Согласно исследованиям, большинство цифровых систем видеонаблюдения, которые используются предприятиями малого и среднего бизнеса, содержат уязвимости и могут быть взломаны. О причинах слабой защищенности и способах защитить систему видеонаблюдения на базе оборудования Tecsar Lead – наш сегодняшний материал, как руководство к действию.

Как только цифровая видеокамера или видеорегистратор подключаются в сеть, они тут же получают IP-адрес и начинают передавать информацию о себе. По IP-адресу устройство можно обнаружить с помощью «родного» приложения или, например поисковика IoT (т.н. устройств интернета вещей). Легкое обнаружение видеооборудования облегчает злоумышленникам возможность доступа к системе видеонаблюдения, когда они желают завладеть конфиденциальной информацией или изменить важные данные.

Совет 1. Как избежать легкого обнаружения подключенных камер Tecsar Lead поисковиками IoT: заходим в веб-интерфейс камеры, вкладка «Настройка», раздел «Безопасность», выбираем пункт «Дополнительно», включаем чек-бокс «Скрыть данные о производителе».

После этого камера хоть и будет обнаруживаться поисковиком, но не будет им идентифицироваться, что затруднит взлом устройства.

Даже если поисковик-зловред нашел камеру в сети, это еще не значит что на нее возможно осуществить успешную атаку. Причина уязвимости камер и видеорегистраторов часто кроется в человеческом факторе – излишней беспечности пользователей.

Дело в том, что устанавливая камеру или видеорегистратор, люди часто оставляют возможность входа по учетной записи и паролю, используемым по умолчанию (типа admin). А поскольку эти параметры одинаковы для тысяч камер и хорошо известны злоумышленникам, то взлом не составит труда. Например, для получения полного доступа к настройкам и видео IP камеры со стандартными параметрами, достаточно просто найти эту камеру через поисковик и зайти в панель администрирования через браузер IE, использовав стандартные логин и пароль.

Совет 2. Обязательно изменяйте стандартные пароли доступа к камерам и видеорегистраторам, причем никогда не используйте простые пароли вида admin123, 1234567 и т.п. Для камер Tecsar Lead изменить пароль пользователя максимально просто: заходим в веб-интерфейс, вкладка «Настройка», раздел «Безопасность», выбираем пункт «Пользователи», выбираем нужного пользователя (по умолчанию это admin) и жмем кнопку «Изменить» – появляется интерфейс смены пароля:

Важно: в отличие от пароля, логин администратора по умолчанию в большинстве случаев сменить невозможно.

Используйте также авторизацию ONVIF — доступ по ONVIF к камере будет только при вводе логина и пароля (по умолчанию эта опция на оборудовании Tecsar Lead активна).

Можно также затруднить доступ к камере с нежелательных сетевых устройств. Для этого используйте фильтрацию IP адресов: составьте черный или белый списки IP, с которых соответственно запрещен или разрешен доступ к устройству.

Совет 3. Ограничивайте возможность доступа к камерам с других сетевых IP адресов. Для камер Tecsar Lead фильтрация по IP включается так: в веб-интерфейсе камеры выбираем вкладку «Настройка», раздел «Безопасность», выбираем пункт «Фильтрация IP адресов» и отмечаем чек-бокс «Вкл.»:

Затем добавляем в список разрешенные или запрещенные IP адреса.

Помимо IP-адреса, для атак на видеооборудование используются открытые медиа-порты. Существуют специальные программы для сканирования открытых портов. При этом, как правило, все порты камер по умолчанию как раз открыты для доступа! Злоумышленнику лишь остается попасть на камеру через открытый порт, используя специальную программу автоматического подбора паролей.

Совет 4. Для повышения уровня безопасности можете изменить стандартные медиа-порты на другие, либо вообще закрыть неиспользуемые вами порты. Делается это через меню «Настройка», раздел «Сеть», пункт «Порт», вкладка «Порт»:

Бывает, что уязвимость обнаруживается у некоторых версий прошивок устройства. Тут от пользователя зачастую ничего не зависит – как бы он не настраивал безопасность, критическая уязвимость открывает злоумышленнику возможность доступа к камере. Чтобы устранить подобные проблемы, производители обязательно выпускают новую версию прошивки.

