Данный сайт является проектом ООО "Амакс". Сегодня: Воскресенье, 04.12.2016, 09:02

Приветствую Вас Гость

Loading
[ Новые сообщения · Участники · Правила форума · RSS · ?
Loading
Страница 1 из 11
Неофициальный форум технической поддержки Hikvision » Оборудование и программное обеспечение Hikvision » IP (сетевые) камеры Hikvision (в том числе IP PTZ) » Защита камеры DS-2CD2532F-IWS (от подбора пароля.)
Защита камеры DS-2CD2532F-IWS
BurgerДата: Четверг, 05.11.2015, 15:21 | Сообщение # 1
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
Камера DS-2CD2532F-IWS (V5.2.0 build 140721). При попытке нелегального доступа отправляет уведомление на e-mail "IP CAMERA: Illegal Access" и пишет в журнал например: 
События     Неверный Логин      192.168.0.2 

В настройках безопасности включен фильтр IP адресов. 
Тип фильтра IP адресов - запрещен.
Адрес 192.168.0.2 внесен в этот список. Но с него продолжаются попытки входа.
Может где-то еще что-то нужно донастроить?
 
dingapetruДата: Четверг, 05.11.2015, 15:30 | Сообщение # 2
Группа: Проверенные
Сообщений: 8
Репутация: 0
Статус: Offline
Тип фильтра IP адресов  nado razreshiti
 
BurgerДата: Четверг, 05.11.2015, 15:34 | Сообщение # 3
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
Цитата dingapetru ()
Тип фильтра IP адресов  nado razreshiti
На сколько я понимаю "Тип фильтра IP адресов" обозначает действие фильтра: на запрет этих адресов или наоборот допускать только эти IP адреса.
Мне нужен список для запрета адресов. Поэтому "Тип фильтра IP адресов" - запрещено.
 
AlexandrДата: Четверг, 05.11.2015, 16:06 | Сообщение # 4
Группа: Администраторы
Сообщений: 5311
Репутация: 109
Статус: Offline
а что смущает то ? что в логе пишет "Неверный Логин" а не "запрещённый IP" ?
 
BurgerДата: Четверг, 05.11.2015, 16:10 | Сообщение # 5
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
Цитата Alexandr ()
а что смущает то ?
Смущает то, что по логике работы подобных фильтров, если указан IP в разделе запрещенных, то вообще не должно давать возможность авторизации с этого IP адреса. Т.е. при попытке входа с этого IP должна выдваться что-то типа инфы о запрете или вообще не давать поля ввода логина.
 
yuaa2Дата: Пятница, 06.11.2015, 09:21 | Сообщение # 6
Группа: Проверенные
Сообщений: 329
Репутация: 12
Статус: Offline
до 5.3.0 обновитесь, там безопасность усилили, при подборке паролей будет блокировать айпишник на пол часа

Нижний Новгород
 
BurgerДата: Пятница, 06.11.2015, 11:08 | Сообщение # 7
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
не поделитесь ссылкой на 5.3.0 для 2532?

Добавлено (06.11.2015, 11:08)
---------------------------------------------
есть на фтп версия 5.3.3
IPC_R0_EN_STD_5.3.3_150929.zip
это оно?

 
vladДата: Пятница, 06.11.2015, 11:45 | Сообщение # 8
Группа: Администраторы
Сообщений: 413
Репутация: 14
Статус: Offline
type Raptor 2xx2 V5.3.0 build 150513 - скачать отсюда

Русский человек начинает читать инструкцию только когда понимает: "Всё - сломал"
 
AlexandrДата: Пятница, 06.11.2015, 13:23 | Сообщение # 9
Группа: Администраторы
Сообщений: 5311
Репутация: 109
Статус: Offline
на V5.3.0 build 150513 даже пинг с запрещённого IP блокирует.
 
BurgerДата: Пятница, 06.11.2015, 16:43 | Сообщение # 10
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
Цитата Alexandr ()
даже пинг с запрещённого IP блокирует

Мобильный телефон подключен через wifi и получен ip например 7.7.7.89 (пример).
Установлено мобильное приложение iVMS-4500. Камера в другой сети через роутер доступна из интернета.
Намеренно с десяток раз ввожу не правильный пароль в iVMS-4500.
Получаю письма "IP CAMERA: Illegal Login", а в журнале камеры вижу записи "События Неверный Логин 7.7.7.89".
Вношу IP адрес 7.7.7.89 в фильтр IP адресов. И без проблем соединяюсь с того же IP адреса с мобильного, указав правильный пароль. Т.е. не блокируется IP адрес получается :(
Прошивку установил 5.3.0 150513. Сделал сброс установок (без изменения IP). Прописал вручную все настройки опять.
Перезагрузил после добавления IP адресов для блокировки.
Результат тот же - с заблокированного адреса возможно подсоединиться для подбора пароля, пусть и с паузой в 20 минут.

