О безопасности проброса портов для IP камер
|
|
fed180 | Дата: Суббота, 01.02.2020, 23:38 | Сообщение # 1 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Привет. Вопрос про опасность открытие портов на роутередля камер и регистратора. Задумался о безопасности удалённых локальных сетях на даче и у мамы и у друга. Везде стоят роутеры с белыми адресами. Везде проброшены порты из нестандартного набора. Регистраторы в городе пишут удалённые IP камеры. Думаю, имеет ли смысл делать VPN сервер (например L2TP/IPSec) на роутере в городе и VPN клиенты на роутерах удалённо. Регистратор общается с камерами удалённо по сервисному порту. Ну и просто зайти на камеры удалённо по HTTP. Ведь как оказалось, на большинство камер HIK нельзя УДАЛЁННО зайти по HTTPS,хотя настройки в них есть (так уверяют в техподдержки). Да и сам я пробовал. Если в локальной сети, на камере или регистраторе например порты HTTP 46777 RTSP 46778 Сервисный порт 46779 и они проброшены в роутере, т.е. открыть для обращения к камерам. Насколько опасно это для всей локальной сети, и для камеры??? Кроме подбора пороля (после 6 попыток подбора, камера блокируется на 30минут), что ещё могут сделать хакеры. Как они через эти открытые порты попадут в мою локальную сеть, как пугает нас интернет??? И в мои другие локальные IP устройства??? Толком в инете ничего про это не нашёл. Но все пишут, что открытые порты, это очень плохо. Что через них можно зайти в любую точку локальной сети. Но сдаётся мне, что не так всё и плохо, как пишут. Что ответите про страшилки об открытии редкихномеров портов, типа 46ХХХ и им подобных???
Сергей
|
|
|
|
iTuneDVR | Дата: Воскресенье, 02.02.2020, 00:18 | Сообщение # 2 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Или облако ил и VPN. Остальные порты найдут и нет гарантий что нет иных уязвимостей.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
fed180 | Дата: Воскресенье, 02.02.2020, 01:34 | Сообщение # 3 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Цитата iTuneDVR ( ) Или облако ил и VPN.Остальные порты найдут и нет гарантий что нет иных уязвимостей. Ну найдут. И что сделают через эти порты, а главное КАК? Так все пишут в интернете. Но никто не написал, как хакеры это сделают. Создаётся впечатление, что дальше пароля камеры им не пройти. Ведь так и пишут, типа: зная пароль типа admin\admin, admin\123456 и т.д. А если пароль из 16 знаков, тогда как? Ну открытый порт, ну и что? Какой механизм проникновения через например порт 53345 на камере в локальную сеть??? На компе таких портов открытых полно. Если так рассуждать, то по открытому порту браузера, как по проспекту пройдут хакеры. Да и на вход VPV сервера по этому же принципу, хакеры зайдут запросто, а там и по закрытому тунелю в камеру пройдут. Здаётся мне, что это всё байки про открытый нестандартный порт запросто пройти на ЛВС. Может я и не прав. Поэтому и спрашиваю. Пока не прочитал в инете, КАК ЭТО СДЕЛАТЬ. Но все в один голос пишут, что запросто, чик и всё. А вот как чик, никто не знает. Или я не прочитал. Похоже это пишут те, для кого автомобиль является ТАЧКОЙ, а процессор - камнем, а женщины - тёлками. А облако - это вообще огромная дыра для хакеров.
Ведь ходят байки, что любую сигнализацию машины можно вскрыть быстро. Чушь. На свои машины я делаю самодельные или нестандартные сигналки. И алгоритм их знаю только я. Да и спец выставки давно доказали, что нестандартные защиты авто обойти нельзя, не ракурочив пол машины. А вот дорогие, навороченные сигналки открываются быстро, т.к. все знают, как она работает, и к ней уже есть спец открывашки. Но байки упорно ходит, что ЛЮБУЮ СИГНАЛКУ ОТКРОЕМ. Конечно, на эвакуаторе можно увести любую машину. А проще спросить у владельца ключи и уехать, оставив владельца с кляпом во рту. Но это другая история.Добавлено (02.02.2020, 12:59) ---------------------------------------------
Цитата iTuneDVR ( ) Остальные порты найдут и нет гарантий что нет иных уязвимостей. Разговаривал сегодня со специалистами техподдержки KEENETIC. Они говорят, что по открытому порту могут пройти только на то устройство, на которому пренадлежит этот порт. Т.е. на камеру. А дальше только подбор паролей, что бы войти на камеру. А на ней защита от подбора паролей. Ну как то так. Техподдержка KEENETIC точно лучше меня понимает в портах.
Сергей
|
|
|
|
iTuneDVR | Дата: Воскресенье, 02.02.2020, 13:28 | Сообщение # 4 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Не стоит так кипятится на ровном месте, к тому же спрашивая советов.