Совет 5. Всегда обновляйте прошивку устройства на самую свежую версию. Для камер Tecsar Lead обновить прошивку можно через веб-интерфейс, меню «Настройка», раздел «Система», вкладка «Обновление»:

Еще один известный способ взлома камер и регистраторов использует протокол Telnet. Telnet – это не использующий шифрование и незащищенный текстовый протокол для доступа к программному обеспечению и файловой системе камеры. Данный протокол был задуман для обеспечения доступа к камере производителю и сервисным службам, однако на практике ничто не мешает воспользоваться Telnet-ом и людям с не совсем добрыми намерениями. Уязвимость настолько критическая, что используя Telnet злоумышленник может даже изменить прошивку камеры, перенаправив видеопотоки на себя, либо превратить устройство в «зловореда» для целенаправленных сетевых атак. Более того, через подобную «дыру» по цепочке можно добраться и к остальным устройствам в локальной сети — компьютерам, маршрутизаторам и попытаться осуществить их взлом.

Совет 6. Не включайте протокол Telnet для IP камер Tecsar Lead (по умолчанию он отключен). Опция деактивации протокола Telnet находится во вкладке «Настройка», раздел «Безопасность», пункт «Безопасность», складка «Telnet»:

Для доступа к камере по умолчанию используется HTTP протокол, что не добавляет плюсов с точки зрения безопасности. Дело в том, что при использовании HTTP передача всех данных происходит в незащищенном виде. И при желании данные можно перехватить в любом промежуточном узле маршрута пересылки информации. На помощь приходит протокол HTTPS: он обеспечивает защищенный, безопасный и конфиденциальный обмен данными с использованием шифрования информации. Дополнительным элементом безопасного соединения на основе протокола HTTPS является цифровой сертификат, который подтверждает возможность управления именно тем пользователем, которому сертификат был выдан.

Совет 7. Для улучшения безопасности используйте HTTPS протокол и цифровой SSL сертификат. Для этого в веб-интерфейсе камеры перейдите во вкладку «Настройка», раздел «Безопасность», пункт «HTTPS»:

Если камера передает незащищенный RTSP видеопоток, то перехватить и просмотреть его можно даже с помощью популярного медиа-проигрывателя. Чтобы посторонние не имели возможности смотреть видео с ваших камер, RTSP видеопоток нужно защитить от постороннего доступа при помощи логина и пароля.

Совет 8. Обязательно защищайте RTSP видеопоток камеры. Для этого в веб-интерфейсе устройства Tecsar Lead перейдите в меню «Настройка», раздел «Безопасность», вкладка «Аутентификация RTSP»:

Сетевой протокол ARP вроде бы важен и одновременно безвреден — он предназначен для определения адресов канального уровня (MAC) по известным IP адресам. Однако этот протокол очень уязвим к атакам канального уровня: злоумышленник может подменить MAC адрес устройства (видеорегистратора или компьютера) другим, на который будет перенаправляться трафик с камеры.

Совет 9. Без особой надобности не используйте протокол ARP, лучше отключите его — это не даст злоумышленникам легко узнать реальные МАС адреса оборудования. Для отключения в веб-интерфейсе камеры Tecsar Lead перейдите во вкладку «Настройка», раздел «Безопасность», пункт «ARP»:

Нередко пользователи подключают свое видеооборудование к глобальным сетям (WAN, сеть провайдера Интернет-услуг) напрямую либо через коммутатор. Это не лучший вариант с точки зрения безопасности.

Совет 10. Подключайте IP камеры и видеорегистраторы Tecsar Lead к сетям провайдера и Интернету через маршрутизаторы. Это обеспечит намного лучшую защиту видеооборудования от атак по сети. Во-первых, в большинстве своем маршрутизаторы имеют куда более совершенные настройки безопасности, чем отдельно взятые видеорегистраторы и тем более IP камеры. Во-вторых, камера будет скрыта за NAT от простого прямого доступа извне локальной сети.

Кроме того, если в корпоративной сети используется стандарт аутентификации IEEE 802.1x – это плюс к безопасности, так как очень снижается риск несанкционированного доступа к устройству.

Материал предоставлен эксклюзивным поставщиком бренда Tecsar.