توصیه هایی ساده برای افزایش امنیت شبکه دوربینهای مداربسته IP

حفظ ایمنی شبکه دوربینهای مداربسته تحت شبکه (IP) همیشه کاری دلهره آور است. اما معمولا روشهای مختلفی وجود دارد که می تواند میزان ریسک را بخوبی کاهش دهد. بخصوص اگر از این روشها بصورت ترکیبی نیز استفاده شود میزان ریسک را بشدت کاهش خواهید داد.

عناوین ارائه شده در این مقاله:

  • توصیه های ایمنی شبکه
  • رمز عبور
  • یکپارچگیLDAP/Active Directory
  • VLAN ها
  • احراز هویت 802.1X
  • غیرفعال سازی پورتهای سوئیچ
  • غیر فعال سازی پورتهای شبکه
  • غیر فعال سازی سرویسهای بی استفاده
  • فیلترینگ آدرس MAC (MAC Address Filtering)
  • بستن درگاههای فیزیکی
  • کنترل دسترسی فیزیکی
  • مسائل پیش رو مثلا در محصولات Hikvision، Foscam و ..
  • مدیریت امنیت شبکه در سیستمهای نظارت تصویری

توصیه های ایمنی شبکه:

در صنعت IT بطور کلی توصیه های ایمنی شبکه بشکلی رایج در قالب دستورالعملهای پیشنهادی برای ایمن سازی بیشتر شبکه ها در دسترس هستند. مثلا نمونه آنرا می توانید در سایت شرکت سیسکو با عنوان Cisco Hardening guide مشاهده نمایید. خیلی از این توصیه ها به همان خوبی که در شبکه ها قابل استفاده هستند در سیستمهای نظارت تصویری نیز کاربرد دارند. این توصیه ها شامل کنترل فیزیکی، ثبت آدرس های ورود، ایمن سازی پسوردها، غیر فعال سازی پورتها و … .

البته شاید بیشتر توصیه ها فراتر از آنچه باشد که بسیاری از تولیدکنندگان تجهیزات ویدئویی تحت وب با آن سازگارند یا بیشتر از نیاز سناریوهای ساده پیاده سازی شبکه دوربین مداربسته به نظر بیاید. پیاده سازی روشهای پیچیده احراز هویت (Authentication) همچون 802.1x، یکپارچگی LDAP، نظارت SNMP و … اگرچه ریسک را بسیار محدود می کنند اما در خیلی از سیستمها از نظر زمان و هزینه بصرفه نیستند.

توصیه های ایمنی ویژه سیستم نظارت تصویری

برخلاف فضای IT، در سیستمهای نظارت تصویری کمتر توصیه هایی در این باره بصورت اختصاصی وجود دارد. یکی از همین نوادر، توصیه های شرکت Axis در سال 2015 بود که پرکاربردترین توصیه ها را برای ایمن سازی دوربینهای برند خودش منتشر کرد(Axis Cybersecurity Hardening Guide Examined).

در توصیه هایی ازین دست سطوح مختلفی مشخص شده اند که بسته به نیازهای امنیتی و وسعت شبکه از این موارد سخن گفته می شود : پسوردهای قوی، بروزرسانی نرم افزار فرم ور، غیر فعال سازی دسترسی های ناشناس و در پروژه های پیچیده تر در مورد احراز هویت 802.1x، نظارت SNMP و سرورهای گزارشگیری سیستم(Syslog) توصیه هایی شده است.

این شرکتها اگر چه این توصیه ها را براساس محصولات خودشان داشته اند اما معمولا برای تجهیزات دیگر شرکتهای تولید کننده سیستم نظارت تصویری نیز کاربرد دارد.

رمزعبور قوی

رمز عبورهای قوی مهمترین معیارهای اساسی امنیت به حساب می آیند اما متاسفانه بوسیله بسیاری از کاربران اصلا رعایت نمی شوند. سیستمهای نظارتی بسیاری با پسوردهای پیشفرض به بازار عرضه می شوند که دوربینهای مداربسته، سوئیچها، رکوردرها و تجهیزاتی ازین دست در این زمره قرار دارند. با یک تغییر ساده پسورد پیشفرض می توان بسیاری از مشکلات را حل کرد. درواقع راههای ساده خرابکاری را کاهش و احتمال نفوذ به شبکه توسط طیف وسیعی از خرابکاران آماتور را محدود کرده اید. بعضی از شرکتها به محض اتصال دوربین مداربسته به شبکه و در اولین استفاده از شما می خواهند تا پسورد را عوض کنید تا بتوانید با امنیت بیشتری به کار ادامه دهید. بعلاوه در پروفایلهای ONVIF نیز باید پسورد پیش فرض را تغییر دهید.