Подробным мануалов и объяснений от злоумышленников можно ждать сколько угодно. На этом же форуме есть ветки со скринами, да и практика показывает, что был к сожалению перебор паролей на "свежих" версиях. Отсюда однозначные советы, либо VPN, либо облако. Как относится к облаку - дело каждого, ну а VPN, тут все понятно. Все остальные вопросы связанные с удобством, техническими возможностями и т.п. - это остальные вопросы.
По поводу проникновения в сеть, то получив доступ к устройству, во многих случаях возможно сделать многое. Все зависит от целей, ресурсов, времени.
Аналогия с автомобильными сигнализациями пример хороший, но ставить знак равно не нужно. И даже в случае с автомобилем, в автомобиль не проникнут, а на лобовом оставят послание лопатой или камнем и разве сигналка спасла или видеонаблюдение?
Открытый порт в любом случае повод для DDoS и точка
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
fed180 | Дата: Воскресенье, 02.02.2020, 22:27 | Сообщение # 5 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Цитата iTuneDVR ( ) Не стоит так кипятится на ровном месте, к тому же спрашивая советов. Вы неправильно меня поняли. Я не в коем случае не хотел показать, какой я крутой. Наоборот. Я именно спрашиваю советов, потому , что не знаю ответа. А отвечая Вам, я просто приводил примеры, может не удачные. Просто приводил разные варианты. Извините, если что то не так. Я с удовольствием выслушаю всех, если напишут. Для этого и спрашиваю.
Добавлено (03.02.2020, 00:31) ---------------------------------------------
Цитата iTuneDVR ( ) По поводу проникновения в сеть, то получив доступ к устройству, во многих случаях возможно сделать многое. Все зависит от целей, ресурсов, времени. Я имел в виду слухи в инете. Их столько много, и много ложной информации. Типа начало слуха: Я пошёл в лес Конец слуха: я вышел из леса беременный от медведя. А главное, что найдутся много людей, которые видели, как медведь меня беременел. Разве не так? По этому я и поставил под сомнения про порты, потому, что в инете ничего, кроме страшилок не нашёл. И часто ппопадаются в инете статьи, что не всё так плохо. Хотя некоторые утверждают, что безопасность компа ерунда. Всё равно пролезут и заберут инфу. Закрывайся, или нет. Вот это и есть страшилки. Но если бы так было, тогда на наших банковских картах и счетах давно не было денег. Вот о чём я писал. И хочется, что бы народ высказался техничерким языком, а не языком переписывания ложных статей инета. Кто чего знает про порты, выдайте информацию. Ещё раз извиняюсь, если неправильно высказываюсь.
Сергей
Сообщение отредактировал fed180 - Понедельник, 03.02.2020, 00:33 |
|
|
|
UserM | Дата: Понедельник, 03.02.2020, 10:01 | Сообщение # 6 |
Группа: Проверенные
Сообщений: 1987
Репутация: 122
Статус: Offline
| Цитата fed180 ( ) Они говорят, что по открытому порту могут пройти только на то устройство, на которому пренадлежит этот порт. Т.е. на камеру. А дальше только подбор паролей, что бы войти на камеру. А на ней защита от подбора паролей. Задайте в гугле поиск по словам "HikvisionPasswordResetHelper" или "Hikvision Password Reset Utility" обе утилиты сегодня не актуальны, но где гарантия что подобных утилит нет на темной стороне сети для текущих версий ? Может специалисты KEENETIC могут дать такую гарантию?
Когда у общества нет цветовой дифференциации штанов, то нет цели!
Сообщение отредактировал UserM - Понедельник, 03.02.2020, 10:04 |
|
|
|
iTuneDVR | Дата: Понедельник, 03.02.2020, 12:53 | Сообщение # 7 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата fed180 ( ) Вы неправильно меня поняли. Я не в коем случае не хотел показать, какой я крутой. Наоборот. Я именно спрашиваю советов, потому , что не знаю ответа. А отвечая Вам, я просто приводил примеры, может не удачные. Просто приводил разные варианты. Извините, если что то не так. Я с удовольствием выслушаю всех, если напишут. Для этого и спрашиваю. Никаких проблем, просто спасение утопающего в его же руках и как правильно пишет UserM, что нет никаких гарантий. Да те утилиты работают по 80,443 порту и оказывают полезный эффект на определенном диапазоне прошивок камер из недавнего прошлого. Однако гарантий никаких и ни в чем.
Что касается страшилок с ПК, то нет гарантии со владелец ОС не имеет умысла сливать данные, а также владельцы софта антивирусного, мессенджеры и т.п. Ты не в вакууме к сожалению и код на все писал не сам, а доверие дело тонкое
Извинятся не нужно, да и не зачем, тут ты никого не обидел. По портам еще раз: любой открытый порт через NAT на твое устройство будет обнаружен, тем более с белым твоим IP и будет подвергнут изучению на предмет проникновения, как в автоматическом, так и в ручном режиме. Слабый расчет лишь на то, что ты маленькая рыбка и никому не интересен, а все остальное ...
