Китайцы всегда палят за тобой , или закрываем дыры в XMEye IP камере

Есть одна известная китайская фирма XMEye которая продаёт очень дешёвые IP камеры и NVR(IP)/DVR(AHD) регистраторы.

Множество фирм покупают продукты этого бренда и продают под своим товарным знаком. Это называется EOM, то есть небольшая модификация прошивки. Например вставка своего логотипа при загрузке , или добавление каких то доп.модулей в прошивку. Иногда такое вмешательство делает камеру лучше в плане функциональности, а иногда хуже.
Неполный список вендоров, реализующих устройства XMEye под своим брендом:
9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision/sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo и ZRHUNTER

Предыстория окончена, а теперь к делу.
Камеры имеют кучу багов прошивки, и некоторые с багов просто смешные.
На старых прошивках можно было зайти на камеру через веб-браузер минуя ввод логин/пароля. Весело, правда?
В новых версиях прошивок это подлечили… Ну практически.
Главные косяки на данный момент:
1. Onvif протокол с портом 8899 работает без аутентификации.
Хочешь — ставь пароль, хочешь — нет, камере все равно. Кнопка Check Onvif не даёт никакого результата. Прошивкой это не исправить, вообще никак не исправить, смеритесь.
2. Принудительное соединение с китайским облачным сервисом по протоколу p2p.
Выключить его можно в настройках камеры, но вот реально выключается ли он ?
3. Telnet пароль один для всех камер
В настройках его не поменять, как и в прошивке. Потому чтобы его сменить, нужно заново собирать прошивку

Решение выше описанных траблов:
1. Запретить камере доступ к интернету
Да, это IP камера, да она должна передавать данные по сети и именно для этих целей, наверное, она создавалась.
Меняем шлюз на заведомо ложный
Ставим ложные DNS
Меняем стандартный Tcp порт управления с 34567 на другой (например 1842)

2. Отключаем p2p сервис в настройках


3. Выключаем все ненужные службы


4. Ставим ограничение по доступу с определенных Ip адресов в нашей локальной сети


5. Ставим надёжный пароль

Этих настроек будет достаточно чтобы камера не сливала ваши данные в Интернет и была доступна только в локальной сети.
«А как же просмотр с телефона ? » — спросите Вы.
«C помощью VPN» — пока что это самый безопасный способ получить доступ извне в свою локальную сеть

id_6