Alexandr, а Вы как тестировали, что у Вас заблокировался даже пинг?

Добавлено (06.11.2015, 16:43)
---------------------------------------------
Я понял в чем косяк. Блокировка происходит только по внешнему IP адресу (провайдера), а фиксируется событие по внутреннему локальному адресу. Поэтому если зафиксировалось, что попытка подбора пароля была с адреса 192.168.0.2, то прописывать блокировку именно 192.168.0.2 бесполезно. Нужно блокировать внешний IP подсети откуда прилетает 192.168.0.2. А такую инфу журнал не выдает sad

 
AlexandrДата: Понедельник, 09.11.2015, 13:04 | Сообщение # 11
Группа: Администраторы
Сообщений: 5311
Репутация: 109
Статус: Offline
я в локалке сначала проверял, там всё ровно работает насчёт внешки - это уже как роутер транслирует адреса, если подменяет внешние на свой - так и будет. аналогично с провайдером может быть кстати. вот ещё до кучи - подключения через ezviz вообще не логируются. журнал пуст.
 
BurgerДата: Вторник, 10.11.2015, 10:38 | Сообщение # 12
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
Цитата Alexandr ()
это уже как роутер транслирует адреса, если подменяет внешние на свой
По логике, если камера определяет ip адрес клиента и пишет в лог этот адрес, то и фильтры должны использовать этот же механизм и отрабатывать блокировку.
А то получается как-то криво. В одном месте мы определяем ip по одной методике,а для фильтрации по другой и никакой взаимосвязи. Т.е. лог (журнал) получается не помогает определить ip адрес для блокировки.
 
AlexandrДата: Вторник, 10.11.2015, 11:52 | Сообщение # 13
Группа: Администраторы
Сообщений: 5311
Репутация: 109
Статус: Offline
Цитата Burger ()
Нужно блокировать внешний IP подсети откуда прилетает 192.168.0.2. А такую инфу журнал не выдает

а кто сообщает IP ?  192.168.0.2 адрес роутера ?
например за роутером провайдера несколько абонентов будут иметь один адрес, так кого из них фильтровать ? или роутер меняет адреса всех внешних запросов на свой адрес, тут как быть ? а если прокси или тор заблокированный пользователь использует ? и т.д. если уж максимально прикрывать, то мне думается лучше vpn роутером поднять и на него подключаться.
 
BurgerДата: Вторник, 10.11.2015, 12:21 | Сообщение # 14
Группа: Проверенные
Сообщений: 12
Репутация: 0
Статус: Offline
Цитата Alexandr ()
192.168.0.2 адрес роутера ?
нет, это IP адрес именно клиента который считывает камера.
Тогда получается забавная ситуация. Допустим за NAT сидит 100 пользователей и все выходят в интернет с IP адресом провайдера (роутера, шлюза и т.д.). В этом случае есть адрес внешний (реальный IP адрес) и IP адрес компьютера в локальной подсети. 
Вот в моем случае камера показывает только IP в локальной подсети с которого происходит перебор паролей. Но IP фильтр этот адрес не может блокировать, ему нужен именно IP адрес внешний. Но этот внешний адрес не фиксируется логом камеры (журналом) и вычислить его без отлавливания например с помощью CommView никак нельзя.
Было бы правильным отображать оба IP адреса в логе. И давать возможность админу просто блокировать всю подсеть злоумышленника.
Про vpn конечно надо подумать, но недоработки явно видны.
А в регистраторе их еще больше:
http://www.hikvision.msk.ru/forum/7-3305-1#20590
 
AlexandrДата: Вторник, 10.11.2015, 13:10 | Сообщение # 15
Группа: Администраторы
Сообщений: 5311
Репутация: 109
Статус: Offline
потому я и спросил - кто сообщает IP адрес ? если роутер сообщает реальный адрес - тогда в логе он и будет, если роутер подставляет свой - будет в журнале адрес роутера. это не от камеры зависит.
 
Неофициальный форум технической поддержки Hikvision » Оборудование и программное обеспечение Hikvision » IP (сетевые) камеры Hikvision (в том числе IP PTZ) » Защита камеры DS-2CD2532F-IWS (от подбора пароля.)
Страница 1 из 11
Поиск: