Оглавление
1. Введение: почему камеры — самое слабое звено домашней сети2. Карта угроз: кто атакует камеры и зачем
3. Проверка: виден ли я в Shodan прямо сейчас
4. Шаг 1 — Смена паролей: заводские учётные данные убивают безопасность
5. Шаг 2 — Отключение P2P: самый недооценённый вектор атаки
6. Шаг 3 — Обновление прошивки и отключение лишних сервисов
7. Шаг 4 — Сегрегация сети: VLAN и гостевая сеть для камер
8. Шаг 5 — Безопасный удалённый доступ: VPN вместо проброса портов
9. Локальное хранение против облака: что безопаснее
10. Таблица уязвимостей брендов: Hikvision, Dahua, TP-Link, Reolink, Xiaomi
11. Корпоративный сценарий: видеонаблюдение без утечки к вендору
12. Физическая безопасность камер: защита от кражи и тампера
13. FAQ: 20 горячих вопросов
14. Чек-лист «30 мин до защищённой системы видеонаблюдения»
15. Заключение: что делать дальше
1. Введение: почему камеры — самое слабое звено домашней сети
IP-камера — это полноценный компьютер с процессором, ОС Linux, сетевым стеком и веб-сервером. В отличие от ноутбука или телефона — она работает 24/7, редко обновляется, и большинство владельцев никогда не меняют заводской пароль.
| Устройство | Обновляется как | Меняют пароль | Работает 24/7 | Имеет внешний IP |
|---|---|---|---|---|
| Ноутбук | Автоматически | Часто | ❌ | Редко |
| Смартфон | Автоматически | Часто | ❌ | ❌ |
| Роутер | Редко | Иногда | ✅ | ✅ |
| IP-камера | Почти никогда | Редко | ✅ | Часто |
| DVR / NVR | Почти никогда | Редко | ✅ | Часто |
> 🔴 Главный парадокс: люди ставят камеры для безопасности — и создают этим новую дыру в безопасности. Незащищённая камера даёт злоумышленнику не только картинку с вашего двора, но и плацдарм внутри вашей сети.
Реальные последствия взломанной камеры:
- Трансляция вашего дома / офиса на публичных сайтах (insecam.org, Shodan)
- Включение в ботнет для DDoS-атак (Mirai и его потомки атакуют с миллионов камер)
- Точка входа в домашнюю сеть для атаки на NAS, роутер, ПК
- Запись и шантаж (особенно актуально для камер в спальне, детской)
- Корпоративный шпионаж через офисные камеры
2. Карта угроз: кто атакует камеры и зачем
| Актор | Метод | Цель | Вероятность |
|---|---|---|---|
| Автоматические сканеры | Перебор заводских паролей | Включить в ботнет | ★★★★★ |
| Shodan / поисковые боты | Индексирование открытых портов | Публичная база незащищённых устройств | ★★★★★ |
| Скрипт-кидди | Эксплойты из базы CVE | «Для интереса», вандализм | ★★★★☆ |
| Конкуренты / бизнес-шпионаж | Целевая атака на офисные камеры | Запись переговоров, кража данных | ★★☆☆☆ |
| Государственные структуры | СОРМ, законный запрос к вендору | Оперативно-розыскные мероприятия | ★★★☆☆ |
| Сам вендор камеры | Облачный P2P-сервис | Аналитика, передача данных третьим | ★★★★☆ |
| Бывший сотрудник / партнёр | Знание учётных данных | Месть, шантаж | ★★☆☆☆ |
Самая массовая угроза — автоматические сканеры:
Каждую минуту в интернете работают тысячи ботов, которые:
1. Сканируют диапазоны IP на наличие открытых портов 80, 443, 554 (RTSP), 8080, 37777 (Dahua), 8000 (Hikvision)
2. Пробуют заводские учётные данные: `admin/admin`, `admin/12345`, `admin/` (пусто), `root/root`
3. При успехе — включают устройство в ботнет или публикуют поток
Среднее время от подключения камеры к интернету до первой попытки взлома: 4–8 минут.
3. Проверка: виден ли я в Shodan прямо сейчас
Shodan — поисковик устройств в интернете. Индексирует всё, что имеет открытые порты, включая камеры, DVR, принтеры, роутеры.
3.1 Проверить свой IP через Shodan
shodan
.io → поиск → ввести свой внешний IP
Свой внешний IP узнать:
2ip
.ru или ifconfig.me → скопировать IP
Что искать в результатах Shodan:
text
Если видите порты 554, 80, 8080, 37777, 8000 — камера видна извне
Если видите «Server: Hikvision-Webs» или «Dahua» — бренд идентифицирован
Если видите снимок экрана с вашим двором — вы уже в публичном доступе
3.2 Проверить без аккаунта Shodan
censys
.io → поиск по IP (бесплатно, без регистрации)
или
fofa.info → аналогичный поисковик
3.3 Что делать если нашли себя в Shodan
text
Немедленно:
→ Закрыть проброс портов на роутере (NAT/Port Forwarding)
→ Сменить пароль камеры/DVR
→ Обновить прошивку
Затем:
→ Настроить VPN для удалённого доступа (раздел 8)
→ Сегрегировать камеры в отдельную сеть (раздел 7)
3.4 Мониторинг в фоне
text
Зарегистрироваться на shodan.io (бесплатный аккаунт)
→ Monitor → Add Network → ввести свой IP
→ Shodan уведомит по email если что-то изменится
4. Шаг 1 — Смена паролей: заводские учётные данные убивают безопасность
80% взломанных камер — жертвы заводских паролей. Это не преувеличение: исследование IPVM (2024) показало, что из 1 миллиона проверенных камер 340 000 использовали стандартные учётные данные.
4.1 Самые распространённые заводские пароли по брендам
| Бренд | Логин по умолчанию | Пароль по умолчанию |
|---|---|---|
| Hikvision | admin | 12345 / пусто |
| Dahua | admin | admin |
| TP-Link | admin | admin / tp-link |
| Reolink | admin | пусто |
| Xiaomi | admin | пусто |
| ANNKE | admin | пусто |
| Uniview | admin | 123456 |
| Axis | root | pass / пусто |
| Bosch | admin | пусто |
| Samsung | root/admin | root / 4321 |
4.2 Где сменить пароль на DVR / NVR
Через веб-интерфейс (универсальный способ):
text
Открыть браузер → ввести IP устройства (обычно 192.168.1.64 или 192.168.0.64)
→ Войти с заводскими данными
→ Configuration / Настройки → User Management / Управление пользователями
→ Выбрать пользователя «admin» → Edit / Изменить → сменить пароль
Hikvision:
configuration
→ System → User Management → Modify
→ Новый пароль: минимум 8 символов, буквы + цифры + спецсимволы
Dahua:
setting
→ System → Account → Modify User
→ Password → ввести новый → Save
4.3 Требования к паролю
text
Минимум: 12 символов
Содержит: буквы (верхний + нижний регистр) + цифры + спецсимволы (!@#$)
Не использовать: дату рождения, адрес, имя, слова из словаря
Пример надёжного: Kv8#mP2!qRx4
Используйте менеджер паролей (Bitwarden, KeePass) — генерируйте и храните пароли там.
4.4 Сменить пароль на каждой камере отдельно
Важно: DVR/NVR имеет свой пароль, каждая камера — свой. Смена пароля на регистраторе не меняет пароли камер.
text
Для каждой камеры:
→ Войти в веб-интерфейс камеры напрямую по её IP
→ Сменить пароль администратора
→ Отключить гостевой аккаунт (если есть)
→ Удалить лишних пользователей
4.5 Двухфакторная аутентификация
Некоторые современные DVR/NVR поддерживают 2FA:
hikvision
(прошивка 4.x+):
Configuration → System → Security → Two-Factor Authentication → Enable
Reolink (приложение):
Settings → Advanced → Two-Factor Authentication
Если 2FA нет — компенсируйте сложным паролем и VPN.
5. Шаг 2 — Отключение P2P: самый недооценённый вектор атаки
P2P (UID-доступ) — технология, которая позволяет производителям камер организовать удалённый доступ без настройки портов. Звучит удобно — на деле открывает прямой канал от камеры к серверам производителя.
5.1 Как работает P2P
text
[Ваша камера] ←→ [P2P сервер производителя] ←→ [Ваш телефон]
Камера постоянно держит открытое соединение с серверами вендора (чаще всего в Китае). Вы смотрите камеру через приложение — трафик идёт через эти серверы.
