Top.Mail.Ru

Блокируем доступ китайских ip камер к "внешнему миру" с помощью роутера Mikrotik

Давно обратил внимание в мониторинге трафика, что с подключенных к сети ip камер китайского производства исходит какой-то "непонятный" трафик по разным портам. Изучать не стал что за порты, какие ip адреса, т.к. и так уже известно, что многие китайские ip камеры могут работать по протоколу p2p и можно достаточно легко заполучить к ним доступ.

Даже поисковике гугл можно сделать определенные запросы и отобразятся чуть ли не все камеры мира. И если не менялся логин и пароль от камеры, то можно даже их посмотреть. Меня данный факт крайне обеспокоил и поэтому при наличии роутера Mikrotik перекрываем "кислород" ip камерам доступ далее нашей внутренней сети.

Приведу пример настройки фаервола(firewall) для закрытия доступа ip камерам с помощью роутера Mikrotik. Конечно же тоже самое можно сделать и с помощью простых роутеров типа Tplink, Asus и прочее, поэтому пишите в комментариях попробую помочь. 

И так. Запускаем Winbox и подключаемся к Mikrotik. Первым делом заходим в IP-DHCP Server и убеждаемся, что айпи адреса камер на DHCP сервере зарезервированы, либо известны их статические адреса

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Для удобства и для дальнейшего удобства(простите за тавтологию) рекомендую использовать адресные листы. Поэтому создаём адресные листы наших ip камер

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Далее в адресные листы добавляем адрес локальной сети где находятся камеры. Если у вас две или более сети то соответственно их тоже добавляем. Это нужно, чтобы камеры были доступны внутри локальной сети

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И теперь делаем правило в закладке Filter Rules. Chain - forward

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

В закладке Advanced делаем как указано ниже на скриншоте. Восклицательный знак обозначает "кроме". Тоесть от камер любой трафик сможет ходить только в пределах локальной сети, указанный в адресном листе lan

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Далее в закладке Action указываем drop, тоесть блокируем трафик с камер. Нажимаем ОК

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Правило поднимаем выше дефолтных правил, у меня получилось это правило под номером 3

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Не успел и моргнуть глазом как сработали счетчики данного правила :) Камеры кстати RVi и уже какие-то 3 пакета от них пытались улететь во всемирную паутину

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И создаём ещё одно правило для тех у кого настроена синхронизация времени с каким-то ntp сервером. Зная постоянный ip адрес NTP сервера можно в Dst. Address указать его айпи, чтобы уж совсем было всё секьюрно

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

В закладке Advanced исходящий адресный лист указываем ip-cam

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Action - разрешаем данный трафик

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И правило с разрешением подключения к NTP серверам поднимаем выше предыдущего правила

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Собственно говоря всё, задача решена. Теперь от камер будет блокироваться любой исходящий трафик в интернет.

Контактная информация:

Политика конфиденциальности

Наш адрес:

403345, Россия, Волгоградская область, г. Михайловка, ул. Вишневая, 90

Наши реквизиты:

  • ИНН: 3437012267 КПП; 343701001
  • Расчетный счет: 40702810702500052004
  • БИК: 044525999
  • Наименование банка: Филиал Точка Публичного акционерного общества Банка «Финансовая Корпорация Открытие»
  • Корр. счет: 30101810845250000999
Мы – ЗАЧЕСТНЫЙБИЗНЕС
Яндекс.Метрика