جدید ترین مقاله ها

نکات مهم برای افزایش امنیت دوربین مداربسته (راهنمای کامل جلوگیری از هک و نفوذ)

مهم ترین اقدامات امنیتی در ۲ دقیقه

اگر فقط ۲ دقیقه زمان داری، این بخش را انجام بده. هدف این است که راه‌های رایج نفوذ (مثل رمزهای پیش فرض، دسترسی مستقیم از اینترنت، سرویس های باز و آپدیت های عقب افتاده) را سریع ببندی و سطح امنیت سیستم دوربین مداربسته‌ات (IP Camera / NVR-DVR / VMS / اپ موبایل) را چند برابر کنی.

چک لیست فوری (۱۰ اقدام ضروری)

  1. رمز پیش فرض را فوراً تغییر بده (دوربین + NVR/DVR + اپ/پنل)
    • همه دستگاه‌ها و نرم افزارها را چک کن: IP Camera، NVR/DVR، پنل وب، اپ موبایل، VMS.
    • از یک رمز قوی و منحصربه فرد برای هر بخش استفاده کن (نه یک رمز مشترک برای همه).
  2. اکانت Admin را محدود کن
    • اگر امکان دارد، اکانت جدید با دسترسی محدود بساز و فقط در مواقع لازم با Admin وارد شو.
    • اصل «کمترین دسترسی» (Least Privilege) را رعایت کن.
  3. UPnP را خاموش کن
    • UPnP میتواند بدون اینکه متوجه شوی پورت‌ها را روی روتر باز کند.
    • در روتر/مودم و در خود دستگاه‌ها (اگر تنظیم دارد) بررسی و غیرفعال کن.
  4. اگر Port Forwarding داری، همین امروز بازبینی کن
    • فقط پورت‌های ضروری را باز نگه دار، نه “رنج پورت”.
    • پورت‌های پیش فرض را تغییر بده (مثلاً HTTP 80 یا پورت‌های رایج سرویس‌های انتقال تصویر).
    • اگر میتوانی، به جای Port Forwarding برو سراغ VPN.
  5. DMZ را برای دوربین مداربسته استفاده نکن
    • DMZ یعنی عملاً دستگاه را در معرض مستقیم اینترنت میگذاری و ریسک نفوذ را بالا میبری.
    • اگر الان فعال است، سریعاً جمعش کن و راه امن تر (VPN/فایروال) جایگزین کن.
  6. شبکه دوربین‌ها را جدا کن (VLAN یا حداقل یک شبکه جدا)
    • دوربین‌ها را روی یک VLAN یا شبکه جدا از کامپیوترهای اداری/خانه قرار بده.
    • این کار اگر یک دستگاه آلوده شد، جلوی سرایت را میگیرد.
  7. دسترسی را محدود کن (IP Filter / Allowlist)
    • اگر دستگاه/روتر اجازه میدهد، فقط IPهای مجاز (مثلاً آی پی شرکت یا گوشی مدیر از طریق VPN) بتوانند وصل شوند.
    • حتی اگر رمز لو رفت، دسترسی همچنان سخت میشود.
  8. Firmware و نرم افزارها را به روز کن (از منبع رسمی)
    • Firmware دوربین‌ها و NVR/DVR را از وب سایت رسمی سازنده بگیر و آپدیت کن.
    • اپ موبایل/VMS/کلاینت (مثل SmartPSS و مشابه‌ها) را هم به روز نگه دار.
  9. سرویس‌های غیرضروری را خاموش کن (Hardening)
    • اگر نیاز نداری، SNMP و Multicast را غیرفعال کن.
    • سرویس‌های قدیمی/اضافی را ببند تا سطح حمله کمتر شود.
  10. هشدار و لاگ را فعال کن
  • لاگ ورودها (Failed Login) و تغییر تنظیمات را فعال کن.
  • اگر امکان دارد، هشدار برای ورودهای مشکوک/تلاش‌های ناموفق زیاد تنظیم کن.

