ایمن کردن سیستم امنیتی شبکه

چگونه سیستم امنیتی شبکه خود را ایمن کنید

سیستم‌های امنیتی ویدیویی مدرن از همیشه امن‌تر هستند. روزهایی که به دستگاه های ضبط تحت شبکه و دوربین های مداربسته اجازه داده می‌شد که از اعتبارنامه‌های پیش‌فرض (مانند رمز عبور 12345) استفاده کنند، گذشته است، که مهاجمان از آن برای تجهیز ده‌ها هزار (یا بیشتر) دستگاه در یک بات‌نت استفاده می‌کردند. مهم است به یاد داشته باشید که امنیت گاهی اوقات می‌تواند ساده باشد. فقط الزام به تغییر اعتبارنامه‌های ورود به سیستم در اولین استفاده، منجر به کاهش شدید سیستم‌های امنیتی آسیب‌پذیر شد. اما سادگی همیشه به معنای آسان نیست. مهاجمان خود را وفق می‌دهند و مدافعان باید تمام تلاش خود را برای پیشی گرفتن انجام دهند. بهترین سیستم‌ها به گونه‌ای طراحی شده‌اند که کار را برای مدافعان آسان‌تر از مهاجمان کنند و با برخی تصمیمات پیکربندی اضافی (و ساده) می‌توان کارهای زیادی انجام داد.

در یک سیستم امنیتی کوچک معمولی، ممکن است دوازده یا بیشتر دوربین تحت شبکه متصل به دستگاه ضبط تحت شبکه یا NVR داشته باشید. بهترین پیکربندی‌ها معمولاً دوربین های مداربسته تحت شبکه را در یک زیرشبکه شبکه قرار می‌دهند؛ این به شما امکان می‌دهد دسترسی از طریق اینترنت را غیرفعال کنید و از تداخل جریان‌های دوربین های مداربسته تحت شبکه با پهنای باند زیاد با سایر ترافیک جلوگیری کنید. با این حال، برای دسترسی به دستگاه ضبط تحت شبکه از خارج از شبکه خود، باید آن را در معرض اینترنت قرار دهید. انجام این کار به طور بالقوه دارایی‌های شما را در معرض خطر قرار می‌دهد، زیرا هکرها می‌توانند راحت‌تر از اینترنت باز برای نفوذ به سیستم شما استفاده کنند.

آناتومی یک هک

هر دستگاه IP که از راه دور از طریق اینترنت قابل دسترسی باشد، به طور بالقوه در معرض خطر است. بسیاری از اوقات، دستگاه از شبکه‌ای با آدرس IP و پورت ثابت در دسترس است. در این صورت، با استفاده از اسکن پورت (اسکن پورت یک تکنیک استاندارد است که برای تعیین پورت‌هایی که سیستم هدف ممکن است به آنها گوش دهد استفاده می‌شود) از هر کجای دنیا به راحتی قابل تشخیص است. این می‌تواند به مهاجمان نیز کمک کند تا تعیین کنند چه سرویس‌هایی ممکن است روی سیستم در حال اجرا باشند، زیرا پورت‌های خاص معمولاً با سرویس‌های خاصی مرتبط هستند. به عنوان مثال، اگر دستگاه یک NVR باشد، احتمالاً پورت 80 آن باز است، بنابراین کاربر قانونی می‌تواند به رابط وب NVR دسترسی پیدا کند. اما برای هکر، پورت 80 باز سرنخ بزرگی است که دستگاه دارای یک سرور وب در حال اجرا روی آن است. اسکن پورت اساساً راهی برای اثر انگشت سیستم عامل از راه دور است تا بفهمد چه سرویس‌ها و نسخه‌های نرم‌افزاری روی هدف در حال اجرا هستند. این یک مشکل است زیرا اگر سوءاستفاده‌های شناخته شده‌ای از آن نسخه از سیستم عامل یا سرویس‌های خاص وجود داشته باشد، اگر دستگاه شما به‌روزرسانی نشده یا محافظت نشده باشد، خبر خوبی برای مهاجم است.

با این حال، چندین روش عملی برای به حداقل رساندن این خطر وجود دارد. اکثر دستگاه های ضبط تحت شبکه دارای یک برنامه تلفن همراه هستند که می‌توانند از طریق Peer-to-Peer (P2P) متصل شوند. این تنظیمات از یک سرور واسطه برای پرس و جو از دستگاه ضبط تحت شبکه و درخواست باز کردن پورت استفاده می‌کند. به محض وقوع این اتفاق، برنامه تلفن همراه به دستگاه ضبط تحت شبکه متصل می‌شود. وقتی اتصال بسته می‌شود، پورت نیز بسته می‌شود. مزیت بزرگ این رویکرد این است که پورت فقط برای مدت زمان جلسه باز است. در هر زمان دیگری، اسکن پورت چیز زیادی را برای یک مهاجم بالقوه آشکار نمی‌کند. این معادل باز کردن درب گاراژ هنگام ورود به خانه، سپس بستن آن بلافاصله پس از ورود ماشین و بسته نگه داشتن آن تا زمانی است که نیاز به بیرون بردن مجدد ماشین خود داشته باشید.

راه دیگر برای به حداقل رساندن میزان نفوذ، استفاده از مسدود کردن آدرس IP است. این قابلیت که در بسیاری از فایروال‌ها به عنوان ویژگی موقعیت جغرافیایی نیز شناخته می‌شود، به شما امکان می‌دهد دسترسی به سیستم خود را از طیف وسیعی از آدرس‌های IP مسدود کنید. برخی از آنها به شما امکان می‌دهند دسترسی از آدرس‌های IP در کشورهای خاص را مسدود کنید.

برخی از کارشناسان امنیتی معتقدند که این ابزار بسیار کند و بی‌رحمانه است، بنابراین می‌توان پرسید که آیا مسدود کردن آدرس IP ارزش انجام دادن دارد یا خیر. بیایید برای درک بهتر این موضوع، یک سناریو را بررسی کنیم:

یک مدیر به صورت دوره‌ای لاگ‌ها را بررسی می‌کند، که به خصوص زمانی که همه چیز به درستی کار نمی‌کند، بینش بسیار خوبی ارائه می‌دهد. با انجام این کار، او متوجه تعداد غیرعادی تلاش‌های ورود به سیستم مدیریت از یک آدرس IP خاص در کمتر از یک روز شد. معلوم شد که آدرس IP ثبت شده از شهری است که میزبان یک مزرعه ترول معروف است که جامعه امنیتی به شدت به آن مشکوک است که در عملیات نفوذ آنلاین به نمایندگی از منافع تجاری و سیاسی یک کشور خاص فعالیت می‌کند. از آنجایی که وب‌سایت مدیر فقط به کاربران آمریکای شمالی خدمات می‌دهد، آنها تصمیم گرفتند کل دامنه آدرس‌های IP را در آن منطقه جغرافیایی مسدود کنند. کاری که او انجام داد مانع از تلاش مجدد هر کسی برای جستجوی رمز عبور به صورت بروت فورس نمی‌شود، اما این کار را به طور قابل توجهی دشوارتر می‌کند. و این یک برد از طرف آنهاست.

برای بسیاری از مشاغل، ایمن‌سازی دسترسی به دستگاه ضبط تحت شبکه شما بسیار آسان‌تر است زیرا احتمالاً فقط تعداد کمی از افراد مجاز به دسترسی به آن هستند. در این صورت، می‌توانید پیش‌فرض را تغییر داده و یک لیست IP مجاز تنظیم کنید که تمام تلاش‌های دسترسی را مسدود می‌کند، مگر اینکه از آدرس‌های IP مشخص شده باشند. این امر کار را برای مهاجمان حتی سخت‌تر می‌کند.