Top.Mail.Ru

Блокируем доступ китайских ip камер к "внешнему миру" с помощью роутера Mikrotik

Давно обратил внимание в мониторинге трафика, что с подключенных к сети ip камер китайского производства исходит какой-то "непонятный" трафик по разным портам. Изучать не стал что за порты, какие ip адреса, т.к. и так уже известно, что многие китайские ip камеры могут работать по протоколу p2p и можно достаточно легко заполучить к ним доступ.

Даже поисковике гугл можно сделать определенные запросы и отобразятся чуть ли не все камеры мира. И если не менялся логин и пароль от камеры, то можно даже их посмотреть. Меня данный факт крайне обеспокоил и поэтому при наличии роутера Mikrotik перекрываем "кислород" ip камерам доступ далее нашей внутренней сети.

Приведу пример настройки фаервола(firewall) для закрытия доступа ip камерам с помощью роутера Mikrotik. Конечно же тоже самое можно сделать и с помощью простых роутеров типа Tplink, Asus и прочее, поэтому пишите в комментариях попробую помочь. 

И так. Запускаем Winbox и подключаемся к Mikrotik. Первым делом заходим в IP-DHCP Server и убеждаемся, что айпи адреса камер на DHCP сервере зарезервированы, либо известны их статические адреса

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Для удобства и для дальнейшего удобства(простите за тавтологию) рекомендую использовать адресные листы. Поэтому создаём адресные листы наших ip камер

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Далее в адресные листы добавляем адрес локальной сети где находятся камеры. Если у вас две или более сети то соответственно их тоже добавляем. Это нужно, чтобы камеры были доступны внутри локальной сети

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И теперь делаем правило в закладке Filter Rules. Chain - forward

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

В закладке Advanced делаем как указано ниже на скриншоте. Восклицательный знак обозначает "кроме". Тоесть от камер любой трафик сможет ходить только в пределах локальной сети, указанный в адресном листе lan

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Далее в закладке Action указываем drop, тоесть блокируем трафик с камер. Нажимаем ОК

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Правило поднимаем выше дефолтных правил, у меня получилось это правило под номером 3

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Не успел и моргнуть глазом как сработали счетчики данного правила :) Камеры кстати RVi и уже какие-то 3 пакета от них пытались улететь во всемирную паутину

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И создаём ещё одно правило для тех у кого настроена синхронизация времени с каким-то ntp сервером. Зная постоянный ip адрес NTP сервера можно в Dst. Address указать его айпи, чтобы уж совсем было всё секьюрно

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

В закладке Advanced исходящий адресный лист указываем ip-cam

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Action - разрешаем данный трафик

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

И правило с разрешением подключения к NTP серверам поднимаем выше предыдущего правила

firewall, блокируем, китайские, камеры, ip, camera, mikrotik

Собственно говоря всё, задача решена. Теперь от камер будет блокироваться любой исходящий трафик в интернет.

Добавить комментарий

Уважаемые посетители сайта и наши клиенты! Мы понимаем, что не возможно всегда и всем быть хорошим. И в нашей работе случаются какие-то проблемы и недочеты, но не зависимо от того, хороший или плохой комментарий вы планируете оставить на нашем сайте, просим Вас не использовать нецензурную лексику. В любом случае мы прочтем Ваш отзыв и предпримем все меры, чтобы качество нашей работы возрастало, но ваш комментарий в этом случае не будет опубликован! Это связано с тем, что Ваше сообщение могут прочитать дети!

Защитный код
Обновить

Более 300 брендов и свыше 50 000 наименований товаров

Представляем широкий ассортимент товаров на рынке информационных технологий. Мы являемся официальными дистрибьюторами многих компаний-разработчиков и производителей оборудования

© 2007-2019 ООО "Центр Информационных Технологий"

Яндекс.Метрика