物联网对于大多数人来说可能还相对比较陌生,但事实上我们现在已经进入物联网时代――以互联网为基础核心发展起来的新一代信息网络时代。物联网行业目前是一个新兴产业,物联网设备的厂商也都在还处于开拓摸索阶段,行业内部还没有比较完善的安全标准,设备系统安全漏洞比较好找,黑客控制起来相对容易一点,所以使用数量庞大的监控摄像头,就成了最好的选择……

物联网经历了从最初的概念化阶段到热炒阶段,再到现如今的培育阶段,其涉及的领域非常广泛,相关技术更是数不胜数,工业物联网、智能家居、车联网、智慧城市、智能交通、智能安防等都是物联网在垂直领域的热门应用。在经历了摸索与困顿之后,未来的物联网行业注定不平凡,在过去我们的物理世界和信息世界(互联网)是独立发展的,现如今要将这两者融合起来,这将是一个很大的跨越,将造福全人类。然而物联网的安全问题却始终是物联网落地的最大障碍,本文主要讨论的不是物联网安全,而是从现有物联网中数量众多的网络摄像头出发,从互联网最基础的服务DNS谈起,从侧面来了解下物联网时代网络摄像头的安全问题。

近几年传统的模拟监控摄像头被网络摄像头逐步替代,在加入物联网特性之后,网络摄像头变得更加智能、方便、高效,也从专业领域走向消费市场,全球监控摄像机市场在未来五年内将保持稳步增长,2013年全球监控摄像机的出货量约为8560万台,到2017年这一数据将上升到1.145亿台。

众所周知,在网络中唯一能够用来标识计算机身份和定位计算机位置的方式就是IP地址,但网络中往往存在许多服务器,如E-mail服务器、Web服务器、FTP服务器等,记忆这些纯数字的IP地址不仅枯燥无味,而且容易出错。通过DNS(Domain Name System,域名系统)服务器,将这些IP地址与形象易记的域名一一对应,使得网络服务的访问更加简单,而且可以完美地实现与Internet的融合,对于网络的推广发布起到极其重要的作用,而且许多重要网络服务(如E-mail服务)的实现,也需要借助于DNS服务,因此DNS服务可视为互联网服务的基础。

很多安防行业的从业人员看到这里笑了,我们的网络摄像头仅仅只是视频浏览服务,不需要Web、E-mail、FTP等服务,难道也需要进行DNS服务的配置?虽然从技术的层面上直观来看,很多环境下网络摄像头确实可以不需要DNS服务,但在物联网时代人们对视频远程访问的需求越来越高,已经离不开这个最基础的互联网服务了。下面笔者从三个关键字入手讲述网络摄像头和DNS之间的故事……

网络摄像头与DNS三部曲之一:《雾——DDNS》

目前很多家庭使用PPPOE拨号方式上网,每次上网获得的IP都是随机变换的,但是家里的网络监控、智能设备需要通过网络访问,每次使用前都需要先知道IP,这是非常麻烦的。

DDNS(Dynamic Domain Name Server,动态域名服务)是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析。也就是说DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样其他上网用户就可以通过域名来进行交流。而最终客户所要记忆的全部,就是记住动态域名商给予的域名即可,而不用去管他们是如何实现的,如图1所示。

物联网时代网络摄像头和DNS不得不说的故事

动态域名服务的对象是指IP是动态的,是变动的,随机的。普通的DNS服务都是基于静态IP的,有可能是一对多或多对多,IP都是固定的一个或多个。

DDNS的注册过程并不像DNS解析一样有标准的规定,而是由各DDNS服务提供商自己制定私有协议,所以若要使用特定DDNS服务商的DDNS服务,客户端就必须支持对应的私有协议。注册客户端可以是一台PC,在该PC上运行DDNS服务商提供的客户端软件,也可以是企业出口路由器,或者用户服务器直接集成DDNS服务商的客户端。这些DDNS客户端不能断电,否则无法及时地将公网IP地址变动情况上报给DDNS服务器。目前,使用较多的国内DDNS服务商有花生壳oray.com和pubyun.com,国外的有no-ip.com和dyndns.com。

