Hogyan biztosítható a felügyeleti rendszer a számítógépes támadások ellen?

IP CCTV – jó ötlet lenne?
A videomegfigyelő készülékek könnyen besorolhatók a tárgyak internetét (IoT) alkotó termékek szélesebb körébe. Számos, a mindennapi életben használt eszköz, mint például a televíziók, a hűtőszekrények vagy a beágyazott elektronikus rendszerekkel felszerelt mosógépek, amelyek hálózati interfészekkel rendelkeznek, hálózati kapcsolaton keresztül feldolgozhatják és továbbíthatják az adatokat. Gyakorlatilag minden DVR-nek és minden IP-kamerának van egy csatlakozója, amely lehetővé teszi az internetkapcsolatot. Az internetkapcsolatoknak köszönhetően a felhasználók:
  • távolról konfigurálhatja a berendezést,
  • távolról megtekintheti az élő képeket és lejátszhatja a felvételeket,
  • rögzíti a videó felvételeket egy távoli szerveren vagy egy felhőszolgáltatásban.
HD-TVI TURBO HD 4.0 DVR: Hikvision DS-7204HQHI-K1 (4 csatornás, 1080p@15fps, H.265, HDMI, VGA)
A HD-TVI DVR hátsó panelje. A "LAN" csatlakozó, megfelelő konfiguráció után,
a globális hálózat kapuja.
A távoli hozzáférési funkciók eltérnek az elszigetelt, biztonságos CCTV rendszerek (Closed-Circuit TeleVision) létrehozásának hagyományos elképzelésétől, amelyben a kamerák előnézete és az archív anyagok megtekintése csak a megfigyelőközpontban lehetséges.
Napjainkban a teljes rendszerelválasztás elképzelése figyelmen kívül hagyja a normál gyakorlatot, ha a videó megfigyelő eszközöket az internethez kapcsolják. Tudni kell azonban, hogy az internetről elérhető minden rendszer ki van téve a számítógépes támadás kockázatának. Ez mind a stratégiai fontosságú, mind a rendes áruházakra vonatkozik. Az ilyen eszközök internethez való csatlakoztatásához a telepítőnek és a felhasználónak (tudnivalóknak) meg kell tudnia, hogy megakadályozza őket a támadások ellen. A megfelelő biztonsági eljárások követésével a sikeres támadás lefolytatásának lehetősége nagyon kicsi. Ezek az eljárások hasonlóak minden egyes IoT eszközhöz. Annak ellenére, hogy a biztonságos létesítmények létrehozásának képessége mindenekelőtt a vállalkozóktól szükséges, az ilyen rendszerek felhasználóinak is követniük kell a vonatkozó szabályokat és ideális esetben ismerniük kell a számítógépes biztonsági kérdéseket.
Mi lehet a veszély?
A hackerek megpróbálják megtámadni az interneten működő eszközöket. A biztonsági rések segítségével betekintést nyerhetnek, vagy akár a vezérlést is átvállalhatják. A fertőzött eszközök normálisan működhetnek, így a felhasználók tulajdonképpen nem is tudják, hogy a betörés áldozatai lettek.
Ha a támadók nagyszámú eszközt irányítanak át, akkor ún. "Botnet" -et hozhatnak létre. Az ilyen botnet-hálózatok támadásokat végeznek az interneten működő egyéb eszközökkel szemben, ami bizonytalanságot okoz és ez lehetővé teszi a későbbi betöréseket. Az ilyen hatalmas támadások komoly veszélyt jelentenek az internet stabilitására és integritására. Példa erre a 2016-ban történt támadás az IoT eszközök használatával, beleértve számos DVR-t és IP kamerát. Ideiglenesen letiltotta a fontos webhelyeket, mint például az Amazon, a Twitter, a Reddit.
A számítógépes bűnözés gyakran használja a megszerzett eszközök számítási teljesítményét és megpróbál pénzt keresni rajta, például krypto valutában.
Hogyan lehet minimalizálni a kockázatokat?