رایج ترین اشتباهاتی که باعث هک دوربین میشود

  1. همان رمز کارخانه یا رمزهای ضعیف
    • “admin/admin”، تاریخ تولد، شماره موبایل و… هنوز شایع ترین علت نفوذ است.
  2. باز گذاشتن دسترسی مستقیم از اینترنت (Port Forwarding بی قاعده)
    • مخصوصاً وقتی پورت‌های پیش فرض باز هستند یا چندین پورت/رنج پورت باز شده.
  3. استفاده از DMZ برای انتقال تصویر
    • خیلی‌ها برای «سریع راه افتادن» DMZ را روشن میکنند و عملاً دوربین/NVR را عمومی میگذارند.
  4. روشن بودن UPnP
    • باعث میشود بدون کنترل دقیق، مسیرهای دسترسی ایجاد شود.
  5. به روزرسانی نکردن Firmware و نرم افزارها
    • باگ‌ها و آسیب پذیری‌های شناخته شده دقیقاً از همین مسیرها سوءاستفاده میشوند.
  6. شبکه یکپارچه و بدون جداسازی
    • وقتی دوربین‌ها کنار لپ تاپ‌ها، پرینترها و سیستم‌های اداری روی یک شبکه‌اند، نفوذ ساده تر میشود.
  7. نبود محدودیت دسترسی (بدون IP Filter/Allowlist)
    • یعنی هرکسی از هرجا میتواند تلاش کند وارد شود.
  8. فعال بودن سرویس‌های غیرضروری مثل SNMP / Multicast
    • هر سرویس اضافی یعنی یک “درگاه” اضافه برای بررسی و سوءاستفاده مهاجم.
  9. Auto-Login در نرم افزارهای کلاینت یا ذخیره رمز روی سیستم
    • اگر سیستم آلوده شود یا کسی به آن دسترسی پیدا کند، ورود بدون مانع انجام میشود.
  10. نداشتن لاگ و هشدار
  • وقتی نفوذ شروع میشود، اگر لاگ و هشدار نداری، دیر متوجه میشوی و آسیب بیشتر میشود.

امنیت دوربین مداربسته دقیقاً یعنی چه و چه چیزهایی را باید محافظت کنیم؟

امنیت دوربین مداربسته یعنی جلوگیری از دسترسی غیرمجاز، دستکاری تنظیمات یا قطع سرویس، و نشت تصاویر در کل زنجیره‌ی نظارت تصویری؛ از خود دوربین و رکوردر (NVR/DVR) گرفته تا شبکه، فضای ذخیره سازی، نرم افزار مدیریت (VMS) و دسترسی از راه دور (اپ موبایل/پنل وب).

خیلی‌ها امنیت را فقط «رمز گذاشتن روی دوربین» می‌دانند، اما واقعیت این است که یک سیستم نظارت تصویری مثل یک اکوسیستم است: اگر یک بخش ضعیف باشد (مثلاً روتر یا اپلیکیشن)، کل سیستم میتواند آسیب ببیند.

اجزای سیستم نظارت تصویری (IP Camera / NVR-DVR / VMS / اپلیکیشن)

برای اینکه امنیت را درست پیاده کنی، اول باید بدانی دقیقاً چه چیزهایی در سیستم وجود دارد و هر کدام چه نقشی دارند:

