Podstawowym zadaniem systemu monitoringu jest zapewnienie nam bezpieczeństwa z zachowaniem podstawowych zasad prywatności, czy też tajemnicy firmy, monitorowanego obiektu. Dobrze zaprojektowany i skonfigurowany system będzie spełniał swoje podstawowe zadanie tylko wtedy, gdy sam będzie również właściwie zabezpieczony i chroniony, czyli odpowiednio skonfigurowany do pracy, zwłaszcza jeżeli chodzi o pracę w sieci z dostępem do Internetu.
|
W ostatnim okresie obserwujemy nasilenie ataków hakerskich na autonomiczne urządzenia systemów bezpieczeństwa, takie jak kamery IP, rejestratory (DVR, NVR) pracujące w sieci. Bardzo wiele urządzeń pada ofiarami ataku, ponieważ pomijane lub lekceważone są kwestie bezpieczeństwa związane z konfiguracją ich zabezpieczeń do pracy w sieci. Nie bez znaczenia pozostaje również konfiguracja urządzeń dostępowych (np. routera) na wyjściu sieci lokalnej z podłączonym systemem monitoringu, które umożliwiają dostęp do tego systemu z rozległej sieci Internetu.
|
W wielu przypadkach przyczyną opanowania urządzenia przez hakera nie jest błąd, czy też dziura w zabezpieczeniach oprogramowania firmowego, ale pozostawienie włamywaczowi „otwartych drzwi” w postaci domyślnej konfiguracji zabezpieczeń, czyli w zasadzie ich braku.
|
W przypadku kamery IP podłączonej do Internetu (skonfigurowanej, aby była widoczna w Internecie), nieupoważniona osoba uzyskuje w takiej sytuacji dostęp do strumienia obrazu z kamery oraz jej konfiguracji. Przykładem, będącym ostrzeżeniem dla wszystkich może być strona www.insecam.org, której twórcy wcale nie musieli się włamywać na urządzenia.
|
|
Wystarczyło napisać skrypt wyszukujący w Internecie adresy kamer internetowych, a następnie sprawdzić czy możliwy jest do nich dostęp przy użyciu domyślnego loginu użytkownika i hasła producenta (jaki mamy ustawiony fabrycznie po zakupie sprzętu). W przypadku pozytywnym, obraz z takiej kamery zostaje umieszczony na ich stronie, bez wiedzy właściciela. Okazuje się, że są tysiące niezabezpieczonych kamer monitoringu na całym świecie, w firmach, magazynach, sklepach, a także w prywatnych domach. Wystarczyłoby po zakupie kamery, w trakcie jej konfiguracji, zmienić tylko domyślne hasło przed udostępnieniem w sieci, a obraz z kamery nie zostałby upubliczniony na tej stronie (na szczęście zmiana konfiguracji i ustawienie hasła usuwa kamerę z tej strony).
|
Coraz więcej ataków hakerskich ma również miejsce na rejestratory CCTV pracujące w systemach monitoringu. Ataki często powodują wystąpienie usterki polegającej na wyczyszczeniu lub uszkodzeniu pamięci urządzenia. Wgranie do urządzenia złośliwego oprogramowania (wirusa) może je zamienić w robota dokonującego ataku na inne systemy komputerowe lub maszynę przyporządkowaną do jakiegoś celu (np. w koparkę Bitcoinów). Każdy rejestrator to przecież wyspecjalizowany do zapisu materiałów wideo komputer jedno-płytkowy, a więc urządzenie jest potencjalnym zasobem sprzętowym, który może być wykorzystany przez sieć jako „zombie” do różnych celów.
|
Dlatego oprócz konfiguracji samego rejestratora, bardzo ważne jest stworzenie dedykowanej sieci w której on pracuje, właściwa od strony bezpieczeństwa konfiguracja urządzeń dostępowych do tej sieci (nie używanie funkcji DMZ – strefa zdemilitaryzowana – dającej dostęp bez ograniczeń do urządzenia, zmiana domyślnych portów komunikacyjnych, włączenie filtrowania adresów) oraz instalacja najnowszego oprogramowania sprzętowego w urządzeniach, które uszczelnia wszelkie zgłaszane nieprawidłowości i podnosi poziom bezpieczeństwa urządzeń.
|
Oprogramowanie hakerskie, bądź wirus atakujący urządzenie może wykorzystać nie tylko powszechną znajomość haseł domyślnych, ale także próbować dostać się do urządzenia poprzez tzw. słabe hasła, jeżeli na przykład domyślne hasło „admin” zmieniamy na „admin1”, to tak naprawdę, nie zwiększa to naszego bezpieczeństwa, bo jest to sytuacja przewidywana przez atakującego. Jeszcze inna sprawa to hasła serwisowe, tworzone przez producentów w celu krytycznego odblokowania urządzenia, gdy na przykład użytkownik zapomni hasła. Hasła te gdy dostaną się w niepowołane ręce, albo co gorsze gdy można je w jakiś sposób wygenerować, stanowią zagrożenie, które może wykorzystać atakujący (tzw. „tylne drzwi” z ang. „backdoor”).
