توصیه هایی ساده برای افزایش امنیت شبکه دوربینهای مداربسته IP (قسمت سوم : بروزرسانی فرم ور – فیلترینک MAC Address - پروتکل 802.1X و قفلهای فیزیکی)

توصیه هایی ساده برای افزایش امنیت شبکه دوربینهای مداربسته IP (قسمت سوم : بروزرسانی فرم ور – فیلترینک MAC Address - پروتکل 802.1X و قفلهای فیزیکی)

چهارشنبه 1395.05.20

بروزرسانی فرم ور و سیستم عامل

همیشه بر سر این بروزرسانیها اختلاف نظرهایی وجود دارد. عده ای از کاربران به محض انتشار فایلهای بروزرسانی ویندوز اقدام به دانلود و بروزرسانی می کنند  درحالی که دیگران اصرار دارند این بروزرسانیها می توانند باعث از کارافتادن نرم افزار VMS یا دوربین مدار بسته شود.

به هرحال این بروزرسانی ها(بخصوص بروزرسانیهای ویندوز) اغلب شامل فایلهایی هستند که پس از کشف راههای نفوذپذیری جدید، برای بر طرف کردن ریسک امنیتی تولید شده اند. نمونه این نفوذپذیریها در مورد " آسیب پذیری Heartbleed SSL" بود که میلیونها کامپیوتر را در جهان دچار مشکل کرد و فایلهای بروزرسانی(Patch) برای این مورد خاص از طرف مایکروسافت منتشر شدند.

چیزی که خیلی رایجتر است موضوع بروزرسانی های اختیاری یا غیر الزامی است. کاربران در مورد مشکلات سازگاری این بروزرسانیها باید با تولیدکنندگان دوربین مداربسته، رکوردر و VMS مورد استفاده خودشان ارتباط برقرار کرده تا از توصیه ها و دستورالعملهای سازگار با خبر شوند.

فیلترینگ آدرس MAC (MAC Address Filtering)

با این قابلیت براحتی می توانید برای دستگاههای معنی در شبکه اجازه دسترسی به سویچ را صادر نمایید. بر اساس این روش، تنها دستگاههایی که بر روی سویچ بر اساس شماره MAC سخت افزاریشان تعیین دسترسی شده اند می توانند با سویچ ارتباط برقرار کنند. همانطور که می دانید آدرس MAC برای هر دستگاه متصل شونده به شبکه اینترنت یک آدرس و شماره بی همتاست و هیچ دو دستگاهی در جهان نمی توانند با آدرسهای MAC یکسانی تولید شوند.

دستگاههای دیگر که به سویچ بصورت فیزیکی متصل شوند حتی اگر بر روی پورتی که قبلتر دستگاهی روی آن در حال برقراری ارتباط بوده است قرار گیرند، بازهم از سوی سویچ رد صلاحیت می شوند و امکان برقراری ارتباط با این محدودیت وجود ندارد. البته توجه داشته باشید که محدودسازی براساس آدرس MAC تنها با استفاده از سویچ مدیریت شده قابل انجام خواهد بود.

در شبکه های نظارت تصویری و مداربسته استفاده از فیلترینگ MAC براحتی توسط مدیر(Administrator) امکانپذیر است. زمانیکه اولین بار دوربینهای مداربسته، دستگاههای جانبی و کاربران به سرورها متصل شدند می توان براحتی آدرس MAC آنها را مشاهده و در لیست دسترسی قرار داد. این محدودیت را می توان تا زمانی که یکی از دستگاهها جایگزین شوند ادامه داد و پس از آن براحتی با تغییر کوچکی در لیست بروزرسانی هم ممکن خواهد شد. در شبکه های دیگر که دستگاهها مدام در حال اضافه یا کم شدن هستند فیلترینگ MAC برای مدیر شبکه کمی وقت گیر و پرزحمت می شود.

در زیر تصویری را مشاهده می کنید که از صفحه تنظیمات رابط کاربری یک سویچ رایج گرفته شده است که نشان دهنده گزینه های مرتبط با فیلترینگ MAC است:

فیلتر آدرس MAC دوربین مداربسته

802.1X

در مورد 802.1X باید دستگاهها پس از اولین اتصال به شبکه، یک اعتبارنامه (Credential) کسب کنند تا بتوانند بوسیله آن اجازه برقراری ارتباط را داشته باشند. با این روش می توان دستگاه های متفرقه یا مخرب را از نفوذ به شبکه باز داشت.

