Згідно з дослідженнями, більшість цифрових систем відеоспостереження, які використовуються підприємствами малого і середнього бізнесу, містять уразливості і можуть бути зламані. Про причини слабкої захищеності і способах захистити систему відеоспостереження на базі обладнання Tecsar Lead - наш сьогоднішній матеріал, як керівництво до дії.

Як тільки цифрова відеокамера або відеореєстратор підключаються в мережу, вони тут же отримують IP-адреса і починають передавати інформацію про себе. За IP-адресою пристрій можна виявити за допомогою «рідного» додатка або, наприклад пошукача IoT (т.зв. пристроїв інтернету речей). Легке виявлення відеообладнання полегшує зловмисникам можливість доступу до системи відеоспостереження, коли вони бажають заволодіти конфіденційною інформацією або змінити важливі дані.

Рада 1. Як уникнути легкого виявлення підключених камер Tecsar Lead пошуковими системами IoT: заходимо в веб-інтерфейс камери, вкладка «Налаштування», розділ «Безпека», вибираємо пункт «Додатково», включаємо чек-бокс «Приховати дані про виробника».

Після цього камера хоч і буде виявлятися пошукачем, але не буде їм ідентифікуватися, що утруднить злом пристрою.

Навіть якщо пошуковик-зловредів знайшов камеру в мережі, це ще не означає що на неї можливо здійснити успішну атаку. Причина уразливості камер і відеореєстраторів часто криється в людському факторі - зайвої безпечності користувачів.

Справа в тому, що встановлюючи камеру або відеореєстратор, люди часто залишають можливість входу по облікового запису і паролю, використовуваним за замовчуванням (типу admin). А оскільки ці параметри однакові для тисяч камер і добре відомі зловмисникам, то злом не складе труднощів. Наприклад, для отримання повного доступу до налаштувань і відео IP камери зі стандартними параметрами, досить просто знайти цю камеру через пошуковик і зайти в панель адміністрування через браузер IE, використавши стандартні логін і пароль.

Порада 2. Обов'язково змінюйте стандартні паролі доступу до камер і відеореєстраторів, причому ніколи не використовуйте прості паролі виду admin123, 1234567 тощо Для камер Tecsar Lead змінити пароль користувача максимально просто: заходимо в веб-інтерфейс, вкладка «Налаштування», розділ «Безпека», вибираємо пункт «Користувачі», вибираємо потрібного користувача (за умовчанням це admin) і тиснемо кнопку «Змінити» - з'являється інтерфейс зміни пароля:

Важливо: на відміну від пароля, логін адміністратора за замовчуванням в більшості випадків змінити неможливо.

Використовуйте також авторизацію ONVIF - доступ по ONVIF до камери буде тільки при введенні логіна і пароля (за замовчуванням ця опція на обладнанні Tecsar Lead активна).

Можна також ускладнити доступ до камери з небажаних мережевих пристроїв. Для цього використовуйте фільтрацію IP адрес: складіть чорний або білий списки IP, з яких відповідно заборонений або дозволений доступ до пристрою.

Порада 3. Обмежуйте можливість доступу до камер з інших мережевих IP адрес. Для камер Tecsar Lead фільтрація по IP включається так: в веб-інтерфейсі камери вибираємо вкладку «Налаштування», розділ «Безпека», вибираємо пункт «Фільтрація IP адрес» і відзначаємо чек-бокс «Вкл.»:

Потім додаємо в список дозволені або заборонені IP адреси.

Крім IP-адреси, для атак на відеообладнання використовуються відкриті медіа-порти. Існують спеціальні програми для сканування відкритих портів. При цьому, як правило, всі порти камер за умовчанням як раз відкриті для доступу! Зловмиснику лише залишається потрапити на камеру через відкритий порт, використовуючи спеціальну програму автоматичного підбору паролів.

Рада 4. Для підвищення рівня безпеки можете змінити стандартні медіа-порти на інші, або взагалі закрити невикористовувані вами порти. Робиться це через меню «Налаштування», розділ «Мережа», пункт «Порт», вкладка «Порт»:

Буває, що вразливість виявляється у деяких версій прошивок пристрою. Тут від користувача часто нічого не залежить - як би він не налаштовував безпеку, критична уразливість відкриває зловмиснику можливість доступу до камери. Щоб усунути подібні проблеми, виробники обов'язково випускають нову версію прошивки.