  • IP Camera (دوربین تحت شبکه)
    دوربین‌های IP معمولاً رابط مدیریتی (پنل وب)، سرویس‌های شبکه (مثل RTSP/HTTP/ONVIF)، و گاهی کارت SD دارند. پس هم «نقطه تولید ویدیو» هستند هم یک «دستگاه شبکه‌ای» که میتواند هدف حمله باشد.
  • Analog Camera + DVR (دوربین آنالوگ + دستگاه DVR)
    در سیستم آنالوگ، خود دوربین ساده تر است اما DVR نقطه‌ی اصلی پردازش/مدیریت/انتقال تصویر میشود و معمولاً بیشترین ریسک امنیتی همین جاست (به خصوص برای دسترسی از راه دور).
  • NVR (Network Video Recorder)
    در سیستم‌های IP، NVR محل ضبط، مدیریت کاربران، شبکه و سرویس‌های پخش زنده/بازپخش است. اگر NVR دسترسی بگیرد، مهاجم معمولاً میتواند به همه دوربین‌ها هم دسترسی پیدا کند.
  • VMS (Video Management System)
    نرم افزار مدیریت و مانیتورینگ (روی سرور یا کامپیوتر) که برای مشاهده، ضبط، تحلیل و مدیریت کاربران استفاده میشود. ضعف در VMS یعنی احتمال لو رفتن تصویر، دزدیدن اطلاعات ورود، یا دستکاری دسترسی‌ها.
  • اپلیکیشن موبایل و پنل وب (Mobile App / Web Admin Panel)
    اکثر نفوذها از همین مسیر «راحت و سریع» اتفاق می افتد، مخصوصاً وقتی Port Forwarding یا DDNS فعال باشد یا رمزها ضعیف باشند.
  • فضای ذخیره سازی (HDD/NAS/Cloud/SD Card)
    ویدیوها معمولاً در هارد NVR/DVR ذخیره میشوند، یا روی NAS، یا روی Cloud، یا حتی روی SD Card داخل دوربین. هرکدام ریسک‌های مخصوص خودشان را دارند: از سرقت فیزیکی هارد گرفته تا نشت اطلاعات در دسترسی‌های اشتباه.

نتیجه عملی: وقتی میگوییم «امنیت دوربین مداربسته»، منظور فقط “دوربین” نیست؛ منظور کل زنجیره‌ی تولید تا نمایش و ذخیره سازی و دسترسی است.

سطح‌های ریسک: دوربین، رکوردر، شبکه، فضای ذخیره سازی، دسترسی از راه دور

برای اینکه بفهمیم کجا باید بیشتر سخت گیری کنیم، سیستم را در ۵ لایه‌ی ریسک نگاه میکنیم:

  1. ریسک در سطح دوربین (Device Layer)
    • رمز پیش فرض، Firmware قدیمی، سرویس‌های باز (مثل پنل وب، RTSP، ONVIF)
    • کارت SD بدون کنترل دسترسی
    • ضعف در تنظیمات رمزنگاری (مثلاً استفاده نک پردن از HTTPS/TLS)
  2. ریسک دپچر سطح رکوردر (NVR/DVR Layer)4
    • اکانت Admin، مدیریت کاربران، دسترسی به همه دوربین‌ها
    • تنظیمات شبکه (پورت‌ها، سرویس‌ها، UPnP)
    • اگر آلوده شود یا رمز لو برود، معمولاً کل سیستم از دست می رود
  3. ریسک در سطح شبکه (Network Layer)
    • شبکه یکپارچه (بدون VLAN/Segmentation)
    • فایروال ضعیف یا تنظیمات اشتباه روتر
    • باز بودن سرویس‌ها، Port Forwarding گسترده، UPnP روشن
    • نبود IP Filter / Allowlist
  4. ریسک در سطح ذخیره سازی و آرشیو (Storage Layer)
    • دسترسی غیرمجاز به Playback/Archive
    • بکاپ نداشتن (در حمله یا خرابی، شواهد از بین می رود)
    • نداشتن سیاست نگهداری (Retention) و مدیریت دسترسی
  5. ریسک در دسترسی از راه دور (Remote Access Layer)
    • Port Forwarding و DMZ (پرریسک)
    • DDNS بدون محدودیت دسترسی
    • اپ موبایل/پنل وب بدون MFA و بدون کنترل نشست‌ها
    • ذخیره شدن رمز در نرم افزار یا Auto-Login

جمع بندی این بخش: هرچه سیستم به اینترنت «مستقیم تر» وصل باشد، سطح ریسک بالاتر می رود. معمولاً امن ترین رویکرد این است که دسترسی بیرونی را از طریق VPN و کنترل‌های دسترسی (مثل Allowlist) انجام بدهیم.

