Övervakningssystemets huvuduppgift är att säkerställa oss säkerheten och samtidigt följa de grundläggande sekretessreglerna eller företagshemligheten hos den övervakade anläggningen. Ett väl utformat och konfigurerat system kommer endast att uppfylla sin huvuduppgift när det är säkrat och skyddat korrekt, vilket innebär att det är lämpligt konfigurerat för drift, särskilt när det gäller drift i nätverk med tillgång till Internet.
Nyligen har vi observerat ökning av hackerattacker mot autonoma säkerhetssystemenheter, såsom IP-kameror, inspelare (DVR, NVR), som fungerar i nätverket. Många enheter är mål för attacker, eftersom säkerhetsbestämmelser som är kopplade till konfiguration av deras säkerhet för att fungera i nätverket förbises eller underskattas. Vad som också är viktigt här är konfiguration av accessenheter (t.ex. router) vid utgång av ett lokalt nätverk kopplat till övervakningssystemet, vilket möjliggör tillgång till detta system från det omfattande Internet.
Bild 1. Hacker programvaran väntar bara på att utnyttja sårbarhet i ditt system...
I många fall är det inte ett fel eller en sårbarhet i firmware som orsakar att enheten hackas, men orsaken är när man lämnar ”en öppen dörr” för en rånare i form av standard säkerhetsinställningar vilket innebär att det i princip inte finns någon säkerhet alls.
Om en IP-kamera är ansluten till Internet (konfigurerad för att vara synlig på Internet) får en obehörig person i ett sådant fall tillgång till en bildström från kameran och dess konfiguration. Ett exempel som är en varning för oss alla är webbplatsen www.insecam.org , vars författare inte behövde hacka några enheter.
Bild 2. Du skyddar inte din kamera - hela världen kan se dig!
Det var tillräckligt med att skriva ett skript som söker på internet efter IP-videokameror och sedan kontrollerar om det går att komma åt dem med hjälp av användarens standard användarnamn och tillverkarens lösenord (förinställda efter köpet). Vid ett positivt resultat, publiceras bilden från sådan IP-kamera på deras hemsida utan ägarens vetskap. Det har visat sig att i världen finns tusentals osäkrade övervakningskameror, i företag, lager, butiker och även i privata hus. Det skulle vara nog att efter köpet av IP-kameran, vid dess konfiguration, ändra standardlösenordet innan det görs tillgängligt på Internet och bilden från kameran inte skulle offentliggöras på denna webbplats (lyckligtvis konfigurationsändring och ett nytt lösenord tar bort IP-kameran från denna webbplats).
Allt fler hackerattacker berör även CCTV-inspelare som fungerar i övervakningssystem. Sådana attacker orsakar ofta fel, som tar bort eller skadar enhetens minne. Att ladda ner malware (virus) till en enhet kan omvandla den till en robot som utför attacker på andra datorsystem eller en maskin avsedd för ett visst syfte (t.ex. Bitcoin kopierare). Varje inspelare är en specialiserad enstegsdator för inspelning av videodata vilket gör den till en potentiell utrustning som kan användas via Internet som en zombie för olika ändamål.
Bild 3. Inspelarens kort. Inspelare är en fullt fungerande enstegsdator avsedd för ett visst ändamål.
Hacker-programvara eller ett virus som angriper en enhet kan använda inte bara ett vanligt kunskap om standardlösenord, utan försöker också få tillgång till enheten via s.k. svaga lösenord när vi till exempel byter standardlösenord ”admin” till ”admin1” - det ökar faktiskt inte vår säkerhet eftersom det är den situation som förutsätts av angriparen. En annan fråga är servicelösenord som skapats av tillverkare för kritisk upplåsning av enheten när användaren glömmer bort sitt lösenord. Sådana lösenord när de hamnar i oönskade händer eller om de kan genereras på något sätt, är en fara som kan användas av angriparen (s.k. ”bakdörr” från engelska ”backdoor”).
Därför är det, bortsett från inspelarens konfiguration, viktigt att skapa ett dedikerat nätverk inom vilket den kommer att fungera, rätt säker konfiguration av tillgångsenheter till nätverket (icke-användning av DMZ-funktion - demilitariserad zon - ger obegränsad tillgång till enheten, byte av standardkommunikationsportar, aktivering av adressfiltrering) och installation av den senaste firmware i enheter som säkrar alla rapporterade felaktigheter och ökar säkerhetsnivån för enheterna.
Det är viktigt att följa dessa regler:
Ställ in / ändra standardlösenordet till ett starkare (lösenord som ”admin1”, ”111111”, ”123456” osv. rekommenderas inte).
Lösenord ska vara svårt att gissa och innehålla lika täcken och siffror. Tillgång till lösenord ska ha endast behöriga användare. Det är också värt att överväga en systematisk ändring av lösenord som är en extra säkerhetsåtgärd mot att gissa dem (byte av en behörighet anställd, avslöjande av konfidentiella uppgifter). Man ska också lägga märke till Onvif-protokoll. I vissa kameramodeller, trots att man ändrar systemlösenord, är det nödvändigt att ändra lösenord till Onvif-konto.
Använd inte DMZ-funktionen i routern – om du måste göra det – omdirigera bara dessa portar som är nödvändiga för en korrekt anslutning.
DMZ är en demilitariserad zon - om vi placerar enheten i denna routerzon tillhandahåller vi tillgång från ett externt nätverk till alla portar som är öppna i standardkonfiguration av enheten (enheten är placerad utanför routerns brandvägg). Det är väldigt farligt eftersom de flesta konfigurationerna har en öppen TELNET-port som standard som oftast används för hackningsattacker. På routern ska man omdirigera endast dem portar som är nödvändiga för kommunikation med enheten (HTTP, TCP). Breda områden av portarna får inte omdirigeras men endast de som krävs för att uppfylla specifika funktioner. Man ska också lägga märket till att om nätverkskameror är anslutna till inspelaren, behöver vi ingen omdirigering av portarna för korrekt kommunikation med övervakningssystemet. Det räcker bara att omdirigera inspelarens portar.
Ändra HTTP, TCP, UDP standardportar (tillgängliga portar inom 10000-65535).
Standardporten 80 attackeras av hackare oftast. Ändring av standardnummer av portar gör det svårare att gissa av andra personer.
Om det är möjligt aktivera IP / MAC filtrering
Genom att aktivera den här optionen i routern kan man ange specifika adresser (nätverk IP-adresser eller fysiska MAC-adresser) av betrodda enheter som vi tillåter fjärranslutning med vår enhet.
Använd MOLNET.
Ett säkert moln säkerställer ett säkert skydd av den enhet som fungerar i det.
Hantera dina konton rationellt - använd inte samma inställningar/lösenord för alla installationer.
Vid kundapplikationer är det förbjudet att använda automatisk inloggningsfunktion, särskilt när en dator används av många personer. Användarnamn och lösenord ska också vara unika. Användning av identiska lösenord för olika tjänster på olika konton utgör en risk vid avslöjande eller stöld av privata uppgifter på en av dem. Det är följande steg för att öka säkerheten och förhindra tillgång av obehöriga personer. Om systemet används av många användare, se till att alla har behörigheter som är relevanta för deras uppgifter (inte högre än vad som krävs).
Skapa nätverk dedikerade för CCTV-installationer.
Övervakningssystemenheter ska placeras i ett separat nätverk utan några andra enheter med fri tillgång från och till Internet. Det är skydd mot oauktoriserad tillgång. Om det inte finns någon möjlighet att skapa ett fysiskt separat nätverk, är det nödvändigt att skapa ett delnätverk med en pool av IP-adresser som skiljer sig från dem som redan finns i installationen (t.ex. 10.10.10.xxx och gör undernätmasken smalare till t.ex. 255.255.255,0). Tillgång till ett sådant nätverk ska tillhandahållas av en extra router som ska omdirigera anslutningar mellan nätverk.
Installera den senaste mjukvaran.
Alltid ska man tänka på versionen och kontrollera om det finns möjlighet att uppdatera firmware. Den senaste mjukvaran ökar enhetens säkerhetsnivå som resultat av borttagning av eventuella fel som hittats i föregående versioner.
Flera kameror och nätverksinspelare har också en inbyggd HTTPS-kommunikation med användning av SSL. Dess aktivering möjliggör kodning av kommunikation mellan enheter och förhindrar att till exempel tjuvlyssna lösenordet på anslutningen.
Det är alltid värt att bekanta sig med dokumentationen till enheten. Det gör det möjligt för oss att lära känna dess funktioner och vilka av dem är aktiverade som standard. Det är bäst att inaktivera alla funktioner som vi inte är säkra på när det gäller användning. När vi inte ska använda sådana protokoll som UPnP, SNMP, MULTICAST ska man avaktivera dem.
Om man misstänker att det fanns en obehörig tillgång till vårt system, kan systemloggar som möjliggör att bestämma vissa informationer (loggdatum, IP-adress, funktioner som använts) hjälpa till.
Till slut ska man nämna att inspelaren ska placeras i ett skyddat rum där fysisk tillgång av obehöriga personer är omöjlig (lådor, rack-skåp, serverrum).
Om installatörer av övervakningssystem ska följa ovanstående säkerhetsregler ska det vara möjligt att skapa ett säkert system och i användarnas ögon är säker och enkel systemdrift den bästa rekommendationen för installatören som en riktig expert.
Netto:
0.00
EUR
Brutto:
0.00
EUR
Vikt:
0.00
kg
Denna webbplats använder cookies. Mer information om användning av oss cookie- filer, deras användning och hur du redigerar godkännande av cookie-filer kan hittas genom att trycka på
link
Svenska
Български
Český
Dansk
Deutsch
Eesti
Ελληνικά
English
Español
Français
Italiano
Latviešu 
Lietuvių 
Magyar
Nederlands
Polski
Português
Pусский
Română
Slovenski
Slovenský
Suomi
EUR
AUD
CAD
CHF
CZK
DKK
GBP
HUF
NOK
PLN
SEK
USD
Start
Kontakt
Nya produkter
