Время работы:
Пн-Вс с 10:00-18:00
Советы по защите потоков RTSP/RTMP в корпоративной сети
Советы по защите потоков RTSP/RTMP в корпоративной сети
Потоки видеонаблюдения и трансляций часто идут по RTSP и RTMP. Они критичны для безопасности здания, но могут стать входной точкой для атак. В этой статье — понятные и практичные шаги, как снизить риски и сохранить удобство работы с камерами и регистраторами.Почему это важно
RTSP/RTMP передают видео в реальном времени. Если поток доступен посторонним, возможны утечки видео, саботаж, подмены. Кроме того, камеры часто имеют слабые пароли и открытые сервисы. Вот почему защита — это не только ИТ-отдел, но и служба охраны, монтажники и собственники.Кратко о протоколах
| Протокол | Порты | Особенности |
|---|---|---|
| RTSP | TCP 554 (иногда 8554), RTP/RTCP динамически (UDP 1024–65535) | Управление потоком. Может идти interleaved через TCP. |
| RTMP | TCP 1935, часто через HTTP/TCP 80/443 | Используется для стриминга; есть RTMPS (TLS). |
Основные принципы защиты
- Разграничение сети: камеры в отдельном VLAN с ограниченным доступом к корпоративным ресурсам. - Минимум открытых сервисов: закрыть Telnet, UPnP, ненужные веб-интерфейсы. - Аутентификация: только Digest или токены; отключить Basic auth. - Шифрование: TLS/RTMPS, SRTP для медиапотоков, HTTPS для ONVIF. - Контроль доступа: IP-ACL, firewall, списки разрешённых клиентов. - Мониторинг и логирование: IDS/IPS, логи доступа к потокам, алерты при аномалиях. - Обновления: прошивки камер и NVR — регулярно.Схема сети — что делать на практике
1) Выделите VLAN для камер и видеорегистраторов. 2) На пограничном роутере запретите доступ из VLAN камер в сеть управления и интернет, кроме необходимых сервисов (NTP, обновления на заданные адреса). 3) Разрешите доступ операторов с конкретных IP или через VPN. 4) Для удалённого просмотра используйте терминал/сервер-прокси в DMZ, который выполняет авторизацию и TLS-терминацию. Смотрите, какая штука: если камера должна быть доступна извне, лучше организовать исходящий поток через сервер-посредник (транс-кодер/стриминг-платформа), а не открывать камеру напрямую в интернет.Пошаговая настройка защиты
1. Смените заводские пароли. Используйте сложные, уникальные пароли. 2. Отключите неиспользуемые протоколы (Telnet, FTP, UPnP). 3. Включите HTTPS/ONVIF-over-HTTPS если поддерживается. 4. Переведите RTSP на TLS (если поддерживается) или держите доступ по RTSP только через VPN/прокси. 5. Настройте firewall: разрешить TCP 554/1935 только между камерами и NVR, между NVR и контроллерами стриминга — через отдельные правила. Пример правила: разрешить TCP 554 из сети NVR в сеть камер; заблокировать входящие снаружи. 6. Ограничьте диапазон RTP-портов и пропишите их в firewall/NAT. Это упрощает контроль. 7. Включите логирование подключений к потокам и настройте алерты на аномальные подключения. 8. Периодически меняйте ключи/пароли и проверяйте наличие обновлений.Технические нюансы и хитрости
- RTSP active/passive: в пассивном режиме камеры открывают порты (UDP), что усложняет NAT. Лучше использовать TCP interleaved или RTSP-over-HTTPS. - Токены в URL: формирование подписанных URL с истечением времени полезно для публичных трансляций. - Reverse-proxy: Nginx с rtsp/rtmp модулями может выступать шлюзом, делать TLS-терминацию и авторизацию. - SRTP: если камера/NVR поддерживают, включайте SRTP для медиапакетов. - QoS: пометьте видеопотоки на L2/L3, чтобы не нарушать транзит при пиковых нагрузках. - Multicast: при использовании многоадресной передачи настройте IGMP snooping и querier, чтобы трафик не распространялся по всей сети.Мониторинг и обнаружение аномалий
- Централизованные логи: храните логи подключений и ошибок. - IDS/IPS: подписи на поиск RTSP/RTMP brute-force и попыток проксирования. - Контроль целостности прошивки и файлов конфигурации. - Периодические сканирования сети на открытые порты камер.Правовые и организационные моменты
Запись и передача видеоданных регулируются в зависимости от юрисдикции. Храните доступ под контролем и документируйте права доступа.- Убедитесь, что у оператора есть право просмотра и хранения. - Ограничьте время хранения и доступ по ролям. - Для госструктур и медучреждений учитывайте требования по защите персональных данных.
Цены и оборудование — где смотреть
Для базового уровня нужны: управляемый коммутатор с поддержкой VLAN и QoS, firewall/маршрутизатор с возможностью NAT и ACL, NVR/сервер-прокси. Профессиональные камеры с поддержкой TLS и SRTP дороже, но быстрее окупаются при рисках утечки. Посмотрите доступное оборудование в каталоге: - каталог оборудования - системы видеонаблюденияПростой чек-лист для проверки
- Есть ли отдельный VLAN для камер? - Сменены ли заводские пароли? - Отключены ли Telnet/FTP/UPnP? - Активен ли HTTPS/RTMPS/SRTP при возможности? - Логируются ли подключения к потокам? - Ограничен ли доступ по IP/VPN? - Обновлены ли прошивки? - Настроен ли firewall с конкретными правилами для RTSP/RTMP? Небольшой практический нюанс: если вы быстро хотите закрыть наружный доступ — заблокируйте на пограничном роутере порты RTSP/RTMP и откройте доступ через VPN/прокси. Это сразу снизит риск, пока вы готовите полную архитектуру. Защита потоков — комбинация сети, настройки устройств и процедур. Пара простых шагов сегодня снизит вероятность серьёзного инцидента завтра.01.02.2026
