Sieciowe urządzenia CCTV – czy to dobry pomysł?
Urządzenia monitoringu można śmiało zakwalifikować do szerszej gałęzi produktów - Internetu Rzeczy (ang. Internet of Things – IoT). Urządzenia elektroniczne używane w codziennym życiu takie jak telewizor, lodówka, czy pralka mogą przetwarzać i przesyłać dane za pośrednictwem np. sieci komputerowej. Praktycznie każde urządzenie rejestrujące i każda kamera IP posiada złącze pozwalające na przyłączenie do sieci. Dzięki temu mamy zapewniony:
- zdalny podgląd i odtwarzane nagrań,
- zdalną konfigurację,
- zapis na zdalnym serwerze lub w chmurze.
Funkcje zdalnego dostępu stanowią odejście od tradycyjnej wizji tworzenia izolowanych, bezpiecznych systemów telewizji przemysłowej (skrót CCTV Closed-Circuit TeleVision w dosłownym tłumaczeniu oznacza "telewizję o obwodzie zamkniętym"). Podgląd z kamer i przeglądanie materiałów archiwalnych możliwe jest tylko w centrum systemu monitoringu.
Dziś odchodzi się od idei całkowitej separacji systemów - podłączenie urządzeń monitoringu wizyjnego do sieci Internet jest normalną praktyką. Trzeba jednak wiedzieć, że każdy system do którego jest dostęp z Internetu jest narażony na ryzyko cyberataku. Dotyczy to zarówno obiektów o znaczeniu strategicznym jak i zwykłego sklepu. Czy zatem przyłączać takie urządzenie do Intenetu? Oczywiście tak, ale trzeba posiadać wiedzę umożliwiającą zabezpieczenie się! Przestrzegając odpowiednich procedur bezpieczeństwa szansa na przeprowadzenie skutecznego ataku jest bardzo mała. Procedury te są podobne dla każdego IoT. Mimo tego, że umiejętność tworzenia bezpiecznych instalacji wymagana jest przed wszystkim od wykonawców to również użytkownicy takich systemów muszą przestrzegać odpowiednich reguł, a najlepiej - posiadać rozeznanie w zagadnieniach cyberbezpieczeństwa.
Na czym polega niebezpieczeństwo?
Hakerzy podejmują próbę ataków na urządzenia działające w Internecie. Wykorzystują luki umożliwiające uzyskanie podglądu lub nawet przejęcie kontroli nad sprzętem. Zainfekowane urządzenia mogą działać normalnie, przez co użytkownik nawet nie wie, że padł ofiarą włamania.
Jeśli atakujący przejmie kontrolę nad dużą ilością urządzeń, to może stworzyć tzw. "botnet". Jego zadaniem jest przeprowadzanie ataków na inne urządzenia działające w Internecie, powodując ich destabilizację, a nawet umożliwiając kolejne włamania. Takie zmasowane działania stanową poważne zagrożenie dla stabilności i integralności Internetu. Przykładem może być atak z 2016 roku, w którym wykorzystano urządzenia IoT, również wiele rejestratorów i kamer IP. Spowodował czasowe wyłączenie ważnych serwisów internetowych m.in.: Amazon, Twitter, Reddit.
Cyberprzestępca często wykorzystuje moc obliczeniową przejętych urządzeń i próbuje na tym zarobić np. wykorzystując je jako koparki krypto walut.
Jak się zabezpieczyć?
Dekalog Cyberbezpieczeństwa
1. Zmień domyślne hasła. Korzystaj z mocnych, bezpiecznych haseł.
Przy pierwszym uruchomieniu urządzenia ustaw własne hasło. Ważne, żeby łatwo nie poddawało się atakom słownikowym – powinno mieć minimum 8 znaków i być kombinacją liter (dużych i małych), cyfr oraz znaków specjalnych. Jeśli do systemu logują się inni użytkownicy, należy im stworzyć konta o ograniczonych uprawnieniach.
