Vodič za bezbednost video nadzor mrežne infrastrukture

video-nadzor-vodic-za-bezbednost-video-nadzor-mrezne-infrastrukture

Sadržaj članka

Bezbedno održavanje segmenta video nadzor mrežne infrastrukture često predstavlja izazov i glavobolju za IT sektor banaka, državnih institucija, ili industrijskih kompanija. Ovom prilikom dajemo prikaz nekoliko metoda koje u mnogome mogu pomoći kako bi se značajno smanjio rizik, posebno kada se koriste komplementarno

Vodič za bezbednost video nadzor mrežne infrastrukture daje prikaz nekoliko praktičnih bezbednosnih tehničkih i logičkih tehnika, koje se koriste da osiguraju bezbednost mreže, a podrazumevaju:

  • Unapređenje bezbednosti mrežne infrastrukture
  • Lozinke
  • LDAP/Active Directory integracija
  • Firewall / Udaljeni pristup putem Interneta
  • VLAN
  • Deaktivacija neaktivnih portova na svičevima
  • Deaktivacija neaktivnih mrežnih portova
  • Deaktivacija servisa i usluga koje se ne koriste
  • 802.1x autentifikacija
  • MAC adresno filtriranje
  • Tehnička kontrola pristupa
  • Upravljanje bezbednošću mreže za video nadzor sisteme

Jačanje bezbednosti mrežne infrastrukture

U IT industriji, generalno posmatrano postoje preporuke za jačanje bezbednosti mrežne infrastrukture koje su uobičajene, poput kontrole tehničkih sistema, višestrukih korisničkih nivoa pri logovanju na sistem, jaki sistemi lozinki za pristup, isključivanje određenih portova, i dr.

Međutim, za veće i kompleksnije sisteme postoje i specifični principi i preporuke, poput kompleksnih autentifikacionih sistema poput 802.1x, LDAP integracije, SNMP monitoringa,… koje ćemo u ovom vodiču za bezbednost video nadzor mrežne infrastrukture prikazati.

Jake lozinke

Kompleksan i snažan sistem lozinki spada u najbitnije bezbednosne mere zaštite, ali na žalost ignorišu ga mnogi korisnici. Mnogi video nadzor sistemi su pušteni u rad sa defaultnim lozinkama na svim elementima sistema, bilo da se radi o kamerama, snimačima, svičevima, ruterima,…

Na ovaj način olakšava se kasniji pristup tehničarima radi servisa, nadogradnje, ili radi redovnog održavanja, ali takođe je sistem veoma ranjiv i nezaštićen od pokušaja neautorizovanih pristupa i hakovanja.

Najmanje što možete da uradite jeste da promenite admin default lozinke na svim mrežnim uređajima uključujući kamere, svičeve, rutere, snimače, klijent radne stanice,… kako bi na taj način učinili video nadzor mrežnu infrastrukturu bezbednijom.

Predstojeći ONVIF profil (Q) definisaće kao obaveznu promenu defaultnih lozinki, što će dodatno podstaći IT profesionalce koji se bave video nadzorom da obrate dodatnu pažnju na ovaj bitan segment zaštite.

LDAP autentikacija

Koristeći LDAP (Lightweight Directory Access Protocol) /Active Directory integraciju, VMS autorizacije su dodeljene mrežnim korisnicima, a njima upravlja centralni server.

Obzirom da ovi korisnički nalozi često implementuju jačinu lozinke i pravila koja se tiču isteka lozinke, ova integracija može značajno poboljšati bezbednost nad lokalnim VMS korisničkim nalozima. Takođe ovom integracijom redukovan je ljudski, administratorski posao, koji je bar u ovom delu sistemski automatizovan.

LDAP se obično koristi u velikim poslovnim sistemima, obzirom takođe i na činjenicu da veliki broj malih video nadzor instalacija ni nema LDAP server implementiran.

Firewall i udaljeni pristup

Kako bi sprečili neautorizovan pristup putem Interneta, mnogi video nadzor sistemi uopšte nisu ni konektovani na Internet, već funkcionišu na totalno izdvojenom LAN okruženju. Ovo umanjuje rizik, ali može dodatno otežati redovno servisiranje kao što su ažuriranja softvera i firmvera na primer.

Video nadzor sistemi koji jesu konektovani na Internet, obično se nalaze iza zaštitnog firewall-a, koji ograničava dolazni i odlazni saobraćaj samo specifičnim IP adresama koje za to imaju autorizaciju. Sav ostali saobraćaj se odbija po automatizmu. Implementiran kako treba, ovaj način zaštite video nadzor mrežne infrastrukture može sprečiti veliki broj napada na sistem.

Za mrežne uređaje kojima je potrebno obezbediti mogućnost udaljenog pristupa bilo radi održavanja, bilo radi udaljenog pregleda, VMS platforme mogu definisati jedan, ili više portova koji moraju biti otvoreni.

Međutim, otvoreni port predstavlja mogućnost za napadače, pa bi tako korisnici svakako trebali proveriti u dokumentaciji proizvođača koji portovi i na koji način moraju biti otvoreni radi dobijanja funkcionalnosti udaljenog pristupa putem Interneta.

VLAN

Virtuelna LAN pojačava bezbednost mreže tako što segmentira saobraćaj u višestruke virtualne mreže. Na ovaj način, različiti servisi poput recimo IP video nadzor strima i npr. opšteg kancelarijskog LAN saobraćaja mogu koegzistirati na istom fizičkom sviču, ali su ove dve mreže nevidljive jedna za drugu i kao takve nepristupačne jedna drugoj.