تهدیدهای رایج: دسترسی غیرمجاز، Brute Force، بدافزار/Botnet، MITM، باج افزار، نشت ویدیو

در عمل، حمله‌ها به سیستم دوربین مداربسته چند الگوی پرتکرار دارند. دانستن اینها کمک میکند بفهمی چرا باید هر اقدام امنیتی را جدی بگیری:

  1. دسترسی غیرمجاز (Unauthorized Access)
    • مهاجم با رمز لو رفته/حدس زده یا از طریق آسیب پذیری وارد پنل وب/اپ/NVR میشود.
    • نتیجه: مشاهده زنده، دانلود آرشیو، تغییر تنظیمات، حذف ویدیوها.
  2. حمله Brute Force (حدس رمز)
    • وقتی دستگاه روی اینترنت در دسترس باشد (Port Forwarding/UPnP/DDNS)، ربات‌ها دائماً تلاش میکنند با رمزهای رایج وارد شوند.
    • راه کاهش ریسک: رمز قوی، Lockout/Rate Limit، بستن دسترسی اینترنتی مستقیم، Allowlist.
  3. بدافزار و Botnet (مثل آلوده کردن IoT)
    • دوربین یا NVR به شبکه‌ی بات نت اضافه میشود و برای حملات دیگر (مثل DDoS) استفاده میگردد.
    • علت‌های رایج: Firmware قدیمی، سرویس‌های باز، رمز ضعیف.
  4. MITM (Man-in-the-Middle) / شنود و دستکاری ارتباط
    • اگر ارتباط بین اپ/پنل و دستگاه رمزنگاری نشده باشد، در شبکه‌های ناامن امکان شنود یا دستکاری وجود دارد.
    • راه کاهش ریسک: استفاده از HTTPS/TLS، VPN، شبکه امن و جداسازی.
  5. باج افزار (Ransomware)
    • بیشتر در سناریوهای سازمانی رخ میدهد: یک سیستم یا سرور VMS/NVR آلوده میشود، فایل‌ها قفل میشوند یا دسترسی قطع میگردد.
    • راه کاهش ریسک: جداسازی شبکه، محدودسازی دسترسی‌ها، بکاپ، به روزرسانی و سخت سازی.
  6. نشت ویدیو (Video Leakage)
    • گاهی هک “کامل” اتفاق نمی افتد؛ فقط ویدیوها لو می روند: از طریق لینک‌های باز، حساب‌های مشترک، رمز ذخیره شده روی سیستم، یا دسترسی اشتباه به آرشیو/Cloud.
    • راه کاهش ریسک: کنترل دسترسی، لاگ و مانیتورینگ، سیاست نگهداری، رمزنگاری و محدودسازی اشتراک گذاری.

امن سازی حساب‌های کاربری و دسترسی‌ها (مهم ترین بخش)

بیشتر نفوذهایی که در سیستم‌های دوربین مداربسته اتفاق میافتد، از یک نقطه شروع میشود: اعتبارنامه (Username/Password) ضعیف یا مدیریت دسترسی اشتباه. حتی اگر شبکه‌ات VLAN داشته باشد و فایروال هم درست تنظیم شده باشد، وقتی یک اکانت ادمین با رمز ساده یا رمز کارخانه وجود داشته باشد، مهاجم دیر یا زود راهی برای ورود پیدا میکند به خصوص اگر دسترسی از راه دور (Port Forwarding / DDNS / UPnP) فعال باشد.

در این بخش، یک چارچوب عملی میدهم که روی دوربین IP، NVR/DVR، VMS و اپلیکیشن قابل اجراست.

تغییر رمزهای پیش فرض و حذف/محدود کردن اکانت Admin

هدف: از بین بردن ساده ترین و رایج ترین راه نفوذ.

