Камеры +видеорегистратор или IP-камеры - какую систему видеонаблюдения выбрать?

[Mr. D]

9 годин тому, Фрай сказав:

Так

Я так само не розумію чому ви замість лікнепу весь час намагаєтесь спровокувати мене на такі ж відповіді?

не демонструйте свою зверхність, бо ваше знання предмету також легко можу поставити під сумнів.

У монітора IPS Philips 275V8LA/00  27" мала диагональ? А режим Picture-in-Picture (PIP) і Picture-by-Picture (PBP) є.

Мабуть не всі міркують як ви. 

Пройшовся по PiP моніторам і зрозумів, що ця забаганка поки що не варта реалізації, не на часі. (

І з певних причин взагалі не розглядаю варіант через браузер.

Дякую всім за лікнеп, згаяв час недаремно, поки перевіряєш одну інформацію знаходиш багато чого іншого не менш цікавого.

щоправда, робота не зроблена? ))

Поміркував стосовно PiP\PbP, зручно це або не зручно.

Й ось зрозумів, що у разі необхідності керувати, скажімо, так обома хостами одночасно треба додатково мати дві миші або дві клавіатури, або дві миші та дві клавіатури (хоча є якісь миші\клавіатури, які підтримують кілька хостів, між якими можливо перемикатися).

Все якось дуже складно стає, але, схоже, технологічно можливо наразі. У такому випадку буде 100% розділення одної системи від іншої з точки зору безпеки (звісно, якщо не відбувається запис екрана зовнішньою камерою).

 

Коли людина постійно в темі, у людини формуються деякі стандартні рішення або типові підходи. Люди поза темою сприймають деякі питання навіть ширше, що в якомусь сенсі змушує більш впевнених в темі людей подумати що, як й чому саме так працює. )

Ваше питання про монітор - дуже гарний тому приклад.

[Mr. D]

1 годину тому, standov сказав:

Ви це до чого?) Я приблизно знаю как працює і опенврн і вайргард, я просто до того що просто скануванням відкритий udp побачити треба трошки більше рухів руками зробити і бажано знати що саме шукати, але порт все ще відкритий 

Як не дивно, але для Android без root доступу навіть не існує жодного сканера UDP-портів.

 

Звісно, алгоритм визначення відкритого порту у разі TCP та UDP різні.

[John Doe]

15 часов назад, Mr. D сказал:

Як не дивно, але для Android без root доступу навіть не існує жодного сканера UDP-портів.

 

Звісно, алгоритм визначення відкритого порту у разі TCP та UDP різні.

Порти сканують Linux інструментами, наприклад Kali Linux

Не важливо чим сканувати, протокол wireguard не відповідає на вхідні пакети, поки не виявить, що прилетів ключ.

 

[John Doe]

До речі у openvpn теж є режим коли він не відповідає ні на що поки не виявить грубо кажучи сертифікат, який ініціювала віддалена сторона

 

[standov]

10 минут назад, John Doe сказал:

протокол wireguard не відповідає на вхідні пакети, поки не виявить, що прилетів ключ.

на транспортному (4му) рівні osi де працює nmap, нема ще протоколів. Wireguard працює по udp який на 4му рівні не передбачає архітектурно pong|syn відповіді, на відміну від налаштування з коробки для ovpn (який тех можна налаштувати на udp але тоді не всі клієнти зможуть).

сервіс на udp спочатку сканують на відсутність відповіді (бо в tcp буде отлуп а на udp буде умовно тиша), після того вже сканування на прикладному рівні яке довге і не завжди результативне.

АЛЕ у випадку wg порт на udp все ще відкритий і знаючи де він можна наприклад завалити його "спамом" і підуть dos відмови (www.akamai.com/glossary/what-is-udp-flood-ddos-attack)

[Mr. D]

Знову щось не так

 

1 годину тому, standov сказав:

на транспортному (4му) рівні osi де працює nmap, нема ще протоколів

"...In computer networking, the transport layer is a conceptual division of methods in the layered architecture of protocols in the network stack in the Internet protocol suite and the OSI model...

4.  Transport layer"

en.wikipedia.org/wiki/Transport_layer

 

"...rely on TCP, which is part of the Transport Layer of the TCP/IP suite..."

en.wikipedia.org/wiki/Transmission_Control_Protocol

 

"...UDP is a simple message-oriented transport layer protocol..."

en.wikipedia.org/wiki/User_Datagram_Protocol

 

nmap працює саме на рівні протоколів

 

1 годину тому, standov сказав:

udp але тоді не всі клієнти зможуть

Наприклад, MikroTik так не вміє

 

1 годину тому, standov сказав:

бо в tcp буде отлуп а на udp буде умовно тиша

Насправді ось так, якщо вже коректно

"...Table 5.3. How Nmap interprets responses to a UDP probe

Probe ResponseAssigned State

Any UDP response from target port (unusual) - open

No response received (even after retransmissions) - open|filtered

ICMP port unreachable error (type 3, code 3) - closed

Other ICMP unreachable errors (type 3, code 1, 2, 9, 10, or 13) - filtered..."

nmap.org/book/scan-methods-udp-scan.html

 

Та й ще трохи

"...In fact, the server does not even respond at all to an unauthorized client; it is silent and invisible..."

www.wireguard.com/protocol/#dos-mitigation

[standov]

6 минут назад, Mr. D сказал:

на рівні протоколів

малось на увазі - протоколів openvpn, бо це відповідть на те що *openvpn* відповідає або ніт. Протоколи на всіх 7 рівнях, і openvpn це протокол над 4м.
Відповідно для nmap без різниці чи відповідає сервер на свою датаграму чи ні, доки він tcp.

[Mr. D]

1 годину тому, standov сказав:

малось на увазі - протоколів openvpn, бо це відповідть на те що *openvpn* відповідає або ніт. Протоколи на всіх 7 рівнях, і openvpn це протокол над 4м.
Відповідно для nmap без різниці чи відповідає сервер на свою датаграму чи ні, доки він tcp.

Не знаю, але припускаю, що WireGuard робить ось так "ICMP port unreachable error (type 3, code 3) - closed" й тоді nmap вирішує, що порт закритий.

Думаю, це можливо перевірити, лише скажіть за якою адресою на якому порті знаходиться WireGuard. )

[standov]

11 минут назад, Mr. D сказал:

лише скажіть за якою адресою на якому порті знаходиться WireGuard

Не скажу, але тут, недалеко ))

[standov]

11 минут назад, Mr. D сказал:

WireGuard робить ось так "ICMP port unreachable error (type 3, code 3) - closed" й тоді nmap вирішує, що порт закритий.

Ніт, але по п'ятому разу писати про udp я вже не можу, ну правда

[John Doe]

В 03.01.2024 в 14:55, k-master сказал:

Єдиний варіант зробити щоб москалі нічого не дивились це вимкнути інтернет. Навіть у Китаї де контролюється все є варіанти.

Камери можна поставити в окремий сегмент, зафаєрволити їх, закрити їм доступ до Інтернету,
Забирати з них потоки rtsp на реєстратор, А з реєстратора вже дивитися. 

так американці використовують китайські камери

 

Змінено 4 січня користувачем John Doe

[Mr. D]

42 хвилини тому, John Doe сказав:

Камери можна поставити в окремий сегмент, зафаєрволити їх, закрити їм доступ до Інтернету,
Забирати з них потоки rtsp на реєстратор, А з реєстратора вже дивитися. 

так американці використовують китайські камери

Цікаво, що американці роблять з китайськими електроавтомобілями або такі автомобілі на ринок США не пускають. )

Мені здається, електроавтомобілі можуть просити оновити програми керування або просто бути постійно на зв'язку.

[Mr. D]

3 години тому, standov сказав:

Ніт, але по п'ятому разу писати про udp я вже не можу, ну правда

Треба розібратися.