Суть в том, что производитель ПО для камер не всегда хорошо вкладывается в свой продукт на все 100% как в плане защищенности, так и в плане функциональности по разным причинам и это дает повод злоумышленникам в эпоху цифровизации осуществлять свой план. При этом производитель такого оборудования могут быть сами злодеями и это надо осознавать в первую очередь.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
sherbinka | Дата: Понедельник, 16.03.2020, 10:42 | Сообщение # 8 |
Группа: Проверенные
Сообщений: 891
Репутация: 15
Статус: Offline
| Тоже стал задумываться о защищённости системы. Про попытки входа на купол в локалке я писал, нет смысла выкладывать скрин с парую страниц неправильного пароля. Убрал шлюз на камере, т.к. в локалке она ещё подключена к регу. Журналы стали девственно чистые. Но на следующий день на реге смотрю в журнале удалённого входа несколько легальных входов с ip лосанжелоса. И это при том, что буквально за день были сменены все пароли на камере, реге и роутере до 20 знаков. Перебора не было, илегал журнал чист. Не хочу грешить на тех. поддержку, которым до этого давал для них созданные пароли для проверки ivms4500 HD, но впечатление, что вместе с переустановленной версией рега занесли в рег какую то бяку. Не было до них в журнале попыток подбора и входа. Стандартные порты поменяны. Сейчас отключил шлюз и на реге, но без него для локалки по ivms4500 не идут сообщения тревоги. Может кто знает, есть ли прога с сигнализацией без использования интернета?
Это для наглядности. Зачем то в настройках копаются, хотя ничего не поменяно.. Локальный адрес входа это от планшета, мой. Нули не знаю, что это? И заметьте, после последнего входа рег завис, пришлось его от сети выключать, некорректное завершение.
DS-2CD2232-I5, DS-2CD2332-I5 ver. 5.3.0 DS-2CD2632F-IS ver.5.3.0 DS-2432F-IW ver.5.3.0 DS-2DF7286-A ver. 5.2.4 DS-7616NI-SE/P ver.3.0.22 iVMS-4200 ver. 3.2.0.10 IVMS-4500 ver. 4.7.7
Сообщение отредактировал sherbinka - Понедельник, 16.03.2020, 10:46 |
|
|
|
avalist | Дата: Понедельник, 16.03.2020, 12:41 | Сообщение # 9 |
Группа: Проверенные
Сообщений: 1084
Репутация: 85
Статус: Offline
| Цитата sherbinka ( ) легальных входов с ip лосанжелоса. нет там никаких адресов с лосанжелеса, данный диапазон сугубо приватный специально выделенный The Internet Engineering Task Force (IETF) has directed the Internet Assigned Numbers Authority (IANA) to reserve the following IPv4 address ranges for private networks: 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 https://en.wikipedia.org/wiki/Private_network или на русском есть поищите. так что смотрите, что у вас в локалке происходит
|
|
|
|
sherbinka | Дата: Понедельник, 16.03.2020, 13:03 | Сообщение # 10 |
Группа: Проверенные
Сообщений: 891
Репутация: 15
Статус: Offline
| avalist, спасибо, успокоился. Если не трудно, для меня и мне подобных объясните в кратце, для чего эти Ip? Почему рег сообщает пароль им для входа? Или киньте ссылку, где почитать поподробнее и на русском. И что за нулевые ip?
DS-2CD2232-I5, DS-2CD2332-I5 ver. 5.3.0 DS-2CD2632F-IS ver.5.3.0 DS-2432F-IW ver.5.3.0 DS-2DF7286-A ver. 5.2.4 DS-7616NI-SE/P ver.3.0.22 iVMS-4200 ver. 3.2.0.10 IVMS-4500 ver. 4.7.7
|
|
|
|
avalist | Дата: Понедельник, 16.03.2020, 15:14 | Сообщение # 11 |
Группа: Проверенные
Сообщений: 1084
Репутация: 85
Статус: Offline
| Цитата sherbinka ( ) Если не трудно, для меня и мне подобных объясните в кратце, для чего эти Ip? Эти адреса выделены для локальных сетей LAN, по простому. Работа во внешнюю сеть WAN идет через NAT, https://ru.wikipedia.org/wiki/NAT
Цитата sherbinka ( ) И что за нулевые ip? Ну судя по логу, это так отображаются локальные подключения поэтому и нули.
|
|
|
|
hikihome | Дата: Среда, 10.06.2020, 18:05 | Сообщение # 12 |
Группа: Проверенные
Сообщений: 4
Репутация: 0
Статус: Offline
| Цитата fed180 ( ) А дальше только подбор паролей, что бы войти на камеру. А на ней защита от подбора паролей. Из-за активного антибрутфорса некоторые модели камер становятся недоступными, так как действующий логин по rtsp будет заблокирован
|
|
|
|
iTuneDVR | Дата: Четверг, 11.06.2020, 12:19 | Сообщение # 13 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата hikihome ( ) Из-за активного антибрутфорса некоторые модели камер становятся недоступными, так как действующий логин по rtsp будет заблокирован Блочится на время только конкретный IP с которого превышено количество попыток, однако, не понятно, на сколько глубока кроличья нора
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|