Kibernetinis saugumas: kaip apsaugoti tinklo apsaugos sistemą

Šiuolaikinės vaizdo apsaugos sistemos yra saugesnės nei bet kada anksčiau. Praėjo laikai, kai tinklo vaizdo įrašymo įrenginiuose ir kamerose buvo leidžiama naudoti numatytuosius duomenis (pvz., 12345 slaptažodį), kuriais naudodamiesi įsilaužėliai mobilizuodavo dešimtis tūkstančių (ar daugiau!) įrenginių į botnetą. Svarbu nepamiršti, kad saugumas kartais gali būti paprastas. Vien reikalavimas, kad prisijungimo duomenys būtų pakeisti pirmą kartą juos panaudojus, lėmė, kad smarkiai sumažėjo sukompromituotų saugumo sistemų. Tačiau paprastas ne visada reiškia "lengvas". Užpuolikai prisitaiko, o gynėjai turi stengtis išlikti priekyje. Geriausios sistemos sukurtos taip, kad gynėjams būtų lengviau nei užpuolikams, ir daug ką galima padaryti priėmus keletą papildomų (ir paprastų) konfigūravimo sprendimų.

Tipiškoje nedidelėje apsaugos sistemoje gali būti keliolika ar daugiau IP kamerų, prijungtų prie tinklo vaizdo įrašymo įrenginių (NVR). Geriausios praktikos konfigūracijose IP kameros paprastai yra tinklo potinklyje; tai leidžia uždrausti prieigą iš interneto ir neleisti, kad IP kamerų srautai, kuriems reikia daug pralaidumo, trukdytų kitam srautui. Tačiau, norėdami pasiekti NVR iš už tinklo ribų, turėtumėte jį atverti į internetą. Taip elgiantis gali kilti pavojus jūsų turtui, nes įsilaužėliai gali lengviau pasinaudoti atviru internetu ir įsilaužti į jūsų sistemą.

Įsilaužimo anatomija

Bet koks IP įrenginys, kuris yra nuotoliniu būdu pasiekiamas iš interneto, gali kelti pavojų. Dažnai prietaisas pasiekiamas iš tinklo, turinčio fiksuotą IP adresą ir prievadą. Jei taip, tai lengva aptikti iš bet kurios pasaulio vietos naudojant prievadų nuskaitymą (prievadų nuskaitymas yra standartinis metodas, naudojamas siekiant nustatyti, kokių prievadų gali klausytis tikslinė sistema). Tai gali padėti įsilaužėliams nustatyti ir tai, kokios paslaugos gali būti paleistos sistemoje, nes tam tikri prievadai paprastai yra susiję su tam tikromis paslaugomis. Pavyzdžiui, jei įrenginys yra NVR, tikėtina, kad jame atidarytas 80 prievadas, kad teisėtas naudotojas galėtų pasiekti NVR žiniatinklio sąsają. Tačiau įsilaužėliui atidarytas 80 prievadas yra didelė užuomina, kad prietaise veikia žiniatinklio serveris. Prievadų nuskaitymas iš esmės yra nuotolinės operacinės sistemos "pirštų atspaudų" būdas, leidžiantis suprasti, kokios paslaugos ir programinės įrangos versijos veikia taikinyje. Tai yra problema, nes jei yra žinomų tos OS versijos ar tam tikrų paslaugų išnaudojimo būdų, tai yra gera žinia užpuolikui, jei jūsų įrenginyje nėra atnaujintų pataisymų arba jis nėra apsaugotas kitais būdais.

Tačiau yra keletas praktinių būdų, kaip sumažinti šią riziką. Dauguma NVR turi mobiliąją programėlę, prie kurios galima prisijungti per "Peer-to-Peer" (P2P). Ši sąranka naudoja tarpinį serverį, kuris užklausia NVR ir prašo atidaryti prievadą. Kai tai įvyksta, mobilioji programėlė prisijungia prie NVR. Kai ryšys užmezgamas, prievadas uždaromas. Didelis šio metodo privalumas yra tas, kad prievadas yra atidarytas tik sesijos trukmei. Bet kuriuo kitu metu prievado nuskaitymas potencialiam įsilaužėliui daug ko neatskleis. Tai tas pats, kas atidaryti garažo duris, kai atvažiuojate prie namų, o įvažiavus automobiliui jas uždaryti ir palikti uždarytas tol, kol vėl reikės išvažiuoti automobiliu.

Kitas būdas sumažinti poveikį - naudoti IP adresų blokavimą. Daugelyje ugniasienių ši funkcija dar vadinama geografinės vietos nustatymo funkcija, kuri leidžia blokuoti prieigą prie sistemos iš tam tikrų IP adresų. Kai kurios leidžia blokuoti prieigą iš konkrečių šalių IP adresų.

Kai kurie saugumo ekspertai mano, kad tai yra labai grubi priemonė, todėl teisinga klausti, ar verta blokuoti IP adresus. Pateikime scenarijų, kad geriau suprastume šį klausimą:

Vadybininkas periodiškai tikrina žurnalus, o tai suteikia puikių įžvalgų, ypač tada, kai viskas veikia netinkamai. Tai darydamas jis pastebėjo neįprastą skaičių administratoriaus prisijungimo bandymų iš tam tikro IP adreso per mažiau nei vieną dieną. Paaiškėjo, kad užfiksuotas IP adresas yra iš miesto, kuriame garsėja trolių ferma, saugumo bendruomenė tvirtai įtaria, kad ji vykdo įtakos internete operacijas tam tikros šalies verslo ir politinių interesų vardu. Kadangi valdytojo interneto svetainė aptarnauja tik Šiaurės Amerikos naudotojus, jie nusprendė blokuoti visą tos geografinės srities IP adresų domeną. Tai, ką jis padarė, nesutrukdys tam, kas tai buvo, dar kartą inicijuoti bandymą slaptažodį atlikti brutalia jėga, tačiau tai bus gerokai mažiau patogu. Ir tai yra jų laimėjimas.

Daugeliui įmonių daug lengviau apsaugoti prieigą prie NVR, nes tikėtina, kad yra tik keli žmonės, kurie turi teisę prie jo prisijungti. Tokiu atveju galite pakeisti numatytuosius nustatymus ir nustatyti IP leidimų sąrašą, kuris užblokuos visus prieigos bandymus, nebent jie ateitų iš nurodytų IP adresų. Tai dar labiau apsunkina įsilaužėlių galimybes.

https://www.eurodigital.lt/vaizdo-stebejimas/dahua-hd-cvi-irenginiai.html