Ataki na urządzenia zabezpieczone fabrycznym hasłem są nagminne. W sieci powstały nawet specjalne serwisy, które zajmują się wyszukiwaniem takiego sprzętu. Przeglądając je ze zdumieniem można stwierdzić, że słabo zabezpieczone są nie tylko małe, domowe instalacje, ale również sklepy, restauracje, magazyny czy różnego rodzaju firmy.
Problem haseł fabrycznych dotyka nie tylko użytkowników systemów monitoringu, ale generalnie urządzeń IoT oraz innych urządzeń sieciowych jak np. routery. Dobrą praktyką producentów jest wymuszenie ustawienia nowych haseł przy pierwszym uruchomieniu oraz blokowanie urządzenia po wielokrotnym, błędnym logowaniu.
2. Cyklicznie aktualizuj oprogramowanie
Twórcy urządzeń udostępniają poprawione wersje oprogramowania. Zwykle poprawki obejmują usprawnienia w działaniu samego urządzenia , często dodawane są nowe funkcje oraz najważniejsze - łatki bezpieczeństwa. Dzisiejsze urządzenia coraz częściej mają funkcję automatycznego wyszukania i pobierania aktualizacji. Jeśli jej nie ma to należy odnaleźć je na serwerach producenta czy dystrybutora.
3. Zmień domyślne porty komunikacyjne i zadbaj o bezpieczną konfigurację urządzenia dostępowego
Urządzenia zwykle łączą się z Internetem za pomocą routera, który posiada firewall domyślnie blokujący komunikację przychodzącą. Ważna jest odpowiednia konfiguracja routera, która uwzględnia dostęp z Internetu. Zaleca się stworzenie odpowiednich reguł połączeń czyli tzw. przekierowanie portów. Więcej informacji na temat przekierowania portów znaleźć można w bibliotece Jak przekierować porty w routerze aby podglądać obraz z rejestratora?.
Odradzamy korzystanie z funkcji automatycznego przekierowania portów czyli DMZ, ponieważ jej działanie polega na udostępnieniu portów komunikacyjnych dla wszystkich dostępnych protokołów. Umożliwiając połączenie przez nieskonfigurowane oraz mniej bezpieczne protokoły narażamy się na większe ryzyko ataku.
4. Włącz filtrowanie adresów IP w urządzeniach monitoringu
Filtrowanie adresów IP oraz MAC pozwala ograniczyć dostęp do danego urządzenia. Połączyć może się z nim wówczas tylko sprzęt z określonym adresem IP lub adresem fizycznym karty MAC. W zależności od producenta funkcja może być dostępna w samym urządzeniu lub konieczne jest włączenie jej w routerze.
5. Wyłącz protokoły i usługi sieciowe, które są niewykorzystywane
Jeśli nie korzystasz z jakiejś funkcji sieciowej urządzenia, to należy ją wyłączyć. Nieskonfigurowana funkcja może stanowić lukę bezpieczeństwa i umożliwić włamanie do urządzenia. Zalecamy wyłączenie następujących funkcji: UPnP, SNMP, multicast, SSH, telnet.
6. Używaj połączenia szyfrowanego
Protokół HTTPS jest rozszerzeniem standardowego HTTP. Zapewnia większe bezpieczeństwo dzięki mechanizmowi SSL/TLS. Jeśli zdecydujemy się na użycie HTTPS, to łącząc się z urządzeniem przez przeglądarkę, przesyłane dane (np. login, hasło) będą zabezpieczone przed podsłuchem oraz atakami typu "man-in-the-middle".
Przykład konfiguracji HTTPS w urządzeniu Hikvision. Odpowiednie opcje dostępne są w menu zaawansowanych ustawień sieciowych. Można stworzyć certyfikat podpisany ręcznie lub przez akredytowany urząd certyfikacyjny.
