Forum DrayTek VN


Go Back   AN PHAT FORUM - Dien dan DrayTek VN > Hỗ trợ kỹ thuật > Security - Firewall
Hỏi/Đáp Thành viên Lịch Tìm kiếm Bài trong ngày Ðánh dấu đã đọc

Security - Firewall An toàn, bảo mật & tường lửa

Trả lời
Lần đọc: 4783 - Trả lời: 0  
Ðiều Chỉnh Xếp bài
Old 08-08-2016, 08:10 PM   #1
AnPhat09
DrayTek Support Team
 
AnPhat09's Avatar
 
Tham gia ngày: Oct 2010
Bài gởi: 2,580
Số lần cám ơn: 1,046
Được cảm ơn 11,228 lần trong 1,620 bài
Default [DrayTek] Hướng dẫn xữ lý sự cố đầu ghi camera và các thiết bị IoT bị dính mã độc

A. Hiện tượng
- Nếu thấy hiện tượng modem bị treo hoặc mạng bị chậm hoặc rất chậm NHƯNG khi rút dây cáp mạng đầu ghi hình camera (DVR) ra thì bình thường trờ lại
== > Đầu ghi hình có mã độc và có thể đang bị điểu khiển chiếm dụng băng thông gây nghẽn mạng
- Xuất hiện gần đây với các đầu ghi hình và camera Made in China
- Xãy ra ngẫu nhiên do bị điều khiển từ xa.

B. Các bước khắc phục:
PHẢI THỰC HIỆN SAO LƯU CẤU HÌNH CỦA TẤT CẢ THIẾT BỊ TRƯỚC KHI THỰC HIỆN CÁC THAY ĐỔI

Bước 1: Lấy thông tin liên quan đến hệ thống camera
- Địa chỉ IP đầu ghi, username và password admin để đăng nhập
- Thông tin port của đầu ghi: Thông thường đầu ghi chỉ cần có 2 port để hoạt động (Xem hình)
+ Port web (Port này sử dụng để xem và cấu hình camera trên máy tính bằng trình duyệt)
+ Port để xem điện thoại (Port này dễ dàng tìm thấy trên điện thoại nào đang xem được camera)



Bước 2: Cấu hình bảo mật cho đầu ghi
- Phải đổi password admin của đầu ghi ngay lập tức
- Kiểm tra lại trên đầu ghi còn account nào có quyền admin nữa hay không == > Xóa hoặc đổi password luôn
- Đổi port Web và port Điện thoại thành một số ngẫu nhiên (LƯU Ý VIỆC ĐỔI PORT NÀY PHẢI THỰC HIỆN TRÊN CẢ ĐIỆN THOẠI SMART PHONE. NẾU KHÔNG SẼ KHÔNG XEM ĐƯỢC)
- Tắt tất cả các tính năng khác của đầu ghi như:
+ P2P (torrent)
+ Cloud
+ UPnP









Bước 3: Bảo mật cho modem chính
- Đổi password login của modem chính
- Kiểm tra trong phần NAT port (hay còn gọi là Open port, port redirect,...): Thật sự chỉ cần mở port web và port điện thoại là có thể xem camera bình thường. Nếu đang sử dụng DMZ hay NAT quá nhiều port thì hãy điều chỉnh lại





Bước 4: Cấu hình bảo mật cho đầu ghi bằng firewall trên modem
(Các rule bên dưới chỉ áp dụng cho Source IP là địa chỉ IP của camera, tránh ảnh hưởng đến các thiết bị khác trong mạng. Phải chắc rằng modem của bạn có hỗ trợ)
- Rule 1: Cho phép Camera sử dụng port Web (Lan-to-Wan)
- Rule 2: Cho phép Camera sử dụng port điện thoại (Lan-to-Wan)
- Rule 3: Cấm Camera sử dụng tất cả port. Tức là Any-Any (Lan-to-Wan)
(Lưu ý rằng DrayTek hỗ trợ xét các rule theo thứ tự từ trên xuống, thỏa là thực thi. Nên 3 rule trên xem như là chỉ cho phép sử dụng 2 port mà thôi)







Bước 5: Giới hạn băng thông cho đầu ghi
- Mỗi camera thông thường sử dụng 2-4Mbps để truyền hình ảnh
- Khi xem bằng điện thoại thì băng thông còn nhỏ hơn
- Chỉ khi chúng ta xem cùng lúc tất cả camera trên 1 màn hình thì mới tốn nhiều băng thông
- Vì vậy theo ý kiến cá nhân cách tính băng thông cho Đầu ghi camera là:
Băng thông = số camera x 1Mbps
- Thực hiện giới hạn băng thông cho địa chỉ IP (Cả download và Upload)



Bước 6: Giới hạn Sessions cho đầu ghi
- Nếu đầu ghi bị nhiễm mã độc thì nó sẽ tạo rất nhiều kết nối ra ngoài (tấn công)
- Trong trường hợp bình thường hãy giới hạn chỉ cho phép đầu ghi camera 100 sessions mà thôi

__________________
Group hỗ trợ kỹ thuật trên facebook
https://www.facebook.com/groups/draytekvn/


thay đổi nội dung bởi: AnPhat09, 09-08-2016 lúc 10:00 AM.
AnPhat09 is offline   Trả Lời Với Trích Dẫn
Có 1 người đã cám ơn AnPhat09 cho bài viết này:
olalavui (14-10-2016)
Trả lời


Ðiều Chỉnh
Xếp bài

Quyền hạn của bạn
Bạn không có quyền gởi bài viết mới
Bạn không có quyền gởi bài trả lời
Bạn không có quyền gởi file đính kèm
Bạn không có quyền sửa chửa bài viết

vB code đang Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt
Chuyển đến


Múi giờ GMT +6. Hiện tại là 09:40 AM.


Powered by: vBulletin v3.6.8 Copyright ©2000-2018, Jelsoft Enterprises Ltd.
Copyright © by An Phat Co., Ltd - 2007 All rights reserved