Советы по защите потоков RTSP/RTMP в корпоративной сети

Советы по защите потоков RTSP/RTMP в корпоративной сети

Советы по защите потоков RTSP/RTMP в корпоративной сети

Потоки видеонаблюдения и трансляций часто идут по RTSP и RTMP. Они критичны для безопасности здания, но могут стать входной точкой для
атак. В этой статье — понятные и практичные шаги, как снизить риски и сохранить удобство работы с камерами и регистраторами.

Почему это важно

RTSP/RTMP передают видео в реальном времени. Если поток доступен посторонним, возможны утечки видео, саботаж, подмены. Кроме того, камеры часто имеют слабые
пароли и открытые сервисы. Вот почему защита — это не только ИТ-отдел, но и служба охраны, монтажники и собственники.

Кратко о протоколах

Протокол Порты Особенности RTSP TCP 554 (иногда 8554), RTP/RTCP динамически (UDP 1024–65535) Управление потоком. Может идти interleaved через TCP. RTMP TCP 1935, часто через HTTP/TCP 80/443 Используется для стриминга; есть RTMPS (TLS).

Основные принципы защиты

- Разграничение сети: камеры в отдельном VLAN с ограниченным доступом к корпоративным ресурсам. - Минимум открытых сервисов: закрыть Telnet, UPnP, ненужные веб-интерфейсы. - Аутентификация: только Digest или токены; отключить Basic auth. - Шифрование: TLS/RTMPS, SRTP для медиапотоков, HTTPS для ONVIF. - Контроль доступа: IP-ACL, firewall, списки разрешённых клиентов. - Мониторинг и логирование: IDS/IPS, логи доступа к потокам, алерты при аномалиях. - Обновления: прошивки камер и NVR — регулярно.

Схема сети — что делать на практике

1) Выделите VLAN для камер и видеорегистраторов. 2) На пограничном роутере запретите доступ из VLAN камер в сеть управления и интернет, кроме необходимых сервисов (NTP, обновления на заданные адреса). 3) Разрешите доступ операторов с конкретных IP или через VPN. 4) Для удалённого просмотра используйте терминал/сервер-прокси в DMZ, который выполняет авторизацию и TLS-терминацию. Смотрите, какая штука: если камера должна быть доступна извне, лучше организовать исходящий поток через сервер-посредник (транс-кодер/стриминг-платформа), а не открывать камеру напрямую
в интернет.

Пошаговая настройка защиты

1. Смените заводские пароли. Используйте сложные, уникальные пароли. 2. Отключите неиспользуемые протоколы (Telnet, FTP, UPnP). 3. Включите HTTPS/ONVIF-over-HTTPS если поддерживается. 4. Переведите RTSP на TLS (если поддерживается) или держите доступ по RTSP только через VPN/прокси. 5. Настройте firewall: разрешить TCP 554/1935 только между камерами и NVR, между NVR и контроллерами стриминга — через отдельные правила. Пример
правила: разрешить TCP 554 из сети NVR в сеть камер; заблокировать входящие снаружи. 6. Ограничьте диапазон RTP-портов и пропишите их в firewall/NAT. Это упрощает контроль. 7. Включите логирование подключений к потокам и настройте алерты на аномальные подключения. 8. Периодически меняйте ключи/пароли и проверяйте наличие обновлений.

Технические нюансы и хитрости

- RTSP active/passive: в пассивном режиме камеры открывают порты (UDP), что усложняет NAT. Лучше использовать TCP interleaved или RTSP-over-HTTPS. - Токены в URL: формирование подписанных URL с истечением времени полезно для публичных трансляций. - Reverse-proxy: Nginx с rtsp/rtmp модулями может выступать шлюзом, делать TLS-терминацию и авторизацию. - SRTP: если камера/NVR поддерживают, включайте SRTP для медиапакетов. - QoS: пометьте видеопотоки на L2/L3, чтобы не нарушать транзит при пиковых нагрузках. - Multicast: при использовании многоадресной передачи настройте IGMP snooping и querier, чтобы трафик не распространялся по всей сети.

Мониторинг и обнаружение аномалий

- Централизованные логи: храните логи подключений и ошибок. - IDS/IPS: подписи на поиск RTSP/RTMP brute-force и попыток проксирования. - Контроль целостности прошивки и файлов конфигурации. - Периодические сканирования сети на открытые порты камер.

Правовые и организационные моменты

Запись и передача видеоданных регулируются в зависимости от юрисдикции. Храните доступ под контролем и документируйте права доступа. - Убедитесь, что у оператора есть право просмотра и хранения. - Ограничьте время хранения и доступ по ролям. - Для госструктур и медучреждений учитывайте требования по защите персональных данных.

Цены и оборудование — где смотреть

Для базового уровня нужны: управляемый коммутатор с поддержкой VLAN и QoS, firewall/маршрутизатор с возможностью NAT и ACL, NVR/сервер-прокси. Профессиональные камеры с
поддержкой TLS и SRTP дороже, но быстрее окупаются при рисках утечки. Посмотрите доступное оборудование в каталоге: - каталог оборудования - системы видеонаблюдения

Простой чек-лист для проверки

- Есть ли отдельный VLAN для камер? - Сменены ли заводские пароли? - Отключены ли Telnet/FTP/UPnP? - Активен ли HTTPS/RTMPS/SRTP при возможности? - Логируются ли подключения к потокам? - Ограничен ли доступ по IP/VPN? - Обновлены ли прошивки? - Настроен ли firewall с конкретными правилами для RTSP/RTMP? Небольшой практический нюанс: если вы быстро хотите закрыть наружный доступ — заблокируйте на пограничном роутере порты RTSP/RTMP и откройте доступ через
VPN/прокси. Это сразу снизит риск, пока вы готовите полную архитектуру. Защита потоков — комбинация сети, настройки устройств и процедур. Пара простых шагов сегодня снизит вероятность серьёзного инцидента завтра.

Читать на сайте:
https://y-ss.ru/blog_pro/videonablyudenie/sovety-po-zashchite-potokov-rtsp-rtmp-v-korporativnoy-seti/