Строим Дом

Перезагрузить страницу

Способы защиты сетевого видеооборудования

Ответ
 
Опции темы
Старый 29.05.2016, 13:10   #1
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию Способы защиты сетевого видеооборудования

Интересная ситуация произошла. С небольшим промежутком 1-2 две недели, вышли из строя 2 DVR Hikvision 7204HWI-SH. На видеовыходах изображения нет, по сети не отзывается, горит только индикатор питания. Была похожая ситуация с одним из них около года назад, но тогда по гарантии починили (перепрошили). Сейчас оба восстановлены (прошивал по FTP), и работают корректно. Грешил на питание, жёсткий диск, но всё ОК! Позже, на одном решил просмотреть архив логов (событий), на втором винт отформатировал. Собственно дальше картинки, по которым видно адреса с которых пытались зайти на регистратор (в основном с рашки).



- 94.41.65.159 г.Уфа (одна попытка)
- 31.207.198.88 г. Челябинск (долбился несколько часов 12.03.16)
- 46.246.13.130 (Швеция две попытки)
- 95.139.194.156 г. Тула

Но есть и с внутренней сети (возможно подобрали - взломали Wi-Fi). А может и железяка какая то глючит в сети, но как-то подозрительно 5 запросов в секунду!



И после последнего "дятла" 95.139.194.156 регистратор сдался . Регистраторы прописаны через DMZ в роутерах, сами роутеры имеют стат. адрес от провайдера. Пока как метод борьбы вижу смену портов на регистраторе. Ещё интересная штука, в логах присутствует адрес 192.168.1.33, при чём на обоих регистраторах которые подключены к разным провайдерам! Провайдеры таки адреса назначать не могут. Откуда, как, кто?


Добавлено через 1 час 5 минут
Стоит всё таки изменить правило доступа, прописать не в DMZ (прямой доступ без ограничений к регистратору из внешней сети), а сделать проброс портов. Например статический адрес 888.222.333.444. В роутере прописать пере направление на внутренний адрес регистратора, когда придёт запрос вида 888.222.333.444:8080. Так же изменить остальные не используемые порты в видеорегистраторе. Включить защиту от DoS атак в настройках роутера, и запрет на ICMP запросы (Ping).
ProTV вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо ProTV за это полезное сообщение:
InSAn (29.05.2016)
Старый 29.05.2016, 15:46   #2
unreal1975
Старожил форума
 
Регистрация: 13.05.2012
Адрес: Киев
Пол: Мужской
Сообщений: 1,214
Вы сказали Спасибо: 353
Поблагодарили 578 раз(а) в 370 сообщениях
Отправить сообщение для unreal1975 с помощью AIM
По умолчанию

Прикольно. Нестандартный порт+нестандартный пароль должны исправить ситуацию
unreal1975 вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо unreal1975 за это полезное сообщение:
ProTV (29.05.2016)
Старый 29.05.2016, 15:54   #3
InSAn
Модератор форума
Аватар для InSAn
 
Регистрация: 12.06.2008
Адрес: Киев, Подгорцы
Пол: Мужской
Сообщений: 19,087
Вы сказали Спасибо: 11,978
Поблагодарили 25,190 раз(а) в 7,689 сообщениях
По умолчанию

