Видеонаблюдение

Как защитить систему видеонаблюдения от взлома: комплексный технический подход

Опубликовано author-avatar
1765632543

Современные IP-системы видеонаблюдения — это высокотехнологичные решения, объединяющие сетевые камеры, видеорегистраторы (NVR/DVR), облачные платформы и аналитические AI-модули. Их уязвимости могут стать точкой входа для атак на всю ИТ-инфраструктуру организации. Согласно отчёту CyberPeace Institute (2024), более 68 % компрометаций в секторе физической безопасности начинались с компрометации камер или регистраторов.

В этой статье рассматриваются практические и технические меры по защите видеонаблюдения на всех уровнях: от физического устройства до облачного сервиса.

1765632520
  1. Повышение стойкости аутентификации

1.1. Пароли и учётные записи

· Используйте пароли длиной не менее 16 символов с комбинацией верхнего/нижнего регистра, цифр и специальных символов (например: 7#mQ!9vL$pK@2xWn).
· Замените все учётные записи по умолчанию, включая скрытые сервисные аккаунты (например, root, support), которые могут быть задокументированы в технической документации производителя.
· Отключите анонимный доступ (например, функцию «Guest View»), если она не требуется.

1.2. Двухфакторная аутентификация (2FA/MFA)

· Для систем, поддерживаемых через веб-интерфейс или мобильное приложение (например, Hikvision iVMS, Dahua DMSS), включите TOTP-аутентификацию (RFC 6238) через Google Authenticator или аналоги.
· В корпоративных средах интегрируйте видеосистемы с LDAP/Active Directory или SAML 2.0 для централизованного управления доступом.

  1. Управление прошивками и жизненным циклом устройств

2.1. Регулярное обновление firmware

· Проверяйте наличие обновлений не реже раза в квартал. Используйте инструменты вроде Hikvision Batch Configuration Tool или Dahua Device Manager для массового обновления.
· Убедитесь, что обновления загружаются только с официальных сайтов и имеют цифровую подпись (например, через SHA-256 hash).

2.2. End-of-Life (EOL) оборудование

· Устройства, достигшие конца жизненного цикла, более не получают обновлений безопасности. Например, камеры серий Hikvision DS-2CD2xxE-I до 2019 года уязвимы к CVE-2021-36260 (RCE через HTTP API).
· Составьте инвентарный реестр с указанием:
· Модели устройства,
· Версии прошивки,
· Даты EOL,
· Критических уязвимостей (через NVD/NIST).

  1. Сегментация сети и изоляция трафика

3.1. Использование VLAN и микросегментации

· Выделите камеры и NVR в отдельную VLAN (например, VLAN 200). Примените ACL (Access Control Lists) на коммутаторе:

  # Пример ACL на Cisco: разрешить только NVR → камеры
  access-list 101 permit tcp host 192.168.200.10 any eq 554 # RTSP
  access-list 101 deny ip any any

· В Wi-Fi: используйте гостевую сеть с изоляцией клиентов (AP Isolation).

3.2. Защита от L2-атак

· Включите Port Security и DHCP Snooping на коммутаторах, чтобы предотвратить:
· MAC-спуфинг,
· ARP-спуфинг,
· Rogue DHCP-серверы.

  1. Безопасные сетевые протоколы и шифрование

4.1. Протоколы передачи видео

Для обеспечения безопасности передачи видео рекомендуется использовать следующие протоколы с учетом их уровня защиты:

· HTTP
· Безопасность: ❌ Открытый текст (небезопасен).
· Рекомендация: Запретить использование.
· RTSP (Real Time Streaming Protocol)
· Безопасность: ❌ Без шифрования.
· Рекомендация: Использовать только внутри защищённой VLAN.
· HTTPS
· Безопасность: ✅ С шифрованием TLS 1.2/1.3.
· Рекомендация: Обязателен для веб-интерфейса систем видеонаблюдения.
· SRTP (Secure Real-time Transport Protocol)
· Безопасность: ✅ С шифрованием RTP-потока.
· Рекомендация: Использовать при поддержке оборудованием.
· ONVIF
· Безопасность: ✅ При использовании WS-Security.
· Рекомендация: Включить WS-Security вместе с Digest Authentication.

ONVIF Profile S с включённой опцией WS-Security обеспечивает шифрование SOAP-сообщений через XML Encryption.

4.2. Шифрование данных

· Включите AES-256 для локального хранилища (если NVR поддерживает BitLocker или LUKS).
· Для облачных систем — используйте только провайдеров с end-to-end шифрованием (например, Kinesis Video Streams с AWS KMS).

  1. Управление удалённым доступом

5.1. Замена P2P на защищённые каналы

· Отключите P2P-сервисы (Hik-Connect, Dahua Cloud), если не требуется удалённый просмотр.
· Вместо прямого проброса портов (:80, :554, :8000) используйте:
· IPsec/IKEv2 VPN (для мобильных пользователей),
· WireGuard (высокая производительность, <1 мс накладных расходов),
· Zero Trust Architecture через ZTNA-решения (например, Tailscale, Cloudflare Tunnel).

5.2. Настройка брандмауэра

· Разрешите доступ только с доверенных подсетей:

  # Пример iptables: только с корпоративного IP
  iptables -A INPUT -p tcp --dport 443 -s 203.0.113.0/24 -j ACCEPT
  iptables -A INPUT -p tcp --dport 443 -j DROP
  1. Отключение ненужных сервисов и портов

Проведите аудит открытых портов через nmap:

nmap -sV -p- 192.168.200.50

Типичные уязвимые сервисы в камерах:

· Telnet (23/tcp) — отключить немедленно.
· FTP (21/tcp) — заменить на SFTP/SCP.
· UPnP (1900/udp) — отключить: позволяет автоматически пробрасывать порты, что использовалось в ботнетах Mozi и Mirai.

CVE-2023-29287 (Dahua): RCE через FTP-сервер при обработке специально сформированных команд.

  1. Мониторинг и логирование

7.1. Централизованный SIEM

· Интегрируйте логи NVR/камер с SIEM-системой (Elastic Stack, Splunk, Wazuh):
· События входа/выхода,
· Изменения конфигурации,
· Неудачные попытки аутентификации (>5 за минуту → тревога).

7.2. IDS/IPS для видеотрафика

· Разверните Suricata или Snort с правилами для обнаружения:
· Попыток эксплуатации CVE-2021-36260 (Hikvision RCE),
· Подозрительных RTSP-команд (SET_PARAMETER, ANNOUNCE).

  1. Выбор оборудования: стандарты и сертификации

При закупке оборудования для систем видеонаблюдения ориентируйтесь на следующие ключевые критерии безопасности:

· Поддержка TLS 1.2+
· Что искать: Указание в спецификациях веб-интерфейса и документации.
· Соответствие GDPR / NIST SP 800-204B
· Что искать: Сертификация для использования на объектах с повышенными требованиями (государственные, медицинские).
· Наличие Common Criteria EAL2+
· Что искать: Подтверждённый уровень оценки безопасности оборудования.
· Поддержка IEEE 802.1X
· Что искать: Возможность аутентификации устройств в сети на уровне порта.

Пример безопасной архитектуры:

· Камеры: Axis A1615-E (поддержка TLS, S/MIME, сертификаты).
· NVR: Milestone XProtect Express+ с включённым FIPS 140-2.
· Сеть: Cisco Catalyst с TrustSec и MACsec.

  1. Физическая безопасность

· Установите NVR в серверной комнате с контролем доступа (RFID/биометрия).
· Используйте кабели в металлических коробах с пломбированием.
· На камерах включите защиту от вандализма (IK10) и тампер-детектор (сигнал при попытке закрыть/повернуть объектив).

  1. Регулярный пентест и аудит

Проводите тесты на проникновение раз в год:

· Сканирование уязвимостей через OpenVAS или Nessus,
· Проверка конфигурации через CIS Benchmarks for IP Cameras,
· Фишинг-симуляции для сотрудников с доступом к системе.

Заключение

Безопасность видеонаблюдения — это многоуровневая задача, требующая синергии сетевой инженерии, криптографии, управления жизненным циклом устройств и человеческого фактора. Даже самое дорогое оборудование станет «цифровой дырой», если не соблюдать базовые принципы информационной гигиены.

Правило нулевого доверия (Zero Trust): «Никто и ничто не доверяется по умолчанию — даже камера в вашем офисе».

Инвестируйте в безопасность так же, как в разрешение камер и ИК-подсветку. Потому что самое чёткое видео — бесполезно, если его смотрит злоумышленник.

© Технический обзор, актуален на 13 декабря 2025 года.

Источники: NIST SP 800-204B, CVE Details, MITRE ATT&CK, ONVIF Security Whitepaper 2024.

Следующая
Безопасный доступ к системам видеонаблюдения извне: Полное руководство по пробросу портов и защите вашей сети
Назад к списку
Предыдущая Протоколы Pelco: Стандарт управления PTZ-камерами, который пережил эпохи