Cele mai bune practici pentru securizarea sistemelor de supraveghere video Hanwha Techwin

0
79

Hanwha Techwin, fostul Samsung Techwin in urma atacurilor cibernetice efectuate in ultimii ani care au avut ca tinta echipamente din randul sistemelor de supraveghere video a lansat o serie de recomandari tehnice de implementat pentru evitarea sau reducerea vulnerabilitatilor unui sistem de supraveghere video accesibile din internet in fata persoanelor rau intentionate.

Traim intr-o lume  a online-ului, in care tot mai multe dispozitive si sisteme sunt conectate intr-o retea si interconectate cu alte sisteme. Principalul factor din spatele acestui concept, consta in abilitatea de conectare si control a sistemelor indiferent de locatie. Acest aspect prezinta si un dezavantaj deoarece prin expunerea echipamentelor in INTERNET acestea devin potentiale victime in fata hackerilor. Fiecare echipament devenit ONLINE  poate reprezenta un punct de intrare in reteaua din care face parte si  poate garanta accesul hackerilor la informatii confidentiale. Este important ca fiecare organizatie pornind de la politica de securitate sa isi ia toate masurile necesare asigurarii unui nivel ridicat de securitate pentru echipamente de retea, printre care se enumara camere IP, encodere, DVR-uri sau NVR-uri.

Setul urmator de recomandari are ca scop preventirea actiunilor de acces fraudulos in retelele private avand ca punct de pornire vulnerabilitatea camerelor IP. Majoritatea setarilor pot fi efectuate utilizand utilitarul proprietar Wisenet Device Manager. Acesta poate fi descarcat de aici.

Politica parole

De la verificare de mailuri la deblocare smartphone-uri sau logare in PC-uri, parolele reprezinta parte insemnata a vietii cotidiene. Realitatea e cu totul alta, multi utilizatori folosesc datele implicite de conectare la diverse echipamente, informatii usor de obtinut printr-o simpla cautare in mediul online.

  1. Schimbati parola implicita. Adesea instalatorii si/sau end-useri uita sau nu tin cont de faptul ca utilizeaza o parola implicita de accesare a echipamentului. Acest pas este unul extrem de important deoarece parolele implicite pot fi localizate cu usurinta pe site-uri de specialitate sau in manualele de utilizare. Astfel, prin schimbarea datelor implicite de autentificare se reduce simtitor gradul de vulnerabilitate a produsului care a fost initial partial securitat de o parola implicita. Ingrijorator este faptul ca in urma unor atacuri cibernetice, persoanele care nu au fost afectate chiar daca echipamentele au valorile implicite de utilizare sfideaza situatia si nu tin cont de pagubele suferite si raportate. Produsele Hanwha Wisenet nu au o parola implicita de utilizare, politica acestora presupune definirea si confirmarea unei parole de minimum 8 caractere compusa din 2/3 tipuri de categorii de caractere in functie de dimensiunea parolei. La aceasta se adauga regula conform careia repetitia de 4 caractere sau mai multe nu este permisa, iar caracterele speciale pot face parte din parola. Numarul maxim de caractere a unei parole nu poate depasi 15 caractere. 
  2. Evitati erorile comune. Nu e suficienta simpla schimbare a parolei implicite. Din cauza multiplelor aplicatii care necesita autentificarea utilizatorilor, adesea se produc doua greseli in procesul de creare a parolelor. In primul rand, utilizatori folosesc aceeasi parola pentru orice. Avantajul – repetitia e mama invataturii, iar dupa multiple autentificari parola intra in reflexul utilizatorilui, dezavantajul e daca o persoana descifreaza parola, de exemplu de la contul de email, atunci aceasta are acces la orice cont parolat cu informatiile descifrate. A doua greseala des intalnita in definirea de parole consta in utilizarea unor date usor de retinut, ca nume, date de nastere.                                     Prin urmare este imperativa utilizarea unor parole puternice care sunt dificil de decodat ca unele combinatii de litere mici/mari, cifre si caractere speciale.
  3. Utilizati multiple conturi cu scopuri diferite. Chiar daca nu este obligatoriu, reprezinta o buna practica utilizarea de parole diferite pentru fiecare dispozitiv sau utilizarea aceleiasi parole doar pentru cateva dispozitive si nu pentru fiecare dispozitiv in parte. In cazul aplicatiilor VMS sau clientilor acestor aplicatii se recomanda  definirea unui cont de utilizator diferit de cel de aministatrator. Aceasta previne utilizarea abuziva a parolei de administrator si transmisa printr-o retea susceptibila unui atac, iar in al doilea rand limitand autorizarea asociata cu un cont unic de utilizare va limita accesul hackerilor. Daca un cont este compromis, acesta nu va afecta camera, doar accesul la setari de baza. Mai mult prin utilizarea unor credentiale unice se pot efectua rapoarte si identifica din loguri contul utilizat care a dus o functionare defectuasa a produsului.                               Produsele Hanwha permite crearea de diferinte conturi si grupuri de utilizator si permisiuni asociate. 