Цитата:
Ещё интересная штука, в логах присутствует адрес 192.168.1.33, при чём на обоих регистраторах которые подключены к разным провайдерам! Провайдеры таки адреса назначать не могут. Откуда, как, кто?
Это адрес локалки. Нужно искать кому роутер дал его - в логах роутера что?
InSAn вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 16:10   #4
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от InSAn Посмотреть сообщение
Это адрес локалки. Нужно искать кому роутер дал его - в логах роутера что?
Внутренние подсети на домашних роутерах в обоих случаях в диапазоне DHCP 192.168.0.1-255. Диапазон от 192.168.1.1 до 192.168.7.1 Как правило служебный, его используют провайдеры для своего оборудования. Адрес типа 192.168.1.33 можно прописать только вручную на ПК, пров. такого ни когда не выдаст. Возможно как-то связано с терр. размещением обоих регистраторов (Боярка), пусть даже и у разных провайдеров. Буду задавать эти вопросы своему админу сети. Логи в роутере хранятся до перезагрузки питания. Была бы железяка с SNMP, другое дело . Хотя при желании можно организовать на DD-WRT прошивке.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 16:17   #5
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Нужно немного прояснить топологию сети.
В одном из логов - 192.168.0.xx, в другом 192.168.1.xx
Какая маска подсети ?
Наверное есть один или более "честных" адресов от провайдера, за которыми стоит NAT, оттранслированные адреса которого видны в логе.
Или может провайдер "нарезал" таких адресов и раздал ?
Если я правильно понимаю, какие-то из портов на маршрутизаторе (он же NAT ?) проброшены прямо на регистратор ?
Изменение портов в общем не сильно спасет, т.к.уже один раз "след взяли".
Можно усложнить задачу,- а именно поставить некий транзитный WEB сервер, который будет спрашивать логин/пароль, и переадресовывать на нужный адрес/страницу. Можно на маршрутизаторе ограничить список IP, которым можно получить доступ к ресурсу.
Если ломали из внутренней сети (192 сеть), уже после NATа, который у клиента, то тут как бы вариантов помощи нет.

Добавлено через 6 минут
Цитата:
Сообщение от ProTV Посмотреть сообщение
Внутренние подсети на домашних роутерах в обоих случаях в диапазоне DHCP 192.168.0.1-255.
Не может такого быть. Должен быть gateway и broadcast.
Как правило gw - первый, broadcast - 255.
.33 можно прописать даже при наличии dhcp, это не есть проблема. Если адрес не занят, то в общем можно. Нужно знать что именно установлено (OS, программы).
Во втором случае получается около 1500 внутренних адресов. Стесняюсь спросить зачем ? Либо какая-то хитрая сеть, либо косяк - взяли студента.
toksoft вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо toksoft за это полезное сообщение:
InSAn (29.05.2016)
Старый 29.05.2016, 16:24   #6
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от toksoft Посмотреть сообщение
Нужно немного прояснить топологию сети.
В одном из логов - 192.168.0.xx, в другом 192.168.1.xx
Какая маска подсети ?
Наверное есть один или более "честных" адресов от провайдера, за которыми стоит NAT, оттранслированные адреса которого видны в логе.
Или может провайдер "нарезал" таких адресов и раздал ?
Если я правильно понимаю, какие-то из портов на маршрутизаторе (он же NAT ?) проброшены прямо на регистратор ?
Изменение портов в общем не сильно спасет, т.к.уже один раз "след взяли".
Можно усложнить задачу,- а именно поставить некий транзитный WEB сервер, который будет спрашивать логин/пароль, и переадресовывать на нужный адрес/страницу. Можно на маршрутизаторе ограничить список IP, которым можно получить доступ к ресурсу.
Если ломали из внутренней сети (192 сеть), уже после NATа, который у клиента, то тут как бы вариантов помощи нет.

