نکات طلایی استفاده از دستگاه NVR

نکات طلایی امنیت در دستگاه NVR هایک ویژن

انواع حملات امنیتی در اینترنت تبدیل به تهدید بزرگی برای دستگاه های تحت شبکه و حریم خصوصی کاربران شده است.دستگاه های NVR هایک ویژن برای مقابله با این قبیل تهدیدات،قابلیت اعمال طیف وسیعی از ویژگی های امنیتی را دارا می باشند. Hikvision به صورت پیش فرض تعدادی از این قابلیت های امنیتی را فعال کرده است ولی برای برقراری امنیت مورد نیاز خود باید سایر تنظیمات نیز بررسی شود.

این مقاله به بررسی امنیت دستگاه NVR هایک ویژن می پردازد، کاربران باید با توجه به نیاز و شرایط خود تنظیمات مناسب امنیتی را پیکربندی کنند.

1.جداسازی شبکه دستگاه NVR هایک ویژن بصورت منطقی و فیزیکی

دستگاه های NVR هایک ویژن رده بالا و میان رده مجهز به یک یا دو پورت LAN و POE هستند. کاربران می توانند از دو پورت با تنظیمات امنیتی مجزا استفاده کنند.جداسازی شبکه ها از یکدیگر باعث افزایش امنیت می شود.کاربران همچنین می توانند جهت افزایش امنیت فیزیکی دستگاه NVR از دیتاسنتر یا اتاق مشابه با رعایت اصول حفاظت فیزیکی استفاده کنند.

2.ارتقاء امنیت در مرحله ی احراز هویت کاربران

برای برقرای امنیت در مرحله ی احراز هویت کاربران در دستگاه های NVR هایک ویژن نیاز به رعایت نکاتی می باشد.

2-1)استفاده از رمز عبور قوی

چگونه از رمز عبور قوی استفاده کنیم؟

اصول کلی برای پسورد قدرتمند در دستگاه های NVR هایک ویژن به شرح زیر می باشد:

(1) استفاده از تعداد کارکترها معتبر (بین 8 الی 16)

(2) استفاده از ترکیب اعداد، حروف بزرگ، حروف کوچک و کاراکترهای ویژه برای پسورد

برای انتخاب پسورد با رعایت دو نکته ی بالا روش های ساده ای وجود  دارد که باعث می شود “عبارت پسورد” به راحتی حفظ شود اما به سادگی قابل کرک نباشد . روش های ساده تعیین “عبارت پسورد” به شرح زیر است:

(1) انتخاب عبارت با اعداد

(2) استفاده از حرف اول یک لغت

(3) استفاده از حروف کوچک و بزرک

(4) استفاده از اعداد به جای حروف (مثلاً استفاده از 2  به جای to یا جایگزینی 4 با for)

(5) پاک نکردن علائم گرامری

از عبارت زیر به عنوان یک مثال عملی استفاده می کنیم:

“My flight to New York will leave at three in the afternoon!”

“عبارت پسورد” بایستی “MftNYwla3ita” باید باشد.

علاوه بر نکات ذکر شده به برخی نکات برای انتخاب رمز عبور قوی در دستگاه های NVR هایک ویژن نیز اشاره می کنیم:

(1) عدم استفاده از اعداد و حروف ترتیبی مانند “1234”، “cdef”

(2) به مرورگر اینترنت کامپیوتر اجازه ذخیره پسوردها را ندهید.

(3) پسوردها را برای هیچکسی ایمیل نکنید.

(4) مدنظر داشتن برنامه مدیریت پسورد که دیگر نیاز به حفظ کردن رمز عبور نداشته باشید.

2-2)فعالسازی قابلیت رمز عبور قوی در دستگاه NVR هایک ویژن 

همانطور که در شکل زیر نشان داده شده است دستگاه NVR هایک ویژن قبل از فعالسازی نیاز به تنظیم رمز عبور دارد. برای حفاظت از دیتا و حریم شخصی، ما شدیداً استفاده از رمز عبور قدرتمند طبق اصول را به شما توصیه می کنیم.

رمز عبور قوی

2-3)استفاده از GUID یا سوالات امنیتی برای بازیابی پسورد

بعد از اینکه دستگاه NVR هایک ویژن فعال شد، از کاربر خواسته می شود که فایل GUID را که بعدا برای بازیابی رمز عبور قابل استفاده است ذخیره کند.

