Základním určením systému monitorování je zajištění našeho bezpečí při zachování základních zásad soukromí nebo tajemství firmy,monitorovaného objektu. Dobře navržený a nastavený systém bude splňovat své základní určení pouze tehdy, když bude sám správně zabezpečený a chráněný, neboli příslušně pracovně nastavený, obzvláště, pokud se jedná o práci v síti s přístupem k internetu.
V současnost pozorujeme nárůst hackerských útoků vůči autonomním zařízením bezpečnostních systémů, jako jsou IP kamery, rekordéry (DVR, NVR) pracující v síti. Mnoho zařízení se stává obětí útoku, protože jsou opomíjeny nebo zlehčovány otázky zabezpečení spojené s konfigurací jejich zabezpečí pro práci v síti. Bez významu také nezůstává konfigurace přístupových zařízení (např. routeru) na výstupu místních sítí s připojeným monitorovacím systémem, které dovolují přístup k takovémuto systému z rozlehlé internetové sítě.
Obr. 1. Hackerský software jenom čeká na to, aby využil díru ve vašem systému...
V mnoha případech není příčinou ovládnutí zařízení hackerem chyba, nebo díra v zabezpečení firemního software, ale ponechání „otevřených dveří“ lupiči v podobě výchozí konfigurace zabezpečení, nebo v zásadě jeho neexistence.
V případě IP kamery připojené k internetu (nastavené, aby byla viditelná na internetu), neoprávněná osoba získá přístup ke streamování obrazu z kamery a k její konfiguraci. Varovným příkladem pro všechny může být stránka www.insecam.org, jejíž tvůrci se vůbec nemuseli vloupat do zařízení.
Obr. 2. Nezabezpečili jste svou kameru- může se na vás dívat celý svět!
Jenom stačilo napsat skript, který na internetu vyhledává adresy internetových kamer, a následně zjistit, jestli je k nim možný přístup použitím výchozího loginu uživatele a hesla výrobce (jaké máme nastavené továrně při nákupu zařízení). V lepším případě bude obraz z takové kamery umístěn na jejich stránce bez vědomí vlastníka. Ukazuje se, že po celém světě existují tisíce nezabezpečených monitorovacích kamer, ve firmách, skladech, obchodech a také v soukromých domech. Stačilo by po koupi kamery, během její konfigurace, změnit výchozí heslo, než ji připojíme k síti, a obraz kamery nebude na této stránce zveřejněn (naštěstí změna konfigurace a nastavení hesla kameru z této stránky odstraní).
Stále více hackerských útoků míří rovněž na rekordéry CCTV pracujících v monitorovacích sítích. Útoky zapříčiňují vznik závady spočívající ve vyčištění nebo poškození paměti zařízení. Nahrání škodlivého software (viru) do zařízení jej může změnit v robota provádějícího útoky na jiné počítačové systémy nebo stroje přiřazené k určitému cíli (např. těžení Bitcoinů). Každý rekordér je přeci specializovaný jednoúčelový počítač k záznamu video materiálů, tedy potenciální hardwarový zdroj, který může být skrze síť používán jako „zombie“ k různým účelům.
Obr. 3. Deska rekordéru. Rekordér je zcela funkční jednoúčelový počítač, určený ke specifickému účelu.
Hackerský software nebo virus napadající zařízení může používat nejen rozšířenou znalost výchozích hesel, ale také zkoušet vniknout do zařízení přes tzv. slabá hesla, pokud je například výchozí heslo „admin” změněno na „admin1”, tak to skutečně naši bezpečnost nezlepší, protože jde o situaci, kterou útočník předvídá. Další věcí jsou servisní hesla vytvářená výrobci za účelem nouzového odblokování zařízení, když například uživatel zapomněl heslo. Pokud se tato hesla dostanou do nepovolaných rukou, co hůře pokud je možné je nějakým způsobem vygenerovat, znamenají ohrožení, které může útočník využít (tzv. „zadní vrátka”, z angl. „backdoor”).
Proto je kromě konfigurace samotného rekordéru velmi důležité vytvoření dedikované sítě, ve které pracuje, z bezpečnostního hlediska správná konfigurace přístupových zařízení k této síti (nepoužívání funkce DMZ - demilitarizovaná zóna - poskytující přístup k zařízení bez omezení, změna výchozích komunikačních portů, spuštění filtrování adres) a instalace nejnovějšího hardwarového softwaru do zařízení, která utěsní veškeré hlášené nesrovnalosti a zvyšují úroveň bezpečnost zařízení.
Důležité je tedy dodržování těchto zásad:
Nastavit / změnit výchozí heslo na silnější (nedoporučují se hesla typu „admin1”, „111111”, „123456” apod).
Heslo musí být těžké uhádnout a musí obsahovat různé znaky a čísla. Přístup k heslům musí mít pouze oprávnění uživatelé. V takovém okamžiku je nutné také zvážit možnost pravidelné změny hesel, což představuje další zabezpečení před jejich uhádnutím (výměna oprávněného zaměstnance na pracovišti, únik tajných dat). Za uvedení také stojí zvážit oprávnění Onvif. U některých modelů kamer je kromě změny systémových hesel nutné zvlášť změnit heslo pro účet Onvif.
V routeru nepoužívejte funkci DMZ – pokud musíte – přesměrujte pouze ty porty, které jsou vyžadovány pro správné ustavení spojení.
DMZ je takzvaná demilitarizovaná zóna, jestliže umístíme naše zařízení do této zóny routeru, pak poskytneme přístup z externí sítě ke všem portům, které jsou ve výchozím nastavení našeho zařízení otevřené (zařízení se nachází za firewallem routeru). Toto je velmi nebezpečné, protože většina konfigurací má otevřený výchozí port TELNET, který je většinou používán k útokům na zařízení. Na routeru je nutné přesměrovat pouze ty porty nezbytné pro komunikaci se zařízením (HTTP, TCP). Nepřesměrovávejte také široký rozsah portů, pouze konkrétně požadované pro uskutečnění uvedených funkcí. Také je třeba vzít v úvahu, že pokud jsou síťové kamery připojeny k rekordéru, nemusíme ke správné komunikaci s monitorovacím systémem přesměrovat jejich porty, postačí přesměrovat pouze porty rekordéru.
Hackery nejčastěji napadaný je výchozí port 80. Změna čísel výchozích portů zkomplikuje jejich uhádnutí třetími osobami.
Zapněte filtr IP / MAC pokud je to možné.
Spuštění této možnosti na routeru umožňují uvedení konkrétních adres (síťových IP nebo fyzických MAC) důvěryhodných zařízení, kterým umožňuje spojit se na dálku s naším zařízením.
Využijte CLOUD.
Bezpečný cloud zajišťuje spolehlivou ochranu v něm pracujících zařízení.
Racionálně spravujte účty - nepoužívejte stejná nastavení / hesla pro všechny instalace.
V případě klientských aplikací nepoužívejte funkci automatického přihlašování, obzvláště pokud počítač používá více osob. I uživatelské heslo a jméno musí být unikátní. Používání stejných hesel pro různé služby na různých účtech představuje riziko v případě úniku nebo krádeže soukromých údajů na jednom z nich. Jsou to další kroky pro zvýšení bezpečnosti a zkomplikování přístupu pro nepovolané osoby. V případě obsluhy systému více uživateli se ujistěte, jestli má každý z nich oprávnění adekvátní pro své činnosti (ne vyšší, než se vyžaduje).
Vytvořte speciální sítě pro instalace CCTV.
Zařízení monitorovacího systému by se měla nacházet v oddělené síti, v níž neexistují jiná zařízení se svobodným přístupem k a z internetu. Jde o prvek ochrany před neautorizovaným přístupem. Pokud není možné vytvořit fyzicky oddělené sítě, vytvořte podsíť s jiným bazénem IP adres než se vyskytují v instalaci (např. 10.10.10.xxx a zužte masku podsítě např. na 255.255.255.0). Přístup k takto vydělené podsíti umožní přídavný router, která přesměruje spojení mezi sítěmi.
Instalujte nejnovější router.
Vždy kontrolujte verzi a možnost aktualizace hardwarového softwaru (firmware). Nejnovější software zvyšuje úroveň bezpečnosti zařízení díky odstranění případných závad nalezených v předchozích verzích.
Mnoho kamer a síťových rekordérů má také zabudovanou možnost HTTPS komunikace s využitím SSL. Její spuštění umožňuje zašifrování komunikace mezi zařízeními, znemožňuje na příklad odposlouchání hesla na spoji.
Vždy se vyplatí seznámit se s dokumentací zařízení. Umožňuje nám to zorientovat se, jakými funkcemi disponuje, jaké funkce jsou ve výchozím nastavení zapnuty. Nejlepší je použít přístup spočívající ve vypnutí všech funkcí, s jejichž používáním si nejsme jisti. Pokud nebudeme používat takové protokoly, jako např. UPnP, SNMP, MULTICAST, vypněte je.
V případě, že nastane podezření, že došlo k neautorizovanému průniku do našeho systému, mohou se ukázat být užitečné systémové logy, které umožní stanovení určitých informací (datum přihlášení, IP adresa, spuštění funkce).
Na konec stojí za zmínku, že samotný rekordér by se měl nacházet na místě, v místnosti, chráněné před přístupem nepovolaných fyzických osob (skříně, Rack skříně, serverovny).
Dodržování výše uvedených bezpečnostních zásad instalačními techniky monitorovacích systémů určitě umožní vytvořit bezpečný systém a v očích uživatele bezpečnou a bezproblémovou práci systému, to je nejlepší doporučení pro instalačního technika jako skutečného odborníka.
Netto:
0.00
EUR
Brutto:
0.00
EUR
Hmotnost:
0.00
kg
Tyto stránky užívají soubory cookie. Pro více informací o námi užívaných souborech cookie a jejich nastavení ve vašem prohlížeči získáte kliknutím
link
Český
Български
Dansk
Deutsch
Eesti
Ελληνικά
English
Español
Français
Italiano
Latviešu 
Lietuvių 
Magyar
Nederlands
Polski
Português
Pусский
Română
Slovenski
Slovenský
Suomi
Svenska
EUR
AUD
CAD
CHF
CZK
DKK
GBP
HUF
NOK
PLN
SEK
USD
Domů
Kontakt
Nové produkty