Что это значит:
- Производитель видит весь ваш видеопоток
- При компрометации серверов вендора — ваша камера скомпрометирована
- Ряд китайских вендоров в 2022–2024 попал под санкции именно за передачу данных третьим сторонам
5.2 Где отключить P2P
Hikvision:
configuration
→ Network → Advanced Settings → Platform Access
→ Enable: снять галочку → Save
или
Configuration → Network → Advanced Settings → Hik-Connect
→ Enable: Off
Dahua:
setting
→ Network → P2P → Enable: Off → Save
TP-Link (VIGI):
system
→ Network → TP-Link Cloud → Disable
Reolink:
device
Settings → Network → Advanced → P2P → Off
5.3 Что использовать вместо P2P
После отключения P2P — удалённый доступ через VPN:
text
Вариант А: VPN на роутере (WireGuard / OpenVPN)
→ Подключаетесь к домашней сети как будто вы дома
→ Открываете камеру по локальному IP
→ P2P-серверы производителя не задействованы
Вариант Б: Reverse proxy (Nginx Proxy Manager)
→ Один защищённый HTTPS-домен для доступа к камерам
→ Без прямого проброса портов DVR
→ Подробнее в разделе 8
5.4 Риски P2P по брендам
| Бренд | P2P сервис | Серверы | Инциденты |
|---|---|---|---|
| Hikvision | Hik-Connect | Китай | Санкции США 2022, бэкдор CVE-2021-36260 |
| Dahua | DMSS / gDMSS | Китай | Санкции США 2019, CVE-2021-33044 |
| TP-Link | TP-Link Cloud | США / Китай | Расследование Конгресса США 2024 |
| Reolink | Reolink Cloud | Китай | Сбор данных без уведомления (2023) |
| Xiaomi | Mi Home | Китай | Баг 2019: чужие камеры в приложении |
| Axis | AXIS Companion | Швеция | Минимальные инциденты |
6. Шаг 3 — Обновление прошивки и отключение лишних сервисов
6.1 Почему обновление прошивки критично
За 2023–2025 годы в камерах зафиксированы критические уязвимости:
| CVE | Бренд | Описание | CVSS |
|---|---|---|---|
| CVE-2021-36260 | Hikvision | RCE без аутентификации через HTTP-запрос | 9.8 |
| CVE-2021-33044 | Dahua | Обход аутентификации через подделанный пакет | 9.8 |
| CVE-2023-26801 | Reolink | RCE через переполнение буфера в RTSP | 9.8 |
| CVE-2024-8957 | PTZOptics | Command injection через CGI-интерфейс | 7.2 |
| CVE-2024-11120 | GeoVision | OS command injection в старых DVR | 9.8 |
CVSS 9.8 = критический. Означает: злоумышленник выполняет произвольный код без пароля.
6.2 Как обновить прошивку
Hikvision:
support
.hikvision.com → Downloads → Firmware → выбрать модель
→ Скачать последнюю версию
В веб-интерфейсе камеры:
Configuration → System → Maintenance → Upgrade
→ Browse → выбрать скачанный файл → Upgrade
→ Устройство перезагрузится (~5 мин)
Dahua:
dahuasecurity
.com → Support → Download Center → Firmware
→ Configuration → System → Maintenance → Upgrade
TP-Link VIGI:
text
Приложение VIGI → устройство → Settings → Firmware Update
→ Check for Updates → Install
6.3 Какие сервисы отключить
Камеры и DVR включают по умолчанию множество сервисов, которые вам не нужны:
| Сервис | Зачем он есть | Отключить если |
|---|---|---|
| Telnet | Отладка производителем | Всегда — небезопасный протокол |
| FTP | Загрузка записей на FTP-сервер | Если не используете FTP |
| SSH | Удалённое управление | Если не используете SSH |
| UPnP | Автоматический проброс портов | Всегда — открывает порты без вашего ведома |
| SNMP | Мониторинг сети | Если не используете SNMP |
| Multicast | Вещание в сеть | Если нет мультикаст-клиентов |
| CGI | Веб-API управления | Ограничить доступ по IP |
| ONVIF | Стандарт интеграции | Оставить только если нужна интеграция |
Как отключить (Hikvision):
configuration
→ Network → Advanced Settings
→ Integration Protocol → ONVIF: Disable (если не нужен)
Configuration → System → Security
→ Telnet: Disable
→ SSH: Disable (или ограничить по IP)
Configuration → Network → Basic Settings
→ UPnP: Disable
6.4 Настройка брандмауэра камеры
Некоторые DVR имеют встроенный IP-фильтр:
hikvision
:
Configuration → System → Security → IP Address Filter
→ Enable IP Address Filter: включить
→ Filter Type: Whitelist
→ Добавить только IP адреса, которым разрешён доступ (ваша подсеть)
После настройки белого списка — доступ к веб-интерфейсу камеры только с разрешённых IP.
7. Шаг 4 — Сегрегация сети: VLAN и гостевая сеть для камер
Даже взломанная камера в изолированной сети не даёт доступа к вашим компьютерам и телефонам.
7.1 Почему сегрегация критична
text
БЕЗ сегрегации:
[Интернет] → [Роутер] → [Общая сеть]
↓
[ПК] [Телефон] [NAS] [Камеры DVR]
Взломана камера → атакующий внутри вашей сети → доступ ко всему
С сегрегацией:
[Интернет] → [Роутер] → [Основная сеть: ПК, Телефон, NAS]
↓
[IoT сеть: Камеры, DVR, Smart TV]
Взломана камера → атакующий в изолированной IoT-сети → нет доступа к основным устройствам
7.2 Метод 1 — Гостевая сеть (5 минут, любой роутер)
Самый простой способ без продвинутых знаний:
text
Роутер (192.168.1.1) → Wireless → Guest Network
→ Enable Guest Network: On
→ SSID: «Home_Cameras» (отдельное имя)
→ Client Isolation: Enable (камеры не видят друг друга)
→ Access to Local Network: Deny (главное — запрет доступа к основной сети)
→ Save
Подключить к гостевой сети: все камеры, DVR/NVR, Smart TV, умные розетки.
