При настройке IP камер и видеорегистратора советуем отключить сетевую технологию UPnP. Иначе вы откроете доступ к вашим камерам или регистратору и даже не поймете этого.
Рано или поздно вашу систему видеонаблюдения обнаружат злоумышленники и будут пользоваться ею в своих целях. Если у вас внешний статический публичный IP адрес, то UPnP следует отключить в обязательном порядке .
UPnP (Universal Plug and Play) — это архитектура многоранговых соединений между персональными компьютерами и другими электронными устройствами.
UPnP строится на основе стандартов и технологий интернета, таких как TCP/IP, HTTP и XML, и обеспечивает автоматическое подключение подобных устройств друг к другу и их совместную работу в сетевой среде, в результате чего сеть (домашняя и т.д.) становится лёгкой для настройки большему числу пользователей.
Технология UPnP в нашем случае работает для настройки портов. Если ваш роутер поддерживает технологию UPnP и данная опция включена в настройках, а также ваш видеорегистратор и/или IP камера также поддерживает UPnP и данная опция включена в настройках, то нажатием одной кнопки «передать настройку портов UPnP» у вас автоматически на роутере настраивается проброс необходимых портов к вашему видеорегистратору или ip камере.
Да, это просто и удобно, но не безопасно. Что же делать? Настройки UPnP, как правило, находятся в разделе Сеть (Network). Например на видеорегистраторе Hikvision это выглядит следующим образом:
Если на видеорегистраторе не был заменен стандартные логин и пароль, как и на IP-камере, то вашу систему видеонаблюдения легко взломают.
Что парадоксально, в некоторых IP камерах нет даже настроек UPnP, однако данная функция включена и автоматически отправляет настройки проброса портов к камере.
UPnP не требует проверки подлинности от пользователя. Любое приложение, работающее на вашем компьютере, может попросить маршрутизатор перенаправить порт через UPnP.
Поэтому вредоносное ПО может злоупотреблять UPnP. Вы можете предположить, что вы в безопасности, пока на локальных устройствах нет вредоносных программ. Однако вы, вероятно, ошибаетесь.
К примеру, специально созданный Flash-апплет, работающий на веб-странице в вашем веб-браузере, может отправить запрос UPnP на маршрутизатор и запросить его для перенаправления портов.
Например, апплет может попросить маршрутизатор перенаправить порты 1-65535 на ваш компьютер, фактически открывая его для всего Интернета.
Однако в этом случае злоумышленник должен воспользоваться уязвимостью в сетевой службе, запущенной на компьютере. Впрочем, это делается с помощью брандмауэра на вашем компьютере.
К сожалению, ситуация ухудшается год от года – на некоторых роутерах флэш-апплет может изменить основной DNS-сервер с помощью запроса UPnP. Сегодня все чаще возникают проблемы с реализациями UPnP.
Например, реализации UPnP многих маршрутизаторов неправильно проверяют входные данные. Вредоносное приложение может попросить маршрутизатор перенаправить сеть (вместо локальных IP-адресов) на удаленные IP-адреса в Интернете, и маршрутизатор сделает это.
С некоторыми маршрутизаторами на базе Linux можно использовать UPnP даже для выполнения команд на маршрутизаторе.
Понятно, что все это ведет практически к свободному доступу к вашему видеорегистратору и IP камерам. Особенно часто встречается следующая ситуация при использовании UPnP, когда на видеорегистраторе отключен UPnP, на роутере он включен, как и на IP камерах.
В зависимости от количества IP камер периодически чередуется доступ к ним через стандартные порты 80 или 8080 с логином и паролем admin/admin.
Чтобы этого не было, достаточно просто отключить на роутере поддержку UPnP и вручную настроить проброс необходимых портов. Как отключить? У каждого роутера по разному. Например отключение UPnP на роутерах Mikrotik производится следующим образом:
В роутерах Linksys данная настройка отключается здесь:
Вот еще несколько примеров, где находится настройка UPnP:
Не поленитесь, отключите на роутере UPnP и пробросьте порты самостоятельно, у нас на сайте и в интернете полно статей, как это сделать именно для Вашей системы видеонаблюдения, и вышеописанной проблемы у вас не будет.
Также помните, что UPnP может нанести вред не только системе видеонаблюдения. Вирус, троянская программа, червь или другая вредоносная программа, которая заражает компьютер в локальной сети, может использовать UPnP так же, как и законные программы.
В то время как маршрутизатор обычно блокирует входящие соединения, предотвращая вредоносный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр.
Например, вирус троян может установить программу удаленного управления на ваш компьютер и открыть брешь в брандмауэре вашего маршрутизатора, чтобы получить круглосуточный доступ к вашему компьютеру через Интернет.
Если бы UPnP был отключен, программа не смогла бы открыть порт, хотя она могла бы обойти брандмауэр другими способами, но об этом сегодня речь в нашей статье не идет. Так что отключите UPnP и ваши домашние системы, в том числе и видеонаблюдения окажутся в больше безопасности.
