательское зондирование портов.
  5. Сохраните файл конфигурации на случай, если ваши настройки будут заданы по умолчанию

Если ваш маршрутизатор находится в аренде или управляется провайдером, вы можете обратиться в компанию и попросить их помочь с пробросом портов. В большинстве случаев быстрее сделать это самостоятельно.

Удаленный просмотр после смены портов

Для удаленного просмотра системы, если вы изменили порты по умолчанию на пользовательские, необходимо выполнить несколько важных действий. Допустим, вы изменили порты на указанные выше - HTTP 45880, TCP 45777. Независимо от того, просматриваете ли вы свою систему через веб-сервис, SmartPSS или приложение для смартфона, вам нужно будет внести изменения в эти методы удаленного просмотра. Они заключаются в следующем:

Веб-сервис

web service

При просмотре системы через Web Service с помощью браузера Internet Explorer необходимо добавить 45880 в конец IP-адреса DVR или NVR, если просмотр осуществляется в локальной сети. Для DVR/NVR с IP-адресом 192.168.1.108 в браузере необходимо ввести http://192.168.1.108:45880. Для удаленного просмотра используется внешний IP-адрес, за которым следует :45880. Обязательно включите http:// в начало URL-адреса, так как это необходимо для доступа к веб-службе.

SmartPSS

smart_b_pss

При добавлении устройства в Smart PSS программа использует TCP-порт по умолчанию 37777. Необходимо изменить порт, чтобы он отражал обновленный номер TCP-порта, установленный в DVR/NVR, который в данном случае равен 45777.

Приложения для смартфонов

pegaso_b_585

При добавлении записи об устройстве в приложениях телефона порт TCP также устанавливается по умолчанию как 37777. Его необходимо изменить на 45777.

ВНИМАНИЕ!

Ваше имущество находится под защитой! 👍

Это напоминание для владельцев хорошей системы видеонаблюдения!