Comments 19
Наиболее опасно, что встречалось — «китайский регистратор/камера», которая смотрит напрямую в интернет. Но это «классика».
Даже смена паролей не гарантирует ограничение доступа из-за прошитых root`овых или служебных учеток
Даже смена паролей не гарантирует ограничение доступа из-за прошитых root`овых или служебных учеток
UFO just landed and posted this here
все пробросы закройте
оставьте одно подключение c тоннелем по ssh, если кинетик этого не умеет-поднимите что-нибудь внутри сети и оставьте один проброс туда
а просто логгирование вам даст возможность посмотреть «что было», но уже после-того-как.
определитесь с целью, что же в итоге требуется, безопасность или honeypot поиграться
оставьте одно подключение c тоннелем по ssh, если кинетик этого не умеет-поднимите что-нибудь внутри сети и оставьте один проброс туда
а просто логгирование вам даст возможность посмотреть «что было», но уже после-того-как.
определитесь с целью, что же в итоге требуется, безопасность или honeypot поиграться
Отдельный сегмент, проброс в инет только к удаленному регистратору через туннель, все лишнее вырубить, пароли сменить. Исходящие соединения — только на ограниченный список ip, входящие из инета — вообще в пень.
Пора в IP-камеры встраивать поддержку открытых и закрытых ключей для шифрования всего трафика, вот тогда проблем с безопасностью точно не будет (соответственно при установке шифрования и не словарного пароля).
Шифровать поток от камеры. Чудесное решение…
А если у вас в системе 5 сотен камер в HD/FullHD?
А если у вас в системе 5 сотен камер в HD/FullHD?
Всё не так однозначно. Камеры такие есть на рынке уже несколько лет, но массовости не получили по нашим наблюдениям в первую очередь из-за цены на камеру т.к. подобный функционал есть только у именитых брендов. Вторым фактором можно назвать малая приоритетность «безопасности» самой камеры и системы в целом. Единицы интересуются и задаются вопросами безопасности самой системы видеонаблюдения.
Давно встроена у крупных производителей CCTV (Panasonic, Sony, etc.) У Panasonic год в прошивках убран дефолтные логин/пароль (при установке необходимо задавать более-менее сложный пароль ) после наезда на них правительством :)
Шифрование увеличивает поток совсем некритично. Уж всяко меньше, по сравнению с потоком от 4К камер, которых появляется все больше. Апгрейдьте и оптимизируйте каналы, если у вас потоки перестают пролезать. Безопасность важнее.
Шифрование увеличивает поток совсем некритично. Уж всяко меньше, по сравнению с потоком от 4К камер, которых появляется все больше. Апгрейдьте и оптимизируйте каналы, если у вас потоки перестают пролезать. Безопасность важнее.
Большинство IP камер\видеорегистраторов (подавляющее большинство) по умолчанию работают с локальных подсетей (192.168.), если самому их специально не выставлять в интернет, то и доступа к ним не будет.
некоторые люди невероятно тупы
а т.к. людей на планете очень много,
даже небольшой процент на выходе дает нам 27к открытых камер (вот прямо сейчас)
а т.к. людей на планете очень много,
даже небольшой процент на выходе дает нам 27к открытых камер (вот прямо сейчас)
На большинстве современных бытовых камер по умолчанию включен upnp и они склонны выставлять сами себя.
Немного не понял — а чем интегрирование камер защищает их от взлома?
Для начала нужно понимать почему камеры зачастую оказываются в Интернете — необходим удаленный просмотр, который как правило организовывается через p2p производителя камеры. При подключении p2p-камеры к интернету камера автоматически посылает запрос на удаленный сервер (в большинстве случаев China servers), который идентифицирует камеру по её уникальному ID-номеру и позволяет подключаться к камере. Другая часть камер становится доступна через утилиты и CMS программы от производителя камеры, позволяющие находить камеры в Интернете, о чем свидетельствуют многочисленные ролики «взлома» на youtube.com
Если убрать настройки вывода камеры в интернет, прочие сервисы от «производителя» или даже увести сеть камер в обособленную работу от общей сети предприятия, то камеру можно «заставить» работать только локально, но тогда встает вопрос об удобстве работы и контроле видеосистемы. Тут на смену приходит софт, который может работать с камерой по ONVIF или SDK производителя и предоставлять удаленный доступ уже по своим механизмам и степеням защиты. При этом ПО также может поддерживать подключение к видеоданным без сложной настройки, но уже с адаптацией под российского потребителя и с сервисами и серверами на территории России, а не в Китае. В ПО Линия это организовано через сервис TURN.
Простой пример, без интеграции камера подключается по rtsp потоку и ПО при разрыве соединения и его последующем восстановлении будет пытаться сразу запросить поток по rtsp ссылке. Если же камера интегрирована, ПО при восстановлении соединения будет пытаться запросить у камеры её текущие настройки, и параметры, а так же будет запрашивать ссылки на rtsp потоки, а потом уже обращаться за потоком по этим ссылка. И если при опросе камеры она не ответит на эти запросы, то запроса rtsp потока не будет, а пользователь получит уведомление, что камера не подключена.
Сразу хотел бы подчеркнуть, что стоит рассматривать интеграцию как один из компонентов защиты, который в совокупности с остальными будет более эффективен.