VLAN su često organizovane u kombinaciji sa QoS, koji recimo može prioritizovati mežni saobraćaj, dajući npr. prednost video paketima ispred data trasfera podataka, pa na taj način video kontinuitet i kvalitet video zapisa nije kompromitovan.

Deaktivacija portova na svičevima

Još jedna jednostavna ali tipično previđena metoda prevencije neautorizovanih uređaja da pristupe sviču u vašoj mreži jeste da deaktivirate sve portove koji nisu u upotrebi. Opcija da se deaktivira konkretan port ili više portova je uobičajena funkcionalnost kod upravljivih svičeva.

Deaktivacija neaktivnih mrežnih portova

Mnoge kamere se isporučuju sa uključenim, a nepotrebnim portovima (Telnet, SSH, FTP,…) Ovi portovi predstavljaju omiljenu metu hakera. Ovi portovi bi trebali biti isključeni kako bi se sprečili potencijali napadi.

Deaktivacija servisa i usluga koji se ne koriste

Nepotrebni servisi na korisničkim radnim stanicama i serverima bi trebali biti isključeni. Ovo ponekad podrazumeva i specifične servise ažuriranja od strane proizvođača, razna Microsoft ažuriranja, web servise i slično.

Ovi nepotrebni servisi zapravo predstavljaju zadnja ulazna vrata za hakere i viruse, dodatno opterećuju procesor i memoriju i znatno uvećavaju vreme odziva. Ovi servisi i usluge trebaju biti isključeni, ili podešeni da rade tek po manuelnom startovanju od strane administratora.

802.1x autentifikacija

802.1x autentifikacija traži od uređaja koji se pokušavaju konektovati na mrežu, da imaju adekvatne kredencijale kako bi im konektovanje bilo omogućeno. Na ovaj način blokiraju se uređaji koji pokušavaju da hakuju mrežu. 802.1x autentifikacija pruža visok nivo bezbednosti, međutim podešavanje mreže da podržava ovaj zaštitni metod može biti naporno i komplikovano.

Ne samo da konektovani uređaji poput kamera, NVR snimača i radnih stanica moraju podržavati 802.1x integraciju, već i svi svičevi to moraju takođe. Svaki od ovih uređaja mora biti individualno konfigurisan, za 802.1x, što iziskuje dodatno vreme za instalaciju i optimizaciju.

MAC adresno filtriranje

MAC adresno filtriranje omogućuje određenim uređajima da se konektuju na svič. Svi ostali uređaji koji se takođe konektuju na taj isti svič – biće ignorisani. MAC adresno filtriranje je moguće jedino korišćenjem upravljivih svičeva. U video nadzor mrežnom okruženju MAC filtriranje jednostavno je za instalaciju i administriranje.

Kada su sve kamere, serveri, radne stanice i klijent uređaji konektovani, MAC adresno filtriranje se omogući i sve MAC adrese konektovanih uređaja se dodaju na kredencijalnu listu.

Tehnička kontrola pristupa

Naravno, najbolja praksa za bezbednost video nadzor mrežnog okruženja jeste kontrolisan pristup najranjivijem delu video nadzor mrežne infrastrukture dakle organizovati fizički kontrolisan pristup server sobi, ili rek ormanima gde su serveri i svičevi instalirani.

Tehničkim sistemom kontrole pristupa u značajnoj meri se ograničava i kontroliše pristup ovim područjima, čime se zaobilaze mnogi nepoželji rizici po bezbedno i neometano poslovanje ovog dela mrežne infrastrukture.

Upravljanje bezbednošću mreže za video nadzor sisteme

Dok sve gore navedene metode utiču pozitivno na jačanje bezbednosti, najefikasnije su kada se primenjuju komplementarno i u okviru pisanih bezbednosnih procedura, u okviru primenjenog integrisanog sistema bezbednosti.

Vodič za bezbednost video nadzor mrežne infrastrukture treba da služi IT profesionalcima kao polazna osnova za kreiranje sopstvenih bezbednosnih procedura, primenjivih u domenu poslovnih procesa specifičnih za njihovo poslovno okruženje.

Kako funkcionišu IP kamere za video nadzor?

IP kamere za video nadzor, odnosno kamere koje komuniciraju putem Internet protokola omogućuju prikazivanje snimaka, koji su dostavljeni putem Internet konektivnosti, LAN, ili Wifi mreže. Konektivnost i povezivanje kamera može biti žično ili bežično (Wifi kamere).

Celokupan sistem IP video nadzora sastoji se: od makar jedne IP kamere, opciono MicroSD memorijske kartice, od PoE mrežnog sviča za video nadzor koji će pružiti napajanje IP kamerama, i od signalno-naponske kablovske infrastrukture. Dodatno, veći IP video nadzor sistemi podrazumevaju nabavku video nadzor snimača, klijentskih radnih stanica i monitora, dok kod manjih sistema besplatna aplikacija za udaljeni pristup video nadzor sistemu putem Interneta efikasno obavlja posao.

Jedna od glavnih prednosti IP video kamera za nadzor jeste pojednostavljena i efikasna konektivnost, radi pretrage snimljenog zapisa, alarmnih događaja, ili gledanja snimaka uživo, što je čini idealnom za monitoring bitnih događaja sa udaljene lokacije, putem Interneta.

Druga korisna funkcionanost kamere IP jeste lokalno arhiviranje snimaka na samoj kameri putem MicroSD kartice, što pojednostavljuje arhitekturu sistema i omogućuje naknadno pregledanje video nadzor zapisa. Postoje i LTE 4G i 5G kamere za video nadzor koje uz microSD karticu i uz SIM karticu omogućuju notifikacije korisniku u slučaju alarmnih situacija.