Добавлено через 6 минут

Не может такого быть. Должен быть gateway и broadcast.
Как правило gw - первый, broadcast - 255.
.33 можно прописать даже при наличии dhcp, это не есть проблема. Если адрес не занят, то в общем можно. Нужно знать что именно установлено (OS, программы).
Во втором случае получается около 1500 внутренних адресов. Стесняюсь спросить зачем ? Либо какая-то хитрая сеть, либо косяк - взяли студента.
Был дан пример, для того что бы было понятно какая адресация внутри домашней сети, что у прова., там чёрт ногу сломит . Шлюз домашний 192.168.0.1 Параметры WAN DHCP, привязка к MAC роутера, пров. автоматом выдаёт нужный адрес. Откуда взялся 1.33, для меня полнейшая загадка, при том в двух разных случаях одновременно. Была мысль, что кто-то со стороны моего прова., сейчас выясняю. Регистратор под DMZ, а это значит он весь открыт за роутером (есть доступ по всем портам).
PS: очень важно поменять порт SDK 8000, при помощи iVMS некоторые любопытные шарятся в поисках вебок и двр с заводскими паролями (phreaker.us/forum/showthread.php?t=20919). Очень хороша бы была функция блокировки регика на определённое время, после нескольких попыток ввода не правильного пароля. Тогда возможно и проблем бы таких не было.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 16:33   #7
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Цитата:
Сообщение от ProTV Посмотреть сообщение
Был дан пример, для того что бы было понятно какая адресация внутри домашней сети, что у прова., там чёрт ногу сломит . Шлюз домашний 192.168.0.1 Параметры WAN DHCP, привязка к MAC роутера, пров. автоматом выдаёт нужный адрес. Откуда взялся 1.33, для меня полнейшая загадка, при том в двух разных случаях одновременно. Была мысль, что кто-то со стороны моего прова., сейчас выясняю.
WAN - это uplink к провайдеру. Если там тоже dhcp, то нужно посмотреть какой IP адрес на интерфейсе. Если 192, 172, или 10, то скорее всего провайдер выдает внутренние адреса, недоступные снаружи. Внутри, наверное свой dhcp, который нарезает адреса из другого, тоже "нечестного" пула адресов. Можно еще посмотреть чтобы "нечестный" пул адресов который выдается провайдером, не пересекался с пулом который отдает машрутизатор в LAN, или по воздуху.
toksoft вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 16:37   #8
InSAn
Модератор форума
Аватар для InSAn
 
Регистрация: 12.06.2008
Адрес: Киев, Подгорцы
Пол: Мужской
Сообщений: 19,087
Вы сказали Спасибо: 11,978
Поблагодарили 25,190 раз(а) в 7,689 сообщениях
По умолчанию

Цитата:
Сообщение от ProTV Посмотреть сообщение
Внутренние подсети на домашних роутерах в обоих случаях в диапазоне DHCP 192.168.0.1-255. Диапазон от 192.168.1.1 до 192.168.7.1 Как правило служебный, его используют провайдеры для своего оборудования. Адрес типа 192.168.1.33 можно прописать только вручную на ПК, пров. такого ни когда не выдаст.
Вы запутались.



DHCP-сервер может дать любой адрес из сети 192.168.х.х
Зависит от маски.

У меня: приходит от провайдера локальный 10.0. ...:
модем: 192.168.0.1 на нем dhcp раздает 192.168.1.Х
роутер: 192.168.1.1 на нем dhcp раздает 192.168.10.Х (проводной) и 192.168.100.Х (беспроводной) и 192.168.ХХ.Х - для видеонаблюдения, на котором поднят свой dhcp, который раздает еще одну подсетку на камеры




Добавлено через 1 минуту
Цитата:
Сообщение от toksoft Посмотреть сообщение
Если ломали из внутренней сети (192 сеть), уже после NATа, который у клиента, то тут как бы вариантов помощи нет.
Не факт. Возможно воспользовались устройством из внутренней сети, которое ломанули ранее.
InSAn вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо InSAn за это полезное сообщение:
toksoft (29.05.2016)
Старый 29.05.2016, 16:56   #9
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от InSAn Посмотреть сообщение
Вы запутались.



DHCP-сервер может дать любой адрес из сети 192.168.х.х
Зависит от маски.
DHCP сервер провайдера не может (не должен по крайней мере) выдавать своим пользователям диапазон 192.168.1.х Домашний роутер, как в Вашем случае настроен - может, потому как это Ваша внутренняя подсеть.

Статический адрес, который выдаёт пров., в одном случае 91.207.ххх.ххх, и во втором 109.207.ххх.хх.

Вот ещё одна загадка .