Оставить в основной сети: ПК, ноутбуки, телефоны, NAS.
7.3 Метод 2 — VLAN (для роутеров с поддержкой: Asus, MikroTik, Ubiquiti)
VLAN даёт более строгую изоляцию чем гостевая сеть:
MikroTik:
ip
→ DHCP Server → добавить новый сервер для VLAN 10
Bridge → VLANs → добавить VLAN 10
IP → Firewall → добавить правило: запрет VLAN 10 → LAN (основная сеть)
Разрешить: VLAN 10 → WAN (интернет)
ASUS (Merlin прошивка):
lan
→ VLAN → создать VLAN для камер
Firewall → правило: запрет IoT VLAN → основная сеть
Ubiquiti UniFi:
networks
→ Create Network → VLAN ID: 10, Name: Cameras
Firewall Rules → добавить: deny from VLAN10 to LAN
7.4 Проверка изоляции
После настройки — убедитесь что изоляция работает:
text
Подключитесь к сети камер (гостевая/VLAN)
→ Попробуйте пинговать устройства основной сети:
ping 192.168.1.100 (адрес вашего ПК)
Если пинг НЕ проходит — изоляция работает ✅
Если пинг проходит — настройка неверная, проверьте правила файервола ❌
7.5 DNS-фильтрация для IoT-сети
Дополнительный слой: заблокировать подозрительные домены камер на уровне DNS:
text
Роутер → Guest Network / VLAN → DNS
→ Первичный DNS: 1.1.1.2 (Cloudflare с фильтрацией малвари)
→ Вторичный DNS: 1.0.0.2
Или использовать NextDNS:
nextdns.io → создать профиль → включить блокировку трекеров
→ применить DNS для IoT-сети
8. Шаг 5 — Безопасный удалённый доступ: VPN вместо проброса портов
Проброс портов (Port Forwarding) — открыть дыру в домашней сети для доступа снаружи. Это прямо противоположно безопасности.
8.1 Почему проброс портов опасен
text
Проброс порта 8080 → DVR:
[Интернет] → порт 8080 → [DVR напрямую]
Любой в интернете может атаковать DVR напрямую.
Shodan индексирует такие устройства автоматически.
Боты пробуют заводские пароли в течение минут.
8.2 Вариант А — WireGuard VPN на роутере
WireGuard — современный, быстрый, простой VPN. Поддерживается большинством современных роутеров.
Настройка на Keenetic:
text
Приложения → WireGuard VPN → Включить
→ Добавить подключение → Генерировать ключи
→ Скопировать конфигурацию → импортировать в WireGuard-клиент на телефоне
Настройка на ASUS (Merlin):
vpn
→ VPN Server → WireGuard → Enable
→ Generate Key Pair → Apply
→ Add Client → Download Config
После подключения к WireGuard с телефона — вы внутри домашней сети, можете открывать камеры по локальному IP без проброса портов.
8.3 Вариант Б — Tailscale (самый простой VPN)
Tailscale — VPN с нулевой конфигурацией. Работает через облако Tailscale, но зашифрован E2E (WireGuard под капотом):
tailscale
.com → скачать → установить на роутер или NAS (Synology, QNAP)
→ Войти через Google/GitHub аккаунт
→ Установить Tailscale на телефон → войти
→ Готово: телефон видит домашнюю сеть как локальную
Настройка на Synology NAS:
package
Center → Tailscale → Install → Enable
→ Теперь NAS доступен через Tailscale IP
→ Если NVR подключён к NAS — доступ к записям через Tailscale
8.4 Вариант В — Nginx Proxy Manager (обратный прокси)
Для тех, кто хочет HTTPS-доступ к камерам без VPN:
text
Установить Nginx Proxy Manager (Docker):
docker run -d --name npm -p 80:80 -p 443:443 -p 81:81 \
jc21/nginx-proxy-manager:latest
→ Открыть :81 → настроить Proxy Host
→ Forward Hostname: 192.168.1.64 (IP DVR)
→ SSL: Let's Encrypt → ввести домен
→ Access List: ограничить по IP или добавить Basic Auth
Результат: `https://cameras.yourdomain.ru` → доступ к DVR через HTTPS с сертификатом. Без открытых портов DVR напрямую.
