•  
•  
•  
•  

0 Reacties Bewaren

Het komt jammer genoeg nog veel te vaak voor dat (beveiligings)camera's onbeveiligd aan het internet wordt gehangen. Kwaadwillenden maken daar gretig gebruik van. Er zijn zelfs websites die zich bezig houden met het opsporen en categoriseren van de camera's. Zes stappen om de boel te beveiligen.

Hang je camera's niet aan het publieke internet

Aangezien er gigantisch veel (gratis) scan- en kwetsbaarheids-tools zijn is het slim een routable IP-adres voor IP-camera's te vermijden. De recente DDoS-aanvallen op onder andere DynDNS maakten onder andere misbruik van camera's. Het enige dat de aanvallers hoefden te doen was de camera's opsporen.

Plaats deze daarom achter een firewall en maak gebruik van Network Address Translation (NAT). NAT is geen beveiligingsmechanisme, maar het kan het buitenstaanders een stukje moeilijker maken bij je interne netwerk te komen.

Lees ook: Vind onbeveiligde webcams makkelijker met Shodan

Schakel port forwarding uit

Als je NAT gebruikt, kan het aantrekkelijk zijn een router zo in te stellen dat het verkeer van buitenaf wordt doorgestuurd naar je IP-camera. Daardoor is deze logischerwijs nog steeds beschikbaar voor het publieke internet. Wat veiligheid betreft is deze instelling geen haar beter dan de camera rechtstreeks aan het internet hangen.

Als een camera toch van buitenaf bereikt moet worden, doe dit dan via een VPN-verbinding of, indien mogelijk, via een app. (sommige cloud-connected camera's ondersteunen deze manier van monitoring) Zowel de camera als de app draaien zelf geen server(software) waardoor het aantal kwetsbaarheden kan worden beperkt.

Zet camera's op een dedicated subnet / VLAN

Een besmette camera kan niet echt andere apparaten in je netwerk besmetten als die ze niet kan zien. Veel applicaties maken gebruik van ethernet broadcasting om andere apparaten te ontdekken en het stoppen van je camera in een eigen VLAN zorgt ervoor dat het de camera geen andere netwerkapparatuur kan slopen of besmetten mocht het misgaan.

Monitor je verkeer

In het geval van de recente camera DDOS botnet werden servers van Dyn platgegooid door besmette camera's (en andere IoT-apparaten). Als jouw apparatuur meedoet, zou je dat moeten kunnen zien in je netwerkverkeer (in dit geval een gigantische verhoging van DNS-verzoeken naar enkele servers).

Veel intrusion detection en prevention systemen (IDSs/IPSs) gebruiken een op signature gebaseerde oplossing. Dat betekent dat deze alarm slaan als er kwetsbaarheden worden misbruikt of netwerkverkeer volgens een bepaald patroon wordt gedetecteerd. Dit is een van de gebieden waar anomaly-based IDS/IDP goed van pas kan komen. Commerciële IDS/IDP producten als Cisco Sourcefire en Juniper's IDP series bieden deze functies aan en uiteraard zijn er ook open-source tools als Bro die hetzelfde doen.

Update de firmware van je camera

Dit spreekt voor zich natuurlijk. Toch zijn er nog veel te weinig mensen die dit ook daadwerkelijk doen met alle gevolgen van doen. Als jouw camera's geen mogelijkheid hebben/bieden om de firmware bij te werken, is het tijd om camera's aan te schaffen die dit wel kunnen.

Wijzig standaard wachtwoorden

Zelfs de meest dichtgetimmerde firmware en best beveiligde camera's zijn nutteloos als je het standaardwachtwoord niet wijzigt. De handleidingen van deze camera's zijn online te vinden en kwaadwillenden zullen dus altijd achter het standaardwachtwoord kunnen komen en deze als allereerst proberen. Het zal je verbazen hoe vaak zij binnen komen.

ISEeurope in de RAI in Amsterdam is een gigantische beurs voor AV, die helemaal in het teken staat van de versmelting van AV en IT.

Lees meer over

• camera
• beveiliging