免费的通用DDNS服务稳定性差,经常出现故障及掉线,严重影响客户对远程监控的体验,而相对稳定的收费DDNS服务每年要收取一定的费用,让客户难以接受,于是部分安防监控厂商搭建了远程监控DDNS服务器,为自家的安防监控设备做DDNS服务。与互联网的DDNS服务相比,安防行业DDNS服务控制力度更加细致,可以精确到服务端口号,当然此服务只适合厂商自己的设备,无法适用于所有通用设备。目前安防行业海康威视、大华、宇视等均推出了自己的DDNS服务器,我们以海康威视的DDNS配置为例进行介绍。

网络摄像机DDNS一般无法在本地直接配置,可以通过IE远程配置实现,IE输入设备当前IP地址登录设备,登录设备后进入【配置】界面,【高级配置】→【网络】→【DDNS】中查看DDNS参数。在配置之前设备必须连入互联网,否则将无法成功完成相关配置,成功接入网络之后,网络摄像机会自动启用DDNS服务,并且注册一个和其序列号一样的域名,如图2所示。

物联网时代网络摄像头和DNS不得不说的故事

按以上步骤配置好,设备就可以注册到海康威视的DDNS服务器,在IE上可以通过“http://www.hik-online.com/自定义域名”来访问设备,例如设置为“videolive365”,则IE上输入“http://www.hik-online.com/videolive365”即可访问该设备。不过该公司近日宣布计划逐步停止DDNS服务器的部分服务,逐步构建以互联网视频应用和物联传感应用为核心的云服务平台――萤石云平台来替代DDNS,笔者认为萤石云平台提供的服务将更加全面、安全、稳定。

在使用DDNS服务的过程中我们要特别注意,国内个别摄像头厂商DDNS协议存在安全漏洞,攻击者利用漏洞可随意更改、删除服务器上摄像头的DNS记录,致使用户在使用域名进行摄像头访问时,进行钓鱼网站攻击。我们需要对网络摄像头设备定期进行升级,同时通过修改设备的默认密码、弱密码等手段,来保证设备的DDNS请求不可伪造。

网络摄像头与DNS三部曲之二:《雨——DDoS》

DDoS(Distributed Denial of Service,分布式拒绝服务)是指攻击借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力,它本身与DNS没有关系,但是它的攻击目标是DNS的话麻烦就大了。2016年10月22日凌晨,美国域名服务器管理服务供应商Dyn(故事一曾提及此公司)称其公司遭遇了DDoS攻击,包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多网站无一幸免。DDoS攻击支持dns、udp、vse、syn、ack、http等洪水攻击方式,黑客攻击了Dyn管理的DNS服务器,从而导致DNS服务器瘫痪,无法解析各大网站的 IP 地址,就这样用户们不管访问那个网站都找不到 IP地址,这就造成了美国近半个国家的网络大瘫痪,如图3所示,红色部分是此次网络瘫痪影响的地区。

物联网时代网络摄像头和DNS不得不说的故事

图3 美国2016年DDoS攻击网络瘫痪影响的地区

事后国内安防监控摄像头厂商雄迈科技表示,在此次大规模网络攻击中,其产品无意中成为黑客“帮凶”,产品中默认密码强度不高等有关的安全缺陷,是引发此次美国大规模互联网DDoS攻击的部分原因。被称作Mirai的物联网僵尸网络病毒一直在利用雄迈产品中的缺陷,在其中注入恶意代码,并利用它们发动大规模分布式拒绝服务攻击。这是一款基于Linux的ELF类型木马,主要针对物联网设备,其中包含但不限于网络摄像头、路由器等设备。它可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备。被病毒感染后,该设备成为僵尸网络机器人,并可在黑客命令下发动高强度僵尸网络攻击。

物联网时代分布在全世界各地数量宠大的网络摄像头,普遍存在各种安全问题,主要表现在弱口令、系统后门和远程代码可执行漏洞三个方面:

(1)大量部分网络摄像头及视频监控系统设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证, 就可直接看到监控视频,例如用户名admin,密码设置为123456。另外很多摄像头设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备上是共用的,互联网上很容易查到这些设备的初始密码。

(2)部分网络摄像头及视频监控系统设备存在后门,可以进入设备直接获取系统的shell权限,执行shell命令来获取root权限,这些设备的网络世界大门朝你打开。

(3)部分网络摄像头及视频监控系统设备存在一些系统安全的漏洞,在安防行业,除了部分一流厂商能自主研发系统平台外,大多数企业都在这些平台上进行微创新或者抄袭,这就导致了一个问题:当主流平台产生了漏洞,业界内监控系统就基本上全是漏洞了,所以这些设备一旦接入网络,就给黑客入侵提供了机会。绿盟科技曾曝光某款网络摄像头存在远程代码可执行漏洞,该漏洞最后涉及到多达70 多个不同品牌的摄像头,因为这些厂家都使用了同一个公司的产品进行贴牌生产。这些设备的 HTTP头部Server带均有“Cross Web Server”特征,利用该漏洞可获大量含有此漏洞设备的shell权限。

