победить IP камеру

Тема в разделе "Вопросы начинающих", создана пользователем Вофка, 25 янв 2019.

  1. Вофка

    Вофка Новый участник

    Добрый день.
    hAP lite
    Суть. В офисе есть IP камера. На старом роутере huwey была проблема - если камера работает ,в офисе отваливается инет. Откл камеру - инет появлялся. Тот роутер был простой, логов не глянуть.
    Купил mikrtotik, настроил через winbox (ip белый без всяких ppoe), на камеру (статический ip ghbcdjbk) пробос порта (из вне подключаюсь без проблем).
    Через Torch вижу, что ночью с камеры идет трафик 75 mbps на левые сайты 188.130.9.1-143.137.9.1-185.224.25.221-185.244.25.221 и пр.
    Как победить данную камеру - т.е. заблокировать весть трафик с нее, кроме нужного мне для подключения из вне, порта?
    В adress list ip внешних сайтов вносил, правило drop создавал - соединение на эти ip как шло так и идет.
    p.s. впервой mikrotik в руках держу, просьба сильно не пинать
    Спасибо!
     
  2. Pavel N

    Pavel N Участник

    https://www.google.com/search?q=зар...ome..69i57.16236j0j7&sourceid=chrome&ie=UTF-8

    что-то мне подсказывает что вы именно с такой ситуацией и имеете дело
    и закрывать ее на роутере не убрав причины в камере - малоэффективно
     
    Вофка нравится это.
  3. Вофка

    Вофка Новый участник

    Спасибо. Понял Вас. Только вот как бороться с этим. Тот еще вопрос.
     
    Pavel N нравится это.
  4. Pavel N

    Pavel N Участник

    точного ответа на вопрос "Что делать" у меня нет... к сожалению
    можно закрыть доступ в интернет для камеры
    точного рецепта у меня нет но ..
    В качестве размышления не претендующего на абсолютную точность, Мысли вслух так сказать

    Вводная IP размещена в локалке
    нужен: Доступ по локалке из браузера, по локалке в видеорегистратор и извне смотреть на камеру в веб интерфейс и извне спец. программой камеры

    1. доступ изнутри (в пределах локальной сети) к камере происходит минуя маршрутизацию либо через сторонний свитч либо через бридж микротика и при этом нет маршрутизации
    это значит что в пределах локалльной сети камера будет доступна внутренним абонентам и видеорегистратору

    2. камера это сложное устройство которое имеет доступ по вэб для управления и настройки, доступ по вэб для просмотра видео в браузере (иногда это один и тот же доступ с разной авторизацией)
    доступ из спец программы для которой не нужен вэб доступ и которая сама шлет нужные команды в камеру
    Доступ для вещания видео- и аудио- потока для нескольких одновременных пользователей камеры
    Все то я к тому что у камеры для работы извне пробрасывается несколько групп портов и диапазонов портов
    И все пакеты по этим портам инициируются извне т.е. камера не способна сама найти пользователя в инете который собрался ее смотреть
    со стороны пользователя начинаются все сессии по этим портам и доходят до камеры
    выглядит это примерно так:
    программа управления камерой обращается на внешний адрес роутера на котором проброс настроен и пакет с запросом вида "Я хочу смотреть, вот мои полномочия" в этой сесии получает ответ который будет маршрутизирован как ответный пакет на уже установленное соединение с ответом вида "Установи соединение на ХХХ порт для управления по TCP , YYY-YYY+2 порты UDP для вещания видео и аудио для тебя, я готова тебя вещать по этим портам"
    как то так
    значит для тех пакетов по которым прошла маршрутизация Dst-Nat нужно обеспечить ответы.
    А все, что камера сама захочет отправить в инет слить в DROP т.к. мы не знаем куда она свистит и кто инициатор этого действия
    Вполне может быть что вирусописатели пользовались стандартными портами для управления камерой и ожидают что камера будет по ним доступна и извне ... поэтому нельзя оставлять открытой камеру всему миру ... нужно вводить искусственные ограничения
    В роли ограничений может быть проброс портов не всем подряд а только адресам из списка разрешенных (статический адрес лист) или динамически наполняемый средствами микротика (Port-Knосking) перед просмотром видео нужно постучаться в нужный порт и только тогда сработает проброс портов внутрь ....
    Соответственно и ответы от камеры разрешаются только для адресов из списка а всех кто не в списке в сад ...(drop)

    Вот такая идея
     
    Вофка нравится это.
  5. Вофка

    Вофка Новый участник

    Чтоя сделал.
    1. Mikrotik настроил через Winbox.
    2. Камере присвоил статический IP внутри локалки, присвоил порт к примеру tcp 10000.
    3. На mikrotik настроил проброс порта из вне (кто стучится на 10000 порт, попадает на камеру через логин пароль).
    4. Вижу сторонний трафик на камере, пытался всячески эти айпишники заблокировать mikrotikom, соединия как шли на эти ip так и идут.
     
