IP-видеонаблюдение, HD аналоговое видеонаблюдение, общие вопросы ч. 2

РЕКЛАМА НА ФОРУМХАУС

эта тема и этот форум явно не то место, где стоит обсуждать (а тем более доказывать "на слабо") детали методик тестирования безопасности беспроводных сетей.

Вам придется просто поверить что безопасность wifi основана на принципе "неуловимого джо".

 

Привык проверять. Если во время отпуска включенная в квартире точка доступа трафик в своем порту не увеличивает, значит о взломе wifi беспокоиться рано. Собирая ежедневную статистику в каждом порту коммутатора, я хотя бы уверен в отсутствии троянов. При проживании рядом с ТД статистика в портах мало информативна. А вот для деревни, в чью LAN ежедневный заход не нужен, получается хорошее средство отсева сомнений. Роутер деревенский, к сожалению, считает трафик каждого проходящего через себя соединения с ошибкой. Квартирный роутер считает хорошо, и подсоединений NAS и камеры наружу к неизвестным серверам нет. В отличие от браузера компьютера, каждая страница которого порождает разнообазный трафик с разных адресов.
Я не сторонник wifi камер, т. к. предпочитаю определенность в ее работоспособности при соединении проводом.

 

Нужно только добавить, что имеется ввиду домашняя сеть. Корпоративные сети при правильном подходе достаточно безопасны. Вот свежая статейка на эту тему

 

Читаем по вашей ссылке про корпоративные: "Вместо PSK здесь используется аутентификация на сервере RADIUS (Remote Authentication Dial-In User Service)." Похожая авторизация применяется в 802.1x, причем RADIUS сервер установлен в моих NAS. Использовался для объединения LAN через openvpn.
Вопрос мой был про опыт использования 802.1x для защиты физического порта при подключении уличной камеры проводом. Сам я эта процедуру еще ни разу не проводил. Коммутатор и NAS это дело поддерживают. Думаю что и заказанная уличная камера Hikvision поддерживает (как и старые Hikvision для помещения).
@Crucial,
еще добавлю про пользу NAS в локальной сети. Он по умолчанию имеет log сервер и все логи роутера и коммутатора записывает на свой диск. Достаточно в этих устройствах прописать локальный адрес NAS. Соответственно подключения или попытки подключиться в журнале в NAS есть.
Лучше иметь информацию о том, что кто то ломится в сеть, чем прятать голову в песок с отгораживанием двух камер в vlan видеонаблюдение.

 

А мне и не нужно верить кому-либо, ибо я сам этим и занимаюсь в крупнейшей гос. структуре и имею по этому профилю кучу разных сертификатов в области сетевой безопасности как от Cisco, Microsoft и HP, так и от других менее выдающихся компаний...

 

Даже без сертификатов полезно сунуть нос в руководство по используемому оборудованию. На Рис. настройки старой домашней ТД. Когда думаешь о покрытии и многолетнем использовании, обращаешь внимание на оборудование класса SOHO. И в этой древности обнаруживаем встроенный RADIUS сервер и ценную возможность указания сервера, на который можно писать все логи. Даже неудачные попытки подключиться к wifi будут запротоколированы задолго до подбора пароля. И какие еще проблемы Неуловимого Джо надо обсуждать? В конце концов, камера не ловит преступников, а только записывает всю подозрительную активность.
Я отметил проблему защиты доступа к витой паре, выведенной на улицу. Так получилось, что попсовые wifi камеры защиту от несанкционированного подключения к LAN обеспечили автоматом. А монтажники более серьезных ethernet камер отсылают по этому вопросу куда угодно вместо наглядного армейского ответа: "делай как я". Я новичок в настройке авторизации 802.1x и даже не знаю, включение в свиче авторизации через RADIUS в одном порту, не заблокирует ли доступ через другие порты? Для камеры Hikvision расписано подробно, 802.1x пароли задавать через прямое подключение к ПК в той же подсети без DHCP. Непосредственно с подключением камеры к коммутатору это сделать нельзя.
Теперь замечание о спрятанной головой в песок через отдельный vlan для всей системы видеонаблюдения. Если видеонаблюдение предполагает выход в интернет, то в моем случае ЛК мобильного интернета открыт без паролей. Достаточно набрать адрес этого мобильного оператора, и появляется возможность оборвать связь всей LAN с внешним миром. И все это доступно до проникновения в жилище на уровне невинного хакерства.

 

Сколько сертификационных баллов вы набрали по защите домашних wifi сетей на SOHO и, гулять так гулять - б/у (т. е. два поколения как нужно закопать) SMB оборудовании?

 

У вас информация устарела лет на 20 примерно. Это касалось wep первых версий

 

Помогите лучше для соседа подобрать видеонаблюдение!
Себе я докупил цилиндрическую уличную Hikvision и дозрел до подключения в режиме 7/24. И получилось у меня дорого, поскольку и интернет там много лет использую для работы. И в роли ТВ монитор и ПК.
Рекомендовать такое же делать с нуля не могу. Деревня отдаленная, вряд ли будет много предложений по монтажу, надо понимать, что лучше ставить. Видимо на основе видеорегистратора.