Conturi de tipul GUEST

Camere IP Hanwha permit utilizarea unui cont separat de logare de tipul „guest”. Acest cont este caracterizat de privilegii limitate si implicit este inactiv. Se recomanda pentru utilizarea in situatii in care utilizatorul are drepturi limitate, insa se recomanda pastrarea acestuia in stare inactiva daca nu este utilizat.

Principiul cat mai putine privilegii

O alta practica recomandata consta in limitarea functiilor la care un utilizator are acces ca audio, PTZ, intrari/iesiri de alarma. Utilizati acest considerent pentru asignarea unui anumit utilizator a unui numar minim de functii necesare. Daca acesta trebuie sa acceseze meniul cel putin o data pe an, se recomanda utilizarea unui cont alternativ de logare din interfata web a produselor, la contul de accesare a VMS-ului cu drepturi depline de acces.

Autentificare si criptare

Deoarece datele de autentificare a unui utilizator presupune trimiterea datelor de conectare peste retea, chiar si ce mai puternica parola poate fi „furata” pe durata acestui transfer. Prin urmare se recomanda utilizarea metodelor de criptare a datelor de autentificare disponibile.

Digest vs. Clear Text Authentication 

In mod traditional, datele de autentificare sunt transmise in retea in text clar si codare base64 fapt ce permite oricarei persoane care monitorizeaza reteaua interceptarea si analiza traficului de unde poate extrage informatiile de autentificare.

O metoda mai putin utilizata consta in criptarea datelor folosind  autentificarea digest si o functie hash. Aceasta metoda sporeste securitatea prin transmisia datorita formei in care sunt transmise informatiile de logare.

Criptare SSL

O metoda excelenta in securizarea transmisei informatiilor de autentificare consta in utilizarea criptarii SSL. Aceasta abordare ieftina si eficienta imbunatateste nivelul de securitate a dispozitivului.

Produsele Hanwha contin certificate ce permit criptarea SSL. De altfel pot fi achizitionate si aplicate certificate SSL de la o autoritate acreditata. Se recomanda utilizarea criptarii SSL si la transmisia de notificari de evenimente via e-mail prin protocolul SMTP tocmai pentru a preveni ca datele de autentificare al respectivului cont de email sa nu fie transmis in text clar. Un singur aspect trebuie tinut cont, serverul SMTP trebuie sa suporte SSL/TLS. La orice modificare a optiunilor HTTPS camera va reboota si va permite doar comunicare peste HTTPS.

Evitati Cloud-ul

Prin utilizarea unui serviciu de tip cloud pentru inregistrare sau vizualizare sistem de supraveghere video, pe langa nevoia de banda, acesta poate prezenta si o problema de securitate. In momentul in care serviciul de cloud se conecteaza la dispozitiv, acesta din urma transmite un set de informatii de logare. Daca informatia este capturata prin intermediul unui atac de tipul MITM (man in the middle), datele de autentificare pot fi decriptate. Mai mult, unele servicii cloud nu suporta criptare SSL sau cel putin o autentificare de tipul digest.

Setari de retea

Segregrarea fizica a retelei

O metoda des intalnita si extrem de eficienta consta in securizarea fizica a retelei prin simpla separare fizica a camerelor si inregistratoarelor video de reteaua de date. Exista modele de NVR-uri cu una sau doua placi de retea fiecare cu un scop diferit, un port poate fi utilizat pentru transferul de date cu camerele video, iar cel de-al doilea poate fi utilizat pentru conectarea in software-uri de vizualizare imagini live si inregistrari.

VLANuri

Se recomanda utilizarea de VLANuri pentru separearea logica a retelei de supraveghere video de cea de date. Retelele VLAN opereaza pe switchuri de layer2 si 3.

Filtrare IP

Filtrarea IP este metoda prin care sunt specificate in mod explicit adresele IP care pot avea acces la dispozitiv sau adresele IP care nu pot accesa dispozitivele de supraveghere video. Aceasta metoda asigura ca doar persoanele avizate pot accesa dispozitivele iar orice tentativa de conectare de pe alte calculatoare este rejectata. Dispozitivele Hanwha permit crearea pana la 10 reguli de filtrare atat IPv4 cat si IPv6.

VPN 

O metoda eficienta de conectare la site-uri distante consta in utilizarea unei solutii VPN. Aceasta creaza un canal securizat si criptat de comunicare eliminand orice ”scurgere de informatii” ca date de autentificare.

Porturi

Schimband valorile implicite ale porturilor de comunicare utilizate de dispozitivele Hanwha va reduce sansele ca o persoana neautorizata sa acceseze dispozitivele.

 

Dezactivare porturi, servicii si protocoale neutilizate

Dispozitivele Hanwha utilizeaza o varietate de protocoale, totusi, se recomanda, dezactivarea serviciilor care nu sunt utilizate de aplicatie. Acestea pot fi multicast, DDNS, QoS, Bonjour, UPnP, port forward, adresa IP de link local, FTP, NAS si notificare prin email.

SNMP

SNMP-ul reprezinta o unealta excelenta pentru administratorii de retea sa gestioneze dispozitivele de supraveghere video. Versiunile 1 si 2 de SNMP transmit in text clar informatiile, insa versiunea 3 poate cripta informatiile transmise. Implicit v1 si v2 al SNMP-ului sunt activate, iar singura modalitate de dezactivare a acestora consta in utilzarea comenzilor HTTP de mai jos:

http://IPADDRESS/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version1=False

http://IPADDRESS/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version2=False

RTSP

Majoritatea fluxurilor video sunt transmise in retea prin intermediul protocolului RTSP. Camerele de supraveghere Hanwha permit transmisia de fluxuri peste RTSP fara autentificare. Aceasta metoda este eficienta in contextul transmisiei de date in Internet pentru vizualizare publica sau in software-uri de la producatori terti care nu suporta autentificare peste RTSP. In cazul produselor Hanwha, autentificarea RTSP poate fi activata din interfata web a acestora.

Identificarea si contracararea atacurilor

Doua dintre cele mai des intalnite atacuri ale hackerilor sunt DoS- Denial of Service si buffer overflow. Ambele sunt extrem de eficiente de aceea e nevoie de o abordare speciala pentru protejarea retelelor si dispozitivelor in fata unor accese interzise.

Blocare cont de utilizator

Atacurile de tipul DoS presupune bombardarea dispozitivulul avizat cu comenzi mai mult decat acesta poate procesa ajungandu-se la o stare de inhibare si lipsa de reactie. In cazul produselor Hanwha daca acestea receptioneaza multiple cereri de autentificare per un anumit interval de timp, cererile sunt blocate. Totodata, conexiunile in curs sunt pastrate active, utilizatorii avand acces la pagina de management a camerelor sau DVR/NVR-urilor.

Protectia la buffer overflow

Un alt atac comun folosit de hackeri consta in exploatarea salbiciunilor bazei de date, sistemului de operare sau a fisierelor de system ale camerelor IP sau a dispozitivelor de inregistrare. Dispozitivele Hanwha filtreaza comenzile primite inainte de forwardarea informatiilor solicitate unui server web sau unei baze de date, prevenind astfel atacurile de tipul buffer overflow.

Accesul fizic al dispozitivelor

Accesul fizic al oricarui echipament dintr-un sistem de securitate sau retea este extrem de insemnat. Avand acces fizic la dispozitive, acestea pot fi recuperate la valorile implicite cu usurinte permitand astfel efectuarea de noi setari de catre persoane neautorizate. De aceea se recomanda instalarea echipamentelor de securitate in zone segregate in care accesul este controlat si supravegheat video. Limitarea accesului la echipamentele de supraveghere video furnizeaza o structura multistrat de securitate care nu se bazeaza doar pe un singur mecansim de protectie a permetrelor monitorizate.