یکپارچگی Active Directory/ LDAP

با استفاده از یکپارچگی Active Directory/LDAP اجازه دسترسیهای VMS از طریق سرور مرکزی به کاربران شبکه تعلق می گیرد. از آنجاییکه این کاربران بدلیل وجود شبکه از پسوردهای قوی و قوانین انقضای پسورد در شبکه تبعیت می کنند،این یکپارچگی سطح امنیت اکانتهای محلی VMS را بهبود می بخشد. از آنجاییکه این کار نیاز به ساخت و بهینه سازی مجدد اکانت کاربران را برطرف می کند، باعث کاهش مخارج مدیریت شبکه نیز می شود.

بطور معمول استفاده از LDAP می تواند محدودیت بیشتری برای سیستمهای بزرگتر و وسیع تر بوجود آورد و دیگر مانند پروژه های کوچک نیست که بدون داشتن سرور اختصاصی LDAP قابل اجرا باشد. بعضی از سیستمهای کوچک یا متوسط که در نهادهای بزرگ بخصوص در محیطهای آموزشی و شرکتها نصب می شوند ممکن است از این تشکیلات بیشتر برای کنترل دسترسی به شبکه استفاده کنند.

Active Directory/LDAP بصورت تئوریک ممکن است برای دوربینهای مداربسته تحت شبکه قابل استفاده بنظر بیاید اما در عمل اینطور نخواهد بود. Active Directory  تکنیکی است که توسط شرکت مایکروسافت ارائه شده است و تقریبا توسط بسیاری از دوربینهای مداربسته تحت شبکه پشتیبانی نمی شود، زیرا بسیاری از دوربینهای مداربسته با سیستم عامل لینوکس(Linux Embed) کار می کنند.

دسترسی ریموت/ فایروالها

برای پیشگیری از دسترسی راه دور غیر مجاز بسیاری از سیستمهای نظارت تصویری را اصلا به اینترنت وصل نمی کنند و بر روی شبکه ای کاملا مجزا قرار می دهند. اینکار ریسک را کاهش می دهد اما مشکلات سرویس دهی و رسیدگی خودشان را دارند. زیرا اکثرا بروزرسانی ها پس از دانلود باید با کارت حافظه USB یا دستگاههایی از این دست مجدد جابجا و بر روی دوربین اعمال شود.

سیستمهایی که به شبکه متصلند و پشت فایروال قرار دارند ترافیک ورودی و خروجی محدودی دارند که تنها بوسیله آدرس IP و پورتشان در حین احراز هویت محدودیت اعمال می شود. بقیه ترافیکها نیز حذف می شوند. اگر چنین کاری بدرستی صورت گرفته باشد می تواند بخش اعظمی از حملات را بی اثر نماید.

خطرات دسترسی ریموت

برای دستگاههایی که نیاز به دسترسی ریموت خواهند داشت، مثل دوربینهای مداربسته و VMS ها ممکن است نیاز به بازگذاشتن یک یا چند پورت وجود داشته باشد. میدانیم که بازبودن هر پورتی یک موقعیت برای مهاجمین بحساب می آید. اینکه دقیقا چقدر و چطور ریسکی وجود خواهد داشت می تواند از دستگاهی به دستگاه دیگر فرق داشته باشد. کاربران باید به مطالب شرکت تولیدکننده محصول در این باره مراجعه کنند تا بدانند چه پورتی برای دسترسی ریموت باید باز باشد.

بسیاری از شرکتها دسترسی ریموت بر روی تلفن منزل را نیز ممکن کرده اند که بتوانید یک تونل امن بر روی اتصال خروجی بدون نیاز به داشتن پورت باز داشته باشید. برای مثال Hikvision EZVIZ و Genetec Cloud را می توانیم نام ببریم. بعلاوه بسیاری از سرویسهای دسترسی ریموت دسکتاپ از تکنولوژی با همین سبک استفاده می کنند نمونه هایش را در LogMeln، Team Viewer، Splash Topو.. . مشاهده می نمایید.