Domyślnym portem komunikacyjnym dla HTTPS jest port 443. W przykładzie certyfikat z własnym podpisem może zostać wygenerowany w urządzeniu, można też zainstalować certyfikat podpisany przez organizacje certyfikacyjne (CA - urząd certyfikacji). Jeśli korzystamy z darmowego podpisu własnego, to przeglądarka będzie komunikować połączenie przez niezaufaną stronę. Certyfikat podpisany przez organizacje certyfikacyjne jest płatny.
7. Cyklicznie sprawdzaj logi urządzenia w poszukiwaniu prób zdalnego logowania
Logi systemowe umożliwiają uzyskanie wielu informacji na temat działania urządzeń. Sprzęt CCTV zapisuje informacje na temat logowania – zarówno lokalnego jak i zdalnego wraz z dokładną datą (i adresem IP w przypadku zdalnego urządzenia). Jeśli jakaś funkcja systemu została zmieniona, to również będzie miało odzwierciedlenie w logach. Należy pamiętać, że logi przechowywane są najczęściej w pamięci masowej urządzenia, czyli na dysku twardym rejestratora lub karcie pamięci kamery IP.
8. Konstruuj sieć tak, aby dostęp do niej miały tylko powołane urządzenia
Sieć, z której korzysta system monitoringu powinna być wydzielona. Dopuszczalna jest fizyczna lub logiczna separacja sieci. Fizyczna separacja polega na budowie dedykowanej sieci dla monitoringu, natomiast logiczna na wydzieleniu podsieci i odpowiedniej konfiguracji routingu.
Dobrą praktyką jest tworzenie wydzielonych logicznie sieci VLAN. W jej ramach tworzone są sieci wirtualne. Urządzenia pozostające w obrębie różnych sieci wirtualnych nie widzą się wzajemnie i nie mogą się ze sobą komunikować. Dzięki temu urządzenia CCTV są zabezpieczone przed celowym lub przypadkowym działaniem użytkowników tej samej sieci fizycznej - np. pracownicy firmy nie będą w stanie zakłócić działania systemu monitoringu po wpięciu do sieci przypadkowych urządzeń lub zainstalowaniu złośliwego oprogramowania. Aby dodać do sieci nowe urządzenie trzeba je najpierw dodać do sieci wirtualnej (np. poprzez konfigurację portu switcha). Znacznie poprawia to bezpieczeństwo oraz ogranicza ruch rozgłoszeniowy.
9. Korzystaj z chmury
Niektórzy producenci zapewniają usługę dostępu do urządzeń za pośrednictwem chmury. To chmura, czyli sieć serwerów producenta zapewnia szyfrowany dostęp do zarejestrowanego urządzenia. Połączenie możliwe jest tylko przez dedykowane aplikacje (na PC oraz smartfon).
Bezpieczeństwo połączenia zapewnia producent, dlatego warto wybierać wśród tych renomowanych oraz pytać o certyfikaty. Przykładowo dostęp do chmury Hik-Connect firmy Hikvision (największy producent sprzętu CCTV) posiada certyfikat ISO/IEC 27001:2013. Oznacza to że spełnia on wymagania określone w powszechnie znanej i uznawanej na całym świecie normie standaryzującej systemy zarządzania bezpieczeństwem informacji.
Schemat pokazujący zdalny dostęp do urządzeń monitoringu przy wykorzystaniu
połączenia za pośrednictwem chmury Hik-Connect
połączenia za pośrednictwem chmury Hik-Connect
10. Zabezpiecz urządzenia przed fizycznym dostępem
Jest to dodatkowy wymóg budowy bezpiecznego systemu monitoringu. Wszystkie urządzenia monitoringu, serwery, routery czy switche powinny być zabezpieczone przed osobami postronnymi. Wszystkie urządzenie powinny być umieszczone w zamykanej szafie RACK lub specjalnej obudowie w wydzielonym, bezpiecznym pomieszczeniu.
Szafa rack Signal z zamontowanym sprzętem