摄像头安全策略:事前防护、事中发现、事后全套处置方案
内网摄像头、接信锐交换机、想防黑客留后门、反向渗透主机、横向内网扫描
一、事前防护(最关键,从根堵死留后门+主动反连)
1. 网络隔离+单向访问(你刚才ACL的核心用途)
- 交换机做单向ACL
只允许主机主动访问摄像头 ,禁止摄像头主动访问任何内网主机、服务器、网管设备。
- 禁止摄像头发起TCP新建连接、禁止ping、禁止向外网/内网任意地址主动发包
- 信锐交换机用 TCP标志位过滤:拦截摄像头SYN新建请求,只放行回应包
- 摄像头单独划独立VLAN
- 摄像头全部丢到单独VLAN,不和办公主机、电脑、服务器同网段
- 配置VLAN间互访策略:只能办公VLAN访问监控VLAN,监控VLAN完全不能主动往外访问
2. 摄像头本身安全加固
- 修改默认账号密码
杜绝 admin/admin、admin/123456,密码字母+数字+符号,长度12位以上。 - 关闭不必要端口
关闭多余 Telnet、FTP、UPnP、P2P云穿透、未开启的后台调试端口。 - 关闭外网访问
- 不要做端口映射、不要公网直接暴露摄像头
- 关闭摄像头自带的云平台自动穿透功能(很多后门靠云通道回连)
- 固件不随便升级第三方包
只刷官方固件,禁止刷机、禁止导入不明配置文件(后门大多藏在配置/固件里)
3. 运维层面基础防护
- 全网摄像头统一固定IP,禁止DHCP乱分配
- 交换机开启端口安全,绑定摄像头MAC,防止换设备仿冒
- 禁用摄像头多余的串口、调试接口、ONVIF匿名访问
二、事中发现(黑客已经留后门,怎么及时察觉)
1. 看异常网络行为(最直观)
- 交换机流量监控
- 看摄像头是否主动向外发起连接:向外网IP、内网其他主机、陌生端口发包
- 正常摄像头:只会被动回应NVR/你的主机,不会主动发起TCP连接
- 一旦看到摄像头发起外网TCP、DNS请求、大量扫描包=百分百中后门
- 异常端口行为
- 摄像头莫名开了 22、23、3389、8080、特殊高端口
- 主动向外连海外IP、代理IP、恶意域名
2. 业务异常特征
- 摄像头莫名离线、自动重启、时间被篡改
- 画面卡顿、莫名黑屏、后台多出未知用户账号
- 配置被自动篡改:开启Telnet、开启匿名访问、新增管理员
3. 内网检测手段
- 在核心交换机做镜像抓包,抓摄像头流量
- 用内网扫描工具看:摄像头是否对内网其他IP做端口扫描
- NVR/录像机日志:看是否有陌生IP登录摄像头后台
只要出现:摄像头主动发起对外连接、对内扫描、新增账号,就是后门已激活。
三、事后处理(确认被植入后门,标准应急流程)
1. 紧急断网隔离
- 立刻在交换机shutdown摄像头接入端口,物理或逻辑断网
- 避免后门继续回连黑客服务器、对内网横向渗透、窃取录像、监听内网
2. 清理后门
- 恢复出厂设置 (必须做)
清空所有配置、隐藏账号、后门脚本 - 重新刷官方原厂固件
覆盖被篡改的系统文件、后门进程 - 手动删除所有多余用户,只保留自己管理员账号
- 关闭所有不必要服务:Telnet、SSH、UPnP、云穿透、匿名ONVIF
3. 排查内网有没有被横向渗透
- 查同网段电脑、NVR、录像机是否有异常进程、陌生远程连接
- 改所有设备弱密码:交换机、路由器、NVR、电脑、门禁、物联网设备
- 全网做一次端口扫描,排查是否有其他物联网设备被植入后门
4. 加固闭环(防止二次中招)
- 重新部署交换机单向ACL+VLAN隔离
- 所有摄像头统一强密码、关闭外网穿透
- 定期看交换机流量日志、端口在线日志
- 禁止任何员工私自接摄像头、私自改配置
四、总结
- 事前 :VLAN隔离+交换机ACL做单向通行,改密码、关云穿透、不暴露公网;
- 事中 :看摄像头是否主动对外发连接、扫描内网、莫名重启/新增账号;
- 事后:立刻断网→恢复出厂+重刷固件→内网排查→重新做ACL和隔离。