IP-камеры в офисе: изолируем от рабочей сети, настраиваем запись и не кормим ботнеты

Я регулярно приезжаю к клиентам, которые уже купили камеры, подключили их к рабочей сети и думают, что всё готово. Иногда это так и есть — в смысле, видео пишется. Но при этом эти же камеры тихо участвуют в DDoS-атаках на чужие серверы, а видеопоток с офиса гуляет через китайские облачные серверы в неизвестном направлении. Сегодня расскажу, как сделать по-нормальному: изолировать камеры, поднять локальный NVR и перестать финансировать ботнет.

Почему IP-камеры — это угроза вашей сети

Начну с неприятного. Большинство IP-камер, которые продаются в ценовом диапазоне 2 000–8 000 рублей — это китайские устройства с прошивкой, которую производитель обновлял один раз в 2019 году и больше не трогал. Внутри — урезанный Linux, дефолтные пароли admin/admin или вообще без пароля, и открытый телнет на 23-м порту. Это не преувеличение. Это реальность.

У одного клиента — небольшая юридическая фирма, 12 рабочих мест в Москве — я обнаружил четыре камеры Hikvision DS-2CD2143G0-I, купленные на Wildberries. Камеры стояли в одной подсети с бухгалтерией. Пароль на всех четырёх был 12345. Камеры исправно писали видео на NAS. Параллельно они слали UDP-флуд на какой-то адрес в Нидерландах — это я увидел в логах роутера Mikrotik. Владелец компании был искренне удивлён. Он не понимал, как устройство, которое просто пишет видео, может что-то «слать».

Механизм простой. Камеры с дефолтными паролями сканируют сети. Находят их автоматизированные боты — примерно в течение 24–48 часов после подключения к интернету. Камера получает команду от управляющего сервера ботнета и начинает работать как зомби. Она по-прежнему пишет видео — именно поэтому никто не замечает. Но она ещё и участвует в атаках, сканирует другие сети, может майнить крипту. Ресурсы у неё скромные, но их хватает. Mirai, Moobot, Bashlite — это всё истории именно про IoT-устройства, и камеры в них главные герои.

Что такое VLAN и зачем он нужен для камер

VLAN — это виртуальная локальная сеть. Грубо говоря, вы берёте один физический коммутатор и делите его на несколько изолированных сегментов. Компьютеры в одном сегменте не видят устройства в другом, даже если они подключены к одному свитчу. Это не дорогостоящая технология — любой управляемый коммутатор это умеет. Даже D-Link DGS-1100-08 за 4 500 рублей поддерживает VLAN 802.1Q.

Для видеонаблюдения схема простая. Создаём отдельный VLAN — допустим, VLAN 30 с подсетью 192.168.30.0/24. Все камеры уходят туда. Рабочие компьютеры живут в VLAN 10, серверы — в VLAN 20. Между VLAN 30 и остальными сегментами — жёсткие правила на роутере. Камеры могут писать только на NVR внутри своего же VLAN. В интернет — не могут. В рабочую сеть — не могут. Просмотр записей с рабочих компьютеров — через отдельный разрешённый порт, только на чтение, только с авторизацией.

Реализуется это на Mikrotik RB2011 (около 8 000 рублей) или на Mikrotik hEX S (5 500 рублей) за пару часов работы. На Cisco или HPE Aruba — аналогично. Ключевой момент: трафик из VLAN камер наружу в интернет должен быть полностью заблокирован. Совсем. Даже если кто-то на камере руками пропишет DNS 8.8.8.8 — пакеты должны умирать на роутере. Это называется «не доверяй устройству, которым не управляешь».

Локальный NVR против китайского облака

Большинство бюджетных камер сегодня продаются с красивым приложением для смартфона. Скачай, отсканируй QR-код, и вот тебе видео с офиса прямо в телефоне. Удобно? Да. Безопасно? Категорически нет. Видеопоток идёт через сервера производителя — обычно это Китай или Гонконг. Никто вам не скажет, сколько хранится эта запись и кто имеет к ней доступ. Я не параноик. Но когда в офисе юридической фирмы камера смотрит на стол с документами клиентов — это не тот случай, где можно рассуждать «ну и ладно».

