При настройке IP камер и видеорегистратора многие пользователи по незнанию включают сетевую технологию UPnP в программе видеонаблюдения. Это грубейшая ошибка, которая может привести к взлому вашей системы видеонаблюдения, особенно если у вас внешний статический публичный IP адрес!

Дело в том, что UPnP (Universal Plug and Play) — это архитектура многоранговых соединений между персональными компьютерами или видеорегистраторами и различными интеллектуальными устройствами.

UPnP строится на основе стандартов и технологий интернета, таких как TCP/IP, HTTP и XML, и обеспечивает автоматическое подключение подобных устройств друг к другу и их совместную работу в сетевой среде, в результате чего сеть становится доступной для настройки посторонним пользователям.

Чтобы понять, что такое UPnP, нужно сначала разобраться, что такое переадресация портов. Она используется для установления прямого подключения между домашним устройством или сервером и удаленным устройством. Например, вы можете подключить ноутбук к видеокамере и следить за ним, пока находитесь вдали.

Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают локальную сеть (LAN). Все, что находится за пределами локальной сети, например, серверы сайта или компьютер вашего друга, расположено в глобальной сети (WAN). Как правило, никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не позволите им воспользоваться переадресацией портов.

Если ваш роутер поддерживает технологию UPnP и данная опция включена в настройках, то и видеорегистратор и IP камеры также включены в настройках. При нажатии кнопки «передать настройку портов UPnP» у вас на роутере автоматически настраивается проброс необходимых портов к вашему видеорегистратору или ip камерам. На первый взгляд это очень удобно, но на самом деле делает вашу систему видеонаблюдения незащищенной.

UPnP не использует аутентификацию или авторизацию, это делают лишь некоторые устройства, где предусмотрена технология UPnP – UP, которая обеспечивает механизмы ввода логина и пароля для устройств и приложений UPnP.

Без этого хакеры могут найти бэкдоры в вашей сети. Например, они отправят UPnP-запрос на ваш маршрутизатор и он откроет им порт без лишних вопросов.

Как только хакер получит доступ к сети, он сможет:

  • Получить удаленный доступ к другим устройствам, подключенным к той же сети;
  • Установить вредоносное ПО на ваши устройства;
  • Украсть вашу конфиденциальную информацию;
  • Использовать ваш маршрутизатор в качестве прокси-сервера для сокрытия других вредоносных действий в интернете.
  • Они могут использовать его для распространения вредоносных программ, кражи информации о кредитных картах и проведения фишинговых атак или атак типа DDoS.

Причем, использование вашего маршрутизатора в качестве прокси означает, что все эти атаки будут выглядеть так, будто они исходят от вас, а не от хакера. Поэтому рекомендуется при настройке системы видеонаблюдения полностью отключить UPnP.

Также перед отключением рекомендуется проверить, уязвим ли ваш маршрутизатор к UPnP-эксплойтам. Отключение UPnP приведет к тому, что настройки камер и видеорегистратора придется делать вручную. Это хоть и сложно, но в Интренете есть множество статей, как это сделать. Достаточно вручную пробросить порты, чтобы система видеоконтроля начала работать.

Чтобы отключить функцию UPnP в программе видеонаблюдения, нужно зайти в раздел Сеть (Network) и убрать галочку, как например сделано на видеорегистраторе Hikvision:

К сожалению в некоторых IP камерах нет даже настроек UPnP, но данная функция включена и автоматически отправляет настройки проброса портов к данной камере. Что позволяет хакерам получить  свободный администраторский доступу к вашbv IP-камерам и видеорегистратору.

Очень часто бывает так, что на видеорегистраторе отключают UPnP, а на роутере и IP камере он включен. Это приводит к тому, что в зависимости от кол-ва камер в системе периодически чередуется доступ к ним через стандартные порты 80 или 8080 с логином и паролем admin/admin.

В этом случае придется отключить на роутере поддержку UPnP и уже вручную настраивать проброс необходимых портов. Для профессиональных охранных постов, где других функции, кроме видеонаблюдения не используется это отличный вариант. Однако не стоит забывать, что UPnP используется для других целей, таких как

  • Подключение  игровых приставок для потоковой передачи онлайн игр;
  • Дистанционное видеонаблюдение с помощью мобильных устройств или ПК на рабочем месте;
  • Цифровые голосовые помощники;
  • Устройства IOT, такие как интеллектуальное освещение, смарт-замки и т.д.;
  • Потоковая передача мультимедиа и т.д.
То есть для домашнего видеонаблюдения отключать на роутере UPnP не получится, так как придется настраивать вручную к сети другие устройства.
Но если вам все же придется это сделать, приводим скриншот меню отключения UPnP на роутерах Mikrotik:
Так что советуем при настройке системы видеонаблюдения всегда обращать внимание на параметр UPnP и отключать его, иначе вашей системой видеонаблюдения будете пользоваться не только вы, что обязательно приведет к еще худшим последствиям, чем взлом системы. Ведь с хакерами в тесном сотрудничестве работают разного рода преступные элементы, а это значит, что ваше имущество в опасности!