13 февраля, 2017

Как защищать камеры видеонаблюдения от сетевых атак

13.02.2017

Необходимость серьёзно подумать о защите систем видеонаблюдения от сетевых атак надвигалась на интеграторов и конечных пользователей постепенно. Решающим моментом стала DDoS-атака в сентябре 2016 года, произведённая с помощью вредоносного кода Mirai. В ней сотни тысяч телекамер и других устройств из систем видеонаблюдения выступили в роли средств нападения на определённые цели.

К счастью, имеется ряд простых мер, которые мало что гарантируют, но сильно понижают вероятность того, что данная IP-камера может попасть в лапы злоумышленникам. Первое, что нужно сделать, — заняться паролем, который даёт доступ к браузеру камеры. Пары «логин — пароль», заданные по умолчанию, такие, как «admin и admin», «root и pass», «admin и 123456» — это надёжный способ оставить камеру беззащитной перед хакерами.

Пароли должны быть не только сложными, но и хорошо управляемыми. Нет ничего хуже, чем потерять пароль и потом мучительно восстанавливать его. Кроме того, пароли нужно надёжно хранить, но это уже вопрос из сферы не сетевого, а физического доступа.

Камеры видеонаблюдения более уязвимы, если они находятся в общей сети и не выделены в отдельную подсистему. Такое чаще наблюдается в небольших компаниях. У крупного заказчика дело с выделением отдельной подсистемы обстоит лучше. Здесь создаётся виртуальная локальная компьютерная сеть (VLAN), которая имеет защищённое соединение с Интернетом.

В дополнение к паролям, которые защищают отдельные камеры, можно применять ещё один общий пароль для системы. Он должен быть достаточно сложным, и его необходимо часто менять. Это — дополнительный уровень защиты.

Многие IP-камеры поддерживают шифрование по протоколу SSL. Это особенно важно при использовании облачных сервисов.

Распространённым способом подключения к телекамерам стали мобильные устройства, которые сами по себе не защищены. Для ограничения доступа к ним всё шире применяются биометрические методы, обычно в сочетании с паролями.

Выделяя порты для связи камеры с остальной системой видеонаблюдения и с мобильными устройствами, следует исключить возможность проникновения в них через остальные порты. Для этого может использоваться межсетевой экран

При ещё более серьёзном подходе может применяться система обнаружения атак, которая не только отследит попытки внешнего воздействия на систему, в том числе сканирования портов, но и в реальном времени оповестит о них оператора видеонаблюдения.

Количество показов: 104