Второй запрос явно из своей сети, а остальные?
PS: обнаружил так же, что на новых прошивках по умолчанию включены в сетевых настройках регистратора сервисы DDNS, UpNP.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 17:10   #10
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Будет наверное проще, если вы выложите screenshots конфигурации маршрутизатора, а именно закладок LAN и DHCP. Наверное имеет смысл и для регистратора тоже. Какой-то явный и нехороший "косяк".
У DDNS в параметрах должен быть как минимум внешний (буквенный) адрес. Если стоит "птичка" разрешить, и присутствует этот самый DDNS адрес, то можно попробовать путем этого самого адреса из внешней сети (не из той, в которой регистратор установлен) достучаться до регистратора. Если получится,- то тогда ой ...
toksoft вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо toksoft за это полезное сообщение:
InSAn (29.05.2016)
Старый 29.05.2016, 17:17   #11
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от toksoft Посмотреть сообщение
Будет наверное проще, если вы выложите screenshots конфигурации маршрутизатора, а именно закладок LAN и DHCP. Наверное имеет смысл и для регистратора тоже. Какой-то явный и нехороший "косяк".
У DDNS в параметрах должен быть как минимум внешний (буквенный) адрес. Если стоит "птичка" разрешить, и присутствует этот самый DDNS адрес, то можно попробовать путем этого самого адреса из внешней сети (не из той, в которой регистратор установлен) достучаться до регистратора. Если получится,- то тогда ой ...
Дистанционно попасть на роутер не могу. Настройки WAN - получить автоматически. Остальное в симуляторе набросал


И настройки самого регистратора

Последний раз редактировалось ProTV; 29.05.2016 в 18:39.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 17:23   #12
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Ага, тут все Ok.
Динамические IP будут выдаваться из диапазона 100 - 199.
Остальное можно прописать статикой (с любой машины, подключенной кабелем или по воздуху). 192.168.1.xx тут взяться неоткуда.
Значит регистратор ...
Посмотрите на вначале на DDNS.

P.S. DNS сознательно не прописан на маршрутизаторе ?

IP адрес из диапазона, который роздается dhcp, при этом "птичка" dhcp не установлена. Лучше выбрать другой - ниже 100.
В качестве DNS указан маршрутизатор,- а там нули ...
toksoft вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо toksoft за это полезное сообщение:
InSAn (29.05.2016)
Старый 29.05.2016, 17:27   #13
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от toksoft Посмотреть сообщение
Ага, тут все Ok.
Динамические IP будут выдаваться из диапазона 100 - 199.
Остальное можно прописать статикой (с любой машины, подключенной кабелем или по воздуху). 192.168.1.xx тут взяться неоткуда.
Значит регистратор ...
Посмотрите на вначале на DDNS.

P.S. DNS сознательно не прописан на маршрутизаторе ?
И я о том же, откуда эти цифры . DDNS - UpNP уже отключены, статистика - 2 суток тишина, пока. Второй DNS не прописывал, и без него всё работает.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 17:36   #14
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Цитата:
Сообщение от ProTV Посмотреть сообщение
И я о том же, откуда эти цифры . DDNS - UpNP уже отключены, статистика - 2 суток тишина, пока. Второй DNS не прописывал, и без него всё работает.
Поменяйте адрес регистратора, и добавьте хотя-бы 1 DNS на маршрутизаторе (например 8.8.8.8)
toksoft вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо toksoft за это полезное сообщение:
ProTV (29.05.2016)
Старый 29.05.2016, 17:49   #15
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от toksoft Посмотреть сообщение
Поменяйте адрес регистратора, и добавьте хотя-бы 1 DNS на маршрутизаторе (например 8.8.8.8)
Сеть работает корректно, как внутри, так и снаружи. Теоретически . Проблем с доступом нет ни снаружи, ни изнутри. На ДНС грешил бы если бы не работало, или криво.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 17:56   #16
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Цитата:
Сообщение от ProTV Посмотреть сообщение
Сеть работает корректно, как внутри, так и снаружи. Теоретически . Проблем с доступом нет ни снаружи, ни изнутри. На ДНС грешил бы если бы не работало, или криво.


