IP nazorati tezda tovarga aylanib bormoqda. Yuqori aniqlikdagi tarmoq kameralarining narxi pasayishda davom etar ekan, asosiy tizim uchun byudjetdan joy topish osonroq. Grand View Research ma'lumotlariga ko'ra, jismoniy xavfsizlik uskunalari savdosi 2025 yilga kelib 8,9 foizga o'sishi kutilmoqda, jismoniy xavfsizlik segmenti bozori 2016 yil holatiga ko'ra 133,9 milliard dollarni tashkil etadi. Bu yaxshi hujjatlashtirilgan va yaqqol xavfsizlik zaifliklariga ega bo'lgan qurilmalarni himoya qilish vazifasi yuklangan ma'murlar uchun qiziqarli muammolar to'plamini taqdim etadi. Tarmoq muhandislari birinchi navbatda IoTga sakrash xavfidan xabardor. Biz buni o'tmishda blogda muhokama qilgan edik, lekin ko'pchilik tushunmasligi mumkinki, IP kuzatuv kameralari ko'plab xavfsizlik muhandislarini to'sqinlik qiladigan IoT qurilmalari kabi hujumlarga ochiq. 2017 yilda "Iblisning pechkasi" jismoniy xavfsizlik dunyosini larzaga keltirdi. Ma'lum bo'lishicha, oddiy bufer to'lib-toshgan hujum xakerga ba'zi kameralarga ildiz kirishiga imkon beradi va bu ularga kamerani kameraga yuklash uchun tanlagan istalgan kodning 2 Gb ishlashiga majburlash imkoniyatini beradi. Bu shunchaki kamerani tushirish, kamerangizni botnetga qo'shish yoki hatto kameraning video oqimini to'xtatish va buzish uchun ishlatilishi mumkin. Ushbu hujumni amalga oshirishga imkon yaratgan kod 34 xil ishlab chiqaruvchilar va millionlab kameralar sonida qayta ishlatilgan. Bu ushbu turdagi qurilmalarda mavjud bo'lgan ko'plab ekspluatatsiyalar va zaifliklardan biridir va bular yuqori sifatli kameralardir. Bochkaning pastki qismidagi kulrang bozor kameralarini ko'rib chiqishni boshlaganimizda, ba'zi eng mashhur ishlab chiqaruvchilarning xavfsizlik zaifligi va orqa eshiklar tufayli AQSh hukumatiga sotilmasligi bilan dunyoning ko'rinishi tobora yomonlashmoqda. Quyon teshigi chuqurroq boradi, chunki bu qurilmalardan keladigan DDoS hujumlari GRE paketlarini yuboradi. Bu ushbu hujumlarning oldini olishda DNS-ga asoslangan DDoS yumshatishni ahamiyatsiz qiladi. Ko'pgina kompaniyalar o'zlarining xavfsizlik choralarini butunlay qayta ko'rib chiqishlari kerak, chunki DDoS himoyasiga ega NGFW qurilmalari tobora ommalashib borayotgan va tobora kuchayib borayotgan hujumlarga qarshi himoyasiz bo'lishi mumkin. Xo'sh, tarmoq ma'murlari sifatida bu borada nima qilishimiz mumkin? Boshlash uchun biz kameralarimiz va NVR-larimiz muammoning bir qismiga aylanishining oldini olishimiz kerak. Jismoniy xavfsizlik va tarmoq xavfsizligi yagona xavfsizlik falsafasi orqali birlashgan ikkita alohida texnologiyadir. Hammasi to'g'ri qurilish xavfsizligi va tarmoq segmentatsiyasidan boshlanadi. Kichik va o'rta kuzatuv tizimlari sizning tarmog'ingizning qolgan qismi bilan bir xil uskunada ishlash uchun hech qanday sabab yo'q. Eng xavfsiz variant - bu kuzatuv tizimingizni WAN tarmog'idan va o'ziga xos uskunada butunlay uzib qo'yishdir. Ko'pgina NVRlar hatto shu maqsadda o'rnatilgan PoE portlari bilan birga keladi, kameralar hech qanday qo'shimcha uskunaga muhtoj bo'lmasdan to'g'ridan-to'g'ri NVR ga ulanishi mumkin. Ba'zi mijozlar uchun bu konfiguratsiya haqiqatga to'g'ri kelmaydi, chunki ba'zida siz kuzatuv tizimini izlayotganingizning sababi jonli ko'rish va tasvirga masofadan kirish imkoniyatiga ega bo'lishdir. Bunday holda, xavfsizlik tizimingiz tarmoqning qolgan qismiga kirish imkoni bo'lmagan o'z ichki tarmog'ida ekanligiga ishonch hosil qiling. Kameraga kirishni yoqish uchun hech qachon UPnP yoki sotuvchi tomonidan taqdim etilgan yordamchi dasturlarga ishonmang. Xavfsizlikka yo'naltirilgan tarmoq ma'murlari uchun bu maslahat oddiy ko'rinishi mumkin, ammo jismoniy xavfsizlik integratorlari tarmoq xavfsizligini eng yaxshi holatda keyin o'ylash va eng yomoni to'siq sifatida ko'radi. Bundan tashqari, Garland Network TAP bilan birlashtirilgan ForeScout CounterACT kabi vositani ko'rib chiqing. CounterACT xavfsizlik kameralari kabi IoT qurilmalarini amalga oshirishni soddalashtiradigan ba'zi kampus IoT xavfsizlik xususiyatlarini taklif etadi. Agar ForeScout sizning asosiy tarmog'ingizdagi xavfsizlik kamerasi kabi IoT qurilmasini aniqlasa, u avtomatik ravishda ushbu qurilmani alohida quyi tarmoqqa ulash uchun kalitingizni ta'minlaydi. Bundan tashqari, CounterACT spam yuboradigan yoki ruxsatsiz dasturlarni ishga tushiradigan qurilmalar bilan aloqani uzish uchun siyosatlarni pasaytiradi. Endi biz kameralarimizni himoya qildik, o'zimizni botnet hujumidan qanday himoya qilamiz? Biz bilamizki, DNS-ga asoslangan DDoS yumshatish bu hujumlarda foydasiz, shuning uchun nima qilishimiz kerak? Yechim bizning tarmog'imizni mumkin bo'lgan DDoS hujumlarining kengligidan himoya qiladigan maxsus qurilma. CheckPoint DDoS Protector aynan shu maqsadda ishlab chiqilgan. Garland Technology Bypass TAP bilan bog'langan holda, CheckPoint DDoS Protector har qanday manbadan bizning tarmog'imizga yuborilishi mumkin bo'lgan har bir bit, bayt va paketni ko'rishiga amin bo'lishimiz mumkin. Bundan tashqari, Bypass TAP bizga DDoS Protector-ni inline oʻrnatishga imkon beradi, shu bilan birga tarmoqni ushbu qurilma nosozligidan himoya qiladi.