PVDR-04FDS2, проблема с сетевой безопасносью, Обсуждение возможности эксплуатации регистратора с реальным IP-адресом. Так же касается PVDR-08NRL2.

28 сентября 2015, 10:22,отредактированно 10 июля 2017, 14:54

Здравствуйте.

У нас есть клиент (речь об интернет-услугах), владеющий регистраторами PVDR-04FDS2 и PVDR-08NRL2 и желающий эксплуатировать их на реальных IP. Эта эксплуатация приводит к образованию нежелательного трафика и жалобам на DoS-атаки со стороны этого клиента. Клиент утверждает, что прошивки у регистраторов стоят последние (при необходимости можно проверить). Так же, могу насобирать дампов нежелательного трафика. Можно ли что-то с этим сделать, или клиенту следует убрать камеры на приватные IP и поставить у себя VPN-сервер для попадания в свою внутреннюю сеть? Понятно, что убрать камеры вовнутрь, правильное решение само по себе, но клиент не хочет пока.

С уважением, Сергей.

Комментарии ()

  1. asy 28 сентября 2015, 10:09 # 0
    Добрый день!
    Что подразумевается под нежелательным трафиком?
    Если вы используете белые IP адреса, то возможно стоит отключить функцию облачного сервиса.
    Под IP систему видеонаблюдения всегда лучше использовать отдельную локальную сеть.

    1. asy 28 сентября 2015, 10:09 # 0
      ЦитатаЧто подразумевается под нежелательным трафиком?
      UDP-трафик на IP-адреса, с которых не заказывали его. Очевидно, что речь про какой-то вариант, аналогично описанному тут: https://www.us-cert.gov/ncas/alerts/TA14-017A
      ЦитатаЕсли вы используете белые IP адреса, то возможно стоит отключить функцию облачного сервиса.
      Я так понимаю, держатели сервиса не жаловались бы. Про «всегда лучше» я в курсе, я бы так и делал. Но, в данном случае, надо либо решить вопрос с камерами, либо убеждать клиента сделать правильно. Либо отказать клиенту в услуге доступа в Интернет. Последнее делать не хотелось бы. Но, так же, не хочется за него решать вопросы организации его сети: это не задача ИСП.

      В общем, надо решение вопроса либо путём исправления ошибок в ПО (или рекомендациями по настройке камер, если там что-то такое есть), либо официальным заявлением производителя о том, что камеры не предназначены для работы на реальных IP, чтобы показать это клиенту. Про облачный сервис клиент посмотрит.

      1. artur 28 сентября 2015, 15:09 # 0
        ЦитатаLAN пишет:
        Добрый день!
        Что подразумевается под нежелательным трафиком?
        Если вы используете белые IP адреса, то возможно стоит отключить функцию облачного сервиса.
        Под IP систему видеонаблюдения всегда лучше использовать отдельную локальную сеть.


        Я как раз тот самый клиент на которого поступают жалобы и хочу уточнить детали.
        IP-камеры на приватных адресах, сам IP-регистратор PVDR-08NRL2 с реальным.
        Есть еще аналоговый регистратор PVDR-04FDS2 с реальным IP.
        Облачный сервис отключен в обоих регистраторах.
        Реальные адреса приходится использовать для того, чтобы иметь доступ к изображению и записям камер
        с мобильных устройств через приложение vMEyeSuper.

        С недавних порт посыпались жалобы о которых упоминается топикстартером.
        Обновление прошивок регистраторов до самых новых найденных на оф.сайте проблему не решило

        Как быть дальше?

        1. artur 28 сентября 2015, 16:09 # 0
          Попробуйте откатиться на более старую версию прошивки и сбросить всё на заводские настройки. Далее посмотреть куда пойдут пакеты.

          1. asy 28 сентября 2015, 18:09 # 0
            ЦитатаДалее посмотреть куда пойдут пакеты.

            Так очевидно, что туда, откуда пришёл запрос. Беда в том, что для UDP нет понятия «сессия», соответственно атакующий может послать запрос на некий UDP-поток (в частности, видеопоток), подставив IP жертвы в качестве источника. В итоге устройство сформирует поток данных туда, куда не надо. Мне видится, что устройство не должно допускать исполнения запросов на получение данных с IP-адресов, с которых не выполнена авторизация. Но, видимо, устройство (точнее, оба) такую возможность допускает каким-то образом.

            1. asy 28 сентября 2015, 18:09 # 0
              Кстати, а ПО уникальной разработки, или там какие-то готовые компоненты есть известные?

              1. infomodx 29 сентября 2015, 12:09 # 0
                Давайте попробуем разобраться с самого начала.
                Вы указали на наличие нежелательного трафика и предложили собрать дампы. Если это возможно, не могли бы вы подробнее описать, конкретно про какой типа трафика идет речь?
                Цитатаasy пишет:
                Очевидно, что речь про какой-то вариант, аналогично описанному тут: https://www.us-cert.gov/ncas/alerts/TA14-017A


                Попробуем уточнить фразу про «какой-то вариант». Постараемся помочь с решением данной проблемы. Деталей бы побольше только.
                Каким образом идут жалобы на dDos атаку? каким программным продуктом определяются данные атаки? с каких адресов/на какие адреса идут нежелательные пакеты?