A számítógépes biztonság tízparancsolata
1. Módosítsa az alapértelmezett jelszavakat erős, biztonságos jelszavakra.
A készülék első indításakor állítsa be saját jelszavát. Fontos, hogy ez ellenálljon a szótárak támadásainak - legalább 8 karakterből kell állnia és a betűk (kis- és nagybetűk), számok és speciális karakterek kombinációja legyen. Ha más felhasználók bejelentkeznek a rendszerbe, akkor korlátozott jogosultságokkal rendelkező fiókokkal kell rendelkezniük.
A gyári jelszavakkal védett eszközökre való támadások nagyon elterjedtek. A hálózaton még speciális szolgáltatásokat is létrehoztak, amelyek ilyen berendezéseket keresnek. Ezekre nézve csodálkozva vehetjük észre, hogy a rosszul védett rendszerek között nemcsak az otthoni létesítmények, hanem az üzletekben, éttermekben, raktárakban és különböző típusú vállalatokban is megtalálhatók ezek.
A gyári jelszavak problémája nem csak a felügyeleti rendszerek felhasználóit érinti, hanem általában az IoT eszközöket és más hálózati eszközöket is, például a routereket. Jó gyakorlat a gyártók számára, hogy az új jelszavakat az első üzembe helyezéskor és a megismételt, helytelen bejelentkezés után blokkolja.
2. Rendszeresen frissítse a szoftvert
Az eszközfejlesztők általában frissítik a firmwaret/szoftvert a legújabb verziókkal. Ezek leggyakrabban a készülék működésével kapcsolatos fejlesztések, új funkciók megvalósítása és a legfontosabb - biztonsági javítások. A mai eszközök egyre gyakrabban működnek a frissítések automatikus megkeresésében és letöltésében. Ha ez nem létezne, a frissített firmware/szoftvernek elérhetőnek kell lennie a gyártó vagy forgalmazó szerverein.
3. Az alapértelmezett kommunikációs portok módosítása és a hozzáférési eszköz biztonságos konfigurálása
Az eszközök általában olyan routerrel csatlakoznak az internethez, amely alapértelmezés szerint blokkolja a bejövő kommunikációt. Fontos, hogy megfelelően konfigurálja a routert a megfelelő csatlakozási szabályok létrehozásával, pl. port továbbítás. További információ a port továbbításról a Hogyan irányítsunk router portot, a DVR online eléréséhez? cikkben.
Nem javasoljuk az automatikus portátviteli funkció használatát, azaz a DMZ-t, mivel működése az összes rendelkezésre álló protokoll kommunikációs portjainak elérését jelentheti. A nem konfigurált és kevésbé biztonságos protokolloknál megnövekedhet a támadás kockázata.
4. Engedélyezze az IP szűrést CCTV eszközökben
Az IP- és MAC-címszűrés lehetővé teszi az adott eszközhöz való hozzáférés korlátozását. Csak a másik eszköz, amely egy adott IP-címmel vagy a MAC-kártya fizikai címével rendelkezik, csatlakozhat hozzá. A gyártótól függően a funkció maga is elérhető lehet a készülékben, vagy a router konfigurációjában kell szerepelni.
5. A nem használt protokollok és hálózati szolgáltatások kikapcsolása
Ha nem használja a készülék egyes hálózati funkcióit, kapcsolja ki azokat. A nem konfigurált funkció biztonsági lyuk lehet és lehetővé teszi, hogy az eszközt meghekkeljék. Javasoljuk az alábbi funkciók kikapcsolását: UPnP, SNMP, multicast, SSH, telnet.
6. Használjon titkosított kapcsolatot
A HTTPS protokoll a szabványos HTTP kiterjesztése. Az SSL/TLS mechanizmusnak köszönhetően nagyobb biztonságot nyújt. Ha úgy dönt, hogy a HTTPS-t használja, akkor a böngészőn keresztül továbbított adatok (pl. felhasználói név, jelszó) védve lesznek a lehallgatás és a „közepes” támadások ellen.
Példa HTTPS konfigurációra egy Hikvision eszközben. A megfelelő beállítások a fejlett hálózati beállítások menüben érhetők el. Készíthet manuálisan vagy akkreditált hitelesítő hatóság által aláírt tanúsítványt.
