توصیه هایی ساده برای افزایش امنیت شبکه دوربینهای مداربسته IP (قسمت چهارم : جمع بندی )

توصیه هایی ساده برای افزایش امنیت شبکه دوربینهای مداربسته IP (قسمت چهارم : جمع بندی )

چهارشنبه 1395.05.27

تجربیات گذشته، دغدغه های پیش رو

در سالهای اخیر تحدیدات و نگرانیها در مورد امنیت بخصوص در فضای سیستمهای نظارت تصویری و دوربینهای مداربسته رو به افزایش بوده است. شرکت Hikvision قطعا بدلیل آنکه بعنوان بزرگترین تولید کننده با بیشترین فروش، اصلی ترین پیشتاز صنعت نظارت تصویری بحساب می آید، بیشتر در معرض این تحدیدات و تلاشها برای نفوذ قرار دارد. البته در سالهای اخیر نیز در چند مورد مورد حمله قرار گرفت تا آنکه نرم افزار بروزرسانی فرم ور جدیدش را تحت نسخه 5.3.0 در سال 2015-2016 منتشر نمود.

اما در مورد دیگر برندها و بخصوص دستگاههای OEM این مشکل می تواند حل نشده باقی بماند و یا بصورت خاموش همواره هدف موفقی برای هکرها به حساب آیند.

در طی تحقیقات صورت گرفته در آمریکا در این رابطه نتایج جالبی بدست آمده است. بیش از 50 درصد از شرکت کننده ها در این نظرسنجی نظر مثبتی با ذخیره سازی اطلاعات تصویریشان بر روی فضای ابری نداشتند و عملا این کار را نمی پذیرفتند.

اما بخش اعظمی از این مشکلات در وحله اول به اطلاعات امنیتی ضعیف کاربران و در وحله بعدی به اشتباهاتشان بر می گردد.

مدیریت امنیت شبکه در سیستمهای نظارت تصویری

با اینکه تمام مراحل یاد شده و درجات آورده شده در مقالات پیشین می تواند شما را بسمت بهبود امنیت سوق دهد، اما زمانی این اطلاعات میتوانند به عمل تبدیل شوند که بصورت دستورالعملهای امنیتی و بطور کلی سیاست امنیتی یک شرکت تبدیل شود و الزامات عملی داشته باشند. یعنی با ساخت چنین دستورالعملی با ثبت بصورت اسناد واجب الاجرا توسط کلیه نیروهای مرتبط اجرا شود.

در سیستم نظارت تصویری، این سیاست امنیتی شاید بیشتر محدود به پروژه های شخصی شود اما درکل در دو حوزه این موضوع باید مورد توجه قرار گیرد:

  • کاربران نهایی: زمانی که یک شبکه بعنوان بخشی از شبکه عظیم سازمان یا شرکت (چه بصورت اختصاصی و چه بصورت اشتراکی) مورد استفاده است، کاربران باید سیاست امنیتی را در تمام تجهیزات شبکه رعایت و کنترل کنند و احتیاجات و نیازهای مورد نظر در این زمینه را نیز از تولید کننده ها و تکنسین های نصب بخواهند. 
  • تولید کنندگان: اگر کاربری در جایی سیاست امنیتی نداشته باشد، تولیدکننده محصول یا نصاب می تواند یک سیاست امنیتی کلی برای آنها پیاده سازی نماید. تا بوسیله این کار علاوه بر تامین امنیت، نیاز به اجرای این دستورات را برای حفظ گارانتی سیستمها به کاربران گوشزد نماید. ضمن اینکه با این کار مسئولیت خود را در برابر هرگونه خسارت و نقص امنیتی کاربران، محدود نموده است.

