Блокируем доступ китайских ip камер к "внешнему миру" с помощью роутера Mikrotik

Подразделы видеонаблюдения:


Давно обратил внимание в мониторинге трафика, что с подключенных к сети ip камер китайского производства исходит какой-то "непонятный" трафик по разным портам. Изучать не стал что за порты, какие ip адреса, т.к. и так уже известно, что многие китайские ip камеры могут работать по протоколу p2p и можно достаточно легко заполучить к ним доступ. Даже поисковике гугл можно сделать определенные запросы и отобразятся чуть ли не все камеры мира. И если не менялся логин и пароль от камеры, то можно даже их посмотреть. Меня данный факт крайне обеспокоил и поэтому при наличии роутера Mikrotik перекрываем "кислород" ip камерам доступ далее нашей внутренней сети.

Приведу пример настройки фаервола(firewall) для закрытия доступа ip камерам с помощью роутера Mikrotik. Конечно же тоже самое можно сделать и с помощью простых роутеров типа Tplink, Asus и прочее, поэтому пишите в комментариях попробую помочь. 

И так. Запускаем Winbox и подключаемся к Mikrotik. Первым делом заходим в IP-DHCP Server и убеждаемся, что айпи адреса камер на DHCP сервере зарезервированы, либо известны их статические адреса

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Для удобства и для дальнейшего удобства(простите за тавтологию) рекомендую использовать адресные листы. Поэтому создаём адресные листы наших ip камер

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Далее в адресные листы добавляем адрес локальной сети где находятся камеры. Если у вас две или более сети то соответственно их тоже добавляем. Это нужно, чтобы камеры были доступны внутри локальной сети

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И теперь делаем правило в закладке Filter Rules. Chain - forward

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

В закладке Advanced делаем как указано ниже на скриншоте. Восклицательный знак обозначает "кроме". Тоесть от камер любой трафик сможет ходить только в пределах локальной сети, указанный в адресном листе lan

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Далее в закладке Action указываем drop, тоесть блокируем трафик с камер. Нажимаем ОК

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Правило поднимаем выше дефолтных правил, у меня получилось это правило под номером 3

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Не успел и моргнуть глазом как сработали счетчики данного правила :) Камеры кстати RVi и уже какие-то 3 пакета от них пытались улететь во всемирную паутину

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И создаём ещё одно правило для тех у кого настроена синхронизация времени с каким-то ntp сервером. Зная постоянный ip адрес NTP сервера можно в Dst. Address указать его айпи, чтобы уж совсем было всё секьюрно

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

В закладке Advanced исходящий адресный лист указываем ip-cam

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Action - разрешаем данный трафик

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И правило с разрешением подключения к NTP серверам поднимаем выше предыдущего правила

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Собственно говоря всё, задача решена. Теперь от камер будет блокироваться любой исходящий трафик в интернет.

26 Февраля 2019

firewall, блокируем, китайские, камеры, ip, camera, mikrotik
Блокируем доступ китайских ip камер к Блокируем доступ китайских ip камер к
56.55%

Просматривают страницу 0 посетителей: 0 гостей, 0 пользователей

Интересно почитать

Комментарии (0)