IP-видеонаблюдение, HD аналоговое видеонаблюдение, общие вопросы ч. 2

С точки зрения злоумышленника, проникшего в помещение, вопрос уничтожения улик в камерах и видеорегистраторе не стоит. Я предпочитаю организовывать записи в свои сетевые устройства подсоединенными одной витой парой либо с помощью wifi. Нет у меня устройств, к которым идут провода всех камер, и раскрывать структуру LAN через витую пару на улицу я не собираюсь.

 

Статистика, факты, на моей стороне.

А вот это - фантазия (и опять не моя).

Новопассит, 2 раза в день. Очень хорошо помогает.

 

Ваши факты опровергает продукция Hikvision. Уличная камера DS-2CD2023G2-UID имеет больше настроек 801.2x в сравнении с комнатной PTZ DS-2DE2204IW-DE3. И если вашему видеорегистратору подобный контроль проводного клиента неведом, то вам и заниматься выделением видеонаблюдения в отдельную vlan. Я могу жить со старой сетью с единственным vlan, т. к. различаю клиентов в помещении от клиентов за пределами дома.

Такие советы означают отсутствие у вас опыта создания сервера в интернете. Как только вы создаете хотя бы один сервер с любым нестандартным портом, в него ломятся хакеры со всего интернета. До нанесения материального ущерба попытки взлома классифицируются любопытством.

 

Так надо без РОЕ регистраторы брать. Ему надо питание и одну витую пару. Если очень хочется можно монитор с мышкой еще поставить.

 

У него вообще ничего компьютерного нет, только ТВ. Проще начинать с нужного числа камер и видеорегистатора вероятно с POE, чтобы понять потребности. Причем все это можно подобрать с помощью консультанта интернет магазина и сделать доставку прямо в деревню.
А потом через год, когда обнаружится отсутствие самых нужных записей, вдумчиво сформулировать ТУ.

 

Посмотрел - удивился, в командную строку ТД пустил, думал будет запрещено в связи с управлением из центра

Поиграюсь

Ну у некоторых есть "зачем", и они это знают. Но не про них. Халявный интернет - это случай 2, и кстати, актуален для некоторых в загородной жизни

1%, это конечно близки к 0, но есть нюанс - если не повезет, поломает и что-то сотрет - будет гемор

Это другое. Веерное сканирование делается не в интересах тех, кому сливают и так. Тупо добавить точку в бот-сеть или зашифровать что-то.

Красным жирным выделена ошибка

Как раз на нестандартные порты не ломятся. На стандартные - ломятся

Те кто ломятся к вам - ничего к вам не имеют, это просто роботы. Они не пойдут отрывать вам камеру и вскрывать локалку изнутри.

Вообще доступ снаружи надо ограничивать правильно.

 

Он из "командного центра" по ssh и управляется (вероятно по этому в wan неявно открыт 22 порт).

Интернет они, возможно, получат, а пройти дальше даже против примитивного пароля не хватит квалификации, если вообще найдут что-то кроме роутера.

 

Сканируют и ломятся на все порты. Вы вероятно тоже не создавали свои серверы, доступные в интернете, раз считаете нестандартный порт достаточным фильтром. Все что доступно для всего интернета закрывается авторизацией ключом вместо паролей.

У меня такая возможность с управляемым свичом, RADIUS сервером в NAS (нужен для некоторых серверов) для уличной Hikvision даже для ethernet порта имеется. Было бы странным обнаружить другое в цилиндрической камере за 15 т. Могу продолжить жить без создания vlan в локальной сети. А любители видеорегистраторов могут делать по своему. Сеть моя с серверами, доступными из интернета, с 2016 г функционирует. При заведении vlan в ней будут другие проблемы. Сейчас универсальный log сервер это NAS.

Значит и возможность отрубить сообщения путем исчерпания мобильного трафика тоже будет. Вы сами обнаруживаете подводные камни неконтролируемого запуска в LAN.

 

Вы недооцениваете пионеров. Я же кидал историю таких же, из 90х
https://bugtraq.ru/library/books/attack3/intro/#levin

SIP, HTTP есть несколько штук, висят в интернете

Если висят на стандартных портах - полно мусорного трафика, на нестандартных - очень скромно и редко кто-то пробудет HTTP, SIP - никогда

собственно говоря, мне начхать - ломать нечего, ни в одном сервере нет ни одной известной злоумышеннику баги, чисто мусорный трафик в логах виже, если есть, а так не беспокоят

чем вам не нравятся пароли для защиты (если их нет в базах для брутфорса) - не знаю, ключи это не про усложнения взлома

Про "функционирует с 2016 года" очень круто звучит, когда рассказываете человеку, который уже с 2000 года "на пенсии"

У меня квартирная сетка на постоянку в интернете с фиксированным IP лет 20 висит.

 

Удивлен советом делать защиту сервера путем прописывания нестандартного порта.

Если небольшая сеть состоит только из видеорегистратора, подход с выделением ее в отдельный vlan и с неконтролируемым физическим доступом к витой паре за пределами дома возражений не вызывает. Там автоматом заводятся пароли. Как только допускаете выход в интернет из этой vlan, появляются проблемы. Не хотите замечать автоматический доступ в ЛК мобильного оператора, подумайте о причине сбора паспортных данных при подключении к публичной бесплатной wifi в транспорте.

 

Это не совет по защите, это элемент повышения безопасности. Нет трафика от веерных сканеров.

Не делайте выход в интернет из этой VLAN. Пропишите доступ одному устройству (по IP), к одному серверу, к которому должен быть доступ

Закройте доступ к серваку вашего оператора изнутри

 

Камеры Hikvision серьезные компьютерные устройства, которые настроены на запись в NAS по движению. Старая PTZ камера (внутри помещения) имеет умеренную чувствительность и должна записывать редкие события. Для нее можно добавить отсылку фото событий на email. Для уличной камеры не уверен в такой возможности из-за количества событий, но хочу предусмотреть возможность удаленно включать-выключать отсылку фото. Я ничем не рискую, давая камере доступ к интернету и к smtp серверу.

Доступ к серверу оператора не тарифицируется. Возможность всегда попасть в ЛК изнутри LAN не казалась мне лишней. Предположим, покидая LAN, буду включать запрет. Что делать с доступом в мою большую VPN? Можно доступ этот делать односторонним, но придется при отъезде-приезде заниматься переопределением. Иначе доступ в деревенскую сеть будет утрачен. Разнообразие настроек отпугивает.

 

В большинстве современных роутеров есть межсетевой экран, вот в него прописываете правила:
1. всем подряд - доступ к IP ЛК вашего оператора запретить
2. вашему смартфону или чему там еще надо - разрешить

 

Прописывание подобных правил напоминает работу системного администратора организации, который их установлением занимается регулярно, и к которому все равно сотрудники обращаются, когда что не работает. Вы действуете из принципа задания правил каждому MAC. Администратор домашней сети о собственных правилах через полгода забудет. Для LAN с ovpn сервером тоже придется разрешения ставить. И это ради уличной камеры вместо подключения этой камеры через пароль, сохраненной в камере. Чем плоха авторизация 802.1x в камере Hikvision?

 

Нет, перечитайте еще раз

не хотите настраивать - не настраивайте, только не рассказывайте про нерешаемые трудности

1. не вижу смысла покупать ради этого Хик
2. ваш роутер ее поддерживает? Или куда вы там хотите ее воткнуть