4 Μέθοδοι για την ενίσχυση της ασφάλειας δικτυακής βίντεο-επιτήρησης

Η Dahua παρουσιάζει μέσα από το blog της μια σειρά από μεθόδους προστασίας των δικτυακών συστημάτων βίντεο-επιτήρησης. Σε προηγούμενη αναφορά της, η εταιρία κάλυψε την μέθοδο Peer-to-Peer (P2P), ενώ σε αυτό το άρθρο αναδεικνύει άλλες 4 μεθόδους διασφάλισης των IP συστημάτων βίντεο.

1. Απενεργοποίηση μη απαραίτητων υπηρεσιών

Οι συσκευές IP καθώς και οι διαδικτυακοί διακομιστές (servers) υποστηρίζουν πολλές υπηρεσίες και πρωτόκολλα. Τα περισσότερα από αυτά έχουν σχεδιαστεί για να απλοποιούν την πρόσβαση, να επιτρέπουν διαφορετικές διαμορφώσεις ή να βελτιώνουν τη διαλειτουργικότητα με συσκευές τρίτων κατασκευαστών και απομακρυσμένες εφαρμογές. Για παράδειγμα, το CGI και το ONVIF είναι πρωτόκολλα που επιτρέπουν στις κάμερες IP να προστίθενται εύκολα σε μια συσκευή εγγραφής. Η δυνατότητα “Device discovery” επιτρέπει στο NVR να είναι ανιχνεύσιμο στο δίκτυο, κάτι που απλοποιεί τις διαδικασίες ρύθμισης κατά τη χρήση του λογισμικού εργαλείου Dahua Config. Όλες αυτές οι υπηρεσίες προσφέρουν απλότητα — αλλά αν δεν σκοπεύετε να χρησιμοποιήσετε αυτές τις δυνατότητες, είναι καλύτερη πρακτική να τις απενεργοποιήσετε και να μειώσετε την έκθεσή σας στο διαδίκτυο. Για παράδειγμα, εάν χρησιμοποιείτε κάμερα IP της ίδιας μάρκας με το NVR σας, δεν χρειάζεται να υποστηρίζετε το πρωτόκολλο ONVIF και μπορείτε να το απενεργοποιήσετε. Η λογική εδώ είναι απλή: μην αφήνετε ανοιχτές πόρτες και θύρες που δεν χρειάζεται.

2. Ενεργοποιήστε τις λειτουργίες ασφαλούς επικοινωνίας

Το SSL/TLS είναι το πιο ευρέως χρησιμοποιούμενο πρωτόκολλο για κρυπτογραφημένη σύνδεση με τις περισσότερες υπηρεσίες δικτύου. Η ενεργοποίηση του ελέγχου ταυτότητας επιτρέπει στην υπηρεσία web host να «διαπραγματεύεται» τα διαπιστευτήρια με το πρόγραμμα περιήγησης ιστού ενός χρήστη. Χρησιμοποιείται για την επιβεβαίωση της ταυτότητας ενός χρήστη πριν απαντήσει. Σε αντίθεση με τον βασικό έλεγχο ταυτότητας, ο έλεγχος ταυτότητας σύνοψης(digest authentication) δεν απαιτεί τη μετάδοση του κωδικού πρόσβασης ως ανοιχτό κείμενο και έτσι ελαχιστοποιεί την έκθεση των διαπιστευτηρίων του χρήστη.

Ωστόσο, ο έλεγχος ταυτότητας Digest προστατεύει μόνο τα διαπιστευτήρια ελέγχου ταυτότητας. Το SSL/TLS πηγαίνει ένα βήμα παραπέρα και κρυπτογραφεί τα πάντα στη σελίδα. Το SSL/TLS θα είναι κάπως λιγότερο αποτελεσματικό ως αποτέλεσμα, αλλά έχει το πλεονέκτημα ότι μπορεί να επιτρέψει στα μέρη να επαληθεύουν την ταυτότητα του άλλου, εάν χρησιμοποιούν αξιόπιστα πιστοποιητικά. Σκεφτείτε αυτό ως αμφίδρομη επαλήθευση, ώστε και τα δύο μέρη να γνωρίζουν ότι και τα δύο είναι αυτό που λένε ότι είναι.
Τα περισσότερα NVR της Dahua υποστηρίζουν τη χρήση πιστοποιητικών CA ή Certificate Authority, τα οποία επαληθεύουν στον χρήστη-πελάτη ότι όντως είστε συνδεδεμένοι με τον κεντρικό υπολογιστή στον οποίο θέλετε να συνδεθείτε.

3. Προηγμένες επιλογές τείχους προστασίας

Συνήθης τρόπος με τον οποίο ένας επιτιθέμενός μπορεί να εισβάλει και να καταστρέψει ένα ιστότοπο (ή οποιαδήποτε συσκευή με web host) είναι να ξεκινήσει μια επίθεση DDOS. Μια επίθεση άρνησης υπηρεσίας (Denial of Service) μπορεί να “πλημμυρίσει” τη συσκευή υποδοχής με μηνύματα SYN ή πακέτα ICMP, τα οποία θα μπορούσαν να την καταστήσουν μη ανταποκρινόμενη σε νόμιμες συνδέσεις. Η επίθεση DDOS βασίζεται συνήθως σε ένα δίκτυο υπολογιστών που έχουν παραβιαστεί (botnet) και που ελέγχεται εξ αποστάσεως από έναν χάκερ.

Ορισμένα NVR διαθέτουν προστασία από επιθέσεις SYN ή ICMP Flood. Η ενεργοποίηση αυτής της προστασίας θα χρησιμοποιήσει ειδικό φιλτράρισμα για την αντιμετώπιση αυτής της τεχνικής επίθεσης.

4. Κρυπτογράφηση ροής

Η κρυπτογράφηση A/V επιτρέπει στο NVR να δέχεται κρυπτογραφημένες ροές ήχου και βίντεο από μια συμβατή κάμερα IP. Εναλλακτικά, μπορείτε να ενεργοποιήσετε το RTSP μέσω TLS εάν είναι διαθέσιμο. Η ροή σε πραγματικό χρόνο είναι ένα πρωτόκολλο που χρησιμοποιείται για την παράδοση ροών A/V στις περισσότερες συσκευές. Η ενεργοποίηση του RTSP μέσω TLS επιτρέπει την κρυπτογράφηση της ροής πριν από τη μετάδοση. Και οι δύο αυτές μέθοδοι βοηθούν στην αποτροπή της υποκλοπής στη ροή βίντεο, εάν έχουν παρακαμφθεί με κάποιο τρόπο άλλες μέθοδοι άρνησης μη εξουσιοδοτημένης πρόσβασης.

Συμπερασματικά, υπάρχουν πολλές προηγμένες μέθοδοι ασφαλείας που κάποτε ήταν αποκλειστικά για προηγμένες συσκευές τείχους προστασίας. Επενδύοντας λίγο επιπλέον χρόνο κατά τη διάρκεια της εγκατάστασης και κάνοντας τις επιλογές που ταιριάζουν καλύτερα στη συγκεκριμένη περίπτωσή σας, μπορείτε να προστατεύσετε καλύτερα από μη εξουσιοδοτημένη πρόσβαση, διασφαλίζοντας παράλληλα αξιόπιστη διαθεσιμότητα για τις χρήσεις που σκοπεύετε να υποστηρίξετε.

Η καλύτερη ασφάλεια είναι μια πολυεπίπεδη, προσαρμοστική άμυνα, η οποία είναι ταυτόχρονα σχεδόν αόρατη στους νόμιμους χρήστες. Η Dahua σάς βοηθά να προσαρμόσετε τις συσκευές και το λογισμικό σας για αυτόν τον σκοπό.