  1. همه نقاط ورود را لیست کن و جداگانه امن کن
    • دوربین‌ها (هر دوربین جدا)
    • NVR/DVR
    • VMS/کلاینت روی کامپیوتر
    • اپ موبایل و پنل وب
    • روتر/مودم (خیلی وقت‌ها از همین جا مسیر نفوذ باز می شود)
  2. رمزهای پیش فرض/کارخانه را فوراً تغییر بده
    • بسیاری از حملات اتوماتیک، ابتدا لیست رمزهای پیش فرض برندهای رایج را تست میکنند.
    • اگر امکان دارد، اکانت‌های پیش فرض غیرضروری را Disable کن.
  3. اکانت Admin را “روزمره” نکن
    • یک اکانت مدیریتی با دسترسی کامل فقط برای تنظیمات حساس نگه دار.
    • برای اپراتور/نگهبانی/کاربران، اکانت جدا با دسترسی محدود بساز.
    • اگر دستگاه اجازه میدهد:
      • تغییر نام کاربری Admin (در بعضی مدل‌ها ممکن است)
      • محدود کردن ورود Admin فقط از شبکه داخلی یا IPهای مجاز

ساخت رمز قوی و سیاست تعویض دوره‌ای رمز

هدف: کاهش ریسک حدس رمز، نشت رمز و استفاده مجدد از رمزها.

رمز قوی یعنی چه؟

  • حداقل ۱۲ تا ۱۶ کاراکتر
  • ترکیب حروف بزرگ/کوچک + عدد + نماد
  • غیرقابل حدس (نه اسم شرکت، نه شماره موبایل، نه تاریخ)
  • برای هر دستگاه/حساب، رمز متفاوت (عدم استفاده از رمز مشترک)

بهترین راه: Passphrase
به جای رمزهای سخت حفظ مثل A!7xP2#k9… از عبارت‌های طولانی استفاده کن:

  • مثال: Cam-Security_1404!Office-NVR
    (اینجا طول زیاد + ساختار + نمادها امنیت را بالا میبرد و حفظ کردنش راحت تر است.)

سیاست تعویض دوره‌ای رمز (Password Rotation)

  • اگر محیط خانگی/کوچک است: هر ۶ ماه
  • اگر سازمانی/حساس است: هر ۳ ماه (یا طبق سیاست سازمان)
  • هر بار تغییر، رمزهای قبلی را دوباره استفاده نکن

مدیریت امن رمزها

  • از Password Manager استفاده کن (در تیم‌ها گزینه‌های سازمانی بهترند).
  • رمزها را روی کاغذ چسبیده به دستگاه یا در فایل‌های بدون رمز ذخیره نکن.
  • در نرم افزارهای کلاینت/اپ‌ها اگر گزینه “Remember Password” یا “Auto Login” هست، فقط وقتی واقعاً نیاز داری فعال کن و ترجیحاً غیرفعال نگه دار.

نقش‌ها و سطح دسترسی (RBAC) و اصل کمترین دسترسی

RBAC یعنی هر کاربر فقط به اندازه نیازش دسترسی داشته باشد. این موضوع برای دوربین مداربسته حیاتی است چون خیلی وقت‌ها مشکل از “هکر بیرونی” نیست؛ از دسترسی بیش‌ازحد داخلی یا لو رفتن اکانت یک کاربر ساده اتفاق می افتد.

اصل کمترین دسترسی (Least Privilege)

  • هر کاربر فقط همان قابلیت‌هایی را داشته باشد که برای کارش لازم است.
  • دسترسی‌ها را به شکل حداقلی شروع کن و اگر لازم شد، افزایش بده (نه برعکس).

