چگونه یک سیستم تحت شبکه ایمن تر بسازیم؟

4/17/2017 11:56:46 AM

ارتقا سیستم امنیتی تحت شبکه

امنیت سایبری بیشتر از فقط یه کلمه شعاری است :

هرآن چیزی که مربوط به دستگاه های متصل به اینترنت است. سیستم های تحت شبکه امنیتی مصون از خطرات سایبری نیست ، اما با در نظر گرفتن اقدامات پایه ای در جهت امنیت و تقویت شبکه ها و دستگاه های شبکه شده آنها را در برابر حملات مقاومتر کرد.


اقدامات اجباری که در برابر امنیت سایبری در نظر گرفته می شود :
 

1. تغییر رمز عبور و استفاده از رمز عبوری قدرتمند :
این روش را باید بدون گفتن انجام دهید ، اما دلیل شماره یک که باعث هک سیستم می شود ناشی از استفاده رمز عبوری پیش فرض یا ضعیف است . داهوا توصیه می کند هرگز از رمز عبور پیش فرض استفاده نشود و در اولین فرصت ممکن از رمز عبور قدرتمند استفاده شود .
یک رمز عبور قدرتمند حداقل 8 کاراکتر می باشد که این ترکیب رمز عبور از کاراکترهای خاص ، اعداد و حروف های بزرگ و کوچک تشکیل شده است.

2. به روز رسانی فریم ویر :
به عنوان روش استاندارد در تکنولوژی – صنعت ، ما پیشنهاد می کنیم فریم ویر NVR,DVR,IP Camera به روز نگهدارید تا مطمئن شوید که سیستم فعلی با آخرین پچ های امنیتی ارائه شده به روز شده است. اخرین فریم ویر منتشر شده مطابق با دستگاه های خود را بررسی کنید. اگر از تاریخ اماده شدن فریم ویر منتشر شده 18 ماه گذشته باشد، لطفا با توزیع کننده مجاز داهوا یا پشتیبانی فنی داهوا برای آخرین فریم ویر منتشر شده تماس بگیرید.


توصیه هایی برای بهبود امنیت شبکه خود :

1. تغییر کلمه عبور به طور منظم:

به طور منظم Credentials دستگاه های خود را تغییر دهید جهت اطمینان از کابردهای مجازی که قابلیت دسترسی به سیستم را دارند.


2. تغییر تنظیمات پیش فرض پورت های  :HTTP/TCP
تنظیمات پیش فرض پورت های دستگاه های داهوا را تغییر دهید. این دو پورتها جهت ارتباط و دیدن تصاویر از راه دور استفاده می شود.

این دو پورت می تواند مجموعه ای از اعداد بین 65535 - 1025 تغییر پیدا کند. دوری کردن از پورتهای پیش فرض خطر حدس زدن پورت های پیش فرض که در حال استفاده است را کاهش می دهد.

 

3. فعال کردن HTTPS/SSL:
این قابلیت جهت فعال کردن یک گواهینامه راه اندازی می شود. این گواهینامه تمامی ارتباطات بین دستگاه ها و دستگاه های ضبط شده را به صورت کد شده و پنهان برقرار می کند.

 

4. فعال کردن :IP Filter
با فعال کردن این قابلیت از دسترسی هر کسی به سیستم جلوگیری می شود، به غیر از آن دسته آدرس های که در سیستم مشخص شده است.

5. تغییر رمز عبور :Onvif
در فریم ویرهای قدیمی دوربین مداربسته تحت شبکه، رمز عبور در صورت تغییر Credentials سیستم ، تغییر نمی کرد. شما باید با به روز رسانی آخرین نسخه دوربین مداربسته یا تغییر دستی رمز عبور را انجام دهید.

 
6. فوروارد پورتهایی که نیاز دارید :
فقط پورتهایی که نیاز دارید را فوروارد کنید. دامنه عظیمی از اعداد را در دستگاه را فوروارد نکنید. از قابلیت DMZ دستگاه تحت شبکه استفاده نکنید.

نیازی نیست برای هر پورت دوربین مداربسته ای که به دستگاه ضبط وصل است به صورت جداگانه تنظیمات پورت فوروارد انجام شود، فقط تنظیم پورت فوروارد برای دستگاه لازم و کافی است.

 
7. غیر فعال کردن لاگین اتوماتیک به نرم افزار SmartPSS:
اگر شما از نرم افزار SmartPSS داهوا جهت دیدن تصاویر استفاده می کنید و این نرم افزار بر روی کامپیوتری نصب شده است که چندین کابر دارد ،مطمئن شوید لاگین اتوماتیک نرم افزار SmartPSS داهوا غیرفعال است. این یک لایه امنیتی جهت جلوگیری از ورود کاربران خارج از Credentials سیستم به دلیل امنیت بیشتر اضافه می کند.

 

8.استفاده از نام کاربری و رمز عبور متفاوت در نرم افزار:
در صورتیکه رسانه های اجتماعی خود، حساب بانکی، ایمیل و غیره در معرض خطر باشد، شما نمی خواهید کسی بتواند رمز عبور های آنها را جمع آوری کند و یا تلاش کند که آنها را از طریق تصاویر دوربین مداربسته بدست آورد ، باید از نام کاربری و رمز عبور متفاوت استفاده کنید تا دسترسی سیستم امنیتی شما سخت تر شود و راه ورورد به این سیستم غیر قابل حدس زدن باشد.


9. محدود کردن ویژگی های اکانت های مهمان:

اگر سیستم شما برای چندین کاربر تنظیم شده است، اطمینان پیدا کنید که هر کاربر متناسب با وظیفه خود دسترسی های لازم و درست را داشته باشد.
 

10. UPNP:
قابلیت UPNP پورتها را به صورت خودکار در مودم یا روتر فوروارد می کند. به طور معمول این تنظیم می تواند موثر باشد. با این حال، اگر سیستم شما به صورت خودکار پورتها را فوروارد کند و Credentials به صورت پیش فرض رها شود، ممکن است بازدید کننده های ناخواسته به پایان برسد.
اگر شما پورتهایی را به صورت دستی در مودم یا روتر فوروارد کنید این ویژگی خاموش می شود زمانیکهای قابلیت کاربردی در سیستم ندارد، توصیه می شود غیر فعال شود.

11. :SNMP
اگر از این قابلیت SNMP استفاده نمی کنید آن را غیرفعال کنید. شما باید این قابلیت را به طور موقت فعال کنید زمانیکه تنها فقط برای ردیابی و تست اهداف نیاز باشد.


12. :MultiCast
قابلیت MultiCast جهت اشتراک گذاری استریم های ویدئو بین دو دستگاه ضبط استفاده می شود. در حال حاضر هیچ مسئله ای درباره این قابلیت و مشکلات امنیتی آن شناخته نشده است، اما اگر شما از این قابلیت استفاده نمی کنید، آن را غیر فعال کنید تا بتوانید امنیت شبکه را بهینه کنید.


13. بررسی کردن لیست:Log
اگر شما به کسی مظنون شدید که دسترسی غیر مجاز به سیستم شما داشته و می تواند تصاویر دوربین مداربسته را ببیند، شما می توانید لیست Log سیستم را چک نمایید سیستم به شما نشان می دهد که چه آدرس و با چه دسترسی به سیستم لاگین شده است.

 

14. قراردادن دستگاه در یک محیط یا وسیله امن :
در حالت ایده آل، شما می خواهید هرگونه دسترسی فیزیکی غیر مجاز به سیستم شما جلوگیری شود. بهترین راه برای رسیدن به این مورد، قرار دادن دستگاه ضبط در یک محفظه قفل دار یا داخل رک قفل دار یا حتی قرار دادن دستگاه در یک اتاق دارای قفل است.

 

15. ارتباط دوربین مداربسته تحت شبکه به پشت NVR دارای پورت PoE:

دوربین مداربسته های متصل شده به پورت PoE قرار داده شده در پنل پشت دستگاه NVR به جهت اتصال مستقیم به NVR و فارغ از هرگونه وسیله جانبی جهت ارتباط این دو دستگاه، دسترسی مستقیم به دوربین مداربسته غیر ممکن شده است.

16. ایزوله کردن NVR و دوربین مداربسته تحت شبکه :

بهترین حالت شبکه NVR و دوربین مداربسته تحت شبکه جدا بودن ساختار شبکه سیستم حفاظتی و شبکه سیستم های کامپیوتری است به دلیل جدا بودن این دو شبکه از هم، دسترسی از طریق کامپیوتر به شبکه سیستم حفاظتی بسیار محدود تر می شود.

دوربین مداربسته دوربین مدار بسته دوربین مداربسته تحت شبکه دوربین مداربسته داهوا دوربین مداربسته dahua