8.5 Сравнение методов удалённого доступа
| Метод | Сложность | Безопасность | Скорость | P2P-серверы | Проброс портов |
|---|---|---|---|---|---|
| P2P (заводской) | ★☆☆☆☆ | ★☆☆☆☆ | ★★★★☆ | ✅ (риск) | ❌ |
| Проброс портов | ★★☆☆☆ | ★★☆☆☆ | ★★★★★ | ❌ | ✅ (опасно) |
| WireGuard VPN | ★★★☆☆ | ★★★★★ | ★★★★☆ | ❌ | Только VPN-порт |
| Tailscale | ★★☆☆☆ | ★★★★☆ | ★★★★☆ | Tailscale | ❌ |
| Nginx Proxy Manager | ★★★★☆ | ★★★★☆ | ★★★★★ | ❌ | Только 443 |
9. Локальное хранение против облака: что безопаснее
9.1 Облачное хранение: удобно, но рискованно
| Риск облачного хранения | Реальный пример |
|---|---|
| Утечка данных на стороне вендора | Ring (Amazon): сотрудники смотрели записи клиентов (2019) |
| Запросы правоохранителей | Amazon передала Ring-записи полиции без ордера (2022) |
| Прекращение сервиса | Google Nest Secure закрыт 2023, данные удалены |
| Взлом аккаунта = доступ к записям | Достаточно скомпрометировать email |
| Передача данных третьим партнёрам | Hikvision Hik-Connect: данные в Китае |
9.2 Локальное хранение: схемы
Схема 1 — SD-карта в камере:
text
Плюсы: автономно, нет NVR, дёшево
Минусы: ограниченный объём (до 256 ГБ), легко украсть вместе с камерой
Когда: дача, временное решение
Схема 2 — NVR с HDD:
text
Плюсы: большой объём (до нескольких ТБ), централизованное управление
Минусы: нужно место и питание, уязвим физически
Когда: дом, офис, постоянная установка
NVR рекомендации: Reolink RLN8-410, Annke N48PBB, Dahua NVR (без P2P)
Схема 3 — NAS + IP-камеры:
text
Синхронизировать камеры с NAS (Synology, QNAP)
→ Surveillance Station (Synology) или QVR Pro (QNAP)
→ Запись локально на диски NAS
→ Удалённый доступ через Tailscale или VPN
Плюсы: гибкость, большой объём, интеграция с другими сервисами NAS
Схема 4 — ПК с Frigate / Shinobi:
frigate
(open source): frigate.video
→ Установить как Docker-контейнер на домашний ПК
→ Подключить IP-камеры через RTSP
→ Запись локально, детекция движения, уведомления
→ Никаких облаков, никаких вендоров
Shinobi: shinobi.video — аналог, более простой интерфейс
9.3 Сколько места нужно
| Количество камер | Разрешение | Запись 24/7 | Хранение 7 дней | Хранение 30 дней |
|---|---|---|---|---|
| 1 | 1080p | H.264 | ~75 ГБ | ~320 ГБ |
| 4 | 1080p | H.264 | ~300 ГБ | ~1.3 ТБ |
| 8 | 1080p | H.264 | ~600 ГБ | ~2.5 ТБ |
| 4 | 4K | H.265 | ~400 ГБ | ~1.7 ТБ |
> 📌 H.265 (HEVC) даёт в 2 раза меньший размер файла при том же качестве. Выбирайте камеры и NVR с поддержкой H.265.
10. Таблица уязвимостей брендов: Hikvision, Dahua, TP-Link, Reolink, Xiaomi
10.1 Hikvision
| Аспект | Оценка | Детали |
|---|---|---|
| Серьёзные CVE | ⚠️ | CVE-2021-36260 (CVSS 9.8): RCE без аутентификации |
| Санкции | ❌ | Санкционный список США (BIS Entity List) с 2022 |
| P2P-риск | ⚠️ | Hik-Connect: серверы в Китае |
| Обновления прошивки | ✅ | Активный выпуск патчей |
| Рекомендация | ⚠️ | Использовать только локально, без P2P, обновлять прошивку |
10.2 Dahua
| Аспект | Оценка | Детали |
|---|---|---|
| Серьёзные CVE | ⚠️ | CVE-2021-33044, CVE-2021-33045: обход аутентификации |
| Санкции | ❌ | Санкционный список США с 2019 |
| P2P-риск | ⚠️ | DMSS: серверы в Китае |
| Рекомендация | ⚠️ | Аналогично Hikvision: только локально без P2P |
10.3 TP-Link VIGI
| Аспект | Оценка | Детали |
|---|---|---|
| Серьёзные CVE | ✅ | Меньше публичных CVE высокой критичности |
| Политический риск | ⚠️ | Расследование Конгресса США (2024) о связях с Китаем |
| P2P-риск | ⚠️ | TP-Link Cloud: серверы США/Китай |
| Рекомендация | ⚠️ | Отключить TP-Link Cloud, использовать локально |
10.4 Reolink
| Аспект | Оценка | Детали |
|---|---|---|
| Серьёзные CVE | ⚠️ | CVE-2023-26801: RCE через RTSP |
| P2P-риск | ⚠️ | Reolink Cloud: серверы в Китае |
| Локальный режим | ✅ | Поддерживает NVR и SD без облака |
| Рекомендация | ✅ | Хороший выбор при отключённом облаке и обновлённой прошивке |
10.5 Альтернативы с лучшей репутацией безопасности
| Бренд | Страна | Серьёзные CVE | P2P-серверы | Рекомендация для высоких требований |
|---|---|---|---|---|
| Axis | Швеция | Минимум | Швеция | ✅ Корпоративный выбор |
| Hanwha | Корея | Мало | Корея | ✅ Хорошая репутация |
| Mobotix | Германия | Минимум | Германия | ✅ Высокий уровень |
| Avigilon | Канада | Мало | США | ✅ Корпоративный |
11. Корпоративный сценарий: видеонаблюдение без утечки к вендору
11.1 Требования корпоративного уровня
text
Обязательно:
→ Локальное хранение (NVR / NAS) без облачного дублирования
→ Изолированная сеть камер (VLAN) без доступа к корпоративной сети
→ VPN для удалённого доступа администраторов
→ Документированная политика доступа к записям
→ Журнал доступа к системе видеонаблюдения
Желательно:
→ Камеры без P2P (или P2P принудительно отключён через firewall)
→ Обновление прошивки по расписанию (раз в квартал)
→ Отдельный пользователь с минимальными правами для просмотра
→ Шифрование записей на NAS
11.2 Блокировка P2P на уровне сети (без настройки каждой камеры)
Если камер много — заблокировать P2P-серверы на уровне роутера/файервола:
text
Заблокировать домены Hikvision P2P:
→ *.hik-online.com
→ *.hik-connect.com
→ litedev.hik-online.com
Заблокировать домены Dahua P2P:
→ *.easy4ip.com
→ *.dahuap2p.com
MikroTik (пример):
/ip dns static
add name="*.hik-connect.com" address=0.0.0.0
add name="*.easy4ip.com" address=0.0.0.0
11.3 Frigate для корпоративного использования
Frigate — open-source NVR без облака, с детекцией объектов:
yaml
# docker-compose.yml для Frigate
version: "3.9"
services:
frigate:
image: ghcr.io/blakeblackshear/frigate:stable
privileged: true
volumes:
- ./config:/config
- /mnt/storage:/media/frigate
ports:
- "5000:5000" # веб-интерфейс
- "8554:8554" # RTSP-трансляция
environment:
FRIGATE_RTSP_PASSWORD: "StrongPassword123!"
yaml
# config.yml для Frigate
cameras:
entrance:
ffmpeg:
inputs:
- path: rtsp://admin:password@192.168.10.5:554/stream1
roles:
- detect
- record
record:
enabled: true
retain:
days: 30
detect:
enabled: true
width: 1920
height: 1080
11.4 Политика доступа к записям
text
Документ: «Политика использования системы видеонаблюдения»
Кто имеет доступ к записям: [список должностей]
Основания для просмотра: [инциденты, расследования]
Кто авторизует просмотр: [руководитель / служба безопасности]
Журнал просмотров: вести обязательно (ФИО, дата, время, причина)
Хранение записей: [30/60/90 дней] в соответствии с 152-ФЗ
Уведомление сотрудников: таблички «ведётся видеонаблюдение» (обязательно по ТК РФ)
12. Физическая безопасность камер: защита от кражи и тампера
12.1 Защита камер от физического доступа
text
Монтаж:
→ Камеру устанавливать выше 2.5 метров (вне досягаемости без лестницы)
→ Кабель питания и сети прокладывать скрытно (в трубе, в стене)
→ Использовать антивандальные корпуса (IK10 — выдерживает удар 20 Дж)
Тампер-защита:
→ Включить оповещение о тампере в настройках камеры:
Hikvision: Configuration → Events → Basic Events → Tampering Detection → Enable
Dahua: Setting → Event → Video Detect → Tamper → Enable
→ При закрытии объектива — немедленное уведомление
12.2 PoE vs WiFi-камеры с точки зрения безопасности
| Параметр | PoE (проводные) | Wi-Fi камеры |
|---|---|---|
| Перехват трафика | Сложнее (нужен физ. доступ к кабелю) | Проще (Wi-Fi сниффинг) |
| Надёжность соединения | ★★★★★ | ★★★☆☆ (помехи, зона покрытия) |
| Питание | Через кабель (нет батареи) | Батарея или адаптер |
| Уязвимость | Evil Twin невозможен | Evil Twin атака возможна |
| Рекомендация | ✅ Предпочтительно | ⚠️ Только при невозможности проводки |
12.3 Резервирование: что если DVR украли
text
Защита от кражи DVR:
→ NAS в отдельном помещении (не там же где DVR)
→ Настроить синхронизацию записей DVR → NAS в реальном времени
→ При краже DVR — записи сохранены на NAS
Или:
→ Frigate на NAS: DVR не нужен вообще
→ Камеры → напрямую в NAS через Frigate
Дополнительно:
→ NAS в металлическом шкафу с замком
→ Кабель Kensington для NAS
→ Резервная копия конфигурации в зашифрованном облаке
13. FAQ: 20 горячих вопросов
Q 01 Как узнать что мою камеру взломали?
A Признаки: камера самопроизвольно перезагружается, индикатор активности горит когда никто не смотрит, заметно снижение производительности, появились неизвестные пользователи в настройках, изменились настройки без вашего ведома. Проверьте журнал доступа: Configuration → System → Maintenance → Log.
Q 02 Можно ли использовать Hikvision / Dahua несмотря на санкции?
A В России — юридически да. Санкции США не запрещают использование российскими гражданами. Но технические риски остаются: CVE-уязвимости реальны независимо от политики. Используйте с отключённым P2P, обновлённой прошивкой и в изолированной сети.
Q 03 RTSP-поток — это безопасно?
A RTSP без шифрования передаёт видео в открытом виде. Кто угодно в той же сети может перехватить поток через Wireshark. Защита: RTSP только в изолированной сети камер, просмотр через VPN. Некоторые камеры поддерживают RTSPS (RTSP over TLS) — включайте если есть.
Q 04 Камера с ИИ-детекцией — куда уходят данные?
A Зависит от модели. Локальная детекция (Google Coral TPU, нейросеть на чипе камеры) — данные не покидают камеру. Облачная детекция (Hikvision HEOP, Dahua AI Cloud) — видеопоток или кадры уходят на серверы производителя. Уточняйте перед покупкой.
Q 05 UPnP на роутере — почему опасно?
A UPnP позволяет устройствам внутри сети самостоятельно открывать порты на роутере. Камера с вредоносной прошивкой или взломанная камера может открыть себе порт без вашего ведома. Отключите UPnP на роутере и прокидывайте порты только вручную.
Q 06 Что такое ONVIF и нужно ли его отключать?
A ONVIF — стандарт для интеграции камер разных производителей с NVR/программным обеспечением. Нужен если вы используете стороннее ПО (iSpy, Blue Iris, Frigate). Если используете только родной DVR производителя — ONVIF можно отключить, уменьшив поверхность атаки.
Q 07 Можно ли использовать публичные NTP-серверы для камер?
A Да, но лучше использовать NTP-сервер роутера. Точное время критично для журналов и юридической силы записей. Настройка: Configuration → System → Time Settings → NTP → ввести адрес роутера (192.168.1.1).
Q 08 Как часто нужно обновлять прошивку камер?
A Проверяйте раз в квартал. При выходе критического CVE (CVSS > 7.0) — обновляйте немедленно. Подпишитесь на рассылку производителя или следите за CVE базой: cve.org, поиск по бренду.
Q 09 Что лучше — NVR производителя или Frigate/Blue Iris?
A NVR производителя: проще настроить, лучшая совместимость с их камерами, но привязка к вендору. Frigate/Blue Iris: полная независимость, нет облака, больше гибкости, детекция объектов. Для дома — Frigate отличный выбор. Для бизнеса без IT-специалиста — NVR производителя с локальным хранением.
Q 10 Мой провайдер даёт серый IP. Как смотреть камеры удалённо?
A Серый IP = нет прямого доступа снаружи. Варианты: Tailscale (работает за NAT), Zerotier (аналог), аренда VPS с белым IP + WireGuard туннель от роутера до VPS, Cloudflare Tunnel (бесплатно, но через серверы Cloudflare).
Q 11 Стоит ли покупать б/у камеры и DVR?
A С осторожностью. Риски: прошивка могла быть изменена предыдущим владельцем, могут быть скрытые аккаунты. Обязательно: сброс к заводским настройкам + обновление прошивки с официального сайта + проверка всех аккаунтов. Лучше избегать б/у DVR — сложнее проверить.
Q 12 Нужно ли уведомлять людей о видеонаблюдении?
A По российскому законодательству (152-ФЗ, ст. 23 Конституции): на публичных территориях и в офисах — обязательны таблички «Ведётся видеонаблюдение». Скрытое наблюдение за сотрудниками без уведомления — нарушение ТК РФ. В частном доме/квартире — личное дело, но направление камеры на соседей или публичную территорию — юридически спорно.
Q 13 Что такое Evil Twin атака на Wi-Fi камеру?
A Злоумышленник создаёт точку доступа с тем же именем и более сильным сигналом. Камера переключается на неё. Злоумышленник перехватывает поток или подменяет прошивку. Защита: использовать проводные PoE-камеры там где возможно; для Wi-Fi — 802.1X аутентификация.
Q 14 Frigate требует мощного ПК?
A Зависит от количества камер и детекции. Без детекции: 4 камеры 1080p — Raspberry Pi 4 справляется. С детекцией объектов: рекомендуется Google Coral USB ($60) или Intel QuickSync. 8 камер 4K с детекцией — нужен нормальный ПК (i5/i7 8+ поколения) или NAS с x86 процессором.
Q 15 Как настроить уведомления при движении без облака?
