Защита и hardening системы из 12 камер: пароли, VLAN, VPN
Защита и hardening системы из 12 камер: пароли, VLAN, VPN
Коротко: если у вас система из ~12 камер — домовое или офисное видеонаблюдение — то простые настройки сети и несколько правил безопасности сильно снизят риск взлома и утечки. Ниже — понятный план действий, практические схемы и примеры расчётов.
Что важно понимать в начале
Система из 12 камер — это уже небольшая инфраструктура: камеры, PoE‑коммутатор, NVR/DVR, маршрутизатор и, возможно, облачный мост. Уязвимости чаще возникают из‑за плохих паролей, включённого UPnP/пересыла портов, старого ПО и смешения административного трафика с пользовательским.
Безопасность начинается с пароля и с разделения сетей.
Выбор оборудования
Лучше брать камеры и регистраторы с поддержкой HTTPS, ONVIF, возможности смены портов RTSP/ONVIF, и с регулярными обновлениями прошивки. Посмотрите разделы каталога на y-ss.ru для выбора камер и NVR — https://y-ss.ru/catalog/sistemy_videonablyudeniya/ и общий каталог https://y-ss.ru/catalog/.
Рекомендации по железу:
- PoE‑коммутатор с запасом по мощности (каждая камера ~6–10 W, для 12 камер — минимум 150 W с запасом).
- NVR с аппаратным декодированием и поддержкой RAID/планом резервирования.
- UPS на сеть NVR/коммутатора и маршрутизатора.
Схема сети (рекомендованная)
Простая и надёжная схема:
- Интернет → маршрутизатор/фаервол → VLAN10 (админ) и VLAN20 (камеры) → PoE‑коммутатор → камеры.
- NVR можно ставить в VLAN админа, но доступ к камерам через меж‑VLAN маршрут с ограничением по портам.
- Доступ извне — только через VPN к админ VLAN.
Конкретные шаги hardening
Вот как это работает: делаем минимум настроек, которые дают максимум безопасности.
- Пароли и учётные записи
- Замените заводские логины/пароли на уникальные. Пароль — минимум 12 символов, смешение букв, цифр и символов.
- Создайте отдельный пользовательский аккаунт с ограниченными правами для оператора.
- Отключите гостевые и анонимные аккаунты.
- Firmware
- Обновите прошивки камер и NVR до последних стабильных версий.
- Подпишитесь на уведомления производителя.
- Сеть
- Включите VLAN: камеры — в отдельный VLAN без доступа в интернет.
- Отключите UPnP на роутере и NVR.
- Запретите прямой доступ из интернета к RTSP/HTTP/ONVIF портам.
- Удалённый доступ
- Организуйте VPN (OpenVPN, WireGuard) на роутере/сервере. Доступ в систему — только по VPN.
- Если нужен облачный доступ — используйте сервисы с end‑to‑end шифрованием и 2FA.
- Шифрование и протоколы
- Включите HTTPS для веб‑интерфейса, SSH для админдоступа (по ключу), отключите Telnet.
- Смените стандартные порты ONVIF/RTSP при возможности.
- Ограничения и логирование
- На межсетевом экране оставить только необходимые порты между VLAN.
- Включите логирование входов, сохраняйте логи и периодически просматривайте.
Пример расчёта: пропускная способность и хранилище для 12 камер
Типичный поток: 4–6 Mbps для 1080p@25fps H.264 при хорошем качестве. Сделаем пример для 12 камер по 4 Mbps с записью 24/7.
| Параметр | Значение (пример) |
| Камеры | 12 |
| Средний битрейт на камеру | 4 Mbps |
| Общая пропускная способность | 48 Mbps |
| Суточная запись (трафик) | 48 Mbps × 86400 s ≈ 518 GB/сутки |
| Хранилище на 30 дней | ≈ 15.5 TB |
Вывод: потребуется PoE‑коммутатор, способный пропускать минимум 1 Gbps вверх и дисковая подсистема ~16 TB для 30 дней хранения (можно снизить битрейт, использовать детекцию движения, запись по событию).
Настройка VPN для удалённого просмотра
Это может вам помочь: настройте WireGuard или OpenVPN на роутере и выдайте доступ только нужным пользователям. После подключения к VPN, клиенты получают доступ к админ VLAN и могут просматривать NVR как будто в локальной сети. Внешний доступ к веб‑панели NVR без VPN лучше полностью отключить.
Закон и приватность
Съёмка общественных мест, подъездов и улиц часто регулируется законом. Для коммерческих систем информируйте людей о видеонаблюдении, храните данные в соответствии с требованиями, ограничивайте доступ к архивам и фиксируйте журналы доступа.
Пример конфигурации портов и правил фаервола
- Разрешить внутри сети: NVR ↔ камеры (RTSP/ONVIF) — только между VLAN камер и админ VLAN.
- Запретить WAN → камеры/NVR по TCP/UDP на стандартные порты (554, 80, 37777 и др.).
- Разрешить VPN → NVR по HTTPS и RTSP (по необходимости).
Примерные цены (ориентир)
- Камера 2MP PoE — 5–15 тыс. руб.
- PoE‑коммутатор 8/16 портов — 10–40 тыс. руб.
- NVR на 16 каналов с RAID — 30–80 тыс. руб.
- Диски 16 TB для видеозаписи — 30–60 тыс. руб. за пару в RAID.
В каталоге y-ss.ru есть соответствующие решения по видеонаблюдению — https://y-ss.ru/catalog/sistemy_videonablyudeniya/ и общий каталог https://y-ss.ru/catalog/.
Контрольный чек‑лист для системы из 12 камер
- Заменены все заводские логины и пароли.
- Камеры и NVR обновлены до актуальной прошивки.
- Камеры находятся в отдельном VLAN, доступ к ним через межсетевой экран.
- Удалённый доступ только через VPN.
- Отключён UPnP и ненужные сервисы (Telnet, FTP, SNMP если не нужен).
- Включено HTTPS/SSH, настроено логирование и хранение логов.
- Есть план резервного копирования и UPS для ключевых устройств.
- Проверена совместимость с требованиями закона о видеонаблюдении.
Если хотите, можно подобрать комплект оборудования и примерную смету под ваш объект. Или посмотреть готовые системы в каталоге y-ss.ru — это сэкономит время при выборе и даст гарантии совместимости.
Небольшая мысль напоследок: при настройке сети лучше тратить время на правильное разделение и VPN, чем потом восстанавливать данные и репутацию после взлома.