DNS в частности используется для преобразования имени в адрес, и наоборот (A & PTR records). Если там стоят нули, это означает что такое преобразование невозможно. В принципе, если конечно каким-то чудесным образом google не использует в качестве DNS 0.0.0.0
Значит у вас не используются имена, а только IP адреса. Возможно машины в сети используют какой-либо другой DNS, но регистратор в такой конфигурации 100% не будет работь с именами,- только с IP.
toksoft вне форума   Ответить с цитированием Вверх
Этот пользователь сказал Спасибо toksoft за это полезное сообщение:
ProTV (29.05.2016)
Старый 29.05.2016, 18:07   #17
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от toksoft Посмотреть сообщение


DNS в частности используется для преобразования имени в адрес, и наоборот (A & PTR records). Если там стоят нули, это означает что такое преобразование невозможно. В принципе, если конечно каким-то чудесным образом google не использует в качестве DNS 0.0.0.0
Значит у вас не используются имена, а только IP адреса. Возможно машины в сети используют какой-либо другой DNS, но регистратор в такой конфигурации 100% не будет работь с именами,- только с IP.
Всё верно, от регистратора требуется только дать доступ авторизированным пользователям.
PS: неплохо бы набросать Хелп по рекомендациям настроек подобных "железяк", их сейчас очень много. А в своей ситуации разбираюсь дальше.
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 18:15   #18
toksoft
Опытный форумчанин
 
Регистрация: 03.04.2012
Адрес: Kiev
Пол: Мужской
Сообщений: 674
Вы сказали Спасибо: 143
Поблагодарили 349 раз(а) в 206 сообщениях
По умолчанию

Цитата:
Сообщение от ProTV Посмотреть сообщение
Всё верно, от регистратора требуется только дать доступ авторизированным пользователям.
PS: неплохо бы набросать Хелп по рекомендациям настроек подобных "железяк", их сейчас очень много. А в своей ситуации разбираюсь дальше.
Угу. А в разделе timesync наверное стоит UTC+2 и синхронизироваться путем NTP скажем c pool1.ntp.org раз в час ?
Если в регистраторе есть https или ssh/ssh2, то тоже скорее всего не заработает.
toksoft вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 18:28   #19
ProTV
Старожил форума
 
Регистрация: 28.01.2009
Адрес: Киев
Пол: Мужской
Сообщений: 1,770
Вы сказали Спасибо: 291
Поблагодарили 567 раз(а) в 423 сообщениях
По умолчанию

Цитата:
Сообщение от toksoft Посмотреть сообщение
Угу. А в разделе timesync наверное стоит UTC+2 и синхронизироваться путем NTP скажем c pool1.ntp.org раз в час ?
Если в регистраторе есть https или ssh/ssh2, то тоже скорее всего не заработает.
Всё намного проще
ProTV вне форума   Ответить с цитированием Вверх
Старый 29.05.2016, 19:21   #20
InSAn
Модератор форума
Аватар для InSAn
 
Регистрация: 12.06.2008
Адрес: Киев, Подгорцы
Пол: Мужской
Сообщений: 19,087
Вы сказали Спасибо: 11,978
Поблагодарили 25,190 раз(а) в 7,689 сообщениях
По умолчанию

Цитата:
Сообщение от ProTV Посмотреть сообщение
DHCP сервер провайдера не может (не должен по крайней мере) выдавать своим пользователям диапазон 192.168.1.х Домашний роутер, как в Вашем случае настроен - может, потому как это Ваша внутренняя подсеть.
А он и не выдает - выдает мой модем с dhcp
Именно поэтому и написал - ищите в локалке устройство с адресом 192.168.1.33

Цитата:
Сообщение от ProTV Посмотреть сообщение
Второй запрос явно из своей сети, а остальные?
192.168.1.10 - тоже локалка.
На ТП-линке вкладку dhcp - client list покажите, плз. И dhcp - address reservation.
InSAn вне форума   Ответить с цитированием Вверх

Текущее время: 00:38. Часовой пояс GMT +2.

Если Вы пользователь

Вы можете зарегистрироваться как пользователь и использовать весь функционал форума.
В любой момент Вы можете изменить свой статус с пользователя на компанию зайдя в личный кабинет.

Регистрация пользователя

Если Вы компания

Вы можете зарегистрироваться как компания и вести свою деятельность на нашем сайте.
Вы также можете создавать темы и отвечать в форуме.

Регистрация компании