  6. Pavel N

    Pavel N Участник

    Приведу тест на примере своего подконтрольного оборудования - это не камера а телефонный шлюз который регистрируется на телефонной станции и имеет вэб управление
    вот первое правило для блокировки исходящего трафика с этого шлюза у него локальный адрес 192.168.62.3
    https://c2n.me/3ZuWJlg
    к нему в комплект для оценки кто и откуда с ним связывается сделал 2 не обязательных правила
    они заносят в списки тех кто обращается извне к шлюзу и тех, куда обращается сам шлюз (пытается обратиться) это интересно для регистрации активности и понимания кто рулит твоим устройством
    https://c2n.me/3ZuXoAq
    https://c2n.me/3ZuXARQ

    при этом проброс портов организован
    https://c2n.me/3ZuY8t8

    что получилось в результате - естественно что шлюз потерял связь с телефонной станцией и не может ее восстановить
    но при этом он доступен в локальной сети доступен извне для того кто в разрешительном списке
    думаю что на таком примере вы творчески переработав сможете заблокировать нежелательную активность до момента восстановления нормальной работы камеры

    вот так выглядит невозможность зарегистрироваться на станции
    https://c2n.me/3ZuYtKy
    то-же но извне
    https://c2n.me/3ZuZ5A6
    вот так безуспешные запросы в мир
    upload_2019-1-30_20-12-27.png
    вот так эти правила выглядели в тесте у меня
    upload_2019-1-30_20-15-5.png

     
    Вофка нравится это.
  7. Вофка

    Вофка Новый участник

    Спасибо большое за отзыв!
    Примерно понял.
    В выходные поэкспериментирую.
    А вот с AllowWeb у меня наверно ничего не получится. Руководство смотрят камеру со смарт телефонов (в браузере по ip и порту), а с телефонов ip адреса наверно "скакать" будут.
     
  8. Pavel N

    Pavel N Участник

    а творчески подойти к процессу ???
    у тебя в доступе был вариант регистрации всех ВНЕШНИХ ОБРАЩЕНИЙ на железку с с занесением адреса источника в список ...
    кто мешает трансформировать правило в такое которое будет наполнять список AllowWeb например адресом руководителя сохраняя его 1-2 часа в списке и потом забывая .... а из браузера обратиться по комплекту Ip:port например: http://1.2.3.4:1234 (да там ничего не покажет но дырку в заборе тихо сделает на 2 часа ) и инструкцию - хочешь смотреть сначала зайди постучись на http://1.2.3.4:1234 затем смотри
    потому как камера заражена а денег на замену и ремонт ты не выделил ...
     
    Вофка нравится это.
  9. Вофка

    Вофка Новый участник

    :) спасибо за очередную подсказку....
     
  10. Pavel N

    Pavel N Участник

    как Ты думаешь твою камеру заразили ...
    сканер ботнета из таких-же камер взятых под контроль сканировал инет по стандартным для камер портам искал где отзываются
    если Отозвались - заносил в список на детальный анализ
    там выяснялось что за железка какие уязвимости какие уязвимости в данной прошивке железки ...
    и далее эксплуатируя ее получали доступ внутрь ... что дальше сделают я предсказать не берусь
    от банального подглядывания до рассылки спама и вирусов в роли ноды ботнета ... или точки проникновения внутрь защищенного периметра вашей организации ... что именно реализовали я сказать не могу ...
    И Если ты оставишь простой проброс без ограничений то рано или поздно его отсканируют и снова будут ломать ...
     
    Вофка нравится это.
  11. Вофка

    Вофка Новый участник

    понял
    но после глюков с прошлым роутером я:
    1. Купил mikrotik, что бы минимум посмотреть логи.
    2. Перед подключением mikrotik - прошил камеру прошивкой с оф сайта, настроил ее и mikrotik.

    Так, что я склоняюсь к тому, что заражена прошивка. В тех потдержки оф продавцов камеры отнекиваются -камера "архивная" снята с производства. Прошейтесь прошивкой с нашего сайта.