Inregistrare continua

Pe durata unei efractii, echipamentele de inregistrare pot fi sustrase sau distruse pentru acoperirea dovezilor. O metoda eficienta de abordare a acestei situatii consta in utilizarea de camere IP cu suport SD pentru inregistrare locala. Desi perioada de retentie este redusa in comparatie cu sistemele de inregistrare, poate reprezenta o alternativa pe termen scurt in pastrarea inregistrarilor. Inregistrarea pe carduri SD poate fi utilizata in contextul defectarii sistemelor de inregistrare sau eventuala deconectare din retea.

Camerele IP Hanwha pot fi configurate sa inregistreze pe card SD continuu sau la eveniment, inregistrare pre si post eveniment, format inregistrare AVI/ATW, suprascriere, inregistrare la program. De asemenea, administratorul poate defini codecul sau profilul utilizat de camera la inregistrare. Ca alternativa la stocarea locala, camerele IP pot inregistra pe un dispozitiv de tipul NAS.

Camerele Hanwha pot detecta deconectarea fizica de la retea si pot salva inregistrari pe cardul SD.

Detectia de sabotaj

O metoda de sabojat des intalnita consta in perturbarea informatiilor din campul vizual al camerei prin  blocarea fizica a lentilelor sau prin simpla schimbare a directiei camerei. Functia de detectie a sabotajului genereaza o alarma transmisa in centrul de monitorizare dar si o serie de actiuni ca stocare pe un un server ftp, notificare via email, inregistrare locala sau activare port extern de alarma.

Loguri de evenimente

Camerele IP Hanwha salveaza in loguri orice modificare adusa camerei, prin urmare este importanta verificarea acestor loguri pentru a identifica ce anume s-a modificat si de catre cine.

Upgrade de firmware

Hackerii lucreaza neincetat pentru a identifica si exploata vulnerabilitatile din firmware-ul camerelor IP si a sistemelor de inregistrare. Odata identificata o „portita”, acestia pot accesa imediat echipamentul si implicit reteaua din care face parte. Se recomanda actualizarea echipamentelor la ultimele versiuni de firmware si efectuarea unor setari ca adresa IP si date de autentificare inca de pe bancul de probe.

Aplicatia software Wisenet Device Manager poate fi utilizata pentru a verifica cu usurinta daca versiunea de firmware din echipamente este ultima disponibila, in caz contrar permite actualizarea acestora doar prin cateva clickuri.

Format video

Majoritatea echipamentelor de supraveghere video din industrie suporta atat formate video de tipul open cat si proprietare. Un format video de tipul open poate reprezenta o solutie ideala pentru utilizatorii finali, inregistrarile fiind redate cu orice tip de player video. Totusi, printre cerintele unui sistem de securitate se regaseste cerinta conform careia fisierele video nu pot fi editate sau alterate.

Formatul video oferit de produsele Hanwha respecta aceste masuri prevenire a modificarii continutului fisierelor video. In combinatie cu un player video dedicat care se descarca automat, utilizatorii pot reda cu usurinta inregistrarile video de format STW/SEC, formate proprietare care nu pot fi alterate.

Platforme de tipul open

Majoritatea camerelor de supraveghere IP Hanwha permit instalarea on-board de aplicatii de la producatori terti cu rol de adaugare sau imbunatatire functii. Astfel o camera standard cu ajutorul unei aplicatii terte poate fi utilizata intr-un sistem de recunoastere a numerelor de inmatriculare, analiza fluxurilor de persoane, time lapse si multe altele. Din meniul web al camerelor IP, submeniul Open SDK, administratorii pot verifica aplicatiile instalate in camere, daca acestea ruleaza si prioritatea care o au daca exista mai multe aplicatii instalate.

 

In era conectivitatii o realitate dura consta in faptul ca intotdeauna vor exista persoane sau grupari care vor incerca sa identifice si sa exploateze vulnerabilitatile echipanentelor online. Este extrem de important ca orice echipament accesibil din internet sa fie securizat cat mai mult posibil. Urmarind pasii de mai sus recomandati de Hanwha nu numai ca sansele de succes a unor atacuri cibernetice vor fi reduse, dar se va asigura un grad de integritate si functionare continua a sistemelor de supraveghere video si nu numai.

 

Sursa: www.hanwha-security.eu 

 

 

 

NICIUN COMENTARIU

LĂSAȚI UN MESAJ


8 + = 9