Сетевая безопасность или "он втыкается в роутер с любым интернетом (белый, серый IP - вообще пофигу)"
Не претендуя на истину выскажу своё видение ситуации.
Очень напрягают установщики которые пропагандируют принцип воткнул и всё автоматом настроилось,особенно это касается сетевых настроек регистраторов и ШЗ камер.Разберём устройства очень распространенные в России - XMEYE или ХМ.
Широко известный в узких кругах товарищ iTuneDVR проверяя устройства от ХМ на уязвимости, заметил очень интересную особенность : все устройства этого производителя при подключении к интернету и установленной в сетевых службах галочке "ОБлако" или "Облачный сервис" незамедлительно "ломятся " на китайские IPшники и отправляют некие файлы что именно они отсылают неизвестно,но меня очень умиляют умники которые ставят подобные регистраторы и камеры на режимные объекты и выпускают их в интернет через облако.
Другой разряд умников это те которые имея статический IP не заморачиваются пробросом портов и тупо добавляют адрес регистратора в DMZ.
По сути это полный доступ к регистратору извне,не даром последний год все производители выпустили прошивки с закрытым телнет портом.
А потом регистратор начинает жутко тупить , перезагружаться,и оказывается что он DDOSит сайты,рассылает спам или майнит криптовалюты.
Третий разряд умников это те кто обезопасив регистратор зачем то прописывают полные сетевые настройки ШЗ камерам (в сети регистратора) ,а именно шлюз и DNS сервер,и оставляют включенным облачный сервис.Особо умные умники при этом не ставят на камеры пароль(а зачем они же в локалке) После чего все камеры дружно ломятся в интернет и становятся доступными для взломщиков.
Вкупе с этим особенно супер умные умники пихают систему видео наблюдения в локальную сеть предприятия и взломщик подключившись к одному из устройств может запросто перехватывать трафик в локалке,а это могут быть банковские транзакции или например деловая переписка.
Резюмируя вышесказанное для того что бы потом не иметь проблем с заказчиками предлагаю при установке делать следующее.
1.Устанавливать сложный пароль.
2.Менять значения портов (80,8080,34567,34599 итд на нестандартные.
3.отключать ненужные сетевые сервисы типа облака(если оно действительно не нужно) всякие мобильные сообщения PMS итд.
4.Для устройств которые не должны выходить в интернет ни в коем случае не прописывать реальный шлюз,и обязательно ставить пароль(мало ли кто может подключиться в локалку)
5.По возможности использовать статический адрес и не прописывать адрес устройств в DMZ.
Всем удачи и спасибо за внимание ))