استفاده از GUID

بعلاوه کاربر با تنظیم پرسش و پاسخ سوالات امنیتی می تواند پسورد را بازیابی کند.

استفاده از GUID

توجه داشته باشید ورود به صفحه بازیابی پسورد مطابق تصویر با کلیک بر “Forget Password” انجام می شود.

استفاده از GUID

اگر 7 بار تلاش برای ورود با GUID یا پرسش و پاسخ امنیتی، ناموفق باشد کاربر برای یک دقیقه امکان بازیابی را نخواهد داشت.همچنین بعد از تغییر پسورد ادمین یا استفاده از فایل GUID، فایل GUID قبلی منقضی می شود.

2-4)انتخاب یک روش احراز هویت امن

در دستگاه NVR هایک ویژن از طریقRTSP یا WEB دو روش احراز “digest” و “digest/basic” وجود دارد. لطفاً از روش “digest” که امن تر است استفاده کنید. در روند احراز هویت “digest” مقادیر پسورد بصورت رمزنگاری شده منتقل می شوند که از افشای رمز عبور به صورت متن ساده جلوگیری می کند.

3.مدیریت کاربران در دستگاه NVR هایک ویژن

دستگاه NVR هایک ویژن از سه سطح اکانت کاربری ادمین، اپراتور و کاربر پشتیبانی می کند. اکیداً توصیه می شود هر اکانت از پسورد قدرتمند شامل حداقل 8 کاراکتر شامل حروف کوچک و بزرگ، اعداد، کاراکترهای ویژه، برای کاهش احتمال هک پسورد استفاده کند. همچنین توصیه می شود که پسوردها مخصوصاً برای سیستم های امنیت بالا به صورت منظم تغییر کنند.

کاربر ادمین بایستی به صورت منظم بقیه اکانت ها را کنترل کند و آنهایی که مدت طولانی استفاده نشده اند را پاک کند.

هروقت ادمین سیستم 7 مرتبه پسورد اشتباه وارد کند (5 مرتبه برای کاربر/یا اپراتور)، اکانت برای محافظت در برابر هک پسورد به روش “brute force” قفل خواهد شد.

مدیریت کاربران

ادمین می تواند برای تمام کاربران مجوزهای مختلفی اختصاص دهد.

مجوزها می توانند به 3 بخش تفکیک شوند:

  • پیکربندی محلی (local)
  • پیکربندی ریموت (remote)
  • پیکربندی دوربین
پیکربندی محلی:
  • جست و جوی log محلی: جست و جو و دیدن logها و اطلاعات سیستم دستگاه NVR هایک ویژن
  • تنظیمات محلی پارامترها: پیکربندی پارامترها، بازیابی تنظیمات پیش فرض و ذخیره/خواندن فایل پیکربندی
  • مدیریت محلی دوربین: اضافه، حذف و ویرایش IP Camera ها در دستگاه NVR هایک ویژن
  • تنظیمات پیشرفته محلی: مدیریت HDD (نصب HDD، تنظیم خصوصیات HDD)، بروز رسانی فریم‌ور، پاک کردن آلارم خروجی I/O
  • بوت مجدد و خاموش کردن محلی: خاموش کردن و بوت مجدد دستگاه NVR هایک ویژن
پیکربندی ریموت:
  • جست وجوی log از راه دور: دیدن log های ذخیره شده در دستگاه NVR هایک ویژن از راه دور
  • تنظیمات پارامتر ریموت: پیکربندی پارامترها از راه دور، بازیابی پارامترهای پیش فرض کارخانه و ذخیره/خواندن فایل های تنظیمات
  • مدیریت از راه دور دوربین ها: اضافه کردن، پاک کردن و ویرایش IP Camera ها
  • کنترل از راه دور پورت های سریال: پیکربندی برای پورت های RS-232 و R-485
  • کنترل از راه دور خروج ویدیو
  • صدای دو طرفه: فهمیدن سمعی دو طرفه بین کلاینت و دستگاه NVR هایک ویژن
  • کنترل راه دور آلارم ها و هشدارها
  • تنظیمات از راه دور پیشرفته: کنترل از دور عملکرد مدیریت هارددیسک (نصب هارد، تنظیم ویژگی های هارد)، بروز رسانی فریم ور سیستم، پاک کردن خروجی آلارم I/O
  • بوت مجدد/ خاموش کردن از راه دور: بوت مجدد و خاموش کردن دستگاه NVR هایک ویژن
پیکربندی دوربین ها:
  • مشاهده تصویر زنده از راه دور: دیدن تصاویر دوربین های انتخاب شده از راه دور
  • تنظیمات از راه دور دستی: استارت/توقف دستی ذخیره و آلارم خروجی دوربین های انتخاب شده
  • باز نمایش (playback) محلی: بازنمایش محلی فایل های ذخیره شده دوربین های انتخابی
  • بازنمایش به صورت ریموت: بازنمایش فایل های ذخیره شده دوربین های منتخب از راه دور
  • کنترل محلی PTZ: کنترل حرکت دوربین های انتخاب شده PTZ بصورت محلی
  • کنترل ریموت PTZ: کنترل حرکت دوربین های انتخاب شده PTZ بصورت ریموت
  • ذخیره محلی ویدئو: ذخیره محلی فایل های ضبط شده دوربین های انتخابی

