Основной задачей системы мониторинга является обеспечение безопасности с сохранением основных принципов конфиденциальности или секретности компании, контролируемого объекта. Хорошо продуманная и сконфигурированная система будет исполнять свою основную задачу только тогда, когда сама будет надлежащим образом обезопасена и защищена, то-есть сконфигурирована для работы, особенно, когда речь идет о работе в сети с доступом в Интернет.
В последнее время мы наблюдаем интенсивность хакерских атак на автономные системы безопасности устройств, таких как камеры IP, регистраторы (DRV, NVR), работающих в сети. Очень многие устройства становятся жертвами нападения, потому что они забывают или игнорируют вопросы безопасности, связанные с конфигурацией системы безопасности для работы в сети. Не без значения остается также конфигурация устройств доступа (напр. маршрутизатора) на выходе локальной сети с подключенной системой мониторинга, которые позволяют доступ к этой системе с обширной сети Интернета.
Рис.1. Хакерское программное обеспечение только и ждет, чтобы использовать изъян в твоей системе...
Во многих случаях причиной овладения устройства хакером является не ошибка или "дыра" в программном обеспечении компании, а предоставление взломщику "открытых дверей" в виде конфигурации безопасности по умолчанию или, в основном, их отсутствии.
В случае камеры IP, подключенной к Интернету (сконфигурированной, чтобы быть видимой в Интернете), постороннее лицо получает в такой ситуации доступ до потока изображения с камеры и ее конфигурации. Примером, который является предупреждением для всех, может быть сайтwww.insecam.org, создатели которой вовсе не должны были взламывать устройствою.
Рис.2. Не обеспечили свою камеру - вас может смотреть целый мир!
Достаточно написать скрипт, который ищет в Интернете адреса веб-камер, а затем проверить, можно ли получить доступ к ним при использовании логина по умолчанию пользователя и пароля производителя ( какой мы имеем установленным на заводе после приобретения оборудования). В положительном случае, изображение с такой камеры будет размещено на их сайте без ведома владельца .Оказывается, что есть тысячи незащищенных камер видеонаблюдения по всему миру , в фирмах, складах, магазинах, а также в частных домах. Достаточно, после приобретения камеры, в процессе ее конфигурации, сменить только пароль по умолчанию перед предоставлением доступа к сети, а изображение с камеры не было бы обнародованным на этой странице ( к счастью, изменение конфигурации и установление пароля снимает камеру с этой страницы).
Все большее число хакерских атак также имеет место на регистраторы ССТV, работающих в системах мониторинга. Атаки часто приводят к возникновению неисправностей, заключающихся в очищении или повреждении памяти устройства. Загрузка на устройство вредоносной программы ( вируса) может заменить его на робота, ведущего атаки на другие компьютерные системы или машину, предназначенную для какой-то цели (напр. в экскаватор Bitcoinów). Каждый регистратор специализированный для записи материалов однокристального компьютера, так что устройство является потенциальным аппаратным ресурсом, который может быть использован как "зомби" для различных целей.
Рис.3. Устройство для записи диска. Регистратор представляет собой полнофункциональный однокристальный компьютер, посвященный конкретной цели.
Хакерское программное обеспечение или вирус, атакующий устройство, может использовать не только общие знания паролей по умолчанию, но и попытаться добраться к устройству через так называемые слабые пароли, например, если пароль по умолчанию "admin" заменяем на "admin 1", то это на самом деле не увеличивает нашу безопасность, потому что эта ситуация предсказана атакующим. Еще одна проблема заключается в сервисном пароле, созданном производителем с целью критического разблокирования пароля, когда, например, пользователь забудет пароль. Эти пароли, если попадают в чужие руки или, еще хуже, если они могут каким-то образом генерировать, становят угрозу, которую может использовать атакующий (т.на. "закрытая дверь" с англ. "backdoor").
Поэтому, в дополнение к конфигурации записывающего устройства, очень важно создать специальную сеть, в которой оно работает, правильная со стороны обеспечения конфигурация устройств доступа до той сети ( не использовать DMZ- демилитаризованная зона - дает неограниченный доступ к устройству, изменение портов связи по умолчанию, включение фильтрации адресов) и установить последнюю версию встроенного программного обеспечения, которое герметизирует любые сообщенные нарушения и повышает защиту устройств.
Поэтому важно соблюдать следующие правила:
Установить/изменить пароль по умолчанию на более сильный (не рекомендуются пароли типа „admin1”, „111111”, „123456” и т. д. )/
Пароль должен быть трудным для угадывания, содержать разные знаки и цифры. Доступ к паролям должны иметь только уполномоченные пользователи. На этот момент должна рассматриваться возможность регулярно изменять пароли, что является дополнительной гарантией перед их угадыванием ( замена уполномоченного сотрудника на должности, утечка конфиденциальных данных). Следует также обратить внимание на права Onvif. В некоторых моделях камер, несмотря на изменение системных паролей, нужно отдельно изменить пароль для учетной записи Onvif.
Не используйте функцию DMZ на маршрутизаторах – если необходимо - просто перенаправить только те порты, которые необходимы для правильной установки соединения.
DMZ - это так называемая демилитаризованная зона, если разместим наше устройство в этой зоне маршрутизатора, затем даем доступ из внешней сети ко всем портам, которые открыты в конфигурации по умолчанию нашего устройства, ( устройство находится вне маршрутизатора). Это очень опасно, посколько большинство конфигураций имеет открытый по умолчанию порт TELNET, который в основном используется для атаки на устройства. На маршрутизаторе нужно перенаправить только порты, необходимые для взаимодействия с устройством ( HTTP, TCP ). Не стоит перенаправлять широкий диапазон портов, только конкретные, необходимые для реализации определенных функций. Стоит также обратить внимание, что если сетевые камеры подключены к регистратору, то для правильной конфигурации с системой мониторинга не нужно перенаправлять их портов, достаточно перенаправить только порты регистратора.
Изменить порты по умолчанию HTTP, TCP, UDP (диапазон доступных портов 10000-65535).
Чаще всего атакованным хакерами является порт по умолчанию 80. Изменение номеров портов по умолчанию, утрудняет угадывание третьими лицами.
Активизируй фильтр IP / MAC если это возможно.
Активация этой опции в маршрутизаторе позволяет определить конкретные адреса ( сетевых IP или физических MAC) надежных устройств, которым разрешаем на удаленное соединение с нашим устройством.
Используйте ОБЛАКО.
Безопасное облако обеспечивает надежную защиту устройства, действующего в нем.
Рационально управляй счетами - не применяй те же настройки/пароли для всех установок.
В случае клиентских приложений не использовать автоматический вход в систему, особенно, если компьютер используется многими людьми, имя пользователя и пароль должны равно быть уникальными. Использование одних и тех же паролей для различных услуг на разных счетах представляет опасность в случае утечки или кражи личных данных на одном из них. Это следующие шаги для повышения безопасности и утруднения доступа для посторонних лиц. В случае обслуживания системы многими пользователями ,убедитесь, что каждый из них имеет адекватное право для своих задач (не больше, чем требуется).
Создавай специализированные сети для установки CCTV.
Устройства системы мониторинга должны быть в отдельной сети, в которой нет никаких других устройств со свободным доступом в Интернет и с Интернета. Это элемент защиты от несанкционированного доступа. Если нет возможности создания отдельной физичской сети, создай подсеть с другим пулом IP-адресов, чем в настоящее время в системе (напр. 10.10.10.ххх и конкретизируй маску подсети до напр. 255.255.255.0). Доступ до выделенной в такой способ подсети позволит дополнительный маршрутизатор, который перенаправит соединение между сетями.
Установите последнюю версию программного обеспечения.
Всегда проверяйте версию и возможность обновления встроенного программного обеспечения (прошивки) (firmware). Новейшее программное обеспечение повышает уровень безопасности устройства в результате удаления любых дефектов, найденных в предыдущих версиях.
Многие сетевые камеры и записывающие устройства также имеют встроенную опцию связи HTTPS с использованием SSL. Ее включение позволяет шифровать обмен данными между устройствами, предотвращая, например, подслушивание пароля на ссылке.
Всегда стоит ознакомиться с документацией устройства. Это позволяет получить представление о том, какими функциями оно располагает, какие функции включены по умолчанию. Лучше использовать подход отключения всех функций, в использовании которых не уверены. Если не будем использовать такие протоколы, как, например, UPnP, SNMP,MULTIKAST, они должныбыть выключены.
В случае подозрения, что был несанкционированный доступ к нашей системе, помощь могут оказать системные журналы, которые позволят установить определенные информации ( регистрация данных, IP-адрес, запуск функции).
. Наконец надо отметить, что сам регистратор должен находиться в месте в охраняемом помещении, предотвращающим несанкционированный физический доступ ( ящики, шкафы Rack, серверы).
Соблюдение этих правил безопасности монтажниками систем мониторинга позволит, безусловно, создать надежную систему, а в глазах пользователей безопасная и бесперебойная работа системы, является лучшей рекомендацией для инсталятора, как настоящего эксперта.
Нетто:
0.00
EUR
Брутто:
0.00
EUR
Вес:
0.00
kg
Этот сайт использует файлы cookie. Больше информации об используемых нами файлах cookie, их применении и способе модификации файлов cookie, можно найти нажав
link
Pусский
Български
Český
Dansk
Deutsch
Eesti
Ελληνικά
English
Español
Français
Italiano
Latviešu 
Lietuvių 
Magyar
Nederlands
Polski
Português
Română
Slovenski
Slovenský
Suomi
Svenska
EUR
AUD
CAD
CHF
CZK
DKK
GBP
HUF
NOK
PLN
SEK
USD
Домой
Контакт
Новые продукты
