ТЕХНИЧЕСКИЕ СИСТЕМЫ БЕЗОПАСНОСТИ

ТЕХНИЧЕСКИЕ СИСТЕМЫ БЕЗОПАСНОСТИ

БЛОГ ИНЖЕНЕРА s.sector.2011@gmail.com

  1. ТЕХНИЧЕСКИЕ СИСТЕМЫ БЕЗОПАСНОСТИ
  2. | ВСЕ ЗАПИСИ |
  3. 01.06. Регистраторы, видеосерверы и системы видеонаблюдения.
  4. 01.6.2 Просмотр видеорегистратора через Интернет

01.6.2 Просмотр видеорегистратора через Интернет

Доброго времени суток всем.

Сегодня простым языком, «чиста на пальцах», — об организации удалённого доступа к видеорегистратору через Интернет. Вот в начале странички скриншот с экрана моего компа, просматривающего видеорегистратор, установленный на удалённом объекте и имеющий выход в Сеть. Изображение намеренно загрублено во избежание узнаваемости и считывания сетевых параметров. На самом деле оно по качеству совсем не отличается от реального сигнала, поступающего на видеорегистратор. Если вы конечно специально не загрубили разрешение для исключения «тормозов» при передаче по Сети.

Современный заказчик все чаще просит организовать просмотр его регистратора через Интернет — это удобно, можно контролировать ситуацию на объекте, находясь в любой точке мира, где есть Интернет. Можно просматривать с мобильника — это больше для престижа — вытащил айфон и похвастался изображением своего двора, гаража и огорода с бассейном. Ну это, ежели есть чего вытащить и чем похвастаться. Хотя, иногда может оказаться полезным — например та же GSM-сигнализация прислала вам сообщение о тревоге, вы открываете просмотр и различаете какое-то движение там, где его быть не должно. Тут уж не до размеров изображения — милицию вызывать надо.

Сначала немного о сетевой безопасности. Организовав доступ извне к видеорегистратору, вы резко повышаете уязвимость всей вашей локальной сети. Речь не идёт только о просмотре посторонними вашей видеоинформации. Видеорегистратор является компьютером, работающим под управлением Windows (в случае PC-видеорегистратора) или разной степени усечённого Linux-а (в случае т.н. non-PC платформы или проще — отдельной железяки). Поэтому злоумышленник, проникнув через открытые порты в видеорегистратор, может, помимо полного доступа к вашим видеоархивам, загрузить в него вредоносный код и причинить в ряде случаев очень серьёзные убытки:

  • если видеорегистратор находится в составе локальной сети (ЛВС) предприятия, с него может начаться атака на другие компьютеры сети, похищение кодов банковских карт, паролей, организация доступа к бухгалтерии и т.д.;
  • видеорегистратор и другие взломанные устройства локальной сети могут использоваться злоумышленниками в качестве ботов, рассылающих спам или участвующих в DOS-атаках;
  • на видеорегистраторе могут запускаться совсем другие вычислительные задачи за счет понижения его производительности в части исполнения своих основных функций.

Известны случаи, когда в видеорегистраторы запихивали программы накручивания биткоинов. Процессор регистратора совсем не приспособлен для таких вычислений, он захлёбывается, тормозит видеонаблюдение, греется. В общем — полное шапито.

Ладно, будем считать, что все напугались и прониклись. Поэтому о способах защиты. На самом деле их не так уж и много. В идеале видеорегистратор желательно бы не включать в состав ЛВС, хотя, конечно, это маловероятно. Можно задать ему статический адрес и заблокировать доступ с этого адреса ко всем прочим устройствам ЛВС. Но самое главное — измените пароли по умолчанию, по возможности и логины.

Стандартный заводской набор для видеорегистраторов — это логин admin и пароли: «admin», «12345», «4321», «123456», а то и вовсе с пустым паролем. Правда, после многих случаев взлома, зачесался наконец один из крупных производителей — Hikvision. Теперь, при первом включении, регистратор требует задать ему сложный пароль с большими и маленькими буквами и цифрами длиной не менее 8 символов. Простые пароли типа 1111111 не даёт вводить.

Локальная сеть ваша соединяется с интернетом через сетевой маршрутизатор, именуемый роутером (англ. router). Там тоже по умолчанию та ещё катавасия: сплошные пары «логин-пароль» типа «admin-admin» и «admin-пусто». Если вы хотите управлять роутером из Интернета, замените пароль админа. Только, пожалуйста, сохраните надёжно. И конфигурацию роутера сохраните на диске, да продублируйте, чтобы не сбрасывать настройки в случае чего.

Вот конкретный пример сетевого раздолбайства. Недавно занимался как раз организацией доступа к клиентскому видеорегистратору из Сети, ошибся на 1 цифру в наборе адреса и увидел вот такую менюху:

Ну ясно-понятно, вошел я туда под «admin-пусто». Пжалте любоваться — какой-то небольшой магаз, судя по «айпишнику», в г. Славгороде. Айпишник я здесь замазюкал, а картинка — вот она, может вдруг увидят хозяева, да прикроют калитку в свой огород всем, кому ни попадя.

Ладно, теперь к основной теме. Для начала вам надо получить у вашего интернет-провайдера «белый адрес» или, на официальном языке, — «статический IP-адрес». Ничего особенного делать не надо, просто вам сообщат ваш адрес и вы его где-нибудь запишете. Теперь любой пользователь сети, набрав в окне браузера этот адрес, попадёт на роутер, соединяющий вашу локальную сетку с внешним миром. Дальше он пока не пролезет, роутер его не пустит.

Дополнение от 07.06.2017

Существуют способы просмотра удалённого видеорегистратора или видеокамеры через интернет без использования статического белого адреса. О некоторых из них — в главах про Ivideon и EZVIZ .

Теперь рассмотрим настройки на примере регистратора Hikvision и роутера DSL-2650u, работающих в небольшом магазинчике в селе в 120 км от Барнаула — у роутера совсем простая менюха, всё очень понятно. Итак, мы имеем:

  1. Подключенный к Интернету роутер с внешним IP-адресом, допустим, 22.33.144.155, к которому по локальной сети прицеплен наш регистратор. Внутренний (локальный) айпишник роутера: 192.168.1.1, пароль по умолчанию admin, логин admin. В роутере задействован режим DHCP, т.е. он раздаёт адреса устройствам в локальной сети (динамические IP-адреса).
  2. Видеорегистратор, подключенный к роутеру, имеет статический адрес 192.168.1.169, мы хотим сохранить его статическим, а не получать его от роутера.

Вот меню сетевых настроек видеорегистратора (подпункт «TCP/IP»):

Галочка DHCP у регистратора отключена, т.е. он не будет устанавливать у себя адрес, предлагаемый роутером. IPv4 Address — это наш статический адрес, маска подсети нас в данном случае устраивает — не меняем, Default Gatevay — это интернет-шлюз (в нашем случае адрес роутера со стороны регистратора), Preferred DNS — тоже адрес роутера (в ряде случаев ДНС-ы раздаёт провайдер, это надо уточнять). Остальное мы не трогаем. Теперь там же лезем в подпункт Ports (Порты):

Здесь нам интересен в первую очередь порт сервера (server port): значение по умолчанию 8000, я его не стал менять, там других устройств в ЛВС нет, ни с кем не пересечётся. Можно изменить на любое значение от 2000 до 8000.

Всё, теперь пошли настраивать роутер.

Подключаемся с ноута или компа к роутеру, набрав его локальный адрес 192.168.1.1 Набираем пароль по умолчанию (админ-пусто). Ну вот что-то такое:

Роутер уже подключен к интернету, мы не лезем в сетевую часть его настроек. Сразу в межсетевой экран. Подпункт «IP-фильтры». Наша задача — научить роутер пропускать данные между локальной сеткой, где находится видеорегистратор, и сетью Интернет.

