Gần đây, trên hạ tầng của chúng ta phát sinh khá nhiều checklist bảo trì KH đèn tốt không lấy được IP, khi KTV đến nhà KH kiểm tra, thấy có sử dụng camera. Phương pháp xử lý là phải reboot lại camera, modem, đầu ghi… thì mới sử dụng được mạng. Trong số đó, hầu như là camera có xuất xứ từ China, khi được lắp vào local, thì các camera này liên tục gửi các gói tin TCP port 23 và UDP port 53413 => Làm tràn bảng NAT session trên modem => Gây ra mất kết nối.
Theo kết quả bắt gói tin, thì do đầu ghi & Cam bắn ra bên ngoài với lưu lượng vài nghìn session/phút => Nên có thể làm treo các thiết bị kể cả TL-480T+, Draytek 2920.
Tình trạng này mới xảy ra gần đây, cảnh báo khả năng dự kiến sắp có “chiến tranh mạng”. Về phương pháp tấn công, có 2 cách:
1. Đầu ghi & Cam bắn full session mà modem có thể đáp ứng, gây treo thiết bị, gián đoạn các dịch vụ online.
2. Bắn full traffic theo kiểu từ chối truy cập (DDOS), gây nghẽn băng thông, chiếm dụng toàn bộ traffic đường truyền.
Khi gặp các trường hợp này, các bạn KTV thực hiện filter trên modem GPON cả 2 port 23 và 53413 theo ảnh hướng dẫn, đồng thời gửi thông tin ngay cho P.ĐBCL để phối hợp kịp thời.
Thông tin xử lý và phương pháp ngăn chặn tối ưu sẽ cập nhật sau khi có kết quả test, thử nghiệm… để các đơn vị nắm thông tin.
Nhờ các anh Trưởng đơn vị truyền thông xuống các tổ thi công thực hiện đối với các trường hợp KH triển khai mới có lắp CAM có xuất xứ từ China.
A. Hiện tượng
– Nếu thấy hiện tượng modem bị treo hoặc mạng bị chậm hoặc rất chậm NHƯNG khi rút dây cáp mạng đầu ghi hình camera (DVR) ra thì bình thường trờ lại
== > Đầu ghi hình có mã độc và có thể đang bị điểu khiển chiếm dụng băng thông gây nghẽn mạng
– Xuất hiện gần đây với các đầu ghi hình và camera Made in China hoặc tương tự
– Xãy ra ngẫu nhiên do bị điều khiển và ra lệnh từ xa.
B. Các bước khắc phục:
PHẢI THỰC HIỆN SAO LƯU CẤU HÌNH CỦA TẤT CẢ THIẾT BỊ TRƯỚC KHI THỰC HIỆN CÁC THAY ĐỔI
Bước 1: Lấy thông tin liên quan đến hệ thống camera
– Địa chỉ IP đầu ghi, username và password admin để đăng nhập
– Thông tin port của đầu ghi: Thông thường đầu ghi chỉ cần có 2 port để hoạt động (Xem hình)
+ Port web (Port này sử dụng để xem và cấu hình camera trên máy tính bằng trình duyệt)
+ Port để xem điện thoại (Port này dễ dàng tìm thấy trên điện thoại nào đang xem được camera)
Bước 2: Cấu hình bảo mật cho đầu ghi
– Phải đổi password admin của đầu ghi ngay lập tức
– Kiểm tra lại trên đầu ghi còn account nào có quyền admin nữa hay không == > Xóa hoặc đổi password luôn
– Đổi port Web và port Điện thoại thành một số ngẫu nhiên
– Tắt tất cả các tính năng khác của đầu ghi như:
+ P2P (torrent)
+ Cloud
+ UPnP
Bước 3: Bảo mật cho modem chính
– Đổi password login của modem chính
– Kiểm tra trong phần NAT port (hay còn gọi là Open port, port redirect,…): Thật sự chỉ cần mở port web
và port điện thoại là có thể xem camera bình thường. Nếu đang sử dụng DMZ hay NAT quá nhiều port
thì hãy điều chỉnh lại
Bước 4: Cấu hình bảo mật cho đầu ghi bằng firewall trên modem
(Các rule bên dưới chỉ áp dụng cho Source IP là địa chỉ IP của camera, tránh ảnh hưởng đến các thiết bị
khác trong mạng. Phải chắc rằng modem của bạn có hỗ trợ)
– Rule 1: Cho phép Camera sử dụng port Web (Lan-to-Wan)
– Rule 2: Cho phép Camera sử dụng port điện thoại (Lan-to-Wan)
– Rule 3: Cấm Camera sử dụng tất cả port. Tức là Any-Any (Lan-to-Wan)
(Lưu ý rằng DrayTek hỗ trợ xét các rule theo thứ tự từ trên xuống, thỏa là thực thi. Nên 3 rule trên xem
như là chỉ cho phép sử dụng 2 port mà thôi)
Bước 5: Giới hạn băng thông cho đầu ghi
– Mỗi camera thông thường sử dụng 2-4Mbps để truyền hình ảnh
– Khi xem bằng điện thoại thì băng thông còn nhỏ hơn
– Chỉ khi chúng ta xem cùng lúc tất cả camera trên 1 màn hình thì mới tốn nhiều băng thông
– Vì vậy theo ý kiến cá nhân cách tính băng thông cho Đầu ghi camera là:
Băng thông = số camera x 1Mbps
– Thực hiện giới hạn băng thông cho địa chỉ IP (Cả download và Upload)
Bước 6: Giới hạn Sessions cho đầu ghi
– Nếu đầu ghi bị nhiễm mã độc thì nó sẽ tạo rất nhiều kết nối ra ngoài (tấn công)
– Trong trường hợp bình thường hãy giới hạn chỉ cho phép đầu ghi camera 100 sessions mà thôi