И еще добавлю про самосбор видеонаблюдения. В полученной уличной камере Hikvision конечно обнаружился протокол 802.1x, включая eap-tls (авторизация в сети с шифрованием пароля, что мне и не нужно). В старых PTZ для помещения только eap-md5. Вот вы сделали видеонаблюдение с помощью видеорегистратора. И все хорошо с доступом с улицы к патчкорду, пока свой видеорегистратор не подключили к интернету. Вместе с доступом в интернет клиент автоматом получает доступ к ЛК моего провайдера интернета, и может весь интернет вырубить, превратить удаленный мониторинг для всей LAN в тыкву. По моему проще на уровне 802.1x оставить нужное подключение камеры к выставленному наружу разъема, чем искать "дыры" в безопасности LAN. Для выключения ИБП, питающего LAN, есть есть хотя бы заводской пароль.
У соседа проблемы нет, покак не планируется интернет, а просмотр записей только локальный.

 

@Alexei2013Jul, так пишите сколько денег и что надо. Я постоянно выкладываю дешевые варианты.

 

Если вы предполагаете приход специалистов по проникновению в домашнюю сеть через снятое на улице устройство, рекомендую так же присмотреть защиту против терморектального криптоанализа - они обычно начинают с такого

По факту никто не будет ломать ваши камеры, но если хотите - конечно надо озаботиться изоляцией новых устройств в сети в закрытую подсеть, и изоляцию устройств на улице в подсеть из которой ничего, кроме NVR, не доступно

Нужен, конечно. Чтобы после утекания дыр в китайской камере в паблик не получить сюрпризов на всем установленном в доме оборудовании

PSK - это просто Pre Shared Keys, т. е. пароль. Давно известная уязвимость была в wep, там реально быстро ломалось, причем любая сеть. С WPA можно украть хеш из эфира и брутфорсить его. Если пароль есть в словарях - да, поломает. Но с этим бороться как раз просто.

Перестал следить за темой после того, как все уперлось в брутфорс на хеш.

Нет, не поверю

Хотя я забил уже на расширение кругозора по безопасности. Старею.

 

Прочитал текст - все старое. Ловим хеш и брутфорс по словарю.

Защита понятная - берем маскимально полную подборку баз словарных для взломов и проверяем наличие своего пароля там. Или креативим, не так и сложно.

А у меня ни одного сертификата И не работал ни в одной госструктуре, но тоже не поверю

 

У соседа нет ничего. И он меня будет спрашивать консультантом, когда я буду монтировать себе уличную камеру. Могу заодно и ему витую пару проложить. В отличие от меня, он в своем доме более менее постоянно проживает. Т. е. ему навороты не нужны. Компьютеров у него нет. Но надежное хранилище записей на HDD наверно необходимо в любом случае, вот мой совет.
А сколько камер, портов POE в регистраторе не понятно.

Так я понятия не имею, что у типичного видеорегистратора по умолчанию стоит после того, как его подключили через роутер к интернету? Вот я проверил у моего мобильного оператора, как много лет назад, доступ в ЛК без пароля с любого устройства остался. А значит можно отрубить удаленный доступ и сообщения наружу всем автономно работающим устройствам. Находясь далеко от дома я буду в неведении происходящего.
Какая проблема после выдергивания уличной камеры подключить свой ноутбук к патчкорду? Вряд ли заявление на снятую уличную камеру полиция примет. А попытки подключения к чужой сети вообще мало наказуемы.

 

Как минимум - снять с камеры ее MAC-адрес, чтобы ноутбук полноценно прикинулся камерой. Это раз.

Ну и при наличии VLAN он не увидит ничего, кроме NVR или хранилища вашего, в ЛК мобильного оператора не попадет

"Мопед не мой", классика.

Вежливо отшейте его в направлении специалистов, скажите что у вас нет для него простых и надежных решений, а обслуживать его сеть не потянете

 

Моя информация устарела всего на два года, с современными автоматизированными инструментами "защита" WPA2 непринужденно открывается в несколько простых шагов. Люди говорят что и в WPA3 уже нашли векторы.

Проблема в WIFI в том, что, высший уровень безопасности беспроводной сети определяется максимальными возможностями самого слабого из устройств (точки доступа (роутера), смартфона, ноутбука, планшета, камер, датчика температуры, лампочек, других штук "умного" дома).
И это не решается перепрошивкой устройства, так как в 99% случаев новая прошивка самого устройства в целом не обновляет прошивку именно wifi адаптера.
Ещё интереснее ситуация, когда одна точка доступа одновременно вещает два/более SSID - хозяйский wifi, гостевой wifi, wifi для умного дома, даже если некоторые из них "скрыты".

Тому, кто ставит себе "китайские" камеры это не страшно. у него нет другого оборудования и ценных данных.

А в масштабе домашней сети VLAN вреден, так как усложняет управление домашней сетью в которой все домашние (как класс) устройства должны быть доступны всем (по принадлежности).