Перейти к содержимому
Калькуляторы

Безопасность DVR.

"Опять пришёл страус и вылил ведро оптимизма."

                                                                В.И.Ленин



Я DVR делю на два класса - к которым доступ извне идёт по порту 37776/37777, и к которым по порту 9000. Сейчас будет речь про вторые.


Стоял себе мирно DVR, работал, жопой через NAT был выставлен в интернет, на NAT проброшены были только два порта - 80 и 9000. Через месяца три работы DVR вдруг стал сам открывать на выход 2 сессии. После перезагрузки он их открывал опять. После пристрела этих адресов на файрволе стал открывать 7 сессий на другие адреса.

Вот на эти сети:


47.250.0.0 - 47.254.255.255

47.88.0.0 - 47.91.95.255

94.177.185.0 - 94.177.185.255

158.255.0.0 - 158.255.7.255

119.28.0.0 - 119.29.255.255

106.52.0.0 - 106.54.255.255

На все адреса удалённый порт был 8001 или 8002.

В принципе он мог на какой-то свой сервер постучаться для p2p (адреса Alibaba под это подходят), но некоторые сети несколько странные.

В общем пока не знаю, что это, возможно потроянили. Прибил на файрволе эти сети - пока тихо. Ну и пришлось вход на DVR сделать только с определённых адресов.

А, ещё была интересная особенность - с того момента, как он стал так себя вести, стало невозможно по сети просматривать в реальном времени, а возможность просмотра записи осталась.

Вот так вот...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока нет. Ибо нечем - прошивки нет, буду запрашивать производителя.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@straus Я бы с этого начал.

А доступ в таком раскладе придется прятать за ВПН.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, вообще сначала на регистраторе экономят, потом на доступе. Потом перешивать - окирпичить.

Кроме ВПН с условием, что на регистраторе нет доступа в интернет - и схем быть не может. Особенно если регистратор китайский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://krebsonsecurity.com/tag/dahua/

 

Цитата

A core part of the problem is the peer-to-peer (P2P) communications component called “XMEye” that ships with all Xiongmai devices and automatically connects them to a cloud network run by Xiongmai. The P2P feature is designed so that consumers can access their DVRs or security cameras remotely anywhere in the world and without having to configure anything.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Saab95 сказал:

Потом перешивать - окирпичить

Ну допустим повезло окирпичить. Это что, фатально? Бутлоадер сохранился, подключаешь терминал и вперёд за орденами. (Даже если как-то умудрился прибить бутлоадер - берёшь JTAG и прошиваешь с нуля.)


 

2 часа назад, Saab95 сказал:

Кроме ВПН с условием, что на регистраторе нет доступа в интернет - и схем быть не может.

Ну почему же? Если на регистратор заходишь с одних и тех же адресов - можно в правилах файрвола в роутере прописать.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, straus сказал:

(Даже если как-то умудрился прибить бутлоадер - берёшь JTAG и прошиваешь с нуля.)

Это все очень сложно и требует специфических знаний и навыков, которыми обычно редко кто обладает.

 

1 час назад, straus сказал:

Ну почему же? Если на регистратор заходишь с одних и тех же адресов - можно в правилах файрвола в роутере прописать.

Часто бывает так, что доступ делают что бы заходить на него со смартфона, а у него адреса всегда будут разные. Ну и ясно дело, надо обладать некоторыми навыками для настройки, не каждый пользователь простого регистратора это умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, Saab95 сказал:

Часто бывает так, что доступ делают что бы заходить на него со смартфона, а у него адреса всегда будут разные. Ну и ясно дело, надо обладать некоторыми навыками для настройки, не каждый пользователь простого регистратора это умеет.

Да.

(Но тут палка о двух концах: если он не может сам настроить файрвол в простейшем роутере, то полноценный сервер ему точно противопоказан.)
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

От любителей высунуть попу RDP на ружу, новая сага, дырявый DVR наружу, в кино на этой неделе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, SOFTOLAB сказал:

От любителей высунуть попу RDP на ружу, новая сага, дырявый DVR наружу, в кино на этой неделе.

Ну имея 14 разных продуктов француженка может приготовить до 40 разных блюд. А вот что она приготовит, имея только 3 продукта - масло, картошка и сковородка?

 

К чему я? Да к тому, что очень часто из оборудования есть только регистратор и какой-нибудь "домашний" роутер. И вариантов всего три: выставлять жопой в интернет; выставлять с ограничением доступа (насколько позволит "домашний" роутер); не выставлять вообще. Каждый решает для себя сам.

Или ты много видел в домах (или мелких офисах) оборудования вроде Cisco, Enterasys, Juniper? Поднять VPN? Отлично, нет возражений. На чём?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднять можно на том же микротике, самые дешевые модели не дороже тплинка.

Проблема от лени - купить камеры подешевле, купить регистратор подешевле, потом что бы он еще через облако бесплатно соединялся и пользоваться в любом месте.

Понятно, что покупательная способность у всех разная, но ведь глупо покупать машину, если зимой не найдется денег на зимнюю резину - велика вероятность аварии. Так же и с регистратором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Saab95 сказал:

Поднять можно на том же микротике

Ой нет, спасибо. Мне хватило эпопеи по срочной замене нескольких десятков этих "изделий" на другое оборудование. Микротики ещё дырявее, чем регистраторы. Причём прибалты не хотят (или не могут) дыры заткнуть уже более полугода.

Вот ты по микротикам спец, скажи: это правда, что софт там писал русский, и его таки выжили оттуда, и сейчас другие программеры пытаются что-то делать?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще софт пишет десяток программистов. Там и русские есть, и латвийцы, и представители других стран.

Дыры были всего в нескольких версиях прошивок, при чем работали они при разрешении доступа в IP-Service. Попадались на них те администраторы, которые подключались извне по белому IP с любого адреса. У кого был доступ через VPN, или созданы списки ограничений с определенных IP, никогда на взломы не попадался. Так же проблемы имели те, кто включил автообновление прошивок - путем подмены ДНС и прочего.

 

Поэтому проблема сильно преувеличена.

 

В последних прошивках все закрыто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Открытый порт управления на весь интернет, жди взлома.

Попадались все на это, даже эльфийская циска, не говоря уже о всяких китайских роутерах и камерах, которые в 80% случаях бездумно копируют SDK производителя SoC.

причем киска эпично закрывала одну дыру два раза

https://www.opennet.ru/opennews/art.shtml?num=50404

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 2/12/2020 at 6:48 PM, straus said:

Ой нет, спасибо. Мне хватило эпопеи по срочной замене нескольких десятков этих "изделий" на другое оборудование. Микротики ещё дырявее, чем регистраторы. Причём прибалты не хотят (или не могут) дыры заткнуть уже более полугода.

Вот ты по микротикам спец, скажи: это правда, что софт там писал русский, и его таки выжили оттуда, и сейчас другие программеры пытаются что-то делать?
 

Как писал выше Антон, все зависит от рук, у меня вон уже 3 года китайцы ломать пытаются, и брутфорсят, и дыры тика использовать пытаются, но все тщетно, потому что настроены нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.