Добрый день. hAP lite Суть. В офисе есть IP камера. На старом роутере huwey была проблема - если камера работает ,в офисе отваливается инет. Откл камеру - инет появлялся. Тот роутер был простой, логов не глянуть. Купил mikrtotik, настроил через winbox (ip белый без всяких ppoe), на камеру (статический ip ghbcdjbk) пробос порта (из вне подключаюсь без проблем). Через Torch вижу, что ночью с камеры идет трафик 75 mbps на левые сайты 188.130.9.1-143.137.9.1-185.224.25.221-185.244.25.221 и пр. Как победить данную камеру - т.е. заблокировать весть трафик с нее, кроме нужного мне для подключения из вне, порта? В adress list ip внешних сайтов вносил, правило drop создавал - соединение на эти ip как шло так и идет. p.s. впервой mikrotik в руках держу, просьба сильно не пинать Спасибо!
https://www.google.com/search?q=зар...ome..69i57.16236j0j7&sourceid=chrome&ie=UTF-8 что-то мне подсказывает что вы именно с такой ситуацией и имеете дело и закрывать ее на роутере не убрав причины в камере - малоэффективно
точного ответа на вопрос "Что делать" у меня нет... к сожалению можно закрыть доступ в интернет для камеры точного рецепта у меня нет но .. В качестве размышления не претендующего на абсолютную точность, Мысли вслух так сказать Вводная IP размещена в локалке нужен: Доступ по локалке из браузера, по локалке в видеорегистратор и извне смотреть на камеру в веб интерфейс и извне спец. программой камеры 1. доступ изнутри (в пределах локальной сети) к камере происходит минуя маршрутизацию либо через сторонний свитч либо через бридж микротика и при этом нет маршрутизации это значит что в пределах локалльной сети камера будет доступна внутренним абонентам и видеорегистратору 2. камера это сложное устройство которое имеет доступ по вэб для управления и настройки, доступ по вэб для просмотра видео в браузере (иногда это один и тот же доступ с разной авторизацией) доступ из спец программы для которой не нужен вэб доступ и которая сама шлет нужные команды в камеру Доступ для вещания видео- и аудио- потока для нескольких одновременных пользователей камеры Все то я к тому что у камеры для работы извне пробрасывается несколько групп портов и диапазонов портов И все пакеты по этим портам инициируются извне т.е. камера не способна сама найти пользователя в инете который собрался ее смотреть со стороны пользователя начинаются все сессии по этим портам и доходят до камеры выглядит это примерно так: программа управления камерой обращается на внешний адрес роутера на котором проброс настроен и пакет с запросом вида "Я хочу смотреть, вот мои полномочия" в этой сесии получает ответ который будет маршрутизирован как ответный пакет на уже установленное соединение с ответом вида "Установи соединение на ХХХ порт для управления по TCP , YYY-YYY+2 порты UDP для вещания видео и аудио для тебя, я готова тебя вещать по этим портам" как то так значит для тех пакетов по которым прошла маршрутизация Dst-Nat нужно обеспечить ответы. А все, что камера сама захочет отправить в инет слить в DROP т.к. мы не знаем куда она свистит и кто инициатор этого действия Вполне может быть что вирусописатели пользовались стандартными портами для управления камерой и ожидают что камера будет по ним доступна и извне ... поэтому нельзя оставлять открытой камеру всему миру ... нужно вводить искусственные ограничения В роли ограничений может быть проброс портов не всем подряд а только адресам из списка разрешенных (статический адрес лист) или динамически наполняемый средствами микротика (Port-Knосking) перед просмотром видео нужно постучаться в нужный порт и только тогда сработает проброс портов внутрь .... Соответственно и ответы от камеры разрешаются только для адресов из списка а всех кто не в списке в сад ...(drop) Вот такая идея
Чтоя сделал. 1. Mikrotik настроил через Winbox. 2. Камере присвоил статический IP внутри локалки, присвоил порт к примеру tcp 10000. 3. На mikrotik настроил проброс порта из вне (кто стучится на 10000 порт, попадает на камеру через логин пароль). 4. Вижу сторонний трафик на камере, пытался всячески эти айпишники заблокировать mikrotikom, соединия как шли на эти ip так и идут.
Приведу тест на примере своего подконтрольного оборудования - это не камера а телефонный шлюз который регистрируется на телефонной станции и имеет вэб управление вот первое правило для блокировки исходящего трафика с этого шлюза у него локальный адрес 192.168.62.3 https://c2n.me/3ZuWJlg к нему в комплект для оценки кто и откуда с ним связывается сделал 2 не обязательных правила они заносят в списки тех кто обращается извне к шлюзу и тех, куда обращается сам шлюз (пытается обратиться) это интересно для регистрации активности и понимания кто рулит твоим устройством https://c2n.me/3ZuXoAq https://c2n.me/3ZuXARQ при этом проброс портов организован https://c2n.me/3ZuY8t8 что получилось в результате - естественно что шлюз потерял связь с телефонной станцией и не может ее восстановить но при этом он доступен в локальной сети доступен извне для того кто в разрешительном списке думаю что на таком примере вы творчески переработав сможете заблокировать нежелательную активность до момента восстановления нормальной работы камеры вот так выглядит невозможность зарегистрироваться на станции https://c2n.me/3ZuYtKy то-же но извне https://c2n.me/3ZuZ5A6 вот так безуспешные запросы в мир вот так эти правила выглядели в тесте у меня
Спасибо большое за отзыв! Примерно понял. В выходные поэкспериментирую. А вот с AllowWeb у меня наверно ничего не получится. Руководство смотрят камеру со смарт телефонов (в браузере по ip и порту), а с телефонов ip адреса наверно "скакать" будут.
а творчески подойти к процессу ??? у тебя в доступе был вариант регистрации всех ВНЕШНИХ ОБРАЩЕНИЙ на железку с с занесением адреса источника в список ... кто мешает трансформировать правило в такое которое будет наполнять список AllowWeb например адресом руководителя сохраняя его 1-2 часа в списке и потом забывая .... а из браузера обратиться по комплекту Iport например: http://1.2.3.4:1234 (да там ничего не покажет но дырку в заборе тихо сделает на 2 часа ) и инструкцию - хочешь смотреть сначала зайди постучись на http://1.2.3.4:1234 затем смотри потому как камера заражена а денег на замену и ремонт ты не выделил ...
как Ты думаешь твою камеру заразили ... сканер ботнета из таких-же камер взятых под контроль сканировал инет по стандартным для камер портам искал где отзываются если Отозвались - заносил в список на детальный анализ там выяснялось что за железка какие уязвимости какие уязвимости в данной прошивке железки ... и далее эксплуатируя ее получали доступ внутрь ... что дальше сделают я предсказать не берусь от банального подглядывания до рассылки спама и вирусов в роли ноды ботнета ... или точки проникновения внутрь защищенного периметра вашей организации ... что именно реализовали я сказать не могу ... И Если ты оставишь простой проброс без ограничений то рано или поздно его отсканируют и снова будут ломать ...
понял но после глюков с прошлым роутером я: 1. Купил mikrotik, что бы минимум посмотреть логи. 2. Перед подключением mikrotik - прошил камеру прошивкой с оф сайта, настроил ее и mikrotik. Так, что я склоняюсь к тому, что заражена прошивка. В тех потдержки оф продавцов камеры отнекиваются -камера "архивная" снята с производства. Прошейтесь прошивкой с нашего сайта.