دستگاه درخواست دهنده ارتباط مثلا دوربین مداربسته، PC و ... با استفاده از 802.1X سعی می کنند بواسطه یک سویچ یا WAP به شبکه وصل شوند(مورد تایید شبکه قرار بگیرند). سپس سرویس تعیین کننده ارتباط بر روی سرور، به بررسی اعتبارنامه درخواست کننده می پردازد. معمولا در این موارد از پروتکلی با نام RADIUS استفاده می شود و سپس با توجه به صلاحیت اعتبارنامه امکان دسترسی تایید یا رد می شود.

بخاطر امنیت بالایی که 802.1X بوجود می آورد، تنظیم شبکه ای برای پشتیبانی این قابلیت کمی سخت خواهد بود. نه تنها دستگاههای متصل شونده (مثل دوربین مداربسته، WAPها، PCها ،NVRها و..) بلکه تمام سویچهای داخل شبکه هم باید با این پروتکل سازگاری داشته باشند.

هرکدام از این دستگاهها باید بصورت مجزا براساس این پروتکل تنظیم شوند و عملا یعنی زمان پیاده سازی بیشتری نیاز خواهد بود.

بخاطر وجود این عوامل که می توانند هزینه ها و نیازهای عملیاتی مدیریت شبکه را افزایش دهند، معمولا 802.1X بیشتر در شبکه های نظارت تصویری پیچیده و بزرگ مورد استفاده قرار می گیرد. عملا کاربرانی که بدنبال اقدامات امنیتی ساده تری هستند به سمت این راهکار نخواهند رفت.

مسدودسازی درگاههای فیزیکی

لایه دیگر امنیت مربوط به جلوگیری از ارتباطات فیزیکی(امنیت فیزیکی) خواهد بود که برای جلوگیری از یک کنجکاوی یا دستکاری کابل شبکه ساده یا استفاده از پورتها یا اتصالات دیگر بکار می رود. با مسدود سازی فیزیکی پورتهای خالی یا قفل کردن فیزیکی پورتهای متصل می توان از این کار جلوگیری نمود. همانطور که در تصویر مشاهده می نمایید این ابزارها بصورت مکانیکی به کابلهای متصل به سویچ، پنل سویچ، اتصالات دیواری شبکه و یا پورتهای آزاد متصل می شوند و تنها با ابزار خاصی قابل جداسازی هستند که تغییرات اتصالات را محدود می کنند.

قفلهای پورت شبکه دوربین مداربسته

این نوع قفلها در وقوع خرابکاریهای کوچک و کنجکاوانه بازدارندگی خوبی دارند اما غیرقابل نفوذ نیستند و یک مزاحم براحتی می تواند با کمی تلاش و البته صرف وقت آنها را بردارد. این نوع قفلها باید به عنوان بخشی از یک برنامه امنیت شبکه مورد استفاده قرار بگیرند و بتنهایی کاری از پیش نخواهند برد.

قفل درها و دسترسی فیزیکی

در آخر هم بهترین روش می تواند کنترل دسترسی به بخشها و تجهیزات فیزیکی در دسترس از شبکه باشد. این بخشها شامل اتاقها، رکها، قفسه هایی است که سرورهای سیستم نظارت تصویری و سویچها در آنجا قرار گرفته اند. با کاهش احتمال حضور افراد در این بخشها می توان بخش زیادی از خطرات و حتی اشتباهات امنیتی را کاهش داد. درصورتی که درهای ورودی محافظت نشدند باید حتما رکها و جایگاههای نگهدارنده تجهیزات مثل سویچها و سرورها به تنهایی حفاظت و قفل شوند. بسیاری از قفسه های امروزی نگهدارنده تجهیزات IT به قابلیتهای امنیتی استانداردی مجهز شده اند که در عکس زیر نمونه آنها را مشاهده می نمایید:

قفلهای هوشمند تجهیزات شبکه

در نتیجه بسیاری از تجهیزات و امکانات برای کنترل الکترونیکی دسترسی ها بر روی یک سرور یا اتاق تجهیزات می توانند مورد استفاده قرار بگیرند. در ساده ترین حالت حتی قفل و کلیدهای ساده هم می توانند تاثیر حفاظتی خوبی بحساب بیایند.

در قسمت بعدی(آخرین قست) مقاله به جمع بندی مطالب و بیان نکات چکیده خواهیم پرداخت.

اولین نفری باشید که به این مقاله نظر می دهد!

نام و ایمیل اختیاری است در صورتی که ایمیل را پرکنید ، در سایت عضو شده و میتوانید با نام کاربری (ایمیل) و کلمه عبوری که برایتان ارسال خواهد شد وارد سایت شده و نظرات را با نام خود ثبت کنید و به بقیه نظرات امتیاز دهید.