                Ну и дамп трафика было бы тоже неплохо получить

                1. artur 29 сентября 2015, 12:09 # 0
                  Сегодня внимательно посмотрел версии прошивок:

                  аналоговый регистратор PVDR-04FDS2
                  Версия V4.02.R11.34654081.11101
                  Дата сборки 2013-06-01 15:25:39
                  SerialID 839d1eff5c0e968a

                  IP-регистратор PVDR-08NRL2
                  Версия V4.02.R11.34654075.12001
                  Дата сборки 2013-06-03 13:30:43
                  Обновленный Дата (29541)
                  SerialID 2d968417a269affc

                  Жалобы поступают одновременно на оба регистратора. Суть проблемы одинаковая. Подробности пришлет asy.
                  У меня пока лишь ВОПРОС: мне пытаться загружать какие-то другие варианты прошивок? Если Да, подскажите пожалуйста точнее какие.

                  1. asy 29 сентября 2015, 13:09 # 0
                    Цитатаsvminevich пишет:
                    не могли бы вы подробнее описать, конкретно про какой типа трафика идет речь?
                    Могу, но не сразу: пока не было понятно, что с кем-то можно пообщаться, я не ставил себе целью разобраться подробно. Пока могу только переслать несколько типовых жалоб на E-Mail. Через форум неудобно — там килобайт по 5 сообщения. Вообще, в письмах упоминается несколько вариантов с фрагментом дампа; может, там и угадали.
                    ЦитатаКаким образом идут жалобы на dDos атаку? каким программным продуктом определяются данные атаки? с каких адресов/на какие адреса идут нежелательные пакеты?
                    Многие операторы имеют системы для обнаружения нежелательного трафика и уведомления операторов, которым распределены IP-адреса с источником такого трафика. Из писем, которые я предлагаю переслать, это будет понятно.
                    ЦитатаНу и дамп трафика было бы тоже неплохо получить
                    Сегодня настрою сбор дампа и буду ждать очередного повторения.

                    1. infomodx 29 сентября 2015, 14:09 # 0
                      ЦитатаArturShlikov пишет:
                      Сегодня внимательно посмотрел версии прошивок:


                      Прошивки хорошо бы обновить на последние с сайта.

                      Цитатаasy пишет:
                      могу только переслать несколько типовых жалоб на E-Mail


                      Отправил почту в личку

                      1. artur 29 сентября 2015, 15:09 # 0
                        Я опасаюсь ошибиться с выбором прошивки. На сайте есть прошивки для моделей с названием PVDR-04FDS2 и PVDR-08NRL2,
                        а еще есть с rev.
                        По процитированным мной SerialID можно как-то уточнить модель и rev.?

                        > Прошивки хорошо бы обновить на последние с сайта.

                        1. Антон_тех.поддержка 29 сентября 2015, 15:09 # 0
                          Нет, уточняйте модель и прошивайте.
                          Либо с коробки полное название можете увидить, либо на нижней стенке регистратора стикер наклеен.

                          1. Freeze 05 октября 2015, 12:10 # 0
                            Цитатаasy пишет:
                            Здравствуйте.



                            У нас есть клиент (речь об интернет-услугах), владеющий регистраторами PVDR-04FDS2 и PVDR-08NRL2 и желающий эксплуатировать их на реальных IP. Эта эксплуатация приводит к образованию нежелательного трафика и жалобам на DoS-атаки со стороны этого клиента. Клиент утверждает, что прошивки у регистраторов стоят последние (при необходимости можно проверить). Так же, могу насобирать дампов нежелательного трафика. Можно ли что-то с этим сделать, или клиенту следует убрать камеры на приватные IP и поставить у себя VPN-сервер для попадания в свою внутреннюю сеть? Понятно, что убрать камеры вовнутрь, правильное решение само по себе, но клиент не хочет пока.



                            С уважением, Сергей.

                            Об этом несколько раз писал iTuneDVR.
                            Во первых если у вас на регистраторе включено облако то рег шлёт китайцам какие то скрины, независимо от того используете вы облако или нет.
                            Во вторых если вы хот раз выставляете регистратор в сеть с стандартными портами и стандартным паролем, есть вероятность записи в ваш рег исполняемого скрипта который превращает ваш рег в часть большой бот нет сети которая может заниматься например подсчётом биткоинов.

                            1. infomodx 13 октября 2015, 16:10 # 0
                              Попробуйте обновить прошивку для PVDR-08NRL2, должна помочь с проблемой неконтролируемого траффика.

                              http://support.polyvision.ru/data/public/998953.php

                              1. artur 26 октября 2015, 11:10 # 0
                                В конце сентября обновил прошивку PVDR-08NRL2 до вот этой (...20140504.bin):
                                https://support.polyvision.ru/data/public/e446e3.php

                                Пока жалоб на нежелательный трафик не было. Понаблюдаем еще некоторое время.
                                Если повторятся, то обязательно обновлю. Или это надо сделать в любом случае?

                                1. artur 26 октября 2015, 11:10 # 0
                                  а с аналоговым регистратором PVDR-04FDS2 на самом деле нашел неточность. Правильная модель PVDR-04WDS2.

                                  Ему тоже в конце сентября обновлена прошивка до (...20131205.bin)
                                  https://support.polyvision.ru/data/public/ef1893.php

                                  Наблюдаем, ждем жалоб. Если есть более свежая прошивка, то подскажите где взять.

                                  1. PetrOzz 19 ноября 2015, 16:11 # 0
                                    ЦитатаLAN пишет:


                                    Реальные адреса приходится использовать для того, чтобы иметь доступ к изображению и записям камер

                                    с мобильных устройств через приложение vMEyeSuper.



                                    Вклинюсь в ваш разговор.
                                    Насколько я понял, все крутится около приложения, которое удобно клиенту?
                                    А почему ему не сэкономить на ежемесячных оплатах, перейдя с белых айпишников на клауд-сервис, и поставить другое приложение, чтобы заходить на регистраторы через «облако»?

                                    Вы должны авторизоваться, чтобы оставлять комментарии.