Китайские IP-камеры рвутся к себе на родину

Использованием видеонаблюдения с применением ip-камер в личных целях сейчас уже пожалуй никого не удивишь. Не будем углубляться в причины — это свершившийся факт, но сейчас не об этом … Почему ip-камеры? Они дают лучшее качество чем аналоговые, более функциональны и гибки в настройке — но то же не об этом.

Вобщем когда выбираешь игрушку для дома (пусть и полезную) вопрос цены играет не последнюю роль, а поэтому большинство брендов остается в стороне — платить по 10, а то и 15 — 20 тыр. за одну камеру … Российские бренды (хоть и китайского производства) тоже претендуют ценовым диапазоном больше на корпоративного потребителя, при этом часто уступая мировым брендам по качеству и функционалу. Вобщем как всегда выбирать приходится из откровенной китайщины: немного с закосом под «широко известный в узких кругах» бренд или однозначный «нонейм». Причем качество картинки в обоих случаях более чем достойное. А вот функциональная составляющая может быть очень разнообразной и практически не предсказуема при выборе — т.е. нужно брать «на потестить», а потом … Вобщем «зоопарк» как правило гарантирован ;-)

Практически вся китайщина ориентирована в первую очередь на трансляцию картинки через интернет в приложение на смартфоне. Приложений разных много — купив несколько различных камер скорее всего придется использовать разные приложения (совместимости может не быть даже внутри одного бренда у разных моделей). Подобный подход демонстративно нагляден, но практически мало удобен. Сохранять историю такие ip-камеры умеют разве что на устанавливаемую в них карту памяти, которая не только не обеспечивает сохранности записи в случае несанкционированного физического доступа, но и не позволяет в сколь либо удобном (а чаще не позволяет вообще) просматривать сохраненные видео-материалы с привязкой к шкале времени.

Встает задача использования отдельно «видеорегистратора» — опять-таки не будем подробно останавливаться на обзоре их ассортимента и нюансов при выборе. Функционал видеорегистратора может быть реализован и программно на разном железе и разными операционными системами. Но в любом случае нужно обеспечить видеорегистратору возможность получения видео-потока напрямую с камеры (например устройства в одной локальной сети), а интернет в этом случае в принципе и не нужен. Как вариант доступ из вне должен быть только к видеорегистратору. И вот тут начинаются первые «затыки» … не все камеры корректно информируют о своих характеристиках в формате onvif, с поддержкой разных протоколов и кодеков с точки зрения их совместимости с выбранным софтом регистратора тоже косяков хватает.

Но все же ближе к теме … Вот на с матюгами и охами собрали нашу систему видеонаблюдения и даже почти радуемся результату. А когда самое сложное позади возникают мысли и об оптимизации и возможно тогда задумываешься подробнее над механизмами функционирования получившегося огорода. Или просто смотришь логи на шлюзе доступа в интернет … И задаешься вопросом типа: нафига ip-камера держит установленными несколько исходящих соединений причем в течении длительного времени? Вспоминаешь, что у нее есть функционал доступа к ней из приложения на смартфоне — причем настолько простой (для конечного пользователя) что камере все равно через что и как ее пускаю в интернет, за NAT-ом она или за несколькими … Разумеется что реализации всего этого нужен сервер-посредник на котором камера будет регистрироваться и на через который с ней будет общаться смартфон. В теории все вроде как … Но про здоровую паранойю тоже забывать не стоит. Даже если оставить в стороне мысли об альтруизме или корыстном умысле владельцев серверов-посредников заточенных под работу с ip-камерами — а даже эта мысль не пустая, т.к. сервера эти не имеют четкой привязки к тому или иному производителю камеры (которых в китае несчетное количество), да и идея свободного а тем более опен-сорсного для китайцев как правило чужда. Софт же внутри камеры проприетарен до мозга-костей (хоть и построен зачастую на линуксе) — обновлений «прошивок» зачастую не бывает (можно поискать от аналога совместимого по железу). Но это не совсем в тему. Вобщем практически с любой китайской камерой мы имеем закрытую систему с почти (или мало) документированным функционалом. Даже если учитывать большие объемы и относительную добросовестность производителей и администраторов серверов-посредников, то никак нельзя исключать наличия дыр в организации безопасности разграничения доступа. И то что камера имеет постоянный канал до сервера может вполне себе быть равноценным свободному доступу к камере неопределенного круга лиц с самыми разнообразными целями и главное — возможностями. Вывести камеру из строя или просто отключить? — не самый худший вариант. На камере (внутри ее операционной системы) есть ее внешний интернетовский адрес — при наличии актуальных баз геолокации и картинки с камеры ее местоположение возможно установить с очень высокой точностью (вплоть до однозначного).

Вот и получается что по умыслу или доброте душевной китайцы задешево распространяют по всему миру инструменты мониторинга этого самого мира! Мы же не для этого камеру покупали?

Отключить! Нет — не от сети питания, а от интернета ip-камеру простой блокировкой ее локального ip-адреса на шлюзе конечно можно. Но удобно это не всегда и даже не потому что таким образом мы потерям доступ к камере через приложение на смартфоне — из соображений безопасности нужно раз и навсегда забыть про такой легко доступный для всех сервис. Мы же агрегировали камеры с регистратором — вот к нему и организовывать удаленный доступ следует, если он нужен. Структура же локальной сети, правила адресации в ней и добавления новых устройств могут быть различными — посему не лишним будет на интернет-шлюзе (маршрутизаторе или «роутере») организовать блокировку доступа к подобным «серверам-посредникам».

Как? И по доменным именам и по ip-адресам ;-)) Инструменты для отслеживания куда ломятся камеры можно применять различные как встроенные в софт интернет-шлюза, так и внешние. Одним из таких удобно использовать в частности Pi-hole — фильтрующий DNS-сервер-ретранслятор с функцией логирования запросов.

Далее хочу поделиться собранными и заблокированными мной адресами:

p2p1.cloudlinks.cn
p2p2.cloudlinks.cn
p2p3.cloud-links.net
p2p4.cloud-links.net
p2p5.cloudlinks.cn
p2p6.cloudlinks.cn
p2p7.cloudlinks.cn
p2p8.cloudlinks.cn
p2p9.cloudlinks.cn
p2p10.cloudlinks.cn

3.120.96.200
47.88.224.196
47.89.254.156
47.91.77.247
47.91.93.96
47.96.174.52
47.96.176.66
52.16.114.101
52.29.246.211
54.68.162.253
54.84.132.236
58.87.101.47
101.132.102.253
103.235.46.39
107.155.52.15
107.155.52.227
112.124.0.118
112.124.0.188
120.77.174.43
123.206.9.74
141.101.246.179
141.101.246.250

В моем случае теперь красота и порядок: никаких тебе непонятных тоннелей к серверам расположенным хрен-знает-где! Камеры сидят и тихонечко пингуют гугл ;-) Правда при этом шлют более десятка запросов в минуту к DNS-серверу с желанием узнать какой же теперь айпишник у сервера-хозяина на их родине. Неужели они думают что он так часто может меняться? Да нет — просто пытаются установить соединение, а кеширования DNS-ответов видать никакого не предусмотрено в этих примитивных поделках — правильно что мы их заблокировали ;-))

PS. Желающие дополнить список блокировки — отписываемся в комментариях …