Комментарии 19
Наиболее опасно, что встречалось — «китайский регистратор/камера», которая смотрит напрямую в интернет. Но это «классика».
Даже смена паролей не гарантирует ограничение доступа из-за прошитых root`овых или служебных учеток
Даже смена паролей не гарантирует ограничение доступа из-за прошитых root`овых или служебных учеток
0
НЛО прилетело и опубликовало эту надпись здесь
все пробросы закройте
оставьте одно подключение c тоннелем по ssh, если кинетик этого не умеет-поднимите что-нибудь внутри сети и оставьте один проброс туда
а просто логгирование вам даст возможность посмотреть «что было», но уже после-того-как.
определитесь с целью, что же в итоге требуется, безопасность или honeypot поиграться
оставьте одно подключение c тоннелем по ssh, если кинетик этого не умеет-поднимите что-нибудь внутри сети и оставьте один проброс туда
а просто логгирование вам даст возможность посмотреть «что было», но уже после-того-как.
определитесь с целью, что же в итоге требуется, безопасность или honeypot поиграться
0
Отдельный сегмент, проброс в инет только к удаленному регистратору через туннель, все лишнее вырубить, пароли сменить. Исходящие соединения — только на ограниченный список ip, входящие из инета — вообще в пень.
0
Пора в IP-камеры встраивать поддержку открытых и закрытых ключей для шифрования всего трафика, вот тогда проблем с безопасностью точно не будет (соответственно при установке шифрования и не словарного пароля).
0
Шифровать поток от камеры. Чудесное решение…
А если у вас в системе 5 сотен камер в HD/FullHD?
А если у вас в системе 5 сотен камер в HD/FullHD?
0
Всё не так однозначно. Камеры такие есть на рынке уже несколько лет, но массовости не получили по нашим наблюдениям в первую очередь из-за цены на камеру т.к. подобный функционал есть только у именитых брендов. Вторым фактором можно назвать малая приоритетность «безопасности» самой камеры и системы в целом. Единицы интересуются и задаются вопросами безопасности самой системы видеонаблюдения.
0
Давно встроена у крупных производителей CCTV (Panasonic, Sony, etc.) У Panasonic год в прошивках убран дефолтные логин/пароль (при установке необходимо задавать более-менее сложный пароль ) после наезда на них правительством :)
Шифрование увеличивает поток совсем некритично. Уж всяко меньше, по сравнению с потоком от 4К камер, которых появляется все больше. Апгрейдьте и оптимизируйте каналы, если у вас потоки перестают пролезать. Безопасность важнее.
Шифрование увеличивает поток совсем некритично. Уж всяко меньше, по сравнению с потоком от 4К камер, которых появляется все больше. Апгрейдьте и оптимизируйте каналы, если у вас потоки перестают пролезать. Безопасность важнее.
0
Большинство IP камер\видеорегистраторов (подавляющее большинство) по умолчанию работают с локальных подсетей (192.168.), если самому их специально не выставлять в интернет, то и доступа к ним не будет.
0
Немного не понял — а чем интегрирование камер защищает их от взлома?
0
Для начала нужно понимать почему камеры зачастую оказываются в Интернете — необходим удаленный просмотр, который как правило организовывается через p2p производителя камеры. При подключении p2p-камеры к интернету камера автоматически посылает запрос на удаленный сервер (в большинстве случаев China servers), который идентифицирует камеру по её уникальному ID-номеру и позволяет подключаться к камере. Другая часть камер становится доступна через утилиты и CMS программы от производителя камеры, позволяющие находить камеры в Интернете, о чем свидетельствуют многочисленные ролики «взлома» на youtube.com
Если убрать настройки вывода камеры в интернет, прочие сервисы от «производителя» или даже увести сеть камер в обособленную работу от общей сети предприятия, то камеру можно «заставить» работать только локально, но тогда встает вопрос об удобстве работы и контроле видеосистемы. Тут на смену приходит софт, который может работать с камерой по ONVIF или SDK производителя и предоставлять удаленный доступ уже по своим механизмам и степеням защиты. При этом ПО также может поддерживать подключение к видеоданным без сложной настройки, но уже с адаптацией под российского потребителя и с сервисами и серверами на территории России, а не в Китае. В ПО Линия это организовано через сервис TURN.
Простой пример, без интеграции камера подключается по rtsp потоку и ПО при разрыве соединения и его последующем восстановлении будет пытаться сразу запросить поток по rtsp ссылке. Если же камера интегрирована, ПО при восстановлении соединения будет пытаться запросить у камеры её текущие настройки, и параметры, а так же будет запрашивать ссылки на rtsp потоки, а потом уже обращаться за потоком по этим ссылка. И если при опросе камеры она не ответит на эти запросы, то запроса rtsp потока не будет, а пользователь получит уведомление, что камера не подключена.
Сразу хотел бы подчеркнуть, что стоит рассматривать интеграцию как один из компонентов защиты, который в совокупности с остальными будет более эффективен.
Если убрать настройки вывода камеры в интернет, прочие сервисы от «производителя» или даже увести сеть камер в обособленную работу от общей сети предприятия, то камеру можно «заставить» работать только локально, но тогда встает вопрос об удобстве работы и контроле видеосистемы. Тут на смену приходит софт, который может работать с камерой по ONVIF или SDK производителя и предоставлять удаленный доступ уже по своим механизмам и степеням защиты. При этом ПО также может поддерживать подключение к видеоданным без сложной настройки, но уже с адаптацией под российского потребителя и с сервисами и серверами на территории России, а не в Китае. В ПО Линия это организовано через сервис TURN.
