Шифрование паролей RTSP: Basic, Digest, TLS

Как RTSP передаёт пароль

В URL rtsp://admin:password@192.168.1.100:554/stream пароль по умолчанию передаётся в открытом виде через Base64 — это НЕ шифрование, а кодирование. Любой кто перехватит пакеты (Wireshark, arp-spoofing, Wi-Fi sniffing) увидит пароль за секунду.

3 уровня аутентификации RTSP

1. Basic auth — небезопасно ⚠️

Пароль кодируется через Base64 и передаётся в заголовке:

Authorization: Basic YWRtaW46cGFzc3dvcmQ= # echo "YWRtaW46cGFzc3dvcmQ=" | base64 -d → admin:password

Эквивалент plaintext. Используется в старых прошивках камер.

2. Digest auth — защита от снифинга ✓

Сервер отправляет nonce, клиент хеширует MD5(username + realm + password + nonce + method + uri). Пароль не передаётся, nonce одноразовый.

Authorization: Digest username="admin", realm="IP Camera(A0001)", nonce="abc123...", uri="/Streaming/Channels/101", response="d2a3b4c5f6..."

Защищает от пассивного снифинга, но не от MITM. Нынешний стандарт для Hikvision, Dahua, Axis.

3. RTSP over TLS (RTSPS) — полное шифрование ✓✓

RTSP поверх TLS/SSL. Весь трафик (включая медиа) шифруется. Порт обычно 322.

rtsps://admin:password@camera:322/stream

Поддерживается Axis, современными Hikvision (требуется сертификат), Hanwha.

Как проверить тип аутентификации камеры

Wireshark → фильтр rtsp
Посмотрите ответ на первый DESCRIBE запрос: сервер отвечает 401 Unauthorized с заголовком WWW-Authenticate
Если Basic realm="..." — небезопасно
Если Digest ... — ок, защита от пассивного снифинга есть

Реальные риски

Открытый порт 554 в интернет без HTTPS — боты Shodan находят за минуты
Default credentials: admin/admin, admin/12345, 888888/888888
Уязвимости в прошивках: CVE-2021-36260 (Hikvision RCE), CVE-2017-7921 (authentication bypass)
Публикация RTSP-ссылки в мессенджерах — утечка пароля

Чек-лист безопасности для IP-камеры

Сменить дефолтный пароль на 12+ символов, минимум 2 типа символов
Выключить Basic auth в настройках, оставить только Digest
Если камера умеет HTTPS/RTSPS — включить, импортировать сертификат
Обновить прошивку до последней версии (проверка раз в 3 мес)
Не пробрасывать 554 напрямую в интернет — через VPN или ретранслятор
Логирование попыток входа, бан по IP при 5+ неудачных попытках
Отдельный VLAN для камер, блок исходящего интернета (кроме NTP и облака вендора)

RTSP.KZ решает проблему публикации камеры в интернет: ваш RTSP не покидает локальную сеть, ретранслятор забирает поток через WireGuard VPN и отдаёт его как HLS по HTTPS. Внешний наблюдатель видит только HLS, пароль от камеры не утекает.

Частые вопросы

Можно ли перехватить пароль от RTSP?

При Basic auth — да, в открытом виде. При Digest — нельзя прямо, но можно провести offline brute-force по перехваченному nonce+response. RTSPS (TLS) полностью защищает.

RTSP поверх VPN безопасен?

Да, если VPN использует современные шифры (WireGuard с ChaCha20-Poly1305, OpenVPN с AES-GCM). Пароль и поток внутри VPN не перехватывается.

Как сгенерировать сильный пароль для камеры?

Используйте диспетчер паролей (Bitwarden, 1Password). Минимум 16 символов, буквы+цифры+спецсимволы. Не используйте имя камеры или компании в пароле.

Есть ли публичные базы украденных RTSP-ссылок?

Да, сайты insecam.org, Shodan индексируют открытые камеры с дефолтными паролями. Проверьте свою камеру в Shodan по её внешнему IP — если нашлась, срочно закрывайте.

Почему вендоры до сих пор оставляют Basic auth?

Обратная совместимость со старыми NVR и софтом (Milestone, NX Witness до v4). В новых прошивках Hikvision/Dahua Basic можно отключить — сделайте это.

Как шифруются пароли в RTSP