4.گزارش های دستگاه NVR هایک ویژن

هشدارها ،اخطارها، استثناها و اطلاعات دستگاه NVR هایک ویژن می تواند در فایل گزارش ذخیره شود و در هر زمان قابل ذخیره و نمایش است. اطلاعات گزارش شامل عدد، زمان، major type، minor type، شماره کانال و IP کاربر محلی/ریموت می باشد. کاربران می توانند پارامترهای مختلف جست و جو را تنظیم کنند که شامل Major type، Minor Type، ساعت شروع و پایان می باشد. گزارش بصورت مستمر در فرمت باینری ذخیره می شود. وقتی که فایل های گزارش پر شوند، گزارش های جدید روی گزارشات قدیمی بازنویسی می شوند. فایل های گزارش قابل اصلاح یا پاک شدن نیستند.

گزارش های دستگاه NVR

5.پورت و سرویس دستگاه NVR هایک ویژن

برای کاهش ریسک حملات شبکه، دستگاه NVR هایک ویژن فقط پورت های خاصی را بصورت پیش فرض باز نگه میدارد. کاربران بایستی فقط در موارد ضروری پورت ها و سرویس ها را باز کنند.

5-1)SNMP

شما با استفاده از پروتکل SNMP می توانید وضعیت دستگاه و اطلاعات پارامتر های مختلف از قبیل نام ،IP،نسخه ی فریم ور دستگاه NVR هایک ویژن را بدست آورید.

اگر از وضعیت SNMP استفاده نمی کنید لطفاً مطمئن باشید که خاموش باشد.

پروتکل SNMP

5-2)UPnP

(UPnP (Universal Plug and Play می تواند به دستگاه اجازه‌ دهد بطور یکپارچه حضور دستگاه‌های دیگر را در شبکه و سرویس اشتراک گذاری دیتا و ارتباطات و … را پیدا کند. با استفاده UPnP می توانید کانکشن سریع WAN بوسیله روتر را بدون mapping فعال کنید. بصورت پیش فرض UPnP بسته است، لطفاً اگر از UPnP استفاده نمی شود خاموش باقی بماند.

توجه: درحالیکه UPnP موجب افزایش سهولت می شود نباید جز موارد ضروری استفاده شود زیرا به دستگاه در شبکه داخلی اجازه بازکردن پورت های روتر را برای ارتباط بیرونی اینترنت می دهد.

اگر میخواهید عملکرد UPnP دستگاه را فعال کنید، بایستی UPnP روترgateway که دستگاه به آن متصل است هم فعال شود. هنگامیکه مود کاری شبکه بعنوان مولتی-آدرس تنظیم شده است، مسیر پیش فرض دستگاه بایستی مثل همان بخش شبکه مانند آدرس LAN IP روتر باشد. برای جزئیات بیشتر می توانید به راهنمای کاربری دستگاه مراجعه نمایید.

UPnP

5-3)انتقال پورت (port forwarding)

وقتی که دستگاه NVR هایک ویژن نیاز به دسترسی اینترنت از پشت سر فایروال دارد انتقال پورت می تواند تنظیم شود. راه های زیر می تواند موجب کاهش ریسک حملات سایبری در دستگاه های متصل به اینترنت شود.

