Безопасность RTSP-камер: защита от взлома

Как защитить IP-камеры от взлома. Дефолтные пароли, открытые порты, шифрование RTSP. Чеклист безопасности видеонаблюдения.

Решить через RTSP.KZ Смотреть демо

Угрозы безопасности RTSP-камер

IP-камеры — одни из самых атакуемых IoT-устройств. По данным Shodan, в интернете открыто более 4 миллионов RTSP-потоков, многие — с дефолтными паролями.

Дефолтные пароли

Многие камеры поставляются с паролем admin/admin или admin/12345. Боты перебирают стандартные пароли 24/7. Если вы не сменили пароль — камеру уже смотрят другие.

Открытый порт 554

Проброс RTSP-порта в интернет = камера доступна всем. Сканеры (Shodan, Censys) находят открытые камеры за минуты.

Устаревшая прошивка

Уязвимости в прошивках Hikvision (CVE-2021-36260), Dahua и других. Без обновлений камера может быть взломана без пароля.

RTSP без шифрования

Стандартный RTSP передаёт видео и пароли в открытом виде (plaintext). Перехват трафика в локальной сети = доступ к камере.

Чеклист безопасности камер

Смените пароль — минимум 12 символов, буквы + цифры + спецсимволы. Никогда не оставляйте admin/admin.
Обновите прошивку — скачайте последнюю версию с сайта производителя. Включите автообновление, если поддерживается.
Не пробрасывайте порт 554 — используйте VPN или облачный сервис (RTSP.KZ) вместо прямого проброса порта.
Отключите UPnP — UPnP автоматически пробрасывает порты. Отключите на роутере и камере.
Отключите Telnet/SSH — если камера имеет Telnet-доступ, отключите его в настройках.
Используйте RTSP over TLS — если камера поддерживает RTSPS (порт 322), включите шифрование.
Сегментируйте сеть — камеры в отдельной VLAN, без доступа в основную сеть.
Включите IP-фильтрацию — разрешите RTSP-подключения только с определённых IP.

RTSP.KZ как решение безопасности

Вместо того чтобы открывать камеру в интернет, используйте RTSP.KZ:

Камера остаётся в локальной сети

RTSP.KZ подключается к камере из облака — вам не нужно пробрасывать порты. Камера не видна в интернете, Shodan её не найдёт.

HLS по HTTPS

Выходной HLS-поток передаётся по HTTPS. Зритель получает зашифрованное видео. В отличие от RTSP, где пароль летит plaintext.

Управление доступом

Кто может смотреть поток — решаете вы. Приватные ссылки, пароль на плеер, ограничение по IP или домену.

Часто задаваемые вопросы

Как проверить, не взломана ли моя камера?

1) Проверьте список подключённых сессий в веб-интерфейсе камеры. 2) Поищите IP камеры на shodan.io. 3) Проверьте необычный исходящий трафик на роутере. 4) Если пароль стандартный — считайте камеру скомпрометированной.

Безопасно ли использовать RTSP через интернет?

RTSP передаёт пароль и видео без шифрования. Открытый RTSP-порт в интернете = камера доступна всем. Используйте VPN, RTSPS (с TLS) или облачный сервис (RTSP.KZ с HTTPS).

Какие камеры самые безопасные?

Axis — лидер по кибербезопасности (Signed Firmware, Secure Boot). Hikvision и Dahua улучшили безопасность в новых моделях. Главное — обновляйте прошивку и меняйте пароли.

Что такое RTSPS?

RTSPS — RTSP поверх TLS (как HTTPS для HTTP). Шифрует видео и учётные данные. Работает на порту 322. Поддерживается Axis, новыми Hikvision. RTSP.KZ принимает как RTSP, так и RTSPS.