سه شنبه , ۳ بهمن ۱۳۹۶
خانه / مقالات / مقالات نظارت تصویری / روش‌های ایمن‌سازی شبکه‌های نظارتی
Technicians connecting network cable

روش‌های ایمن‌سازی شبکه‌های نظارتی

حفظ امنیت شبکه‌های نظارتی می‌تواند وظیفه دلهره‌آوری باشد اما شیوه‌های متعددی وجود دارد که به طور قابل توجهی می‌تواند میزان ریسک را کاهش دهد، مخصوصا زمانی که چندین روش به طور همزمان مورد استفاده قرار گیرد.

با مطالعه مقاله زیر شما با سیزده روش حفاظتی و آی‌تی (فن‌آوری اطلاعات)[۱] آشنا خواهید شد و با استفاده حرفه‌ای از آنها می‌توانید شبکه‌های نظارتی خود را ایمن نگه دارد.

————————————————————————————–

  • پسورد قوی‌تر، ایمنی بیشتر

استفاده از یک پسورد قوی ابتدایی‌ترین شیوه رعایت ایمنی می‌باشد، اما متاسفانه این امر توسط عده کثیری از کاربران نادیده گرفته می‌شود. بسیاری از سیستم‌های نظارتی مانند، دوربین‌ها، سوییچ‌ها و دستگاه‌های ضبط تصویر با یک رمز عبور پیش فرض برای تجهیزات، در محل مستقر شده‌اند. این امر اگرچه آموزش دسترسی به دروبین‌ها را برای تیم حفاظتی راحت‌تر می‌کند، اما  باعث تسهیل در دسترسی به شبکه‌های حفاظتی برای افراد غیرمجاز نیز می‌شود.

تمام دستگاه‌های شبکه نظارت در موقعیت ایمنی، حداقل باید دارای یک پسورد منحصر به فرد باشند. این امر از دسترسی راحت به شبکه جلوگیری می‌کند و باعث می‌شوند مهاجمان برای دسترسی و حدس زدن رمز عبور نیاز به مهارت و استفاده از شیوه‌های پیچیده‌تر داشته باشند. پسوردها باید برای تمام دستگاه‌ها به صورت مجزا تعریف شوند. در صورت داشتن یک رمز عبور برای تمام دستگاه‌ها هنگام فراموش کردن پسورد مربوطه، استفاده از سیستم‌های شبکه حفاظت به یک کابوس تبدیل می‌شود.

  • استفاده از یک رمز عبور مدیر[۲]

اگر شما از یک رمز عبور پیچده و منحصر به فرد برای تک تک دستگاه‌ها استفاده کرده‌اید، به کار بردن یک رمز عبور مدیر مانند لست‌پس[۳] دشلن[۴] و لاگ‌می‌وانس[۵] جهت ذخیره کردن تمام پسوردها ایده خوبی می‌باشد. در این حالت شما با استفاه از یک رمز عبور قوی و دو عامل تایید اعتبار، می‌توانید از رمزهای عبور محافظت نمایید در حالی که رمز عبور پیچیده را برای هر دستگاه به صورت جداگانه نگه دارید. رمزهای عبور مدیر امنیت خوبی را ایجاد می‌کنند هر چند که هنوز با شرایط ایده‌آل فاصله دارند.

  • شناسایی و تشخیص خطرات دسترسی از راه دور

دسترسی به شبکه از راه دور بهترین وسیله برای مدیر شبکه و نصاب‌های سیستم می‌باشد‌. نظارت بر شبکه از راه دور باعث کاهش هزینه‌های ایاب و ذهاب و حضور در محل شده و در صورت نیاز برای تجهیز شدن به ابزار مناسب، فرصت لازم جهت آمادگی را به شما می‌دهد.

دسترسی به شبکه از راه دور با شیوه‌های مختلفی می‌تواند انجام شود. استفاده از وی‌پی‌ان[۶] معمولا بهترین انتخاب است زیرا این عمل بدون مداخله کاربر صورت می‌گیرد. شیوه دیگری که معمولا به کار گرفته می‌شود، استفاده از کامپیوتر برای اتصال از راه دور می‌باشد. با نصب نرم‌افزارهایی چون تیم ویوور[۷]، وی‌ان‌سی[۸] گوتومی‌پی‌سی[۹] بر روی کامپیوتر شخصی می‌توان اتصال از راه دور را برقرار نمود. اما این شیوه نیاز به حضور یک یا چندین کاربر را دارد و به طور کلی رها کردن این ابزار بدون مداخله کاربر ایده خوبی نمی‌باشد.

