Güvenlik Kamerası Hacklenmesi ve Korunma Yolları

Dome kamera

Analog kameralar direkt olarak internete bağlanmadıkları için hacklenme durumları söz konusu değildir.  IP (Internet Protocol) kameraların büyük çoğunluğu direkt internete bağlı olduğundan, her zaman saldırıya açık durumdadırlar.

Bu makalede ip kameralarınızı hack saldırılarından nasıl koruyabileceğiniz anlatılmıştır. Bu bilgileri sadece ip kamera için değil, internete bağlı diğer  cihazlarınız içinde kullanabilirsiniz.

IP kameralar, uzaktan çocukları, yaşlıları ve evcil hayvanları  izlemek ya da evi, iş yerini hırsızlıktan korumak için kullanılmaktadır. Ancak, bu kameraları kullanırken kameralarınızın güvenliğine de dikkat etmeniz gerekmektedir.

Haberler de izlemiş ya da duymuşsunuzdur; Son zamanlarda  milyonlarca IP güvenlik kamerası hacklenerek DDOS saldırısı için kullanılmıştır. Ayrıca bilgisayar korsanları ev ve iş yeri kameralarını hackleyip,  kamera görüntülerini çevrimiçi canlı video yayını yapmışlardır.

Bu tip sorunlar ile karşılaşmamak için alabileceğiniz bazı basit önlemler mevcuttur.

Kameraların temel güvenliğini sağlamak için yapılması gerekenler:

1. Kameranın varsayılan şifresini değiştirin ve güçlü bir şifre kullanın.

Varsayılan şifreyi kullanan güvenlik kameralarının saldırıya uğraması ve başkaları tarafından izlenebilmesi oldukça kolay olabilmektedir.
Kamera marka ve modeline ulaşan saldırgan varsayılan şifreleri deneyerek kolayca kamera görüntülerinize ve ayarlarına erişebilir.
Kullanıcılar varsayılan şifreyi muhakkak değiştirmeli ve şifre içinde rakam, büyük harf, sembol içeren güçlü bir şifre kullanmalıdır.

Olası bir şifre ele geçirilme olayında mevcut şifre hemen yenisi ile değiştirilmelidir.

2. Firmware (Donanım Yazılımı) Güncelleme

Kamera firmware

Kameralarınızın olası güvenlik açıklarını kapatmak ve özelliklere  sahip olmasını sağlamak amacıyla tüm IP kameralar, NVR, DVR kayıt cihazları en güncel sürüme yükseltilmelidir. Bu konuda profesyonel yardım almanız tavsiye edilir.

3. HTTP ve TCP varsayılan port numaralarını değiştirin.

Tcp ve udp haberleşme

Varsayılan HTTP ve TCP bağlantı port numaralarını değiştirmek, kameralarınızın güvenliğini büyük ölçüde artıracaktır. HTTP ve TCP bağlantı noktaları uzaktan bağlantı ve video erişimi için kullanılmaktadır. Bu iki port numaralarını 1025 ile 65535 aralığında herhangi bir port numarasına ayarlayabilirsiniz. Port numarasını değiştirdikten sonra, izleme programlarınız üzerinden de değişiklik yapmayı unutmayın!

4. HTTPS / SSL sertifikası ile şifreleme yapın.*

Kamera SSL şifreleme

Ip kameranıza web tarayıcısı ile erişilebiliyorsa, bir SSL sertifikası satın alarak  kamera ve istemciler (NVR, web tarayıcı, NAS, yazılım vb.) arasındaki bilgi alışverişini şifreleyebilirsiniz.

*SSL sertifikası ücretli sunulan dijital bir sertifikadır. Daha çok kurumsal ve gizlilik gerektiren yerler için kullanılabilir.

5. IP filtresini etkinleştirin

IP filtresini kameranız ya da router/modem üzerinden etkinleştirin.
Bu sayede kameralara sadece belirlediğiniz ip adresine sahip kullanıcılar bağlantı kurabilirler.

6. RTSP doğrulamayı açın ve portunu değiştirin.

RTSP Onvif şifrelemesi

Ip kameralarda bulunan Gerçek Zamanlı Yayın Protokolü (Real Time Streaming Protocol) 554 portu üzerinden yayın yapmaktadır ve bazı kameralarda RTSP güvenlik doğrulması devre dışı olarak gelmektedir. Kötü niyetli kullanıcılar, rtsp üzerinden kamera görüntülerinize kolaylıkla erişebilirler. Bu sebeple RTSP port numarasını değiştirin ve RTSP ayarlarından güvenliği açık konuma getirin.

7. Kullanıcı hesabı izinlerini ayarlayın

Kamera kullanıcı kısıtlaması

Kameralara birden fazla kullanıcının erişmesi gerekiyorsa, her bir kullanıcı hesabına farklı izinler ayarlayın ve yönetim izinlerini kısıtlayın. Anonymous bağlantısını devre dışı bırakın.

8. UPnP özelliğini devre dışı bırakın

Kamera UPNP kapatma ayarları

Modem/Router üzerinde bulunan UPnP özelliği aktif edilmişse, kameralar veya kayıt cihazları istek göndererek modem/router üzerinden bütün portları otomatik olarak açarlar.  Uzak izleme ve ayarlama için http ve tcp portları yeterli olmaktadır. Diğer yönetim portlarının açılması saldırganlar için bir açık oluşturabilir.  Gerekli portları el ile açmanızı ve UPnP’yi devre dışı bırakmanızı şiddetle tavsiye ederiz.

9. SNMP erişimi

Kamera SNMP ayarlarını kapatmak

SNMP işlevini kullanmazsanız, devre dışı bırakmanızı öneririz. SNMP işlevi kameraya bir yazılım üzerinden erişilip yönetilmesini sağlamaktadır.
Güvenliği ile ilgili kesin bilgiler olmadığından, kapatılması tavsiye edilir.

10. Çoklu Yayın (Multicast)

Kamera Multicast kapatma ayarları

Çoklu yayın teknolojisi, kameranın canlı akışını çoklu video depolama ekipmanına iletmesini olanak sağlar. Şu anda, çok noktaya yayın akış teknolojisi için bilinen bir güvenlik açığı bulunmuyor, ancak bu işlevi kullanmıyorsanız kapatmanızı tavsiye ederiz.

11. Log kontrolü yapın

Kamera log dosyası görüntüleme

Kameranızın güvende olup olmadığını öğrenmek isterseniz, yetkisiz giriş denemesi veya bir saldırı girişimi olup olmadığını bulmak için kameraların günlüğü kontrol edebilirsiniz. Cihazın günlük dosyasında, hangi IP adresinin ve kullanıcının giriş yapmaya çalıştığı ve kullanıcı tarafından ne tür bir işlem yapıldığının kaydını bulabilirsiniz.

12. Fiziksel koruma

Kayıt cihazı koruma kutusu

Maksimum koruma sağlamak için ağ ve kamera ekipmanlarınıza fiziksel koruma sağlayabilirsiniz. Ekipmanları kilitli bir odaya koyabilirsiniz. Eğer böyle bir imkanınız yoksa,  yetkisiz erişimleri engellemek için kilitli bir kabin kullanabilirsiniz.

13. IP kameraları PoE girişinden NVR cihazına bağlayın

Kamera POE bağlantısı

Kendinden POE destekli bir nvr kayıt cihazı kullanıyorsanız, kameraları poe girişlerine bağlayabilirsiniz. Poe girişinden bağlanan kameralara sadece nvr cihazı üzerinden erişilebilmektedir.

14. Kamera sisteminiz için özel bir ağ kurun veya misafir ağını etkinleştirin.

Modem misafir ağı yapılandırma

Bir vlan kullanarak kamera sisteminiz için özel bir ağ oluşturabilirsiniz. Bu ağa yapılacak bağlantıları istediğiniz gibi kısıtlayabilirsiniz.

Bir çok Modem/Router ayarlarında misafir ağı özelliği bulunmaktadır. Bu özelliği açarak, Intranet (lokal) bağlantınızı misafirlerinize kapatabilirsiniz.
(Misafir ağını kullananlar sadece İnternete bağlanabilirler, ağınızdaki diğer cihazlara erişim sağlayamazlar)
Misafir ağını açtığınız zaman farklı bir SSID, şifre belirlemeniz ve intranet bağlantısını kapatmanız yeterli olacaktır.

Bu işlemlerin nasıl yapılacağı hakkında bilgi sahibi değilseniz, muhakkak profesyonel bir elektronik güvenlik firmasından teknik yardım isteyiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.