 

کدک H.265 دوربین مداربسته

متخصصان سیستم های نظارت تصویری از سال 2013 درباره قابلیتها و ویژگیهای کدک H.265 صحبتهای بسیاری کردند. حالا در سال 2017 کدک H.265 درحال تبدیل شدن به جریان اصلی مورد استفاده و سازگار با سیستم های نظارت تصویری خواهد شد و بسیاری از شرکتها درحال ساخت دوربین مداربسته و VMS هایی با سازگاری کامل کدک H.265خواهند بود.

  • فاوتهای بین کدکهای H.264 و H.265
  • پتانسیل بهبودهای کیفی تصویر
  • موانع همه گیری کدک H.265
  • مروری بر پشتیبانی VMS ها
  • تا سال 2018 خبری از سازگاری ONVIF نیست
  • تفاوت کدک H.265 با کدک هوشمند H.264
  • نتایج بررسی کدک H.265
  • توصیه هایی برای استفاده از کدک دوربین مداربسته

در مجموع مهمترین موضوع درباره استفاده از کدک H.265 یا HEVC کاهش نیاز به پهنای باند بالا و کاهش میزان bit rate خواهد بود که ادعا می شود نسبت به دیگر کدکها به نصف کاهش می یابد. برای مثال اگر یک دوربین مداربسته1080P با سرعت ضبط 30 فریم در ثانیه نیاز به پهنای باند 4 مگابیت در ثانیه داشته باشد، دوربین مداربسته با کدکH.265 تنها به 2 مگابیت بر ثانیه پهنای باند نیاز دارد. اما حالا پس از گذشت زمان مشخص شد که اینقدر هم کارایی بالا نداشته است.

برای مطالعه عمیق مطالب رفرنس می توانید نگاهی به منابعی مثل مشخصات تکنیکی IEEE HEVC/H.265 بیندازید. برای جزئیات کلی هم می توانید به مطالعه بیش از 200 برگ درباره استاندارد HEVC بپردازید.

آمار استفاده دوربین های مداربسته پانورامیک سال 2017

ستفاده از دوربین های مداربسته پانورامیک از قبیل دوربین مداربسته چشم ماهی (Fisheye) و دوربین مداربسته چند سنسوره روز به روز در حال افزایش است. این افزایش درخواست با توجه به آمارهایی که در نظر سنجی از فروشندگان دوربین های مداربسته بدست آمده است نشان می دهد رقابت دوربین های مداربسته ارزان قیمت باعث شده این افزایش علاقمندی و استفاده کاربران از دوربین های مداربسته پانورامیک کمی کندتر پیش برود.

در این مقاله دوربین مداربسته نگاهی به نظرات بیش از 140 فروشنده دوربین مداربسته و فعال در بازار سیستم های نظارت تصویری می اندازیم و تفاوت آمارها با سال 2014 را با جزئیات خوبی تحلیل می کنیم. با سی سی تی وی آنلاین همراه شوید.چ

گاه کلی به علایق خریداران دوربین مداربسته پانورامیک

در سه سال گذشته سهم خرید دوربین مداربسته پانورامیک به دو برابر افزایش یافته است. سال 2014 تنها 4 درصد کاربران اقدام به خرید دوربین مداربسته می کردند اما در سال 2017 بیش از 8 درصد کاربران به خرید دوربین مداربسته علاقمند شده اند.

تفکیک آمار فروشندگان دوربین مداربسته

در سال 2014 تقریبا 75 درصد فروشندگان دوربین مداربسته اصلا علاقه ای به استفاده از دوربین های مداربسته پانورامیک نداشتند اما امسال (2017) تعداد این فروشندگان دوربین مدار بسته به میزان 33 درصد کاهش یافته است که چشم گیر است.

یعنی جنبه مثبت ماجرا به افزایش علائق کاربران و فروشندگان سیستم های نظارت تصویری باز می گردد اما از طرف دیگر یا بخش فروش دوربین های مدار بسته تک سنسوره، از هر سه فروشنده دوربین مداربسته دیگر یک نفر به خرید و فروش دوربین های مدار بسته تک سنسوره عادی علاقه ای ندارد.