برای مثال بر روی موارد اجرایی شرکت Hikvision در زمینه افزایش امنیت(در فرم ور های جدید) این تغییرات ملموس است :

  • استفاده از پسوردی حداقل با 8 کاراکتر همراه با حروف بزرگ و کوچک و اعداد و سیمبل ها. شرکت Hikvision استفاده از یک نوع کاراکتر را به تنهایی برای پسوردی قوی مناسب نمی داند و برای افزایش امنیت استفاده از حداقل سه نوع از این کاراکترها را توصیه می نماید.
  • در صورت تلاش برای ورود غیر مجاز(پس از 5 بار ورود پسورد ناصحیح)، سیستم نظارت تصویری تمامی درخواستهای اتصال از آدرس شبکه مشابه را محدود می نماید. کاربری که بدین صورت محدود می شود برای دسترسی مجدد باید 30 دقیقه صبر نماید یا با دستگاهی با آدرس IP متفاوت اقدام نماید.
  • سرویس Telnet در دوربینهای مداربسته Hikvision در فرم ور نسخه 5.3.0 برداشته شد. این سرویس رایجترین راه نفوذ هکرها بوده است. البته هنوز سرویس SSH آزاد است اما با استفاده از کلیدهای عمومی محدودتر شده است.
  • در تصویر آورده شده از مقایسه NMAP، تفاوت دسترسیها در دو ورژن قدیم و جدید براحتی درک می شود:
پورتهای دوربین مداربسته Hikvision

در شرکتهای دیگر نیز تمهیداتی اندیشیده شده است. برای مثال شرکت Samsung نیز پروسه برقراری ارتباط را همانند مدل Hikvision انجام می دهد و این قابلیت از نسخه 2.X در فرم ورهای این شرکت اعمال شده است. یعنی کاربران نیاز به تولید پسوردی جدید بر همان اساس یا شاید پیچیده تر از شرکت Hikvision خواهند داشت.

شرکت Axis هم کاربران را به سمت تغییر پسورد اصلی(root) سوق داده ولی هنوز کاربرانی هستند که از پسورد "pass" استفاده می کنند. البته قبل از تغییر رمز، قابلیت ONVIF با همان نام کاربری و پسورد پیشفرض قابل استفاده است و می توان دستگاهها را به VMS ارتباط داد.

شرکت Dahua در عوض هیچ تمهیداتی را در نظر نگرفته است! بر خلاف شرکت Hikvision دوربینهای شرکت Dahua حتی از مسدود سازی دسترسی اشتباه و غیرمجاز هم پشتیبانی نمی کند.

مرور

قدم اول افزایش آگاهی است که فراتر از هر تمهیداتی می تواند امنیت دوربینهای مداربسته و شبکه را تضمین نماید.

قدم بعدی استفاده از راههای محدود کننده هکرها از قبیل استفاده از روش احراز هویت 802.1X، LDAP، غیرفعال سازی پورتهای فیزیکی سوئیچ و سرویسهای بی استفاده نرم افزاری، فیلترینگ آدرس MAC و افزایش پیچیدگی پسوردها و در آخر استفاده از موانع امنیتی دسترسی به سرورها و دستگاههای مرتبط با هسته مرکزی شبکه خواهد بود.

قدم نهایی قطعا تولید و استناد به راهکارها و سیاستهای امنیتی الزامی در هر محیطی برای داشتن فعالیتهای امن خواهد بود. البته در این اسناد و دستورالعمل ها بسیاری از امور فراموش شده امنیتی نیز باید گنجانده شود و به عنوان یک الزام در نظر گرفته شود. در واقع یکی از مهمترین ویژگی های این سند ایجاد یکپارچگی امنیت خواهد بود.

اولین نفری باشید که به این مقاله نظر می دهد!

نام و ایمیل اختیاری است در صورتی که ایمیل را پرکنید ، در سایت عضو شده و میتوانید با نام کاربری (ایمیل) و کلمه عبوری که برایتان ارسال خواهد شد وارد سایت شده و نظرات را با نام خود ثبت کنید و به بقیه نظرات امتیاز دهید.