Flussonic AgentでMiraiボットネットからIPカメラを保護する方法

テラビットに対する最近の一連の記録破りのDDoS攻撃は、テラビットにすでに慣れている人々を大いに興奮させました。 Miraiのような強力なボットネットの出現の基本的な理由は排除されていないため、状況は近い将来、かなり大きな力で繰り返される可能性があります。



実際、IPカメラのセキュリティの欠如は一般に公然の秘密であり、これには多くの理由があります。これは、カメラとの共同作業の歴史的に確立された慣行、それらへのアクセスの難しさ、メーカーの慣性です。



この問題のいくつかの側面と、この問題の重大度を軽減するために実行できる手順について説明します。

現状

そのため、現在、世界中で数百万台のIPカメラが販売されています。 インターネットからの最初のリンクは約2億台のセキュリティカメラを主張しており、この数字は非常に合理的です。



すべてのCCTVカメラがIPであるとは限らず、膨大な数のアナログカメラがまだ販売されています。 アナログカメラは理解可能で、便利で、予測可能です。結局、バグのあるソフトウェアはなく、すべてハードウェアです。 しかし、 AHDとHDCVIの最新の急増にもかかわらず、IPカメラは画質と柔軟性が向上しているため、アナログを置き換えます（コメントでこのような興味深い議論を議論する大きな理由です）。



IPカメラは、センサー、ビデオ処理およびエンコードチップ、一般的な処理用のプロセッサ、GPIO、SDカード、イーサネットなどの周辺機器、これらすべてのソフトウェア、レンズ、ハウジングで構成されています。



市場には一見巨大な種類のIPカメラがありますが（少なくとも何千もの「製造業者」、またはそれ以上のメーカーがいるようです）、実際には、実際に何かをする人はほとんどいません。 Axisのような尊敬される巨人を考慮から除外して価格帯を引き下げた場合、たとえば「カメラ1台あたり最大150ドル」という価格帯では、企業はほとんどありません。



センサーのメーカー3〜4、チップ+プロセッサーのメーカー4〜6（これは複合チップです）、すべてを有料で収集する人の数人。 ケース-そしてそれらは非常に多様ではありませんが、それを組み立て、箱に目的のロゴをねじって貼り付ける準備ができている人の深セン全体です。 しかし、最も興味深いのはソフトウェアを作る人たちです。 多くの点で、彼らのエンジニアリングソリューションはMiraiへの道を開きました。



それらの数も少なく、多くのメーカーを成長させることはできませんでした。 すべての情報は完全に隠されており、これが問題の原因です。 ほとんどすべてのカメラの内部には、コアとなるモジュールを備えた通常のLinuxがあります。 これらのモジュールを使用すると、センサーからのビデオを処理するチップを設定し、プログラムメモリでこのビデオを受信できます。 Linuxを搭載していないカメラもあります。実際にはリング0に大きなプログラムが1つありますが（ARMについて言えば）、開発には非常に費用がかかり、今日ではまれです。 さらに、ネットワークへのビデオの送信は技術の問題であり、この問題はかなり平凡に決定されたばかりです。



安価なカメラのほとんどがTCPデータ損失の微妙な技術を習得しただけでなく、シリーズのどこにでもほぼ同じパスワードがあります。 実際、これはボットネットのソースコードから見たものです。



また、ネットワーク設定を変更できるマジックUDPマジックパケットについては説明しません。 「私は彼らのシステムに入ったので、カメラを静止画に切り替えます」というハリウッド映画で私たちが笑うすべてのナンセンスはナンセンスではなく、苦くて残酷な現実です。



このようなメーカーの不注意はどこから来たのでしょうか？ 結局のところ、彼らの行動は主にリトルジョニーとその言葉についてのジョークに関連していますが、オブジェクト自体はそこにあるようですが、そこにはありません。 ファームウェアの製造元からカメラの腸に関する特定の情報を入手することは非常に非常に困難です。原則として、彼らはこれがLinuxがないように見える閉鎖デバイスであるという立場を固守しています。 または、あるかもしれませんが、それはあなたには関係ありません、そこを見てはいけません、私たちのパンフレットを見てください。