Добавляем фильтры со значениями:

Читайте также  Как работает аудио и видео домофон? | Портал о системах видеонаблюдения и безопасности

порты: 8000 и в источниках и в назначении,

Т.е. мы разрешили гонять через роутер туда-сюда данные по протоколам TCP и UDP. Я тут ещё и 80 порт затолкал, это для работы через веб-интерфейс по HTTP.

Далее, тут же: подпункт «Виртуальные серверы»:

Здесь мы представили наш видеорегистратор как 2 виртуальных сервера у каждого из которых адрес 192.168.1.169, но разные порты: 80 и 8000. Сервера добавляются кнопкой «добавить».

Теперь, при обращении из сети к порту 8000 нашего роутера, он переадресует вас к видеорегистратору (виртуальному серверу) с открытым портом 8000 и адресом 192.168.1.169. А тот уже будет просить вас ввести пароль. Именно поэтому пароль видеорегистратора должен быть надёжным.

Теперь дополнительные сетевые настройки роутера:

Айпишник вверху — по умолчанию. Далее — настройки DHCP. Режим «разрешить», т.е. адреса всем раздавать будет, DNS relay — включено, поскольку в роутере адрес DNS прописан здешний. Зона IP-адресов, которые DHCP раздаёт соседям по ЛВС: 192.168.1.2 — 192.168.1.254. Остальные настройки не трогаем.

Ещё интересный момент — мы же регистратору статический IP оставили — вот внизу есть статический IP. Мы нажимаем «выберите IP/MAC адрес», выбираем нужные нам устройства и прописываем их ниже кнопкой «добавить». Вон он по 169 адресу регистратор, а по 250-му мой ноут: лень было переводить его со статического адреса, я так прописал. Теперь роутер не будет по этим адресам навязывать свои DHCP-услуги, а будет принимать эти устройства с заданными адресами. Причём, если мы подменим устройства на другие с таким же IP, роутер не будет с ними играть — MAC-адрес другой, а он на заводе-изготовителе присваивается. Вот так вот.

В общем, с точки зрения роутера, мы разрешили двум виртуальному серверам с адресом 192.168.1.169 передавать и принимать информацию в/из сети Интернет через разрешённые порты 80 и 8000 по протоколам TCP и UDP.

Всё сразу завелось. Ранее мы условнлись, что провайдер выдал нам статический адрес 22.33.144.155 (проверял — никаких магазинов на этом адресе не наблюдается). Если зайти через Internet Explorer (IE), то в адресной строке надо набрать: http://22.33.144.155:80/ Это выбор устройства с открытым портом 80, находящимся в локальной сети, отгороженной от интернета роутером c IP-адресом 22.33.144.155.

Если подключаетесь с помощью программы iVMS-4200 или iVMS-4500 (версия для мобильных устройств), то порт надо выбирать 8000. Вот, собственно, и вся премудрость.

Вот он, наш магаз:

Там такой Интернет в деревне — я уж не дождался, когда одна из камер прорежется, так отскриншотил. Ну а что взять с него, если по телефонной линии через ADSL-модем, да при сельских-то линиях. Ну ладно, это уже не ко мне. А я наверное всё на сегодня.

Ладно пишите, комментируйте, форма подписки внизу листа.

Да, кстати, я там ещё организовал удалённый доступ к самому роутеру по другим портам. И все вот эти скрины сделаны удалённо из дома. Поэтому ещё раз — очень серьёзно отнеситесь к сетевой безопасности. Пора привыкать к мысли, что Сеть — это единое киберпространство, и злоумышленнику совершенно фиолетово, откуда вас подломить — из соседнего дома, из Москвы или республики Зимбабве. А результат один и тот же: минимум — головняк с работоспособностью системы, максимум — финансовый ущерб, пропорциональный вашей беспечности.

Источник:
http://systemdefend.ru/blog/rec-serv-sys/net-access-to-rec/