ВойтиРегистрация
ГлавнаяБлог → Безопасность IP-камер
22 марта 2026 Павел Котов безопасностьсетьаудит

Повышение безопасности IP-камер: топ-10 ошибок

Shodan показывает более 170 000 камер из РФ с полностью открытыми веб-интерфейсами. Большинство из них — системы дома, в малом бизнесе и у «старых друзей, которые ставили всё 8 лет назад». Собрали главные уязвимости и способы их закрыть.

Зачем злоумышленнику ваши камеры

Мотивация у атакующих разная:

  • Подсматривать (от безобидного любопытства до слежки за домом перед кражей).
  • Организовать ботнет для DDoS-атак на других. Печально известный Mirai был построен именно на взломанных IoT-устройствах, в основном камерах.
  • Использовать для майнинга или proxy-сети. У многих камер достаточно ресурсов.
  • Заразить остальную вашу сеть через камеру как плацдарм.
  • Шантаж — «заплатите или опубликуем ваше видео в сети».

Типичный сценарий: автоматизированный сканер находит порт 80 или 554 с дефолтной прошивкой Hikvision 2016 года. Использует известный эксплойт CVE-2017-7921. Камера компрометирована за 40 секунд, владелец об этом узнает в лучшем случае никогда.

Ошибка 1. Дефолтные пароли

Самая массовая проблема. Заводские комбинации:

  • admin / admin
  • admin / 12345
  • admin / 888888
  • root / pass
  • root / [пусто]

Все они есть в базах брутфорсеров. Если камера видна в интернете — её взломают в течение минут.

Решение. Сменить пароль на сложный (16+ символов, буквы + цифры + спецсимволы) сразу при установке. Многие современные прошивки заставляют это делать при первом входе — хорошо. Если у вас старая камера без этой функции — лезьте и меняйте.

Ошибка 2. Камера напрямую в интернете

Привет, проброс портов без облака. Камера видна на Shodan и атакуется всеми кому не лень.

Решение. Используйте облачный сервис с P2P (РуКлауд, Ivideon, аналоги) или VPN-доступ в вашу локальную сеть. Если всё-таки пробрасываете — хотя бы ограничьте IP-адреса, откуда можно подключаться, через firewall роутера. Подробнее про альтернативы пробросу — в статье «P2P без белого IP».

Ошибка 3. Устаревшая прошивка

Производители регулярно находят и закрывают уязвимости. В Hikvision за 2020–2024 годы — 12 CVE с оценкой Critical. В Dahua — 9. Если вы не обновляете прошивку 3+ года, на вашей камере почти наверняка есть известная RCE-уязвимость.

Решение.

  • Для наших камер РуКлауд — автообновление включено по умолчанию, мы пушим свежие прошивки в тихое время по локальному часовому поясу.
  • Для сторонних — раз в квартал заходить в веб-интерфейс, смотреть наличие обновлений. Или включить автообновление, если прошивка это умеет.
  • Если производитель больше не выпускает обновления (камера 10-летнего возраста) — меняйте железо. Это неприятно, но дешевле, чем ликвидация последствий.

Ошибка 4. Отсутствие сегментации сети

Камеры, рабочие компьютеры, домашние устройства, сетевой принтер — всё в одной IP-подсети 192.168.1.0/24. Захватил камеру — получил доступ ко всему остальному.

Решение. Отдельный VLAN для камер. На современных роутерах (Mikrotik, Cisco, даже Keenetic) это делается за 15 минут:

  • VLAN 20 — камеры, интернет разрешён только к облаку, внутренний доступ закрыт.
  • VLAN 10 — рабочая сеть, доступа в VLAN 20 нет.
  • VLAN 30 — гостевой Wi-Fi, изолирован от всего.

Межсегментное общение по правилам firewall: рабочая сеть может читать RTSP-поток с камер, но не более того. Камеры в рабочую сеть не могут ничего.