A HTTPS alapértelmezett kommunikációs portja 443. A fenti példában egy saját aláírású tanúsítvány generálható az eszközön, vagy egy tanúsító szervezet (CA) által aláírt tanúsítvány telepíthető. Ha az ingyenesen aláírt tanúsítványt használjuk, akkor a böngészők közlik, hogy a kapcsolat nem megbízható webhelyen keresztül történik. A tanúsító szervezetek által aláírt tanúsítványokat meg kell fizetni.
7. Rendszeresen ellenőrizze a távoli bejelentkezési kísérleteket
A rendszernaplók segítségével a rendszergazdák sok diagnosztikai információt kaphatnak az eszközről. A CCTV eszköz naplói az eszköz tömegmemóriájában vannak tárolva, azaz a DVR/NVR merevlemezén vagy egy IP kamera memóriakártyáján. Minden napló tartalmazza az egyes események dátumát és időpontját, a csatorna számát és távoli hozzáférés esetén a bejelentkezési felhasználónevet és az IP-címet. Ha egy rendszerfunkciót megváltoztattak, akkor azt a naplók is tükrözik. A rendszerleíró adatbázis a kezdeti diagnosztikai lépés a problémák esetén.
A Hikvision DVR-ben lévő naplók listája
8. Állítsa be a hálózatot úgy, hogy csak a szükséges eszközökhöz férhessen hozzá
A CCTV felügyeleti rendszer által használt hálózatot külön kell választani. A fizikai vagy logikai hálózati elválasztás megengedett. A fizikai szétválasztás kizárólag egy CCTV monitorozásra szolgáló dedikált hálózat létrehozását jelenti, míg a logikai elválasztás egy külön alhálózat létrehozását és az útválasztás megfelelő konfigurációját jelenti.
Jó gyakorlat logikusan elválasztott VLAN-ok létrehozása. Ezen belül virtuális hálózatokat hoznak létre. A különböző virtuális hálózatokban tartózkodó eszközök nem látják egymást, és nem tudnak egymással kommunikálni. Ennek köszönhetően a CCTV készülékek védve vannak ugyanazon fizikai hálózat felhasználóinak szándékos vagy véletlen tevékenysége ellen - például a CCTV rendszerrel védett vállalat alkalmazottai nem tudják megzavarni azt a hálózat véletlenszerű eszközeihez való csatlakozás vagy rosszindulatú szoftver telepítése után. Ha új eszközt szeretne hozzáadni a hálózathoz, először hozzá kell adnia a virtuális hálózathoz (például egy kapcsolóport beállításával). Ez jelentősen javítja a biztonságot és korlátozza a műsorszóró forgalmat.
9. Felhőszolgáltatások használata
Egyes CCTV-berendezések gyártói lehetővé teszik a hozzáférést a felhőn keresztül. A felhő, amely a gyártó szerverhálózata, titkosított hozzáférést biztosít a regisztrált eszközökhöz. Ez a kapcsolat csak dedikált alkalmazásokon keresztül lehetséges (számítógépen és okostelefonon).
A kapcsolat biztonságát a gyártó garantálja, ezért érdemes a neves cégek közül választani és tanúsítványokat kérni. Például a Hikvision (a világ legnagyobb CCTV berendezésgyártója) által nyújtott Hik-Connect szolgáltatás rendelkezik az ISO/IEC 27001: 2013 tanúsítvánnyal. Ez azt jelenti, hogy megfelel az általánosan ismert és nemzetközileg elismert információbiztonsági szabvány követelményeinek.
Távoli hozzáférés a CCTV készülékekhez a Hik-Connect felhőszolgáltatással
10. Védje a készülékeket a fizikai hozzáférés ellen
Ez egy további követelmény a biztonságos videomegfigyelő rendszer kiépítéséhez. Minden felügyeleti eszközt, szervert, routereket vagy switchet védeni kell az illetéktelen személyek hozzáférése ellen. Minden eszközt egy zárt RACK szekrénybe vagy egy speciális házba kell helyezni egy külön, biztonságos helyiségben.
A Signal rack szekrény és a CCTV berendezések