Рада 5. Завжди оновлюйте прошивку пристрою на найсвіжішу версію. для камер Tecsar Lead оновити прошивку можна через веб-інтерфейс, меню «Налаштування», розділ «Система», вкладка «Оновлення»:

Ще один відомий спосіб злому камер і реєстраторів використовує протокол Telnet. Telnet - це не використовує шифрування і незахищений текстовий протокол для доступу до програмного забезпечення і файлової системи камери. Даний протокол був задуманий для забезпечення доступу до камери виробнику і сервісним службам, однак на практиці ніщо не заважає скористатися Telnet-му і людям з не зовсім добрими намірами. Уразливість настільки критична, що використовуючи Telnet зловмисник може навіть змінити прошивку камери, перенаправивши відеопотоки на себе, або перетворити пристрій в «зловореда» для цілеспрямованих мережевих атак. Більш того, через подібну «діру» по ланцюжку можна дістатися і до решти пристроїв у локальній мережі - комп'ютерів, маршрутизаторів і спробувати здійснити їх злом.

Рада 6. Не включайте протокол Telnet для IP камер Tecsar Lead (за замовчуванням він відключений). Опція деактивації протоколу Telnet знаходиться у вкладці «Налаштування», розділ «Безпека», пункт «Безпека», складка «Telnet»:

Для доступу до камери за умовчанням використовується HTTP протокол, що не додає плюсів з точки зору безпеки. Справа в тому, що при використанні HTTP передача всіх даних відбувається в незахищеному вигляді. І при бажанні дані можна перехопити в будь-якому проміжному вузлі маршруту пересилання інформації. На допомогу приходить протокол HTTPS: він забезпечує захищений, безпечний і конфіденційний обмін даними з використанням шифрування інформації. Додатковим елементом безпечного з'єднання на основі протоколу HTTPS є цифровий сертифікат, який підтверджує можливість керування саме тим користувачем, якому сертифікат був виданий.

Рада 7. Для поліпшення безпеки використовуйте HTTPS протокол і цифровий SSL сертифікат. Для цього в веб-інтерфейсі камери перейдіть у вкладку «Налаштування», розділ «Безпека», пункт «HTTPS»:

Якщо камера передає незахищений RTSP відеопотік, то перехопити і переглянути його можна навіть за допомогою популярного медіа-програвача. Щоб сторонні не мали можливості дивитися відео з ваших камер, RTSP відеопотік потрібно захистити від стороннього доступу за допомогою логіна і пароля.

Рада 8. Обов'язково захищайте RTSP відеопотік камери. Для цього в веб-інтерфейсі пристрою Tecsar Lead перейдіть в меню «Налаштування», розділ «Безпека», вкладка «Аутентифікація RTSP»:

Мережевий протокол ARP начебто важливий і одночасно нешкідливий - він призначений для визначення адрес канального рівня (MAC) по відомим IP адресами. Однак цей протокол дуже вразливий до атак канального рівня: зловмисник може підмінити MAC адресу пристрою (відеореєстратора або комп'ютера) іншим, на який буде перенаправляти трафік з камери.

Рада 9. Без особливої потреби не використовуйте протокол ARP, краще вимкніть його - це не дасть зловмисникам легко дізнатися реальні МАС адреси обладнання. Для відключення в веб-інтерфейсі камери Tecsar Lead перейдіть у вкладку «Налаштування», розділ «Безпека», пункт «ARP»:

Нерідко користувачі підключають свою відеообладнання до глобальних мереж (WAN, мережа провайдера Інтернет-послуг) безпосередньо або через комутатор. Це не кращий варіант з точки зору безпеки.

Рада 10. Підключайте IP камери і відеореєстратори Tecsar Lead до мереж провайдера і Інтернету через маршрутизатори. Це забезпечить набагато кращий захист відеообладнання від атак по мережі. По-перше, в більшості своїй маршрутизатори мають куди більш досконалі настройки безпеки, ніж окремо взяті відеореєстратори і тим більше IP камери. По-друге, камера буде прихована за NAT від простого прямого доступу ззовні локальної мережі.

Крім того, якщо в корпоративній мережі використовується стандарт аутентифікації IEEE 802.1x - це плюс до безпеки, так як дуже знижується ризик несанкціонованого доступу до пристрою.

матеріал надано ексклюзивним постачальником бренду Tecsar .