为保证网络摄像头的使用安全,笔者有以下建议:

(1)对于提供PC 客户端或云存储功能的网络摄像头,在背后往往印有摄像头的序列号和验证码,以便PC端和云存储时添加摄像头使用,一旦疏忽其序列号和验证码,很容易造成监控视频外泄。同时在设置监控设备用户名和密码时,注意密码一定要有足够的强度,建议密码长度大于12位,包括大小写字符和数字。对于设备的序列号和验证码,建议是配置连接完毕后,将贴纸撕下妥善保管。

(2)由于很多网络摄像头的系统存在后门、漏洞以及兼容性等问题,各大品牌的网络摄像机厂家实际上还是很重视安全问题的,都会在第一时间发布新固件升级程序,建议广大用户及时升级到最新版本的固件,这样可以把已曝光漏洞补上,也可以设置设备远程自动更新,允许用户远程或自动升级补丁或固件

(3)遵循网络设备使用安全使用规范,尽量不要把摄像头的IP暴露在互联网之上,推荐放在路由器的NAT之后,或者通过 VPN 连接访问。尽管有一些VPN厂商号称能够提供足够的安全和隐私保护,但是实际情况并不令人乐观,有很多VPN存在潜在的危害性,在使用时注意甄别,中国政府现在已开始屏蔽境外VPN服务。

(4)关闭设备不使用的端口和服务,例如关闭Telnet服务和禁用TCP/48101端口可以有效预防物联网僵尸网络病毒Mirai,同时使用多种加密手段来保护网络摄像头数据传输等,减少网络摄像头被入侵的机率。

网络摄像头与DNS三部曲之三:《电——DNS劫持》

DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。DNS被劫持后的表现有很多,例如:打开一个正常的网站电脑右下角会莫名的弹窗一些小广告,打开一个下载链接下载的并不是所需要的东西或者浏览器输入一个网址后回车网页跳转到其他网址的页面。

可以借助软媒DNS助手软件,检测到网络配置中DNS服务器是否存在劫持行为(可能有部分DNS服务器地址还未收录到数据库中),如图4所示。

图4 检测DNS是否有劫持行为

物联网时代网络摄像头和DNS不得不说的故事

网络摄像头在配置远程访问时,必须要配置DNS的选项,否则就无法进行DDNS解析,如图5所示:

物联网时代网络摄像头和DNS不得不说的故事

 

图5 摄像头DNS配置

DNS劫持是网络十分常见和凶猛的一种攻击手段,且不轻易被人察觉,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗,黑客们利用缺陷对用户的DNS进行篡改,成功后可躲过安全软件检测,让用户被钓鱼网站诈骗。为预防摄像头DNS查询被劫持,在配置DNS时尽量选择未被污染或是较安全的DNS服务器。

国内公共DNS服务器:

DNSPod DNS+(119.29.29.29,182.254.116.116)

114DNS服务器(114.114.114.114,114.114.115.115)

阿里DNS(223.5.5.5,223.6.6.6)

国外公共DNS服务器:

Google Public DNS (8.8.8.8, 8.8.4.4)

Norton DNS (198.153.192.1, 198.153.194.1)

OpenDNS (208.67.222.222, 208.67.220.220)

建议使用运营商提供的DNS服务器,如果检测被污染或是有问题,推荐使用DNSPod DNS+、114DNS、阿里DNS,其节点都遍布全国各省份和地区,电信、联通、移动、教育网都有节点分布,延迟率较低。不推荐使用国外的DNS服务器,如果要访问国外网站以及国外有服务器等情况,可以考虑使用谷歌DNS,它在国内无节点,仅在香港有节点。

在互联网早期,DNS的设计受到当时条件限制,因而存在许多设计缺陷问题,现有的DNS系统暴露出了越来越多的问题,针对DNS的攻击愈演愈烈,运营商的Local DNS存在着大量的DNS劫持,NAT导致解析结果跨网、稳定性不高等问题,在物联网时代我们得高度重视DNS的安全问题,才能让物联网发展无后顾之忧。

(编辑:899电脑网)