Ошибка 5. Нет 2FA на облачном кабинете

Если используется облачный сервис, его пароль становится единой точкой отказа. Утекли реквизиты (фишинг, trojan, переиспользование пароля) — злоумышленник видит все ваши камеры.

Решение. Включайте двухфакторную аутентификацию через Google Authenticator, Authy, Яндекс.Ключ или аналогичный TOTP-приложение. В РуКлауд это делается в два клика в разделе «Безопасность» личного кабинета.

Ошибка 6. Один пароль на все камеры

Удобно для админа, удобно для злоумышленника. Один раз сломал — получил доступ ко всей сети объектов.

Решение. Уникальный пароль на каждую камеру или объект. Используйте парольный менеджер — 1Password, Bitwarden, Яндекс.Ключ.

Ошибка 7. Открытые tethered-сервисы (UPnP, SSH, Telnet)

На многих камерах (особенно noname-китайских) включены по умолчанию:

  • UPnP — автоматический проброс портов через роутер. Камера сама себя «пробрасывает» наружу.
  • Telnet на 23 порту — незашифрованный консольный доступ. Часто с дефолтным root-паролем, который документально не описан.
  • SSH на 22 порту — то же самое, но зашифрованный. Риск ниже, но не нулевой.

Решение. Отключить всё, что вам не нужно. В веб-интерфейсе камеры — разделы «Service», «Network services», «Advanced». Выключить UPnP на роутере тоже. Если нужен удалённый доступ для диагностики — только SSH с ключом, не паролем.

Ошибка 8. HTTP вместо HTTPS

Веб-интерфейс камеры на HTTP — это пароль, улетающий по локальной сети открытым текстом. Кто-то с ноутбуком в той же Wi-Fi-сети может перехватить и войти за вас.

Решение. В настройках камеры включить HTTPS. Браузер будет ругаться на самоподписанный сертификат, это норма. Для серьёзных инсталляций — ACME-сертификаты через внутренний PKI или Let's Encrypt (если камеры публично адресуемые, что мы не советуем).

Ошибка 9. Нет журналирования

Никто не знает, когда и кто подключался к камере. Компрометация обнаруживается только по косвенным признакам — или никогда.

Решение. Включить audit log в прошивке камеры и в облачном сервисе. Настроить отправку в SIEM или хотя бы в Telegram-бот. Периодически проверять — не появились ли входы в нерабочее время или с незнакомых IP.

В РуКлауд аудит-лог включён всегда, посмотреть его можно в разделе «Активность» личного кабинета.

Ошибка 10. Доверие к Wi-Fi

WPA2 — нормальный стандарт, но только если пароль сложный и не переиспользуется. WEP и открытая сеть — категорически нет. KRACK-атаки на WPA2 хоть и редки в дикой природе, но возможны.

Решение. Для серьёзных инсталляций — PoE-камеры по витой паре. Для домашних задач — WPA2-PSK с 16+ символов паролем или WPA3 (если оборудование поддерживает).

Чек-лист: аудит за 5 минут

Сделайте прямо сейчас:

  1. Откройте Shodan.io и проверьте свой внешний IP — если камера там видна, закрывайте немедленно.
  2. Попробуйте войти в камеру с паролем admin/admin. Если получилось — меняйте.
  3. Проверьте дату последнего обновления прошивки. Если больше года — поищите новую.
  4. Посмотрите, кто в локальной сети камеры: ping 192.168.x.x по адресам камер, arp -a, проверьте что кроме камер в этом сегменте ничего лишнего.
  5. В облачном сервисе проверьте активные сессии и наличие 2FA.
  6. На роутере выключите UPnP, если он включён.

Если нашли проблему — не паникуйте, просто закройте. Если не знаете как — напишите, наш SRE-инженер поможет удалённо. Бесплатно.

Правило безопасности IoT: если устройство умеет слушать на каком-то порту, значит рано или поздно его атакуют. Единственная защита, работающая с годами, — не давать его атаковать.