Если убрать настройки вывода камеры в интернет, прочие сервисы от «производителя» или даже увести сеть камер в обособленную работу от общей сети предприятия, то камеру можно «заставить» работать только локально, но тогда встает вопрос об удобстве работы и контроле видеосистемы. Тут на смену приходит софт, который может работать с камерой по ONVIF или SDK производителя и предоставлять удаленный доступ уже по своим механизмам и степеням защиты. При этом ПО также может поддерживать подключение к видеоданным без сложной настройки, но уже с адаптацией под российского потребителя и с сервисами и серверами на территории России, а не в Китае. В ПО Линия это организовано через сервис TURN.
Простой пример, без интеграции камера подключается по rtsp потоку и ПО при разрыве соединения и его последующем восстановлении будет пытаться сразу запросить поток по rtsp ссылке. Если же камера интегрирована, ПО при восстановлении соединения будет пытаться запросить у камеры её текущие настройки, и параметры, а так же будет запрашивать ссылки на rtsp потоки, а потом уже обращаться за потоком по этим ссылка. И если при опросе камеры она не ответит на эти запросы, то запроса rtsp потока не будет, а пользователь получит уведомление, что камера не подключена.
Сразу хотел бы подчеркнуть, что стоит рассматривать интеграцию как один из компонентов защиты, который в совокупности с остальными будет более эффективен.
Как бы вы подошли к защите своей сети видеонаблюдения от взлома?
Использовать аналоговые системы)))
Как бы не улыбал данный ответ, но аналоговые системы все еще имеют право на жизнь и могут использоваться как «инструмент» защиты. Более того от некоторых государственных объектов поступали запросы только на аналоговые системы.
Сейчас «второе» дыхание аналоговым камерам дали технологии позволяющие конкурировать в качестве картинки с IP камерами за счет высокого разрешения аналоговых камер вплоть до 5 мегапикселей.
Но функционал IP камер в разы больше от возможностей подключения и отдачи потока до встроенной аналитики в камерах. И как с любой «сложной» вещью необходимо разобраться и настроить систему.
К тому же ситуация может обязывать использовать только IP оборудование и специалистам обслуживающим или ответственным за безопасность все же необходимо знать нюансы отрасли использования IP видеокамер.
Именно по-этому не только обозначаем проблему, но и спрашиваем IT сообщество об опыте защиты.
Сейчас «второе» дыхание аналоговым камерам дали технологии позволяющие конкурировать в качестве картинки с IP камерами за счет высокого разрешения аналоговых камер вплоть до 5 мегапикселей.
Но функционал IP камер в разы больше от возможностей подключения и отдачи потока до встроенной аналитики в камерах. И как с любой «сложной» вещью необходимо разобраться и настроить систему.
К тому же ситуация может обязывать использовать только IP оборудование и специалистам обслуживающим или ответственным за безопасность все же необходимо знать нюансы отрасли использования IP видеокамер.
Именно по-этому не только обозначаем проблему, но и спрашиваем IT сообщество об опыте защиты.
Функционал хороших IP камер сопоставим с функционалом хорошего видеорегистратора для аналоговых камер. Все фишки одинаковые, и выдача RTSP потока, или ONVIF, и удаленный доступ с командным центром от производителя, и веб-админка с настройками в браузере, и много чего ещё очень схожего, что делает аналоговые камеры по сути такими же IP
А можете поподробнее рассказать, как защитить сеть от подключения к проводу вместо камеры?
Вопрос интересный, но очень обширный, можно отдельную статью посветить если рассматривать подробно.
Защищать от «любителей повзламывать» локальную сеть можно начиная от программных возможностей самих ОС серверов (например DHCP-сервер и Active Directory с привязкой по MAC/IP) или спец. софта (Kerio Control и т.д.) и заканчивая программно-аппаратными возможностями сетевого оборудования с разводкой сетей (VLAN, VPN\туннели). Здесь же должна обеспечиваться защита оборудования в физическом плане (закрытые серверные\шкафы).
Для профессионала разбирающегося в вопросах сетей, владеющего сетевыми снифферами и имеющего доступ к общей сети предприятия не составит труда сделать подмену пакетов или «встать» за место какого-то оборудования, можно лишь урезать масштабы проникновения.
Возможно кто-то из сообщества сможет дополнительно рассказать кто как на практике защищал или изучал данный вопрос.
Защищать от «любителей повзламывать» локальную сеть можно начиная от программных возможностей самих ОС серверов (например DHCP-сервер и Active Directory с привязкой по MAC/IP) или спец. софта (Kerio Control и т.д.) и заканчивая программно-аппаратными возможностями сетевого оборудования с разводкой сетей (VLAN, VPN\туннели). Здесь же должна обеспечиваться защита оборудования в физическом плане (закрытые серверные\шкафы).
Для профессионала разбирающегося в вопросах сетей, владеющего сетевыми снифферами и имеющего доступ к общей сети предприятия не составит труда сделать подмену пакетов или «встать» за место какого-то оборудования, можно лишь урезать масштабы проникновения.
Возможно кто-то из сообщества сможет дополнительно рассказать кто как на практике защищал или изучал данный вопрос.
Всё просто — отделяем сеть видеонаблюдения от всего остального. На свитче/роутере настраиваем правила по принципу — пакеты могут ходить только от камеры к NVR и всё — между камерами траффик запрещён и траффик от камер в мир тоже.
У NVR 2 интерфейса. Один смотрит в видеосеть, другой в мир. В этом случае остаётся одно слабое звено — собственно сам NVR. Тут нужно выбирать хорошее, проверенное решение, которое регулярно обновляется. Мы для себя выбрали Synology, но решений сотни. От программно-аппаратных комплексов на базе ПК (типа Milestone и ему подобных) до решений типа QNAP и Synology.
Sign up to leave a comment.
Взлом камер видеонаблюдения на практике