 

Ось приклад як це виглядає, коли порт ніхто не обслуговує

[administrator@localhost ~]$ sudo nmap -sU -v 172.160.14.131 -p 25001

Starting Nmap 7.92 ( nmap.org ) at 2024-01-05 01:34 EET
Initiating ARP Ping Scan at 01:34
Scanning 172.160.14.131 [1 port]
Completed ARP Ping Scan at 01:34, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 01:34
Completed Parallel DNS resolution of 1 host. at 01:34, 0.02s elapsed
Initiating UDP Scan at 01:34
Scanning 172.160.14.131 [1 port]
Completed UDP Scan at 01:34, 0.00s elapsed (1 total ports)
Nmap scan report for 172.160.14.131
Host is up (0.0018s latency).

PORT      STATE  SERVICE
25001/udp closed icl-twobase2
MAC Address: E0:E0:E0:E0:E0:E0 (Cisco International)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds
           Raw packets sent: 2 (56B) | Rcvd: 2 (84B)

1083    2024-01-04 23:34:12.803073    172.160.14.174    172.160.14.131    UDP    60    39949 → 25001 Len=0
1084    2024-01-04 23:34:12.804823    172.160.14.131    172.160.14.174    ICMP    70    Destination unreachable (Port unreachable)
 

Змінено 5 січня користувачем Mr. D

[uafisher]

В 29.12.2023 в 18:39, standov сказал:

я чув про цей скандал, але наче як це не домашній сегмент (хоча я хз, вживу я їх не бачив і зовсім не спеціаліст в цьому), і вже точно до впнів відношення не має жодного

Трассір в Україні -мабуть це більше не про залізо, а однойменне ПО. І дійсно це не домашня сфера, більше ретейл, сфера обслуговування (там непогана агрегація з ПОС терміналами і т.і.), виробництва, склади (прикольні фішки були), офіси -взагалі їх фішка була аналітика - черги, обличчя, авто, пожари і т.і. Вміли рахувати - хоч час знаходження за робочим столом конкретного співробітника. Собак могли рахувати, правда задачу рахувати кількість поросят при пологах не змогли мені вирішити). На їх серваки часто вішали Хікввіжен, українське представництво самостійно імпортувало Хік.
Також у них був бренд Active Cam, камерки якісь продавали.
І так, вони мають свою хмару. ПРИ ЧОМУ з можливостю зберігання ЗАПИСІВ.

[Mr. D]

01.01.2024 в 21:52, John Doe сказав:

WG вважається безпечним VPN, тому що він працює за допомогою ключів, такий протокол не можна просто відсканувати скануванням портів.

По-перше, потрібно знати номер порту и треба знати публічні ключі – свій і того боку. І  на тому боці має бути прописаний ваш публічний ключ.

Відповіді з того боку просто не буде, поки не буде наданий коректний ключ,  і хакер ніколи не дізнається на якому порту знаходиться VPN.

На жаль, ні, UDP порт WireGuard видно.

Ось мій експеримент (зазначена конфігурація сервера - всього два параметри, далі параметри nmap та network dump для порівняння).

 

administrator@star:/etc/wireguard# cat /etc/wireguard/wg0.conf | grep Port

ListenPort = 25002

 

[administrator@localhost ~]$ sudo nmap -sU -v 172.160.14.186 -p 25002

Starting Nmap 7.92 ( nmap.org ) at 2024-01-05 02:06 EET
Initiating ARP Ping Scan at 02:06
Scanning 172.160.14.186 [1 port]

Completed ARP Ping Scan at 02:06, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 02:06
Completed Parallel DNS resolution of 1 host. at 02:06, 0.02s elapsed
Initiating UDP Scan at 02:06
Scanning 172.160.14.186 [1 port]
Completed UDP Scan at 02:06, 0.21s elapsed (1 total ports)
Nmap scan report for 172.160.14.186
Host is up (0.00052s latency).

PORT      STATE         SERVICE
25002/udp open|filtered icl-twobase3
MAC Address: 08:08:08:08:08:E8 (Oracle NIC)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds
           Raw packets sent: 3 (84B) | Rcvd: 1 (28B)

22    2024-01-05 00:06:37.047339    172.160.14.174    172.160.14.186    UDP    42    54976 → 25002 Len=0
23    2024-01-05 00:06:37.148344    172.160.14.174    172.160.14.186    UDP    42    54978 → 25002 Len=0

 

Змінено 5 січня користувачем Mr. D

[Mr. D]

5 годин тому, Mr. D сказав:

Знову щось не так

 

"...In computer networking, the transport layer is a conceptual division of methods in the layered architecture of protocols in the network stack in the Internet protocol suite and the OSI model...

4.  Transport layer"

en.wikipedia.org/wiki/Transport_layer

 

"...rely on TCP, which is part of the Transport Layer of the TCP/IP suite..."

en.wikipedia.org/wiki/Transmission_Control_Protocol

 

"...UDP is a simple message-oriented transport layer protocol..."

en.wikipedia.org/wiki/User_Datagram_Protocol

 

nmap працює саме на рівні протоколів

 

Наприклад, MikroTik так не вміє

 

Насправді ось так, якщо вже коректно

"...Table 5.3. How Nmap interprets responses to a UDP probe

Probe ResponseAssigned State

Any UDP response from target port (unusual) - open

No response received (even after retransmissions) - open|filtered

ICMP port unreachable error (type 3, code 3) - closed

Other ICMP unreachable errors (type 3, code 1, 2, 9, 10, or 13) - filtered..."

nmap.org/book/scan-methods-udp-scan.html

 

Та й ще трохи

"...In fact, the server does not even respond at all to an unauthorized client; it is silent and invisible..."

www.wireguard.com/protocol/#dos-mitigation

 

Очікував, що коли працює WireGuard, то відбувається ось так "ICMP port unreachable error (type 3, code 3) - closed".

Але ні - ось так "No response received (even after retransmissions) - open|filtered".

 

Тому де саме працює WireGuard (на якому порті) визначити можливо.

[Mr. D]

10 хвилин тому, uafisher сказав:

Трассір в Україні -мабуть це більше не про залізо, а однойменне ПО. І дійсно це не домашня сфера, більше ретейл, сфера обслуговування (там непогана агрегація з ПОС терміналами і т.і.), виробництва, склади (прикольні фішки були), офіси -взагалі їх фішка була аналітика - черги, обличчя, авто, пожари і т.і. Вміли рахувати - хоч час знаходження за робочим столом конкретного співробітника. Собак могли рахувати, правда задачу рахувати кількість поросят при пологах не змогли мені вирішити). На їх серваки часто вішали Хікввіжен, українське представництво самостійно імпортувало Хік.
Також у них був бренд Active Cam, камерки якісь продавали.
І так, вони мають свою хмару. ПРИ ЧОМУ з можливостю зберігання ЗАПИСІВ.

А хто ще в цьому списку?

Pandora, StarLine? 1C?

[Mr. D]

8 годин тому, standov сказав:

після того вже сканування на прикладному рівні яке довге і не завжди результативне

Ніяке додаткове сканування нічого не дасть, WireGuard просто нічого не відповідає. Таким же чином інші сервіси можуть нічого не відповідати за тим же принципом.

Але що заважає хосту надіслати "ICMP - Destination unreachable (Port unreachable)", якщо ключ WireGuard невірний?

[uafisher]

1 минуту назад, Mr. D сказал:

А хто ще в цьому списку?

Pandora, StarLine? 1C?

Ви про походження брендів? Я не веду переліку. Але загалом це зрозуміла річ. Нагадаю, наприклад Хіквіжен і Дахуа заборонені для використання урядовими організаціями Дяді Сєма (як мінімум). Англія і Австралія також розмірковували - точно не скажу як зараз ця ситуація виглядає поточно. Почалась ця історія мабуть з незрозумілою закупівлі консульством США в Кабулі відеокамер і пішло поїхало.
Хуавей.. До речі 50% базових станцій Київстар були Хуавей..
П.С. Щодо переліку-можна ще пригадати Зіксель, який офіційно не російський, але чомусь тема що він їх -давно на ринку. Особисто я не знаю їх чи ні. 

[Mr. D]

8 хвилин тому, uafisher сказав:

Ви про походження брендів? Я не веду переліку. Але загалом це зрозуміла річ. Нагадаю, наприклад Хіквіжен і Дахуа заборонені для використання урядовими організаціями Дяді Сєма (як мінімум). Англія і Австралія також розмірковували - точно не скажу як зараз ця ситуація виглядає поточно. Почалась ця історія мабуть з незрозумілою закупівлі консульством США в Кабулі відеокамер і пішло поїхало.
Хуавей.. До речі 50% базових станцій Київстар були Хуавей..
П.С. Щодо переліку-можна ще пригадати Зіксель, який офіційно не російський, але чомусь тема що він їх -давно на ринку. Особисто я не знаю їх чи ні. 

Можливо, десь є якийсь перелік, тому й спитав.

Якщо Zyxel, то, мабуть, й D-link.

Змінено 5 січня користувачем Mr. D

[uafisher]

10 минут назад, Mr. D сказал:

Можливо, десь є якийсь перелік, тому й спитав.

Якщо Zyxel, то, мабуть, й D-link.

Ні, мені реально не відомий перелік. 
ДЛінк -тут буду здивований, але не використовую Д Лінк, тому він не цікавий. А от Зіксель - той цікавий(.
І ще - є такий бренд Keenetic. Це зараз наче окремий бренд, який чи відокремився чи як від Зіксель, але всім відома ця назва -це була лінійка роутерів від Зіксель - Keenetic) І які у них відносини насправді - Ich weiß nicht.

Змінено 5 січня користувачем uafisher

[John Doe]

В 04.01.2024 в 02:20, Mr. D сказал:

Поки що не бачу значної переваги WireGuard, окрім того, що все простіше, але далеко не всі пристрої можуть працювати з WireGuard.

Протокол WG дуже легкий і мало вантажить процесор.
Навіть mikrotik hap lite може забезпечити тунель WG та пропускну здатність 40 Мбіт на секунду.
Протокол WG безпечний та не сканується мережевими сканерами. Протокол WG реалізований у всіх сучасних роутерах

....На сьогодні не підтримується апаратне прискорення WG...

Змінено 5 січня користувачем John Doe

[John Doe]

8 часов назад, Mr. D сказал:

Але що заважає хосту надіслати "ICMP - Destination unreachable (Port unreachable)", якщо ключ WireGuard невірний?

Port WG "замаскований" під відсутність будь-якого сервісу на цьому Порту

Змінено 5 січня користувачем John Doe

[Mr. D]

1 годину тому, John Doe сказав:

Port WG "замаскований" під відсутність будь-якого сервісу на цьому Порту

Програма nmap має можливість знайти серед усіх можливих UDP портів, порт який відкрито WireGuard. Але визначити, що це саме WireGuard можливості немає.

Тому якщо бути точним порт WireGuard класифікується, як "open|filtered", а не "closed". Приклади з "open|filtered" та "closed" є вище.

[Mr. D]

1 годину тому, John Doe сказав:

Протокол WG дуже легкий і мало вантажить процесор.
Навіть mikrotik hap lite може забезпечити тунель WG та пропускну здатність 40 Мбіт на секунду.
Протокол WG безпечний та не сканується мережевими сканерами. Протокол WG реалізований у всіх сучасних роутерах

....На сьогодні не підтримується апаратне прискорення WG...

Якісь тести показують, що WireGuard швидший, ніж OpenVPN та IPSec, але є приклади, коли немає можливості запустити WireGuard на ще достатньо потужних пристроях, яким хоч й 7 - 8 років, але вони підтримують 802.11ac та MIMO. Є сенс змінювати такі пристрої на інші, де вже WireGuard працює - це питання.

Змінено 5 січня користувачем Mr. D