iT邦幫忙

0

Fortinet 100D 一直出現被防火牆政策封鎖訊息,發出訊息來自DVR監視器主機

公司內有一台DVR主機IP 192.168.1.231
防火牆一直跳出偵測到威脅訊息該台主機一直想對外連這兩個新加坡的IP
lbs-860051718.ap-southeast-1.elb.amazonaws.com (52.74.228.245)
lbs-860051718.ap-southeast-1.elb.amazonaws.com (54.169.126.155)
走PORT 8555

找了網路上許多訊息都沒有相關資訊,請問板友該如何處理,繼續任由防火牆封鎖
該台DVR主機是類似DVD播放主機類型,查過內部相關設定都沒有走這個PORT
是不是該主機有異常,還是防火牆偵測過於靈敏。

看更多先前的討論...收起先前的討論...
ayu iT邦好手 3 級 ‧ 2015-12-14 02:48:49 檢舉
DVR 廠牌型號?
防火牆路由器有沒對應port 23 80 到 192.168.1.231 ?
telnet 192.168.1.231 , 帳密 root , 12345 能通嗎?
"中國原廠的網站"

個人"玩"網路數位監控十多年了
到現在仍不敢用對岸品牌的產品...呵
ayu iT邦好手 3 級 ‧ 2015-12-14 20:15:22 檢舉
回版大, 其實我有google到很可能是hikvision, 所以才會請你試telnet ,
倘若登入成功, 你就能確認很多事, 而不必做過多臆測.
再從lbs-(略).amazonaws.com對應到兩個IP來想, 僵屍主控台的可能性不大;
再者, 如果真是被入侵, 防火牆記錄應該會很熱鬧.
但很不幸的, 國內幾乎所有被入侵的DVR user無感, 也不相信DVR box會被入侵.

就我曾經追查過的經驗, 絕大多數DVR/NAS被入侵後會被植入惡意程式,
持續掃瞄網段+嘗試入侵並回報IP清單給主控台(通常是美/法管理鬆散的VPS),
由內向外的連線數佔約98-99%
ayu iT邦好手 3 級 ‧ 2015-12-14 20:32:16 檢舉
同感! 除非有辦法破解或避開有疑慮的功能.
其實個人滿懷疑, 各廠軔體/固件似乎是拿某些公版程式修改而來,
有時會發生, 證實某設備的資安漏洞時, 受影響的卻是好幾個廠牌.

2 個回答

8
mytiny
iT邦大師 1 級 ‧ 2015-12-13 16:03:23
最佳解答

版大應該知道,DVR也不過是一台工業電腦
裡面一樣有系統,同樣可能有漏洞而被入侵
防火牆是誠實的,收到什麼Log就會反應給你
如果它攔截,就表示確實有連線情況,需要仔細檢查來龍去脈
所謂防火牆"過於靈敏",恐怕版大自我安慰成分居多

小弟建議如下:

  1. 通知DVR廠商,請他們來做系統檢查,看是否有資安問題。
  2. FG-100D也有弱點掃描功能,可以請你的維護廠商來處理,應有若干費用。
  3. 近年多有監視系統或IP分享器有漏洞,請搜尋"DVR 漏洞"關鍵字
tn919871 iT邦新手 5 級 ‧ 2015-12-14 11:05:54 檢舉

感謝您的答覆
1.我們的監視器是買斷的方式廠商不會提供服務
Hikvision DS-7204HGHI-SH 國外網站的fw一直無法下載,只能再想其他辦法。

2.3.其實就是擔心是有關DVR漏洞問題,才上來發問看有沒有人遇到一樣問題排除過
如果是攻擊行為,應該會判斷從外到內,但這訊息卻是從內到外,比較特別一些
所謂過於靈敏一詞,我應該修正用詞為是否為誤判情況,因為資安相關系統對於較冷門的程式或視系統出現誤判機率相對提高。

2
msnman
iT邦研究生 1 級 ‧ 2015-12-13 20:45:38

dvr除了80port的連接port以外,還有一個認證port,你要連上去主機看看網路設定。

tn919871 iT邦新手 5 級 ‧ 2015-12-14 11:06:58 檢舉

從監視器設定中有一個443 https連線的,我把它改成4343看看,再觀察防火牆log是否會跳port,可惜這設定無法關閉。

我要發表回答

立即登入回答