Давно обратил внимание в мониторинге трафика, что с подключенных к сети ip камер китайского производства исходит какой-то "непонятный" трафик по разным портам. Изучать не стал что за порты, какие ip адреса, т.к. и так уже известно, что многие китайские ip камеры могут работать по протоколу p2p и можно достаточно легко заполучить к ним доступ. Даже поисковике гугл можно сделать определенные запросы и отобразятся чуть ли не все камеры мира. И если не менялся логин и пароль от камеры, то можно даже их посмотреть. Меня данный факт крайне обеспокоил и поэтому при наличии роутера Mikrotik перекрываем "кислород" ip камерам доступ далее нашей внутренней сети.
Приведу пример настройки фаервола(firewall) для закрытия доступа ip камерам с помощью роутера Mikrotik. Конечно же тоже самое можно сделать и с помощью простых роутеров типа Tplink, Asus и прочее, поэтому пишите в комментариях попробую помочь.
Итак. Запускаем Winbox и подключаемся к Mikrotik. Первым делом заходим в IP-DHCP Server и убеждаемся, что айпи адреса камер на DHCP сервере зарезервированы, либо известны их статические адреса
Для удобства и для дальнейшего удобства(простите за тавтологию) рекомендую использовать адресные листы. Поэтому создаём адресные листы наших ip камер
Далее в адресные листы добавляем адрес локальной сети где находятся камеры. Если у вас две или более сети то соответственно их тоже добавляем. Это нужно, чтобы камеры были доступны внутри локальной сети
И теперь делаем правило в закладке Filter Rules. Chain - forward
В закладке Advanced делаем как указано ниже на скриншоте. Восклицательный знак обозначает "кроме". Тоесть от камер любой трафик сможет ходить только в пределах локальной сети, указанный в адресном листе lan
Далее в закладке Action указываем drop, тоесть блокируем трафик с камер. Нажимаем ОК
Правило поднимаем выше дефолтных правил, у меня получилось это правило под номером 3
Не успел и моргнуть глазом как сработали счетчики данного правила :) Камеры кстати RVi и уже какие-то 3 пакета от них пытались улететь во всемирную паутину
И создаём ещё одно правило для тех у кого настроена синхронизация времени с каким-то ntp сервером. Зная постоянный ip адрес NTP сервера можно в Dst. Address указать его айпи, чтобы уж совсем было всё секьюрно
В закладке Advanced исходящий адресный лист указываем ip-cam
Action - разрешаем данный трафик
И правило с разрешением подключения к NTP серверам поднимаем выше предыдущего правила
Собственно говоря всё, задача решена. Теперь от камер будет блокироваться любой исходящий трафик в интернет.
Комментарии (0)