Безопасность Commax: защита от взлома и перехвата соединения

Безопасность Commax: защита от взлома и перехвата соединения

Commax — распространённая система видеодомофонов и домофонных модулей. Но сама техника не защищает от ошибок настройки и сетевых угроз. Ниже — понятный разбор рисков и конкретные шаги, которые помогут снизить шанс взлома и перехвата видеопотока как у частного домовладельца, так и у инсталлятора.

Почему это важно

Компрометация домофона даёт не только доступ к видео и аудио. Через устройство можно получить доступ в сеть объекта, перехватить разговоры, открыть электромеханический замок. Для бизнеса и госучреждений последствия серьезнее: утечка персональных данных, нарушение правил охраны труда и требований по видеонаблюдению.

Типичные угрозы для Commax

• Стандартные логины/пароли из коробки.
• Просроченное или уязвимое ПО (firmware).
• Открытые порты и включённый UPnP.
• Нешифрованные протоколы (HTTP, RTSP без TLS).
• Удалённый доступ через облако без 2FA.
• Физический доступ к проводке и монтажным коробкам.

Как устроена типичная сеть с Commax

Улица (вызывная панель)
│
PoE / питание
│
Видеодомофон/камера —> PoE коммутатор —> Маршрутизатор —> Интернет
│
NVR / локальный сервер
│
Администратор / мобильное приложение

Смотрите раздел с моделями видеодомофонов и компонентами: y-ss.ru — Видеодомофоны.

Практические шаги защиты (для начинающих и профи)

Базовые — для всех

• Смените заводские логин и пароль при первом включении. Пароль должен быть уникальным, 12+ символов.
• Обновите прошивку до последней версии перед вводом в эксплуатацию.
• Отключите неиспользуемые сервисы: Telnet, FTP, UPnP.
• Отключите трансляцию в открытую сеть, если удалённый доступ не нужен.

Сетевые меры — для владельцев и IT

• Поместите домофоны и камеры в отдельную VLAN или отдельную подсеть. Так они не будут напрямую доступны из корпоративной сети.
• Ограничьте правилами firewall исходящие и входящие соединения: разрешите управление только с IP-адресов администраторов.
• Запретите прямой портфорвардинг с публичного IP. Если нужен удалённый доступ — используйте VPN или защищённый облачный шлюз.
• Включайте HTTPS для веб-интерфейса и, где возможно, защищённый RTSP/SRTP.

Физическая безопасность и электроника

• Закрепляйте панели так, чтобы исключить легкий доступ к разъёмам и карте памяти.
• Используйте коробки и защёлки с защитой от вскрытия; подключайте датчики вскрытия.
• Питание по PoE ставьте через управляемый коммутатор с защитой от перенапряжения.

Примеры сетевых правил и схем

Объект	Рекомендуемая настройка
Домофон/камера	VLAN: cameras; доступ только с подсети админов; отключён UPnP
Веб-интерфейс	HTTPS (сертификат), сложный пароль, 2FA для облака
Удалённый доступ	VPN + MFA или облачный сервис с авторизацией, без прямого проброса портов

Пример простого правила firewall (псевдокод):

deny any any port 23 # блокировать Telnet
deny any any port 21 # блокировать FTP
allow admin-net to cameras port 443,554
deny any cameras any # по умолчанию блокировать все остальные

Мониторинг и поддержка

• Включите логирование и храните логи минимум 30 суток.
• Периодически проверяйте журналы на необычные подключения и попытки логина.
• Планируйте обновления прошивки и тест на уязвимости не реже раза в полгода.

Правовые и этические моменты

Запись видео и аудио людей требует соблюдения местных норм по защите персональных данных. Информируйте посетителей и сотрудников о видеонаблюдении и ограничивайте срок хранения записей.

Для коммерческих и гособъектов проверьте нормативы по размещению камер, уведомлению и доступу к записям.

Цены и что стоит учитывать

• Прошивка и настройки — бесплатно, но требуют времени специалиста.
• VPN-сервер/серис: от ~5000 руб в год для малого бизнеса до корпоративных решений дороже.
• Управляемый PoE-коммутатор и VLAN — от 8–15 тыс. руб. в зависимости от портов.
• Услуги инсталлятора/аудита безопасности — от 5–20 тыс. руб. за точку или пакетная ставка.

Чек-лист перед вводом в эксплуатацию

• Сменил пароль администратора.
• Проверил и обновил прошивку.
• Отключил ненужные сервисы (Telnet, FTP, UPnP).
• Разместил устройства в отдельной VLAN.
• Настроил VPN или безопасный облачный доступ с 2FA.
• Защитил физически оборудование и подключил датчики вскрытия.
• Настроил логирование и резервное хранение записей.

Небольшая мысль напоследок: многие уязвимости возникают не от самой техники, а от упрощённых настроек и стремления «сделать быстро». Немного больше времени на настройку сети и паролей снижает риск в разы. Если есть сомнения в настройках или нужно надежное решение для бизнеса, лучше привлечь профильного специалиста, который проверит и закроет слабые места.