اگر شما مجبور هستید یک دستگاه را از روی شبکه شخصی خود بر روی اینترنت عمومی قرار دهید، شما نیاز دارید که از پورت‌های حمل و نقل استفاده کنید. چنانچه امکانش برای شما هست از پورت‌های مخفی به جای پورت‌های استاندارد استفاده کنید (۲۲، ۲۳، ۲۵، ۸۰، ۵۵۴ و …). به یاد داشته باشید که هر پورت باز یک فرصت احتمالی برای مهاجمان ایجاد می‌کند. تا زمانی که سیستم‌های مدیریت تصویر (وی‌ام‌اس‌)[۱۰] با یکدیگر متفاوت باشند، کاربرها در صورتی که نیاز به دسترسی از راه دور برای تعمیر و نگهداری و یا مشاهده داشته باشند، جهت باز کردن هر پورت باید به اسناد سازنده مراجعه کنند. یک سیستم امنیت شبکه (فایروال)[۱۱] می‌تواند این پورت‌های باز را برای نفوذ کنترل نماید.

  • کاربرد فایروال‌ها جهت کنترل از راه دور

جهت جلوگیری از دسترسی از راه دور غیرمجاز، بسیاری از سیستم‌های نظارتی به صورت هدفمند به اینترنت وصل نمی‌شوند به جای آن به شبکه‌های لن[۱۲] جداگانه متصل می‌شوند. این عمل میزان ریسک را کاهش می‌دهد اما سرویس‌دهی جهت به روزرسانی سیتم عامل و نرم‌افزار را مشکل می‌کند. از طرف دیگر دانلودها باید از طریق یو‌اس‌بی[۱۳] انجام گیرد. سیستم‌های اتصال یافته به طور معمول توسط یک فایروال کنترل می‌شوند، که این امر ترافیک خروجی/ ورودی را برای یک آدرس ای‌پی[۱۴] خاص و پورت‌هایی که مجاز شده‌اند محدود می‌کند. این استراتژی چنانچه به درستی اجرا شود، از بسیاری از حملات جلوگیری می‌‌نماید.

  • بهبود امنیت با استفاده از شبکه‌های مجازی لن و کیواواس (کیفیت خدمات)[۱۵]

شبکه‌های مجازی لن با تقسیم‌بندی ترافیک به چندین شبکه مجازی باعث بهبود امنیت می‌شوند. تجهیزات نظارتی تحت شبکه و یا ترافیک لن عمومی ممکن است بر روی یک سوییچ باشند اما شبکه مجازی لن مطمئنا شبکه‌ها را برای یکدیگر غیرقابل رویت و غیرقابل دسترس می‌نمایند.

لازم به ذکر است، استفاده از شبکه‌های مجازی لن امکان ایجاد محدودیت در پهنای باند را به همراه دارند. بدین علت معمولا این شبکه‌ها همراه با کیواواس در محل مستقر می‌شوند، این عمل ترافیک شبکه را اولیت‌بندی کرده و در نتیجه از افت کیفیت تصویر جلوگیری می‌نماید.

  • غیرفعال کردن پورت‌های سوییچ آزاد (استفاده نشده)

یک شیوه راحت اما معمولا نادیده گرفته شده برای عدم دسترسی به دستگاه‌ها، غیرفعال کردن پورت‌های سوییچ‌هایی است که از آنها استفاده نمی‌شود. این امر باعث می‌شود تا مهاجمین نتوانند با اتصال یک کابل به سوییچ و یا سوکت‌های آزاد شبکه به شبکه امنیتی دسترسی پیدا کنند.

لازم به ذکر است که این مرحله لزوما دسترسی به شبکه را منتفی نمی‌کند، زیرا فردی می‌تواند به راحتی کابل یک دستگاه (دوربین، پرینتر و …) را از شبکه درآورده و به آن پورت دسترسی پیدا کند، مگر اینکه از فیلترکردن مک آدرس[۱۶] و یا ۸۰۲٫۱ ‌ایکس[۱۷] استفاده شده باشد.

  • غیرفعال کردن پورت‌های سوییچ آزاد

بسیاری از دوربین‌ها در حالی که پورت‌های شبکه غیرضروری آنها روشن است رها می‌شوند. برخی از این پورت‌ها عبارتند از: تل‌نت[۱۸] اس‌اس‌اچ[۱۹] اف‌تی‌پی[۲۰] و… این پورت‌ها هدف‌های خوبی برای هکرها هستند. یک اسکن سی ثانیه‌ایی سریع از یک دوربین تحت شبکه می‌تواند مشخص کند چندین پورت آزاد رها شده، به استثنای پورت‌های مورد نیاز جهت دسترسی به اینترنت و جریان تصویر، وجود دارد. این پورت‌ها در هر مکانی جهت جلوگیری از حملات بالقوه، می‌توانند غیرفعال شوند.

  • غیرفعال کردن سرویس‌های غیرضروری

سرویس‌های غیرضروری در ایستگاه‌های کاری و سرورها در صورت عدم استفاده باید خاموش شوند. سرویس‌ها و خدماتی هستند که کارخانه‌های سازنده بر روی دستگاه نصب می‌کنند که برخی از آنها عبارتند از، سرویس‌های مختلف به روزرسانی میکروسافت، سرویس‌های وب و … این سرویس‌های غیرضروری ممکن است مانند یک پشتیبان برای هکرها و ویروس‌ها عمل کنند، حجم حافظه و پردازنده‌ها را پر می‌کنند و سرعت بالا آمدن سیستم را کاهش می‌دهند. این سرویس‌ها باید غیرفعال شوند و یا تنظیمات آنها از حالت اتوماتیک خارج شده و به صورت دستی توسط اپراتور تنظیم شوند.

  • به روزرسانی سیستم عاملی و نرم‌افزاری

به روزرسانی سیستم‌عامل‌ها و یا نرم‌افزارها موضوع بسیاری از بحث‌ها و مناظرات می‌باشد. این به روزرسانی‌ها ممکن است باعث از کارافتادن بخشی از نرم افزار مدیریت تصویر[۲۱]و یا دوربین‌ها شود.

این به روزرسانی‌ها اغلب شامل وصله‌های امنیتی می‌باشد تا حفره‌های امنیتی را پر کند. مانند حفره امنیتی هرتبلید‌ اس‌اس‌ال[۲۲] که میلیون‌ها کامپیوتر در سرتاسر جهان را تحت تاثیر قرار می‌دهد. اما این وصله‌های امنیتی برای مسائل مهم باید نصب شوند. دیگر به روزرسانی‌ها که به صورت یک پیغام از طرف سیستم عامل برای شما ارسال می‌شود، موضوعی است که باید مورد بررسی قرار گیرد تا سازگار بودن آن با تجهیزاتی چون دوربین‌ها، دستگاه‌های ضبط تصویر و سیستم‌های مدیریت تصویر چک شود. برای این امر می‌توان با تولیدکننده این محصولات نیز مشورت نمود.

  • کنترل جداگانه برای شبکه‌های اطلاعات

چنانچه طراحی شبکه شما اجازه می‌دهد، جدا کردن مرکز کنترل و نظارت[۲۳] از مرکز جمع آوری اطلاعات ایده خوبی می‌باشد. این عمل مخصوصا زمانی کاربردی و صحیح است که صفحه کلید[۲۴] و ماوس[۲۵] را برای سیستم‌های راه دور اجرا می‌کنند. شما می‌توانید شبکه کنترل محلی را از اینترنت عمومی دور نگه دارید. این عمل، کار را برای هکرها جهت دسترسی به شبکه و سیستم‌های شما دشوار می‌کند، در حالی که اجازه بیشتری برای انعطاف‌پذیری مسیریابی تصاویر می‌دهد. به طور کلی برای این کار شما نیاز به یک کامپیوتر و یا سروری دارید که رابط‌های شبکه داشته باشند و یا از یک قفل سخت افزاری استفاده کنید.

١١- کنترل دسترسی مناسب، درب‌ها را بر روی مهاجمان بسته نگه می‌دارد

استفاده از یک دستگاه کنترل دسترسی برای مکان‌های آسیب‌پذیر مانند اتاق‌ها، کابینت‌ها و یا رک‌هایی[۲۶] که دستگاه‌های نظارت تصویری در آنها قرار دارد بسیار ضروری است. اگر امکان محدود کردن دسترسی به اتاق‌ها نیست حداقل دسترسی به رک‌ها و محوطه سوییچ را محدود نمایید. امکانات و دستگاه‌های زیادی برای کنترل دسترسی الکترونیکی کارمندان به سرور و اتاقی که تجهیزات شبکه در آن قرار دارد، موجود است. هر چند بدون کنترل دسترسی الکترونیکی، کلیدهای مکانیکی و قفل‌ها هم می‌توانند به خوبی از مکان‌های حساس و آسیب‌پذیر محافظت کنند.

١٢- سیستم پشتیبان‌گیری منظم و به روز

مهم نیست که به چه اندازه شیوه‌های امنیتی شما قوی است، اینکه شما ممکن است مورد حمله هکرها واقع شوید امری اجتناب ناپدیر است. داشتن یک سیستم پشتیبان منظم و به روز شما را مطمئن می‌کند که هر گونه ضرر و زیان در وارده در اثر حمله هکرها حداقل می‌باشد. حضور نرم افزارهای مخربی چون رن‌سام‌ویر[۲۷] رو به افزایش است. آنها فایل‌ها را بر روی سیستم شما رمزگذاری می‌کنند و قبل از اینکه دکمه ارسال برای باز کردن داده‌ها زده شود درخواست پرداخت را ارسال می‌کنند. چنانچه شما پشتیبان‌های منظم داشته باشید، می‌توانید به هکرهای رن‌سام‌ویر بگویید که کجا بروند. بدون پشتیبان ممکن است شما مجبور باشید تمام و کمال پرداخت کنید.

١٣- مستندسازی و اجرای سیاست‌های امنیتی

تمام موارد ذکر شده در بالا باعث بهبود امنیت خواهند شد، اما زمانی اثربخشی آنها بیشتر خواهد شد که به رسمیت شناخته شده و سیاست‌های امنیتی حتما اجرا شوند. در اجرای این سیاست‌ها دو گروه نقش پر رنگ‌تری دارند.

الف- مصرف کننده: زمانی که شبکه امنیتی بخش بزرگی از شبکه سازمانی و یا شرکتی است، به احتمال زیاد کاربر نهایی سیاست امنیتی را کنترل می‌کند و حتی ممکن است این الزامات را به نصاب‌ها تحمیل کند.

ب- نصاب‌ها: چنانچه مصرف کننده یک سیاست امنیتی مدون نداشته باشد، ممکن است نصاب‌ به عنوان بخشی از اسنادش ایجاد کند و برای داشتن گارانتی وی را مجبور به پیروی از این قوانین نماید و در صورت نقض این قوانین گارانتی و خدمات‌رسانی را محدود نماید.

با داشتن یک سیاست امنیتی خوب و اجرای آن شما می‌توانید از هزینه‌های سنگینی که هکرها تحمیل می‌کنند جلوگیری نمایید. موثرترین ابزار آگاهی کارکنان و در نتیجه داشتن یک شبکه خوب “رعایت بهداشت شبکه”[۲۸] می‌باشد. هیچگاه فایل و یا نرم افزاری را از یک منبع ناآشنا دانلود نکنید، به سوال هیچ فردی در خصوص رمز عبور و اطلاعات شخصی خود پاسخ ندهید و در انتها قبل از کلیک کردن بر روی هر لینکی دو بار فکر کنید.

[۱] IT

[۲] Password manager

[۳] LastPass

[۴] Dashlane

[۵] LogMeOnce

[۶] VPN

[۷] Team Viewer

[۸] VNC

[۹] GoTOMyPC

[۱۰] VMS

[۱۱] Firewall

[۱۲] LAN

[۱۳] USB

[۱۴] IP

[۱۵] Quality of Service (QoS) به معنای کلی به کارایی شبکه گفته می‌شود

[۱۶] MAC filtering آدرس یک قطعه در شبکه

[۱۷] ۸۰۲٫۱ X

[۱۸] Telnet

[۱۹] SSH

[۲۰] FTP

[۲۱] VMS

[۲۲] Heartbleed SSL

[۲۳] control panel

[۲۴] keyboard

[۲۵] mouse

[۲۶] rack

[۲۷] ransomware

[۲۸] hygiene

حفظ امنیت شبکه‌های نظارتی می‌تواند وظیفه دلهره‌آوری باشد اما شیوه‌های متعددی وجود دارد که به طور قابل توجهی می‌تواند میزان ریسک را کاهش دهد، مخصوصا زمانی که چندین روش به طور همزمان مورد استفاده قرار گیرد. با مطالعه مقاله زیر شما با سیزده روش حفاظتی و آی‌تی (فن‌آوری اطلاعات)[۱] آشنا خواهید شد و با استفاده حرفه‌ای از آنها می‌توانید شبکه‌های نظارتی خود را ایمن نگه دارد. -------------------------------------------------------------------------------------- پسورد قوی‌تر، ایمنی بیشتر استفاده از یک پسورد قوی ابتدایی‌ترین شیوه رعایت ایمنی می‌باشد، اما متاسفانه این امر توسط عده کثیری از کاربران نادیده گرفته می‌شود. بسیاری از سیستم‌های نظارتی مانند، دوربین‌ها، سوییچ‌ها…

User Rating: Be the first one !

پیشنهاد برای مطالعه:

videoanalytics

قابلیت‌ها و مزایای فناوری ویدئو آنالیتیک

در عصر دیجیتال، سرعت هیچ گاه تا این اندازه اهمیت نداشته است. مشتریان نیاز دارند …

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *