حفظ ایمنی شبکه دوربینهای مداربسته تحت شبکه (IP) همیشه کاری دلهره آور است. اما معمولا روشهای مختلفی وجود دارد که می تواند میزان ریسک را بخوبی کاهش دهد. بخصوص اگر از این روشها بصورت ترکیبی نیز استفاده شود میزان ریسک را بشدت کاهش خواهید داد.
در این مقاله می خواهیم تکنیکهای مختلفی برای حفظ امنیت فیزیکی و منطقی شبکه سیستمهای نظارت تصویری و دوربینهای مداربسته بازگو کنیم که هر چند ساده اما شبکه دوربین مداربسته را ایمن تر خواهند کرد. با CCTVONLINE همراه شوید.
عناوین ارائه شده در این مقاله:
- توصیه های ایمنی شبکه
- رمز عبور
- یکپارچگیLDAP/Active Directory
- VLAN ها
- احراز هویت 802.1X
- غیرفعال سازی پورتهای سوئیچ
- غیر فعال سازی پورتهای شبکه
- غیر فعال سازی سرویسهای بی استفاده
- فیلترینگ آدرس MAC (MAC Address Filtering)
- بستن درگاههای فیزیکی
- کنترل دسترسی فیزیکی
- مسائل پیش رو مثلا در محصولات Hikvision، Foscam و ..
- مدیریت امنیت شبکه در سیستمهای نظارت تصویری
توصیه های ایمنی شبکه:
در صنعت IT بطور کلی توصیه های ایمنی شبکه بشکلی رایج در قالب دستورالعملهای پیشنهادی برای ایمن سازی بیشتر شبکه ها در دسترس هستند. مثلا نمونه آنرا می توانید در سایت شرکت سیسکو با عنوان Cisco Hardening guide مشاهده نمایید. خیلی از این توصیه ها به همان خوبی که در شبکه ها قابل استفاده هستند در سیستمهای نظارت تصویری نیز کاربرد دارند. این توصیه ها شامل کنترل فیزیکی، ثبت آدرس های ورود، ایمن سازی پسوردها، غیر فعال سازی پورتها و ... .
البته شاید بیشتر توصیه ها فراتر از آنچه باشد که بسیاری از تولیدکنندگان تجهیزات ویدئویی تحت وب با آن سازگارند یا بیشتر از نیاز سناریوهای ساده پیاده سازی شبکه دوربین مداربسته به نظر بیاید. پیاده سازی روشهای پیچیده احراز هویت (Authentication) همچون 802.1x، یکپارچگی LDAP، نظارت SNMP و ... اگرچه ریسک را بسیار محدود می کنند اما در خیلی از سیستمها از نظر زمان و هزینه بصرفه نیستند.
توصیه های ایمنی ویژه سیستم نظارت تصویری
برخلاف فضای IT، در سیستمهای نظارت تصویری کمتر توصیه هایی در این باره بصورت اختصاصی وجود دارد. یکی از همین نوادر، توصیه های شرکت Axis در سال 2015 بود که پرکاربردترین توصیه ها را برای ایمن سازی دوربینهای برند خودش منتشر کرد(Axis Cybersecurity Hardening Guide Examined).
در توصیه هایی ازین دست سطوح مختلفی مشخص شده اند که بسته به نیازهای امنیتی و وسعت شبکه از این موارد سخن گفته می شود : پسوردهای قوی، بروزرسانی نرم افزار فرم ور، غیر فعال سازی دسترسی های ناشناس و در پروژه های پیچیده تر در مورد احراز هویت 802.1x، نظارت SNMP و سرورهای گزارشگیری سیستم(Syslog) توصیه هایی شده است.
این شرکتها اگر چه این توصیه ها را براساس محصولات خودشان داشته اند اما معمولا برای تجهیزات دیگر شرکتهای تولید کننده سیستم نظارت تصویری نیز کاربرد دارد.
رمزعبور قوی
رمز عبورهای قوی مهمترین معیارهای اساسی امنیت به حساب می آیند اما متاسفانه بوسیله بسیاری از کاربران اصلا رعایت نمی شوند. سیستمهای نظارتی بسیاری با پسوردهای پیشفرض به بازار عرضه می شوند که دوربینهای مداربسته، سوئیچها، رکوردرها و تجهیزاتی ازین دست در این زمره قرار دارند. با یک تغییر ساده پسورد پیشفرض می توان بسیاری از مشکلات را حل کرد. درواقع راههای ساده خرابکاری را کاهش و احتمال نفوذ به شبکه توسط طیف وسیعی از خرابکاران آماتور را محدود کرده اید. بعضی از شرکتها به محض اتصال دوربین مداربسته به شبکه و در اولین استفاده از شما می خواهند تا پسورد را عوض کنید تا بتوانید با امنیت بیشتری به کار ادامه دهید. بعلاوه در پروفایلهای ONVIF نیز باید پسورد پیش فرض را تغییر دهید.
یکپارچگی Active Directory/ LDAP
با استفاده از یکپارچگی Active Directory/LDAP اجازه دسترسیهای VMS از طریق سرور مرکزی به کاربران شبکه تعلق می گیرد. از آنجاییکه این کاربران بدلیل وجود شبکه از پسوردهای قوی و قوانین انقضای پسورد در شبکه تبعیت می کنند،این یکپارچگی سطح امنیت اکانتهای محلی VMS را بهبود می بخشد. از آنجاییکه این کار نیاز به ساخت و بهینه سازی مجدد اکانت کاربران را برطرف می کند، باعث کاهش مخارج مدیریت شبکه نیز می شود.
بطور معمول استفاده از LDAP می تواند محدودیت بیشتری برای سیستمهای بزرگتر و وسیع تر بوجود آورد و دیگر مانند پروژه های کوچک نیست که بدون داشتن سرور اختصاصی LDAP قابل اجرا باشد. بعضی از سیستمهای کوچک یا متوسط که در نهادهای بزرگ بخصوص در محیطهای آموزشی و شرکتها نصب می شوند ممکن است از این تشکیلات بیشتر برای کنترل دسترسی به شبکه استفاده کنند.
Active Directory/LDAP بصورت تئوریک ممکن است برای دوربینهای مداربسته تحت شبکه قابل استفاده بنظر بیاید اما در عمل اینطور نخواهد بود. Active Directory تکنیکی است که توسط شرکت مایکروسافت ارائه شده است و تقریبا توسط بسیاری از دوربینهای مداربسته تحت شبکه پشتیبانی نمی شود، زیرا بسیاری از دوربینهای مداربسته با سیستم عامل لینوکس(Linux Embed) کار می کنند.
دسترسی ریموت/ فایروالها
برای پیشگیری از دسترسی راه دور غیر مجاز بسیاری از سیستمهای نظارت تصویری را اصلا به اینترنت وصل نمی کنند و بر روی شبکه ای کاملا مجزا قرار می دهند. اینکار ریسک را کاهش می دهد اما مشکلات سرویس دهی و رسیدگی خودشان را دارند. زیرا اکثرا بروزرسانی ها پس از دانلود باید با کارت حافظه USB یا دستگاههایی از این دست مجدد جابجا و بر روی دوربین اعمال شود.
سیستمهایی که به شبکه متصلند و پشت فایروال قرار دارند ترافیک ورودی و خروجی محدودی دارند که تنها بوسیله آدرس IP و پورتشان در حین احراز هویت محدودیت اعمال می شود. بقیه ترافیکها نیز حذف می شوند. اگر چنین کاری بدرستی صورت گرفته باشد می تواند بخش اعظمی از حملات را بی اثر نماید.
خطرات دسترسی ریموت
برای دستگاههایی که نیاز به دسترسی ریموت خواهند داشت، مثل دوربینهای مداربسته و VMS ها ممکن است نیاز به بازگذاشتن یک یا چند پورت وجود داشته باشد. میدانیم که بازبودن هر پورتی یک موقعیت برای مهاجمین بحساب می آید. اینکه دقیقا چقدر و چطور ریسکی وجود خواهد داشت می تواند از دستگاهی به دستگاه دیگر فرق داشته باشد. کاربران باید به مطالب شرکت تولیدکننده محصول در این باره مراجعه کنند تا بدانند چه پورتی برای دسترسی ریموت باید باز باشد.
بسیاری از شرکتها دسترسی ریموت بر روی تلفن منزل را نیز ممکن کرده اند که بتوانید یک تونل امن بر روی اتصال خروجی بدون نیاز به داشتن پورت باز داشته باشید. برای مثال Hikvision EZVIZ و Genetec Cloud را می توانیم نام ببریم. بعلاوه بسیاری از سرویسهای دسترسی ریموت دسکتاپ از تکنولوژی با همین سبک استفاده می کنند نمونه هایش را در LogMeln، Team Viewer، Splash Topو.. . مشاهده می نمایید.
در مقاله بعدی در مورد VLANها - پورت و سرویسهای بی استفاده سخن می گوییم.