|
Ważne jest zatem przestrzeganie poniższych zasad:
|
|
Hasło powinno być trudne do odgadnięcia, zawierać różne znaki i cyfry. Dostęp do haseł powinni mieć tylko upoważnieni użytkownicy. Należy w tym momencie rozważyć również możliwość regularnej zmiany haseł, co jest dodatkowym zabezpieczeniem przed ich odgadnięciem (zmiana upoważnionego pracownika na stanowisku, wyciek poufnych danych). Warto również zwrócić uwagę na uprawnienia Onvif. W niektórych modelach kamer pomimo zmiany haseł systemowych należy oddzielnie zmienić hasło dla konta Onvif.
|
|
DMZ to tak zwana strefa zdemilitaryzowana, jeżeli umieścimy nasze urządzenie w tej strefie routera wówczas dajemy dostęp z sieci zewnętrznej do wszystkich portów jakie są otwarte w konfiguracji domyślnej naszego urządzenia (urządzenie jest umieszczone poza zaporą routera). Jest to bardzo niebezpieczne ponieważ większość konfiguracji ma otwarty domyślnie port TELNET, który w większości jest wykorzystywany do ataków na urządzenia. Na routerze należy przekierować tylko porty niezbędne do komunikacji z urządzeniem (HTTP, TCP). Nie należy też przekierowywać szerokich zakresów portów, tylko konkretne wymagane do realizacji określonych funkcji. Warto również zwrócić uwagę, że jeżeli kamery sieciowe mamy podłączone do rejestratora, to do poprawnej komunikacji z systemem monitoringu nie musimy przekierowywać ich portów, wystarczy przekierować tylko porty rejestratora.
|
|
Najczęściej atakowanym przez hakerów jest domyślny port 80. Zmiana numerów domyślnych portów utrudnia ich odgadnięcie przez osoby trzecie.
|
|
Uruchomienie tej opcji w routerze pozwala na wskazanie konkretnych adresów (sieciowych IP lub fizycznych MAC) zaufanych urządzeń, którym pozwalamy na zdalne połączenie z naszym urządzeniem.
|
|
Bezpieczna chmura zapewnia bezpieczną ochronę urządzenia działającego w niej.
|
|
W przypadku aplikacji klienckich nie należy używać funkcji automatycznego logowania, zwłaszcza gdy z komputera korzysta wiele osób. Nazwa użytkownika i hasło powinny być również unikatowe. Stosowanie tych samych haseł dla różnych usług, na różnych kontach stwarza zagrożenie w przypadku wycieku lub kradzieży danych prywatnych na jednym z nich. Są to kolejne kroki dla podniesienia bezpieczeństwa i utrudnienia dostępu dla osób niepowołanych. W przypadku obsługi systemu przez wielu użytkowników, upewnij się czy każdy z nich posiada uprawnienia adekwatne do swoich zadań (nie większe niż wymagane).
|
|
Urządzenia systemu monitoringu powinny znajdować się w wydzielonej sieci w której nie ma innych urządzeń o swobodnym dostępie do i z Internetu. Jest to element ochrony przed nieautoryzowanym dostępem. Jeśli nie ma możliwości stworzenia fizycznie oddzielnej sieci, stwórz podsieć z inną pulą adresów IP niż obecne w instalacji (np. 10.10.10.xxx i zawęź maskę podsieci do np. 255.255.255.0). Dostęp do wydzielonej w ten sposób podsieci umożliwi dodatkowy router, który przekieruje połączenia między sieciami.
|
|
Zawsze należy sprawdzać wersję i możliwość aktualizacji oprogramowania sprzętowego (firmware). Najnowsze oprogramowanie podnosi poziom bezpieczeństwa urządzenia w wyniku usunięcia ewentualnych usterek znalezionych w poprzednich wersjach.
|
Wiele kamer i rejestratorów sieciowych posiada również wbudowaną opcję komunikacji HTTPS z wykorzystaniem SSL. Jej włączenie umożliwia zaszyfrowanie komunikacji między urządzeniami, uniemożliwiając na przykład podsłuchanie hasła na łączu.
|
Przestrzeganie powyższych zasad bezpieczeństwa przez instalatorów systemów monitoringu pozwoli na pewno na stworzenie bezpiecznego systemu, a w oczach użytkowników bezpieczna i bezproblemowa praca systemu, to najlepsza rekomendacja dla instalatora jako prawdziwego eksperta. |