Локальный NVR — Network Video Recorder — это либо отдельное железное устройство, либо сервер с программой. Видео пишется к вам, на ваш диск, в вашем офисе. Никуда не уходит. Доступ к записям — только по вашим правилам. Из железных NVR я чаще всего ставлю Hikvision DS-7608NI-K2/8P или аналоги DS-7716NI-I4/16P — они стоят от 18 000 до 45 000 рублей в зависимости от количества каналов и наличия встроенного PoE. Берут камеры напрямую, пишут на жёсткий диск — один диск WD Purple на 4 Тб (около 6 500 рублей) закрывает три недели записи с 8 камер при стандартном качестве.

Альтернатива железному NVR — программный. Frigate — open-source, работает на обычном компьютере или мини-ПК с Linux. Умеет детектировать движение с ускорением на GPU или Coral TPU. Я ставил его на Intel NUC с Ubuntu 22.04 в небольшой торговой компании — три магазина, 16 камер, пишется только по движению. Диск за месяц занимает 800 Гб вместо 2,5 Тб при постоянной записи. Frigate интегрируется с Home Assistant, Telegram, да с чем угодно — если нужно уведомление при движении в нерабочее время. Бесплатно. Без облаков. Без подписок.

Смена паролей, прошивки и отключение лишнего

Даже если вы изолировали камеры в VLAN, это не повод оставлять на них пароль admin. Меняйте сразу. Длинный пароль, 16+ символов, запишите в менеджер паролей. У меня в работе — KeePass с базой на зашифрованном NAS. На каждую камеру отдельная запись с IP, MAC, серийником, паролем и датой следующей проверки прошивки.

Прошивка — отдельная история. Hikvision и Dahua выпускают обновления, и их надо ставить. Китайские no-name камеры — не выпускают никогда. Это один из главных аргументов в пользу брендовых устройств: у них хоть есть шанс получить фикс для CVE. Перед обновлением прошивки обязательно скачивайте её с официального сайта производителя, а не с рандомного форума. Я однажды видел «прошивку» для Hikvision на каком-то сайте, которая на деле была троянцем под ARM. Официальный сайт — hik-connect.com или hikvisioneurope.com для европейских прошивок.

Из функций на камерах отключите всё лишнее. UPnP — выключить. P2P/облачный доступ — выключить. FTP-сервер — выключить. Telnet — выключить. SNMP без авторизации — выключить. Оставьте только RTSP для стриминга на NVR и HTTP/HTTPS для управления с вашей рабочей станции администратора через разрешённый маршрут. Чем меньше открытых сервисов, тем меньше поверхность атаки. Это азбука, но её игнорируют в 80% случаев, которые я видел.

Удалённый доступ к видео без дыр в безопасности

Директор хочет смотреть видео с телефона. Это понятно и законно. Но открывать порт 554 (RTSP) или 8000 (Hikvision SDK) наружу — плохая идея. Даже с паролем. Потому что брутфорсят эти порты постоянно. Я проверял: на свежеподнятый Hikvision с белым IP без маскировки первые попытки подбора пароля приходят через 4–6 минут после появления в сети.

Правильный способ — VPN. WireGuard на Mikrotik — это 20 минут настройки и нулевые дополнительные расходы. Директор устанавливает WireGuard на телефон, подключается к офисной сети и смотрит видео через Hikvision iVMS-4500 или через браузер так, как будто он в офисе. Никакие порты наружу не торчат. Атаковать нечего. Работает быстро, трафик зашифрован.

Если VPN для директора — это слишком сложно организационно, можно поднять реверс-прокси с авторизацией. Nginx + Let's Encrypt + HTTP Basic Auth поверх HTTPS — уже лучше, чем голый порт. Но всё равно хуже VPN. Я обычно настаиваю на WireGuard — один раз объяснил, показал, как нажать «подключить» в приложении, и проблема решена. Большинство директоров это осваивают за пять минут.

Как выбрать камеры и что учесть при монтаже

Для небольшого офиса я обычно рекомендую линейку Hikvision Value или Dahua Lite — камеры 4 Мп с ИК-подсветкой, фиксированный объектив 2.8 мм или 4 мм. Стоят от 3 500 до 6 000 рублей за штуку при покупке через дистрибьюторов, не в розницу. На торговых площадках бывает дешевле, но проверяйте продавца — фейковые «Hikvision» с клонированными логотипами существуют. На официальном сайте Hikvision есть сервис проверки серийного номера.

PoE сильно упрощает монтаж. Один кабель витой пары — и питание, и видео. Не надо тянуть отдельное питание к каждой камере. Для питания камер через коммутатор возьмите PoE-свитч или PoE-инжекторы. Только помните: все PoE-порты для камер должны быть в VLAN видеонаблюдения, без доступа в остальную сеть. Это настраивается на уровне порта коммутатора.

По монтажу: камеры на входе, на выходе, в серверной, в переговорной если это прописано в политике компании и сотрудники уведомлены — это закрывает 90% потребностей малого бизнеса. Хранение записей — минимум 30 суток по требованиям большинства страховщиков при коммерческой недвижимости. Считайте диски заранее: Full HD (1080p) с камеры с умеренным движением — около 25–40 Гб в сутки без компрессии, 10–18 Гб с H.265+. На 30 дней, 8 камер — примерно 3–4 Тб реально при H.265+.

Что происходит, если сделать всё правильно

Опишу результат на примере клиента — небольшое производственное предприятие, 35 человек, Подмосковье. До нас: 6 камер в одной сети с 1С и бухгалтерией, запись на дешёвый NVR с китайским облаком, порт 8000 открыт наружу. После: VLAN 40 только для камер, Mikrotik с правилами запрета выхода в интернет из этого VLAN, запись на Synology DS723+ с двумя дисками WD Purple по 6 Тб в RAID 1, доступ через WireGuard. На всё ушло полтора дня работы и около 65 000 рублей — оборудование плюс работа.

Что получили. Камеры перестали «светить» в интернет — проверяли через мониторинг трафика на Mikrotik неделю после настройки, исходящих соединений из VLAN камер ноль. Запись идёт 24/7, хранится 45 дней при текущих настройках H.265+. Директор смотрит видео с телефона через WireGuard — говорит, удобнее, чем было с китайским приложением, потому что не лагает. Видео с офиса больше не гуляет через неизвестные сервера.

Конечно, это не панацея. Если камера внутри VLAN будет скомпрометирована — она может атаковать NVR или другие камеры в том же сегменте. Поэтому между камерами внутри VLAN тоже стоит закрыть трафик, разрешив только соединения к NVR на нужных портах. Mikrotik позволяет это сделать через port isolation на уровне бриджа. Немного сложнее, но правильно. Безопасность — это слои, а не один замок.

Частые вопросы

Обязательно ли использовать управляемый коммутатор для VLAN или можно обойтись простым?
Для VLAN нужен именно управляемый коммутатор — он умеет тегировать трафик по стандарту 802.1Q. Простой неуправляемый свитч за 1 500 рублей этого не умеет. Минимальный вариант — D-Link DGS-1100-08 или TP-Link TL-SG108E, они стоят 3 500–5 500 рублей и поддерживают VLAN. Если в сети уже стоит Mikrotik, он сам умеет делать VLAN без дополнительного свитча — если портов хватает.

Что делать, если камеры уже стоят и подключены к рабочей сети?
Ничего страшного — это решаемо без замены оборудования в большинстве случаев. Нужно добавить управляемый коммутатор или перенастроить существующий, создать VLAN для камер и перевести их порты в этот VLAN. Если роутер умеет маршрутизацию между VLAN (Mikrotik, pfSense, Cisco) — прописать правила. Работа на 2–4 часа для опытного сетевого администратора. Видеозаписи при этом не теряются, камеры не перезаписываются.

Можно ли использовать бесплатный Frigate NVR для серьёзного бизнеса или это только для домашнего использования?
Frigate отлично работает в коммерческом применении. Я его ставил в офисах на 20–40 человек, в магазинах, на складах. Главное условие — нормальный сервер с достаточным объёмом диска и, желательно, GPU или Google Coral TPU для детектирования движения без нагрузки на процессор. Корп Coral USB-акселератор стоит около 5 000 рублей и снимает с CPU 90% нагрузки по детектированию. Из минусов: нет коробочной поддержки, надо уметь работать с Linux и Docker.

Нужно ли уведомлять сотрудников о видеонаблюдении в офисе?
Да, по российскому законодательству — обязательно. Статья 23 Конституции, Федеральный закон 149-ФЗ об информации, трудовой кодекс — всё это требует информировать работников. На практике: размещаете таблички «ведётся видеонаблюдение» на видных местах и прописываете условия в трудовом договоре или отдельном соглашении с подписью сотрудника. Без этого в случае инцидента видеозапись может быть признана недопустимым доказательством.