Простой пример, без интеграции камера подключается по rtsp потоку и ПО при разрыве соединения и его последующем восстановлении будет пытаться сразу запросить поток по rtsp ссылке. Если же камера интегрирована, ПО при восстановлении соединения будет пытаться запросить у камеры её текущие настройки, и параметры, а так же будет запрашивать ссылки на rtsp потоки, а потом уже обращаться за потоком по этим ссылка. И если при опросе камеры она не ответит на эти запросы, то запроса rtsp потока не будет, а пользователь получит уведомление, что камера не подключена.
Сразу хотел бы подчеркнуть, что стоит рассматривать интеграцию как один из компонентов защиты, который в совокупности с остальными будет более эффективен.
+1
Как бы вы подошли к защите своей сети видеонаблюдения от взлома?
Использовать аналоговые системы)))
0
Как бы не улыбал данный ответ, но аналоговые системы все еще имеют право на жизнь и могут использоваться как «инструмент» защиты. Более того от некоторых государственных объектов поступали запросы только на аналоговые системы.
Сейчас «второе» дыхание аналоговым камерам дали технологии позволяющие конкурировать в качестве картинки с IP камерами за счет высокого разрешения аналоговых камер вплоть до 5 мегапикселей.
Но функционал IP камер в разы больше от возможностей подключения и отдачи потока до встроенной аналитики в камерах. И как с любой «сложной» вещью необходимо разобраться и настроить систему.
К тому же ситуация может обязывать использовать только IP оборудование и специалистам обслуживающим или ответственным за безопасность все же необходимо знать нюансы отрасли использования IP видеокамер.
Именно по-этому не только обозначаем проблему, но и спрашиваем IT сообщество об опыте защиты.
Сейчас «второе» дыхание аналоговым камерам дали технологии позволяющие конкурировать в качестве картинки с IP камерами за счет высокого разрешения аналоговых камер вплоть до 5 мегапикселей.
Но функционал IP камер в разы больше от возможностей подключения и отдачи потока до встроенной аналитики в камерах. И как с любой «сложной» вещью необходимо разобраться и настроить систему.
К тому же ситуация может обязывать использовать только IP оборудование и специалистам обслуживающим или ответственным за безопасность все же необходимо знать нюансы отрасли использования IP видеокамер.
Именно по-этому не только обозначаем проблему, но и спрашиваем IT сообщество об опыте защиты.
+1
Функционал хороших IP камер сопоставим с функционалом хорошего видеорегистратора для аналоговых камер. Все фишки одинаковые, и выдача RTSP потока, или ONVIF, и удаленный доступ с командным центром от производителя, и веб-админка с настройками в браузере, и много чего ещё очень схожего, что делает аналоговые камеры по сути такими же IP
0
А можете поподробнее рассказать, как защитить сеть от подключения к проводу вместо камеры?
0
Вопрос интересный, но очень обширный, можно отдельную статью посветить если рассматривать подробно.
Защищать от «любителей повзламывать» локальную сеть можно начиная от программных возможностей самих ОС серверов (например DHCP-сервер и Active Directory с привязкой по MAC/IP) или спец. софта (Kerio Control и т.д.) и заканчивая программно-аппаратными возможностями сетевого оборудования с разводкой сетей (VLAN, VPN\туннели). Здесь же должна обеспечиваться защита оборудования в физическом плане (закрытые серверные\шкафы).
Для профессионала разбирающегося в вопросах сетей, владеющего сетевыми снифферами и имеющего доступ к общей сети предприятия не составит труда сделать подмену пакетов или «встать» за место какого-то оборудования, можно лишь урезать масштабы проникновения.
Возможно кто-то из сообщества сможет дополнительно рассказать кто как на практике защищал или изучал данный вопрос.
Защищать от «любителей повзламывать» локальную сеть можно начиная от программных возможностей самих ОС серверов (например DHCP-сервер и Active Directory с привязкой по MAC/IP) или спец. софта (Kerio Control и т.д.) и заканчивая программно-аппаратными возможностями сетевого оборудования с разводкой сетей (VLAN, VPN\туннели). Здесь же должна обеспечиваться защита оборудования в физическом плане (закрытые серверные\шкафы).
Для профессионала разбирающегося в вопросах сетей, владеющего сетевыми снифферами и имеющего доступ к общей сети предприятия не составит труда сделать подмену пакетов или «встать» за место какого-то оборудования, можно лишь урезать масштабы проникновения.
Возможно кто-то из сообщества сможет дополнительно рассказать кто как на практике защищал или изучал данный вопрос.
0
Всё просто — отделяем сеть видеонаблюдения от всего остального. На свитче/роутере настраиваем правила по принципу — пакеты могут ходить только от камеры к NVR и всё — между камерами траффик запрещён и траффик от камер в мир тоже.
У NVR 2 интерфейса. Один смотрит в видеосеть, другой в мир. В этом случае остаётся одно слабое звено — собственно сам NVR. Тут нужно выбирать хорошее, проверенное решение, которое регулярно обновляется. Мы для себя выбрали Synology, но решений сотни. От программно-аппаратных комплексов на базе ПК (типа Milestone и ему подобных) до решений типа QNAP и Synology.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Взлом камер видеонаблюдения на практике