  1. حداقل کردن تعداد پورت های قابل دسترس با اینترنت یعنی وقتی پورت انتقال تنظیم کنید که ضرورت داشته باشد.
  2. اطمینان حاصل کنید که تمام اکانت ها با پسورد قوی تنظیم شده اند. این بخش برای دستگاه متصل به اینترنت فوق‌العاده مهم است.
  3. استفاده از پورت های سفارشی شده به جای پورت های عمومی. برای مثال پورت 80 عموماً برای HTTP استفاده می شود. توصیه بر این است که از پورت سفارشی برای سرویس خاص استفاده شود. پورت سفارشی TCP/IP ممکن است به این صورت تعریف شود.(1-65535)
5-4)Hik-Connect

HIK Cloud P2P دسترسی و مدیریت دستگاه NVR هایک ویژن متصل به نرم افزار موبایل و صفحه پلتفرم سرویس را فراهم می‌کند، که شما را قادر به دسترسی راه دور ساده به سیستم نظارتی می کند.

عملکرد رمزنگاری استریم (stream)، ویدئو استریم ارسال شده از دستگاه NVR هایک ویژن را رمزنگاری می کند و کاربر برای پخش زنده یا بازنگری نیاز به قرار دادن کد تایید دارد.

رمزنگاری

6.حفاظت از اطلاعات ویدئویی

شما می توانید فایل های ویدئوهای ذخیره شده را قفل کنید یا بر هارد دیسک دستگاه NVR هایک ویژن ویژگی فقط خواندنی تعریف کنید تا از نوشتن مجدد فایل های ویدئویی محافظت شود.

فایل های ویدئویی بر دستگاه های مختلفی می توانند back-up گیری شوند، مانند دستگاه های USB (فلش USBها، هارد دیسک های USB، USB رایترها)، SATA رایترها و هارد دیسک های e-SATA. لطفاً از ویدئوی خود منظم back-up تهیه شود.

6-1)قفل گذاری/بازگشایی فایل های ویدئویی

کاربران می توانند وارد صفحه backup شوند،کانالی که می خواهند را انتخاب کنند، و شروط جست و جو مانند نوع ویدئو، نوع فایل، زمان آغاز و پایان را تنظیم و فایل های ویدئویی که باید محافظت شوند را یافته و آن را قفل یا باز کنید. این صفحه پیکربندی در زیر نمایش داده شده است.

backup

6-2)هارددیسک فقط خواندنی

هارددیسک می تواند برای خواندن/نوشتن (R/W)، فقط خواندن (read-only) و Redundancy تنظیم شود، لطفاٌ نوع گروه ذخیره سازی را انتخاب کنید.

یک هارددیسک می تواند برای جلوگیری نوشتن مجدد وقتی که هارد پر شده  بر روی رکوردهای مهم بر روی فقط-خواندن تنظیم شود.

هارددیسک فقط خواندنی

6-3)پشتیبان گیری

دستگاه NVR هایک ویژن از پشتیبان گیری فایل ها، وقایع ویدئویی، کلیپ ها، و تصویر پشتیبانی می کند. کاربران باید از دیتای مهم خود به صورت منظم نسخه ی  پشتیبان تهیه کنند.

پشتیبان گیری

7.اقدامات مدیریتی امنیت دستگاه NVR هایک ویژن

7-1)NTP

سرور Network Time Protocol )NTP) می تواند برای حصول اطمینان از زمان/تاریخ دقیق سیستم بر روی NVR تنظیم شود

سرور NTP
7-2)ذخیره/فراخوانی فایل تنظیمات

فایل های تنظیمات دستگاه NVR هایک ویژن میتواند بر دستگاه محلی برای پشتیبان گیری ذخیره شود و فایل های تنظیمات یکی از NVRها می تواند برای بقیه دستگاه های NVR در صورتیکه که پارامترهای یکسانی داشته باشند بازگشایی شود. پارامترهای دستگاه NVR هایک ویژن با یک کلید رمزنگاری سفارشی در فرآیند ذخیره سازی، رمزنگاری خواهد شد. همان کلید رمزنگاری برای بازگشایی فایل تنظیمات مورد نیاز است.

ذخیره/فراخوانی فایل تنظیمات

7-3)بازگردانی تنظیمات پیش‌فرض

اگر شما از تغییرات صورت گرفته بر تنظیمات دستگاه نامطمئن هستید، شما می توانید دستگاه را به تنظیمات پیش فرض برگردانید.

سه گزینه برای تنظیمات پیش فرض وجود دارد:

  • بازگردانی پیش فرض: بازگرداندن تمام پارامترها به غیر از شبکه ( شامل IP آدرس، subnet mask، gateway، MTU، حالت کاریNIC،route پیش فرض، پورت سرور و …) و پارامترهای اکانت کاربری به تنظیمات پیش فرض کارخانه
  • بازگردانی به پیش فرض کارخانه: بازگرداندن تمام پارامترها به تنظیمات پیش فرض کارخانه
  • بازگردانی به غیرفعال: بازگرداندن دستگاه به وضعیت غیرفعال

تنظیمات پیش‌فرض

8.بروزرسانی فریم ور دستگاه NVR هایک ویژن

برای اطمینان از پایداری و امنیت سیستم ما شدیداً توصیه می کنیم که دستگاه های Hikvision را بطور منظم به آخرین فریم ور آپدیت کنید.

دستگاه NVR هایک ویژن از دو روش بروزرسانی پشتیبانی می کند: بروزرسانی محلی و بروزرسانی از راه دور.صفحه پیکربندی در زیر نمایش داده شده است.

بروزرسانی فریم ور

9.پیکربندی ارتباطات امن در دستگاه NVR هایک ویژن

HTTPS تایید رمزنگاری بین وب کلاینت و وب سرور را برعهده دارد، که برای حفاظت در مقابل حملات  “packet sniffing” و “man-in-the-middle” استفاده می شود. شما می توانید HTTPS را بصورت راه دور از طریق وب سایت و یا کلاینت iVMS تنظیم کنید.

HTTPS تایید رمزنگاری بین وب کلاینت و وب سرور را برعهده دارد، که برای حفاظت در مقابل حملات  “packet sniffing” و “man-in-the-middle” استفاده می شود. شما می توانید HTTPS را بصورت راه دور از طریق وب سایت و یا کلاینت iVMS تنظیم کنید.

پیکربندی ارتباطات امن

توجه:  تمام گواهینامه های self-signed با صفحه پاپ-آپ مانند زیر نمایش داده می شود، برای اینکه آنها بوسیله certificate authority (CA) تصدیق نشده اند، شما می توانید بر گزینه “Continue to this website” کلیک کنید.ما استفاده از certificate authority (CA)را برای بهبود درجه امنیت دسترسی و حذف صفحه هشدار self-signed توصیه می کنیم.

ارتباطات امن

10.توصیه های  امنیتی

 

(1) بسط امنیت محصول به سیستم ها، برنامه ها، دستورالعمل های کاربری و فرم ها بستگی دارد. تمام فرآیندها را مستند کنید و تمرینات table-top اجرا کنید یا مواردی که در ماقع حادثه باید انجام داد را تمرین کنید.

(2) از ابزار اسکن امنیت، تصدیق پیکربندی، و تست نفوذ جهت ارزیابی امنیت شبکه و دستگاه ها استفاده کنید، بعد پتانسیل ریسک های امنیتی را شناسایی کنید، ریسک ها را تعیین کنید و یک برنامه ترمیمی آماده کنید.

(3) طرح تقویت و راهنمای عمکرد را بر اساس نتایج ارزیابی امنیت محصول گردآوری کنید.

(4) امنیت تمام شبکه ها و دستگاه ها را بصورت شبانه روزی مانیتور کنید. این مانیتورینگ باید شامل محدود به دسترس پذیری سیستم و شبکه، شناسایی بدافزار، و شناسایی ورود بدون اجازه باشد.

(5) بصورت دوره ای رسیدگی امنیت سایبری شبکه و برنامه ها را انجام دهید.

(6) تنظیمات محصولات امنیتی باید اصول اولیه امنیت اطلاعات را رعایت کنند: اصل حداقل اجازه، اصل غیرتمرکزسازی و تعادل، اصل ایزولاسیون امنیت، و …

نتیجه گیری

این راهنمای امنیتی برای نمایش بهترین و آخرین روش های عملی امنیت شبکه بصورت منظم بروزرسانی خواهد شد.

هایک گلد سال های زیادی را وقف تحقیق امنیت شبکه کرده است و برای کاربران آخرین راهنمای امنیت سایبری را به ارمغان آورده است.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *