Способы защиты сетевого видеооборудования

Интересная ситуация произошла. С небольшим промежутком 1-2 две недели, вышли из строя 2 DVR Hikvision 7204HWI-SH. На видеовыходах изображения нет, по сети не отзывается, горит только индикатор питания. Была похожая ситуация с одним из них около года назад, но тогда по гарантии починили (перепрошили). Сейчас оба восстановлены (прошивал по FTP), и работают корректно. Грешил на питание, жёсткий диск, но всё ОК! Позже, на одном решил просмотреть архив логов (событий), на втором винт отформатировал. Собственно дальше картинки, по которым видно адреса с которых пытались зайти на регистратор (в основном с рашки).

- 94.41.65.159 г.Уфа (одна попытка)

- 31.207.198.88 г. Челябинск (долбился несколько часов 12.03.16)

- 46.246.13.130 (Швеция две попытки)

- 95.139.194.156 г. Тула

Но есть и с внутренней сети (возможно подобрали - взломали Wi-Fi). А может и железяка какая то глючит в сети, но как-то подозрительно 5 запросов в секунду!

И после последнего "дятла" 95.139.194.156 регистратор сдался . Регистраторы прописаны через DMZ в роутерах, сами роутеры имеют стат. адрес от провайдера. Пока как метод борьбы вижу смену портов на регистраторе. Ещё интересная штука, в логах присутствует адрес 192.168.1.33, при чём на обоих регистраторах которые подключены к разным провайдерам! Провайдеры таки адреса назначать не могут. Откуда, как, кто?

Добавлено через 1 час 5 минут

Стоит всё таки изменить правило доступа, прописать не в DMZ (прямой доступ без ограничений к регистратору из внешней сети), а сделать проброс портов. Например статический адрес 888.222.333.444. В роутере прописать пере направление на внутренний адрес регистратора, когда придёт запрос вида 888.222.333.444:8080. Так же изменить остальные не используемые порты в видеорегистраторе. Включить защиту от DoS атак в настройках роутера, и запрет на ICMP запросы (Ping).

Ещё интересная штука, в логах присутствует адрес 192.168.1.33, при чём на обоих регистраторах которые подключены к разным провайдерам! Провайдеры таки адреса назначать не могут. Откуда, как, кто?

Это адрес локалки. Нужно искать кому роутер дал его - в логах роутера что?

Это адрес локалки. Нужно искать кому роутер дал его - в логах роутера что?

Внутренние подсети на домашних роутерах в обоих случаях в диапазоне DHCP 192.168.0.1-255. Диапазон от 192.168.1.1 до 192.168.7.1 Как правило служебный, его используют провайдеры для своего оборудования. Адрес типа 192.168.1.33 можно прописать только вручную на ПК, пров. такого ни когда не выдаст. Возможно как-то связано с терр. размещением обоих регистраторов (Боярка), пусть даже и у разных провайдеров. Буду задавать эти вопросы своему админу сети. Логи в роутере хранятся до перезагрузки питания. Была бы железяка с SNMP, другое дело . Хотя при желании можно организовать на DD-WRT прошивке.

Нужно немного прояснить топологию сети.

В одном из логов - 192.168.0.xx, в другом 192.168.1.xx

Какая маска подсети ?

Наверное есть один или более "честных" адресов от провайдера, за которыми стоит NAT, оттранслированные адреса которого видны в логе.

Или может провайдер "нарезал" таких адресов и раздал ?

Если я правильно понимаю, какие-то из портов на маршрутизаторе (он же NAT ?) проброшены прямо на регистратор ?

Изменение портов в общем не сильно спасет, т.к.уже один раз "след взяли".

Можно усложнить задачу,- а именно поставить некий транзитный WEB сервер, который будет спрашивать логин/пароль, и переадресовывать на нужный адрес/страницу. Можно на маршрутизаторе ограничить список IP, которым можно получить доступ к ресурсу.

Если ломали из внутренней сети (192 сеть), уже после NATа, который у клиента, то тут как бы вариантов помощи нет.

Добавлено через 6 минут

Внутренние подсети на домашних роутерах в обоих случаях в диапазоне DHCP 192.168.0.1-255.

Не может такого быть. Должен быть gateway и broadcast.

Как правило gw - первый, broadcast - 255.

.33 можно прописать даже при наличии dhcp, это не есть проблема. Если адрес не занят, то в общем можно. Нужно знать что именно установлено (OS, программы).

Во втором случае получается около 1500 внутренних адресов. Стесняюсь спросить зачем ? Либо какая-то хитрая сеть, либо косяк - взяли студента.

Нужно немного прояснить топологию сети.

В одном из логов - 192.168.0.xx, в другом 192.168.1.xx

Какая маска подсети ?

Наверное есть один или более "честных" адресов от провайдера, за которыми стоит NAT, оттранслированные адреса которого видны в логе.

Или может провайдер "нарезал" таких адресов и раздал ?

Если я правильно понимаю, какие-то из портов на маршрутизаторе (он же NAT ?) проброшены прямо на регистратор ?

Изменение портов в общем не сильно спасет, т.к.уже один раз "след взяли".

Можно усложнить задачу,- а именно поставить некий транзитный WEB сервер, который будет спрашивать логин/пароль, и переадресовывать на нужный адрес/страницу. Можно на маршрутизаторе ограничить список IP, которым можно получить доступ к ресурсу.

Если ломали из внутренней сети (192 сеть), уже после NATа, который у клиента, то тут как бы вариантов помощи нет.

 

Добавлено через 6 минут

 

Не может такого быть. Должен быть gateway и broadcast.

Как правило gw - первый, broadcast - 255.

.33 можно прописать даже при наличии dhcp, это не есть проблема. Если адрес не занят, то в общем можно. Нужно знать что именно установлено (OS, программы).

Во втором случае получается около 1500 внутренних адресов. Стесняюсь спросить зачем ? Либо какая-то хитрая сеть, либо косяк - взяли студента.

Был дан пример, для того что бы было понятно какая адресация внутри домашней сети, что у прова., там чёрт ногу сломит . Шлюз домашний 192.168.0.1 Параметры WAN DHCP, привязка к MAC роутера, пров. автоматом выдаёт нужный адрес. Откуда взялся 1.33, для меня полнейшая загадка, при том в двух разных случаях одновременно. Была мысль, что кто-то со стороны моего прова., сейчас выясняю. Регистратор под DMZ, а это значит он весь открыт за роутером (есть доступ по всем портам).

PS: очень важно поменять порт SDK 8000, при помощи iVMS некоторые любопытные шарятся в поисках вебок и двр с заводскими паролями (phreaker.us/forum/showthread.php?t=20919). Очень хороша бы была функция блокировки регика на определённое время, после нескольких попыток ввода не правильного пароля. Тогда возможно и проблем бы таких не было.

Был дан пример, для того что бы было понятно какая адресация внутри домашней сети, что у прова., там чёрт ногу сломит . Шлюз домашний 192.168.0.1 Параметры WAN DHCP, привязка к MAC роутера, пров. автоматом выдаёт нужный адрес. Откуда взялся 1.33, для меня полнейшая загадка, при том в двух разных случаях одновременно. Была мысль, что кто-то со стороны моего прова., сейчас выясняю.

WAN - это uplink к провайдеру. Если там тоже dhcp, то нужно посмотреть какой IP адрес на интерфейсе. Если 192, 172, или 10, то скорее всего провайдер выдает внутренние адреса, недоступные снаружи. Внутри, наверное свой dhcp, который нарезает адреса из другого, тоже "нечестного" пула адресов. Можно еще посмотреть чтобы "нечестный" пул адресов который выдается провайдером, не пересекался с пулом который отдает машрутизатор в LAN, или по воздуху.

Внутренние подсети на домашних роутерах в обоих случаях в диапазоне DHCP 192.168.0.1-255. Диапазон от 192.168.1.1 до 192.168.7.1 Как правило служебный, его используют провайдеры для своего оборудования. Адрес типа 192.168.1.33 можно прописать только вручную на ПК, пров. такого ни когда не выдаст.

Вы запутались.

DHCP-сервер может дать любой адрес из сети 192.168.х.х

Зависит от маски.

У меня: приходит от провайдера локальный 10.0. ...:

модем: 192.168.0.1 на нем dhcp раздает 192.168.1.Х

роутер: 192.168.1.1 на нем dhcp раздает 192.168.10.Х (проводной) и 192.168.100.Х (беспроводной) и 192.168.ХХ.Х - для видеонаблюдения, на котором поднят свой dhcp, который раздает еще одну подсетку на камеры

Добавлено через 1 минуту

Если ломали из внутренней сети (192 сеть), уже после NATа, который у клиента, то тут как бы вариантов помощи нет.

Не факт. Возможно воспользовались устройством из внутренней сети, которое ломанули ранее.

Вы запутались.

 

 

DHCP-сервер может дать любой адрес из сети 192.168.х.х

Зависит от маски.

DHCP сервер провайдера не может (не должен по крайней мере) выдавать своим пользователям диапазон 192.168.1.х Домашний роутер, как в Вашем случае настроен - может, потому как это Ваша внутренняя подсеть.

Статический адрес, который выдаёт пров., в одном случае 91.207.ххх.ххх, и во втором 109.207.ххх.хх.

Вот ещё одна загадка .

Второй запрос явно из своей сети, а остальные?

PS: обнаружил так же, что на новых прошивках по умолчанию включены в сетевых настройках регистратора сервисы DDNS, UpNP.

Будет наверное проще, если вы выложите screenshots конфигурации маршрутизатора, а именно закладок LAN и DHCP. Наверное имеет смысл и для регистратора тоже. Какой-то явный и нехороший "косяк".

У DDNS в параметрах должен быть как минимум внешний (буквенный) адрес. Если стоит "птичка" разрешить, и присутствует этот самый DDNS адрес, то можно попробовать путем этого самого адреса из внешней сети (не из той, в которой регистратор установлен) достучаться до регистратора. Если получится,- то тогда ой ...

Будет наверное проще, если вы выложите screenshots конфигурации маршрутизатора, а именно закладок LAN и DHCP. Наверное имеет смысл и для регистратора тоже. Какой-то явный и нехороший "косяк".

У DDNS в параметрах должен быть как минимум внешний (буквенный) адрес. Если стоит "птичка" разрешить, и присутствует этот самый DDNS адрес, то можно попробовать путем этого самого адреса из внешней сети (не из той, в которой регистратор установлен) достучаться до регистратора. Если получится,- то тогда ой ...

Дистанционно попасть на роутер не могу. Настройки WAN - получить автоматически. Остальное в симуляторе набросал

И настройки самого регистратора

Ага, тут все Ok.

Динамические IP будут выдаваться из диапазона 100 - 199.

Остальное можно прописать статикой (с любой машины, подключенной кабелем или по воздуху). 192.168.1.xx тут взяться неоткуда.

Значит регистратор ...

Посмотрите на вначале на DDNS.

P.S. DNS сознательно не прописан на маршрутизаторе ?

IP адрес из диапазона, который роздается dhcp, при этом "птичка" dhcp не установлена. Лучше выбрать другой - ниже 100.

В качестве DNS указан маршрутизатор,- а там нули ...

Ага, тут все Ok.

Динамические IP будут выдаваться из диапазона 100 - 199.

Остальное можно прописать статикой (с любой машины, подключенной кабелем или по воздуху). 192.168.1.xx тут взяться неоткуда.

Значит регистратор ...

Посмотрите на вначале на DDNS.

 

P.S. DNS сознательно не прописан на маршрутизаторе ?

И я о том же, откуда эти цифры . DDNS - UpNP уже отключены, статистика - 2 суток тишина, пока. Второй DNS не прописывал, и без него всё работает.

И я о том же, откуда эти цифры . DDNS - UpNP уже отключены, статистика - 2 суток тишина, пока. Второй DNS не прописывал, и без него всё работает.

Поменяйте адрес регистратора, и добавьте хотя-бы 1 DNS на маршрутизаторе (например 8.8.8.8)

Поменяйте адрес регистратора, и добавьте хотя-бы 1 DNS на маршрутизаторе (например 8.8.8.8)

Сеть работает корректно, как внутри, так и снаружи. Теоретически . Проблем с доступом нет ни снаружи, ни изнутри. На ДНС грешил бы если бы не работало, или криво.

Сеть работает корректно, как внутри, так и снаружи. Теоретически . Проблем с доступом нет ни снаружи, ни изнутри. На ДНС грешил бы если бы не работало, или криво.

DNS в частности используется для преобразования имени в адрес, и наоборот (A & PTR records). Если там стоят нули, это означает что такое преобразование невозможно. В принципе, если конечно каким-то чудесным образом google не использует в качестве DNS 0.0.0.0

Значит у вас не используются имена, а только IP адреса. Возможно машины в сети используют какой-либо другой DNS, но регистратор в такой конфигурации 100% не будет работь с именами,- только с IP.

 

DNS в частности используется для преобразования имени в адрес, и наоборот (A & PTR records). Если там стоят нули, это означает что такое преобразование невозможно. В принципе, если конечно каким-то чудесным образом google не использует в качестве DNS 0.0.0.0

Значит у вас не используются имена, а только IP адреса. Возможно машины в сети используют какой-либо другой DNS, но регистратор в такой конфигурации 100% не будет работь с именами,- только с IP.

Всё верно, от регистратора требуется только дать доступ авторизированным пользователям.

PS: неплохо бы набросать Хелп по рекомендациям настроек подобных "железяк", их сейчас очень много. А в своей ситуации разбираюсь дальше.

Всё верно, от регистратора требуется только дать доступ авторизированным пользователям.

PS: неплохо бы набросать Хелп по рекомендациям настроек подобных "железяк", их сейчас очень много. А в своей ситуации разбираюсь дальше.

Угу. А в разделе timesync наверное стоит UTC+2 и синхронизироваться путем NTP скажем c pool1.ntp.org раз в час ?

Если в регистраторе есть https или ssh/ssh2, то тоже скорее всего не заработает.

Угу. А в разделе timesync наверное стоит UTC+2 и синхронизироваться путем NTP скажем c pool1.ntp.org раз в час ?

Если в регистраторе есть https или ssh/ssh2, то тоже скорее всего не заработает.

Всё намного проще

DHCP сервер провайдера не может (не должен по крайней мере) выдавать своим пользователям диапазон 192.168.1.х Домашний роутер, как в Вашем случае настроен - может, потому как это Ваша внутренняя подсеть.

А он и не выдает - выдает мой модем с dhcp

Именно поэтому и написал - ищите в локалке устройство с адресом 192.168.1.33

Второй запрос явно из своей сети, а остальные?

На ТП-линке вкладку dhcp - client list покажите, плз. И dhcp - address reservation.

В общем, пробросил порты (создал виртуальный сервер). Буду наблюдать.

Не забудьте о результатах сообщить. Плз

А он и не выдает - выдает мой модем с dhcp

Именно поэтому и написал - ищите в локалке устройство с адресом 192.168.1.33

192.168.1.10 - тоже локалка.

На ТП-линке вкладку dhcp - client list покажите, плз. И dhcp - address reservation.

Доступа к ТПлинку дистанционно нет, есть дир300 на втором. Буду пытать админа .

А он и не выдает - выдает мой модем с dhcp

Именно поэтому и написал - ищите в локалке устройство с адресом 192.168.1.33

 

192.168.1.10 - тоже локалка.

На ТП-линке вкладку dhcp - client list покажите, плз. И dhcp - address reservation.

Провайдер обычно и выдает "нечестный" адрес. Блок "честных" адресов стоит денег, и в IPv4 свободных их в общем не очень много осталось. Для того, чтобы провайдер дал "честный" адрес, т.е. адрес, к которому можно обращаться из сети, провайдеру нужно дать денег, обычно от 20 до 50 гривень в месяц. Не все адреса из сегментов 192.xx.xx.xx, 10.xx.xx.xx и 172.xx.xx.xx являются нечестными. Сейчас уже не помню точно какие сегменты,- можете самостоятельно посмотреть. По крайней мере лет 7 назад было так.

Касательно устройств в сети:

Нужно понимать для чего именно используется netmask, ну и в общем таблица маршрутизации. А используются они эксклюзивно для "регулирования" исходящего трафика, а отнюдь не входящего. Если я конечно правильно помню. Было бы удивительно, если бы на интерфейс "прилетел" пакет от скажем 192.168.100.100, и был бы безвозвратно утерян этим самым интерфейсом. Пакет с таким destination address будет принят, но отправить его некуда, because "no route to host". Именно такое сообщение, с большой долей вероятности и будет выдано клиенту в локальной сети, который попробует отправить сообщение на 192.168.1.33. А что будет если этот самый .33 попробует "законнектиться" с "правильным" адресом в локалке ? Скорее всего тоже ничего. "обратка" к этому самому .33 просто "не долетит". Даже для TCP (до установки флажка SYN). Я думаю что "косяк" был именно с наложением статики c пулом dhcp. Косяк именно на регистраторе.

Можно конечно подшаманить, но это уже требует достаточно глубокого понимания принципов работы сетей. Ну или юный хакер купил диск на рынке, и экспериментирует ...

Я думаю что "косяк" был именно с наложением статики c пулом dhcp. Косяк именно на регистраторе.

Можно конечно подшаманить, но это уже требует достаточно глубокого понимания принципов работы сетей. Ну или юный хакер купил диск на рынке, и экспериментирует ...

Вот скрин с моей домашней системы, конфликта DHCP и статики не было.

А вот, что на втором регистраторе после отключения DDNS, международных пока нет, но откуда эти глюки буду выяснять.

Статистика на первом после того как убрал из DMZ пока чистая.