背景

これにつながる可能性があるものについて考えようとします。



まず、ビデオ監視のトピックは、従来、孤立したネットワークを中心に展開していました。 これはすべて、ガードの前のモニターにモザイクで直接接続された4台のカメラから生まれました（ちなみに、 サーバーモザイクは非常にクールにできますが、これは突然ガード用ではなく、スペースを節約するためです）。 警備員はシフト全体にわたってバトンを手にして座り、1250ミリ秒以内に問題の方向に故障します。 ニューラルネットワークは、Nvidia Teslaよりも悪い逸脱を処理します。 確かに、時々彼女は飲んだり、昼寝したりするのが好きです。これは全体像を台無しにするのに最適です。



このようなネットワークに接続するには、開始するために物理的なプレゼンスが必要です。これに対して、同じカメラを使用してケーブルの経路をカバーできます。 不機嫌な人の場合、これらのケーブルはほとんど密閉されたチューブに高圧で敷かれているため、ケーブルに穴を開けるときに圧力センサーが機能すると言われています。



理解することが重要です。これまで、カメラから出るビデオにTLS暗号化を提供する人はほとんどいませんでした！ ビデオ監視のすべてのトピックは、ビデオインフラストラクチャ自体の内部セキュリティのために特に設計されているわけではありません。 少なくとも、恐ろしい脅威に対処するために元気にお金を取る人ほどではありません。



第二に、IPカメラは通常、セキュリティタスクを解決するためのインフラストラクチャ全体の一部であり、ハードウェアとソフトウェアとヒューマンサービスの複合体の一部です。 つまり 従来、IPカメラはレコーダー、ガード、ガードボタン、ボタンへの迅速な応答グループに固定されていました。 今日、突然の人々全員が入り口にカメラをぶら下げ始め、都市は何千もの路上でカメラをぶら下げているという事実-これはすべて、計画されたものに少し反しています。 つまり 非常に成功したデバイスを使用するための新しい形式がありますが、このデバイスは特に意図していません。



第三に、IPカメラは非常に孤立したデバイスです。 IPカメラを実際に使用していないため、IPカメラを手に取って具体的に設定することは非常に困難です。



これは別の記事のトピックであり、それについて説明しますが、この点を覚えておきましょう：IPカメラは本当に設定するのに不便です。

オンライン

そのため、OTTデバイスとしてオンラインアクセスできるIPカメラが突然必要になりました。 「OTT」という用語は、サービスが制御されたネットワークではなく、パブリックインターネットまたは少なくともいくつかのネットワークのジャンクションを介していることを意味します。 つまり 速度の保証がなく、「インターネット速度」のようなやや一時的な概念についてしか話せない状況で。 ただし、すでにわかっているように、ブラジルのカメラからDynサーバーまでの「インターネット速度」は十分に高いため、頭を上げることができませんでした。



警備員によって終了された分離システムが以前にハングアップした場所では、ビデオ用にインターネット経由でアクセスされるデバイスが登場しました。 ご覧ください。小さなお店の様子、家の前にまだ郵便受けがありますか、幼稚園の子供たちはそこで遊んでいますか。 もちろん、カメラメーカー（主に中国のみ、手持ちのカメラしか手に入らないため）は、市場の課題に対応しました。 モバイルアプリケーションが登場しました（今日のIPカメラでは、ActiveXなしでビデオを見る方法は実質的にないため、カメラは実際にビデオへのWebアクセスを提供しません）。



ここで興味深い状況が発生しました：オンラインアクセスのために、人々はいくつかのポートを出すことに慣れ始めました。 これらのクライアントの多くは、標準のRTSPプロトコルを使用していません。

代わりに、彼らは34567プロトコルに準拠した興味深いエキゾチックなもの（私たちはゆっくりとその構造を並べ替えています）でビデオを駆動しますが、誰がすべてのポートを出すのが簡単かを気にします。 そして、家の前の駐車場を見る私の小さなカメラが必要な人は誰でしょうか？



つまり Miraiの発売の重要な前提条件は、オンラインアクセスを提供する製造業者が、人々にポートフォワーディングの処理を強要し、数十メガビットのトラフィックを生成できるインターネットデバイスを大量に搭載することでした。 結構ですよね このすべての富は、少なくともここ5年間の足元にありました。



この問題が今どのように解決されるかはまだ不明であり、これはまだ私たちの能力ではありません。 インターネットで見つかったすべてのカメラを大規模に調べて、それらをレンガに変えたり、パッチを大量にかけたり、プロバイダーにそれらをブロックさせたりすることができます。 今日、カメラをそのようなボットネットのメンバーにしない方法について話をしたいと思います。

カメラへの最新のアクセス

進歩は止まっておらず、今日では、IPカメラにオンラインでアクセスする2つの基本的な方法が形成されています。直接とインターネット上のサーバーを介してです。



ローカルネットワークの場合、アクセスは直接合理的ですが、既にわかっているように、インターネットを介して最新のIPカメラに直接アクセスすることは必ずしも良い考えではありません。 セキュリティの問題が修正された場合でも、カメラへの同時アクセスの問題は継続します。 そのため、たとえば幼稚園では、管理者の要求は、一度に4つ以上カメラに行かないように両親に触れています。



今日、ADSLインターネットがたくさんありますが、その主な特徴は非対称です。 あなたはたくさんダウンロードすることができますが、たくさん与えることはすでに難しいです。



それでは、カメラへのアクセスを提供するオンラインサービスについて話しましょう。



カメラにアクセスするためのオンラインサービス（VSaaS、サービスとしてのビデオ監視）は、カメラをリモートで見ることができることに加えて、興味深い機会を提供できます。その最も重要なものはリモートレジストラです。 非常に多くの場合、ビデオが記録されているデバイスであるDVRが違法行為中に最初に被害を受ける。 ビデオがすぐにインターネットに流出したとき、そこから抜け出すことはすでに非常に困難です。これは、賄cameraを交通カメラに詰め込もうとするのとほぼ同じ性質のタスクです。 はい、もちろんこれはカメラ自体を保存せず、まだ記録は中断されますが、警察への侵入者の写真を撮る機会は増えています。



たとえば、すべての動画をインターネットで書くのは高価ですか？ 最近では、映画をオンラインで観るという考えが怖くなり、財布につかまってしまいました。今日では、これはCDの棚ではなく標準です。 未使用の逆トラフィックの方向についても同じです。特にサービスがプロバイダーから提供されている場合は、ダウンロードしないでください。 一部の人々は移動中にクラウドに書き込みますが、今日まで賛否両論があります。 カメラが必要な10分間を記録しない場合、数千ルーブルを節約するには何がかかりますか？ 一方、多くの場合、カメラをモーション検出記録モードに切り替えると、プロバイダーにとってクラウドサービス自体がほぼ無料になります。



インターネットサービスはどのようにしてカメラ、特にOTT、つまり カメラへの通信チャネルを所有していませんか？

カメラ接続

カメラを外部に公開せずにオンラインサービスとの接続をより安全にするにはどうすればよいですか？ サービスと直接通信チャネルを介して。



VPNトンネルのようなものを上げるか、カメラからビデオをサーバーに公開して、miraiの問題を解決しましょう。 ここの一部の中国人はさらに進んで、おそらく彼らのサービスでのみ動作するカメラを販売しています。 ただし、中国のマネージャーの保証にもかかわらず、このようなカメラにはRTSPサーバーがあり、標準のパスワードでログインしているため、ここでも状況はVovochkaと禁止用語のようです。



ここにいる私たちの親愛なる南東の隣人は、将来の問題のために他の多くの興味深いソースを作成します。 そのため、たとえば、機内でこのカメラにアクセスするためのオンラインサービスを備えたカメラに出会いました。 セルには、モーション検出器がトリガーされたときにメールを送信するなど、すばらしい機会がありました。 カメラの製造元は、バックエンドレスパスに進み、163.comの1つのアカウント（これはChinese mail.ru）からすべてのカメラに同じユーザー名とパスワードを縫い付けることにしました。 ご存知のように、このカメラの他の購入者が面白いものを持っているのを見ることができるだけでなく、そのようなカメラの購入者に興味深く非常に活発なものを送ることもできます。



しかし、今日のより標準的な状況に戻りましょう。カメラへのオンラインアクセスは、レジストラとの従来の作業を補完し、カメラ自体はNATの外部および外部からは見えません。



カメラからビデオを取得する2つの基本的な方法を見ました。カメラの一部のソフトウェアがビデオをサーバーに公開します。 ビデオ伝送の開始のイニシエーターであり、カメラの一部のソフトウェアは、インターネット上のサーバーでカメラを使用可能にします（VPNトンネルを読み取ります）。



2番目の方法は、ほとんどの場合、サーバーがビデオを撮影するタイミング、品質、またはカメラからスクリーンショットを撮影することを決定できるため、はるかに実用的です。



最初のケースでは、複雑なフィードバックメカニズムを考える必要があります。そうすれば、常に「だらしない、料理しない」と言うことができます。そうしないと、マイクロミライを自分で作ることができます。問題。



VPNトンネルなどを構成するためのオプションを見てみましょう。

Openvpn

最も簡単なオプションは、従来のOpenVPNです。 サーバー部分は無料で、100〜300台のカメラを作成する必要がある場合は比較的簡単に構成できます。 openvpnの主な利点は、ほとんどのカメラのファームウェアが収集されることにより、buildrootプロジェクトですぐに使用できることです。



OpenVPNクライアントはカメラで実行され、最初の起動時に何らかの方法で証明書を受け取り、サービスに移動します。 一方、ストリーミングサーバーがあり、カメラが接続されていることを確認し、ビデオ、スクリーンショット、またはその他の操作を開始します。



VPNアプローチは、すべてのロジックの変動がサービス側にあるという点でも便利です。 そこでは、カメラ上よりも更新、保守、変更がはるかに簡単で便利です。 カメラのエラーの代償は、カメラだけでなくクライアントの損失であり、フォーラムでの楽しくて楽しい議論ですらあります。



このアプローチには欠点があります。



VPNは依然として非常に一般的なタスクを解決するための強力なメカニズムであり、サーバーのリソースを大量に消費します。 残念ながら、OpenVPNを介して1台のサーバーでギガビットのトラフィックを受け入れてストリーミングサーバーに送信できるかどうかに関する実用的なデータを受け取っていませんが、明らかに多すぎます。



最初にトラフィックを別のOpenVPNサーバーに送り、次にストリーミングサーバーに送る必要があるため、OpenVPNの使用は、通常のシステムと比較してサーバーインフラストラクチャを少なくとも2倍にすると言うことができます。



Erlivideoでは、NATのカメラにアクセスするための独自のソリューションを開発しており、カメラにエージェントをインストールする必要があります。 動作が異なります。

フルソニック剤

そのため、インターネット上のサーバーからカメラにアクセスするために、カメラに配置するソフトウェアを開発するという目標を設定しました。



トラフィックはサーバーごとに大きくなると予想されるため、異なるソフトウェア間でトラフィックを複製する理由から、個別のVPNサーバーを個別にストリーミングするという考えを捨てました。 エージェントはFlussonicに直接接続し、カメラからのビデオをRTSP解析機能に直接送信します。 これは一般的なトランスポートではなく、ビデオとスクリーンショットをカメラからFlussonicに最小限のコストで配信するための特別なものです。



また、いくつかの問題も解決しました。つまり、Flussonicがシャットダウンした場合、このエージェントはどのアドレスにアクセスする必要があり、何をすべきかを解決しました。



Flussonicをオフにして、2フェーズプロトコルスキームを使用することにしました。最初に、エージェントはコーディネーター（用語のエンドポイント）に接続し、次にそこからストリーミングサーバーに移動します。 テープドライブへの接続後にエンドポイントが落ちた場合は、問題ありません。作業は続行されます。



エンドポイントアドレスでは、状況はより複雑です。 当社はサービス会社ではなくソフトウェア会社であるため、ソフトウェアを人々に販売してサービスを整理しています。 したがって、1つの固定アドレスをエージェントに縫い付けることはできません。これはカスタマイズ可能である必要があります。 ここでは、初期アクティベーション中に希望のアドレスにエージェントを送信できる簡単な技術的ソリューションも考えました。



その結果、NATの背後にあるカメラにアクセスするための独自のシンプルなメカニズムがあります。 暗号化がオンになっていても、低レベルのOpenVPNよりもリソース集約的ではありません。後者とは異なり、「 存在しないバグ 」を解決するのに役立ちます。



サーバーでは、Flussonic自体が、設定に従って、カメラに移動してビデオまたはスクリーンショットを撮影するか、逆音声放送を開始する必要があることを既に決定しています。



そのようなアプローチ（フルタイムvpn、カメラからの公開、自家製トンネル）は、インターネットにカメラを置くリスクを減らすことができます。 次の記事では、エージェントをカメラにアップロードする方法、カメラからユーザーにビデオを提供するサービスでどのように機能するか、構成の興味深い瞬間、そして最も興味深い、カメラがユーザーに接続される方法について説明します-たくさんありますオプション。 ドラフトには、独自のIPカメラファームウェアに関するものがあります。コメントを書いてください。