A Frigate → Home Assistant (локальный) → уведомление в Telegram через бота. Или: камера → SMTP → письмо на почту (встроено в большинство DVR). Или: DVR → FTP → локальный сервер (скрипт мониторинга папки → уведомление).
Q 16 Насколько безопасен Tailscale?
A Tailscale использует WireGuard для шифрования — трафик E2E зашифрован, Tailscale видит только метаданные (кто к кому подключается). Для домашнего использования — отличный выбор. Для корпоративного с высокими требованиями — лучше собственный WireGuard без зависимости от третьей стороны.
Q 17 Что делать если уже взломали камеру?
A Немедленно: отключить камеру от сети. Сбросить к заводским настройкам. Обновить прошивку. Сменить все пароли (камера, DVR, роутер, связанные аккаунты). Проверить другие устройства в сети на признаки компрометации. Закрыть все проброшенные порты. Настроить сегрегацию сети.
Q 18 Камеры Ring / Arlo / Nest — насколько они безопасны?
A Это облачные системы — данные хранятся на серверах Amazon/Google/Arlo. Плюсы: простая настройка, автообновления, 2FA. Минусы: производитель имеет доступ к записям, запросы полиции выполняются автоматически в ряде случаев (Ring), прекращение сервиса = потеря данных. Для приватности — локальные решения предпочтительнее.
Q 19 Нужен ли антивирус для DVR?
A Нет традиционного антивируса — DVR работает на Linux без поддержки сторонних приложений. Защита другим способом: регулярные обновления прошивки (патчи CVE), изоляция сети, отключение ненужных сервисов, сильные пароли. Это и есть «антивирус» для IoT-устройств.
Q 20 Что выбрать: облачная камера или локальная для дачи без постоянного интернета?
A Для дачи без постоянного интернета: 4G-роутер + камеры с SD-картами + Reolink NVR (локальное хранение). При наличии интернета: Tailscale на роутере → доступ к камерам удалённо без облака. Облачные камеры (Ring, Arlo) требуют постоянного интернета — не подходят для нестабильного соединения.
14. Чек-лист «30 мин до защищённой системы видеонаблюдения»
Блок 1: Аудит текущего состояния (5 мин)
- ☐ Узнать свой внешний IP → проверить через shodan.io
- ☐ Войти в веб-интерфейс DVR/камер → проверить текущие пароли
- ☐ Проверить какие порты проброшены на роутере (NAT/Port Forwarding)
- ☐ Проверить включён ли P2P/облачный сервис
Блок 2: Базовая защита (10 мин)
- ☐ Сменить пароль на DVR: минимум 12 символов, буквы+цифры+символы
- ☐ Сменить пароль на каждой камере отдельно
- ☐ Отключить P2P (Hik-Connect / DMSS / Reolink Cloud)
- ☐ Отключить UPnP на роутере
- ☐ Закрыть все проброшенные порты камер/DVR
Блок 3: Сетевая защита (10 мин)
- ☐ Создать гостевую сеть на роутере для камер
- ☐ Подключить все камеры и DVR к гостевой сети
- ☐ Включить Client Isolation и запрет доступа к основной сети
- ☐ Проверить изоляцию: пинг с сети камер → основная сеть не проходит
Блок 4: Обновление и удалённый доступ (5 мин)
- ☐ Проверить актуальность прошивки на сайте производителя
- ☐ Установить обновление прошивки если есть
- ☐ Отключить Telnet, FTP, UPnP в настройках устройства
- ☐ Настроить WireGuard или Tailscale для удалённого доступа (вместо P2P)
Итого: 30 минут — система видеонаблюдения защищена от 95% типичных атак.
15. Заключение: что делать дальше
1. Проверьте свой IP в Shodan прямо сейчас — это займёт 2 минуты. Если камера видна извне — первоочерёдная задача закрыть это до следующего шага.
2. Смените пароли на DVR и каждой камере — это самое важное действие. Половина взломов происходит именно через заводские учётные данные. 5 минут работы закрывают 80% угроз.
3. Отключите P2P / облачный сервис производителя — и настройте WireGuard или Tailscale для удалённого доступа. Это чуть сложнее, но устраняет самый непрозрачный канал передачи данных.
4. Создайте гостевую сеть для камер — одна настройка в роутере изолирует все IoT-устройства. Даже если камеру взломают — злоумышленник не попадёт на ваши компьютеры и NAS.
5. Настройте обновление прошивки по расписанию — подпишитесь на уведомления о CVE вашего бренда. Критические уязвимости с CVSS 9.8 появляются несколько раз в год.
6. Рассмотрите переход на Frigate + NAS — это единственное решение, при котором ни вендор, ни облако не имеют доступа к вашим записям. Один раз настроить — работает без облака годами.
> 🔒 Камера видеонаблюдения должна защищать вас — а не создавать новую точку входа для злоумышленников. Три простых шага (пароль, P2P, изоляция сети) закрывают подавляющее большинство реальных угроз. Остальное — уровень параноя выбираете сами.