نمونه نقش‌های پیشنهادی

  • Administrator: تنظیمات شبکه، کاربران، ضبط، آپدیت، دسترسی کامل (محدود به چند نفر)
  • Operator/Monitoring: فقط مشاهده زنده (Live View) + شاید کنترل PTZ
  • Playback Viewer: فقط بازبینی آرشیو (Playback) بدون امکان حذف
  • Maintenance: فقط تنظیمات فنی محدود (مثلاً شبکه داخلی یا زمان/NTP) در صورت نیاز

کنترل دسترسی بر اساس دوربین/کانال
اگر سیستم اجازه میدهد:

  • بعضی کاربران فقط به دوربین‌های مشخص دسترسی داشته باشند (مثلاً دوربین‌های طبقه خودش).
  • دسترسی به دوربین‌های حساس (اتاق سرور/صندوق) فقط برای افراد مشخص باشد.

محدود سازی تلاش ورود (Rate limit / Lockout) و ثبت لاگ ورودها

هدف: جلوگیری از حملات Brute Force و کشف سریع تلاش‌های مشکوک.

  1. Rate Limit / Lockout را فعال کن
    • مثال سیاست خوب:
      • بعد از ۵ تلاش ناموفق → قفل ۱۵ دقیقه
      • یا قفل تا زمان تأیید مدیر (در سیستم‌های حساس)
    • اگر گزینه Captcha یا محدودیت ورود از IPهای ناشناس وجود دارد، فعال کن.
  2. لاگ‌های امنیتی (Audit Logs) را روشن کن
    • لاگ ورود موفق/ناموفق
    • تغییر رمز
    • تغییر تنظیمات شبکه/پورت/کاربران
    • حذف ویدیو/فرمت هارد/تغییرات ضبط
  3. هشدار برای رخدادهای مهم
    • اگر سیستم امکان Alert دارد:
      • تعداد زیاد Failed Login
      • ورود از مکان/آی پی جدید
      • تغییر کاربر/دسترسی‌ها
      • خاموش شدن دستگاه یا قطع شبکه

فعال سازی MFA/2FA (اگر دستگاه/پلتفرم پشتیبانی کند)

هدف: حتی اگر رمز لو رفت، ورود بدون عامل دوم ممکن نباشد.

اگر VMS یا اپ/سرویس ابری (Cloud) این قابلیت را دارد:

  • 2FA را برای اکانت‌های مدیر (Admin) حتماً فعال کن
  • روش‌های رایج:
    • اپ OTP (مثل Google Authenticator / Authy)
    • پیامک (کم امن تر از OTP، ولی بهتر از هیچ)
    • ایمیل (در صورت امن بودن ایمیل)

اولویت بندی در فعال سازی

  1. اکانت‌های Admin
  2. اکانت‌های دارای دسترسی به Playback/Archive
  3. اکانت‌های دسترسی از راه دور

همراه با MFA این دو نکته را هم رعایت کن

  • ایمیل/شماره‌ای که 2FA به آن وصل است خودش باید امن باشد (رمز قوی + 2FA).
  • کدهای بازیابی (Recovery codes) را امن نگه دار (نه روی همان گوشی).

امن سازی شبکه: جداسازی، فایروال و بستن مسیرهای نفوذ

حتی اگر رمزها قوی باشند، باز هم شبکه میتواند “مسیر نفوذ” باشد. چون دوربین‌ها و NVR/DVR عملاً دستگاه‌های IoT متصل به شبکه هستند و اگر در همان شبکه‌ی کامپیوترها، پرینترها و موبایل‌ها قرار بگیرند، یک آلودگی ساده یا یک دسترسی اشتباه میتواند کل سیستم نظارت تصویری را در معرض خطر قرار دهد.

راه حل حرفه‌ای این است که شبکه را طوری طراحی کنیم که:

  • دوربین‌ها ایزوله شوند (Segmentation)
  • فقط ارتباط‌های ضروری مجاز باشد (Firewall rules)
  • قابلیت‌های پرریسک و غیرضروری خاموش شوند (Hardening)
  • دسترسی مدیریتی فقط برای افراد/آی پی‌های مجاز ممکن باشد (Allowlist)

قوانین فایروال برای دوربین/NVR (فقط ترافیک لازم)

ایده اصلی در فایروال این است:
همه چیز را ببند، فقط موارد ضروری را باز کن.

قوانین پیشنهادی (مفهومی و قابل اجرا در اکثر روترها/فایروال‌ها):

مسدود کردن خروجی‌های غیرضروری دوربین‌ها به اینترنت

  • اکثر دوربین‌ها برای کارکرد داخل شبکه نیازی به اینترنت ندارند.
  • اگر Cloud/P2P استفاده نمیکنی، خروجی اینترنت دوربین‌ها را ببند.

اجازه دسترسی فقط از کلاینت‌های مشخص به NVR/VMS

  • فقط IP کامپیوتر نگهبانی/سرور VMS یا گوشی مدیر (از طریق VPN) مجاز باشد.
  • دسترسی مدیریتی به پنل وب را “عمومی” باز نگذار.

فقط پورت‌های ضروری در داخل شبکه

  • سرویس‌هایی مثل پخش زنده/مدیریت/بازپخش باید محدود شوند به همان VLAN یا همان IPهای مجاز.
  • از باز گذاشتن سرویس‌ها روی همه شبکه (ANY/ANY) خودداری کن.

اگر مجبور به دسترسی از بیرون هستی

  • بهترین حالت: VPN → سپس دسترسی مثل داخل شبکه
  • اگر Port Forwarding اجتناب ناپذیر است:
    • فقط یک یا دو پورت لازم
    • محدودسازی به IPهای مشخص (اگر روتر اجازه میدهد)
    • لاگ و هشدار برای تلاش‌های ورود ناموفق

غیرفعال کردن UPnP و سرویس‌های غیرضروری

این بخش همان “سخت سازی شبکه” است؛ یعنی کم کردن تعداد درگاه‌های ورودی/خروجی.

1) UPnP را خاموش کن (روی روتر و دستگاه)

UPnP ممکن است خودش به صورت خودکار پورت‌ها را باز کند تا انتقال تصویر راحت شود اما دقیقاً همین “راحتی” میتواند تبدیل به حفره امنیتی شود.

  • UPnP را در مودم/روتر خاموش کن
  • اگر در تنظیمات NVR/DVR یا دوربین هم UPnP دارد، آن را هم غیرفعال کن

2) سرویس‌های غیرضروری را خاموش کن

بسته به مدل دستگاه، این سرویس‌ها ممکن است وجود داشته باشند:

  • SNMP (اگر برای مانیتورینگ حرفه‌ای استفاده نمیکنی، خاموش)
  • Multicast (اگر نیاز نداری، خاموش)
  • سرویس‌های اشتراک گذاری یا کشف خودکار (Discovery)
  • P2P/Cloud Access (اگر نمیخواهی از روش‌های ابری استفاده کنی)

اصل مهم: هر سرویس اضافه = سطح حمله بیشتر.
اگر نمی دانی یک گزینه دقیقاً چیست، بهترین کار این است که قبل از روشن گذاشتنش مطمئن شوی واقعاً نیاز داری.

استفاده از IP Filter / Allowlist برای محدود کردن دسترسی‌ها

IP Allowlist یکی از اقدامات خیلی موثر و کم هزینه است:
به جای اینکه هر کسی بتواند تلاش کند وصل شود، تعریف میکنی که فقط IPهای مشخص اجازه اتصال/مدیریت داشته باشند.

کجاها میشود Allowlist گذاشت؟

  • روی بعضی NVR/DVRها و دوربین‌ها (در تنظیمات Security یا Network)
  • روی روتر/فایروال (معمولاً گزینه بهتر و مرکزی تر)

سناریوهای کاربردی

  • فقط کامپیوتر نگهبانی بتواند پنل NVR را باز کند
  • فقط سرور VMS به دوربین‌ها دسترسی داشته باشد
  • دسترسی موبایل مدیر فقط از طریق VPN و آی پی مشخص مجاز باشد

نکته مهم درباره IPهای متغیر

  • اگر اینترنت شما IP ثابت ندارد، Allowlist بیرونی سخت میشود.
  • راه حل بهتر: VPN (کاربر اول VPN وصل میشود و یک IP داخلی ثابت میگیرد، بعد Allowlist را روی IP داخلی اعمال میکنی)

ترکیب طلایی

  • Segmentation (VLAN) + Firewall (حداقل دسترسی) + UPnP Off + Allowlist
    این چهار مورد معمولاً امنیت را از حالت “آسیب پذیر” به “قابل اعتماد” می رساند.

دسترسی از راه دور را امن کنید (VPN بهتر از Port Forwarding)

دسترسی از راه دور (Remote Access) همان جایی است که خیلی از سیستم‌های دوربین مداربسته «ناگهان» ناامن میشوند؛ چون برای دیدن تصویر از بیرون، بعضی‌ها سریع میروند سراغ Port Forwarding یا حتی DMZ. این کارها ممکن است انتقال تصویر را آسان کند، اما همزمان دستگاه (NVR/DVR/دوربین/پنل وب) را در معرض اسکن دائمی اینترنت و حملات خودکار قرار میدهد.

بهترین رویکرد برای اکثر سناریوها این است:
به جای اینکه “دوربین را به اینترنت نزدیک کنی”، اول خودت را با VPN به شبکه داخلی نزدیک کن.

چرا Port Forwarding ریسک دارد و چه زمانی اجتناب ناپذیر است؟

Port Forwarding یعنی روی مودم/روتر یک پورت را از اینترنت به دستگاه داخلی (مثل NVR) هدایت کنی. مشکل اینجاست که با این کار:

  • دستگاه تو وارد «رادار» اسکنرهای اینترنتی میشود (اسکن پورت‌ها 24/7 اتفاق می افتد)
  • حملات Brute Force روی پنل‌ها و سرویس‌ها شروع میشود
  • اگر Firmware قدیمی باشد یا آسیب پذیری شناخته شده وجود داشته باشد، ریسک نفوذ بالا میرود
  • حتی با رمز قوی هم ممکن است برخی سرویس‌ها ضعف داشته باشند (مثلاً وب سرور داخلی، سرویس های قدیمی، تنظیمات اشتباه)

چه زمانی Port Forwarding اجتناب ناپذیر میشود؟

  • وقتی تجهیزات/سازمان امکان راه اندازی VPN ندارد
  • وقتی سرویس یا اپلیکیشن شما فقط با Port Forwarding کار میکند
  • وقتی در پروژه‌های کوچک/خانگی، کاربر فقط یک راه ساده میخواهد و حاضر به پیچیدگی VPN نیست

اگر مجبور شدی Port Forwarding استفاده کنی، باید آن را مثل “یک درِ ورودی به ساختمان” ببینی: فقط یک در، با قفل‌های متعدد، نه چندین ورودی باز.

تغییر پورت‌های پیش فرض و باز گذاشتن فقط پورت‌های ضروری

اگر به هر دلیل Port Forwarding انجام می دهی، این سه اصل را رعایت کن:

  1. فقط پورت‌های ضروری را باز کن
    • باز کردن “رنج پورت” یا چندین پورت مختلف برای راحتی، سطح حمله را چند برابر میکند.
    • هر پورت باز یعنی یک سرویس قابل هدف گیری.
  2. پورت‌های پیش فرض را تغییر بده
    • پورت‌های رایج مثل HTTP 80 / HTTPS 443 / RTSP 554 و پورت‌های شناخته شده برخی برندها بیشتر اسکن میشوند.
    • تغییر پورت، «امنیت کامل» نمی‌دهد، اما حجم حملات اتوماتیک را کم میکند (به عنوان یک لایه کمکی).
  3. دسترسی را محدود کن (اگر روتر اجازه میدهد)
    • روی بعضی روترها میتوانی بگویی این Port Forward فقط برای IPهای مشخص فعال باشد.
    • اگر IP ثابت نداری، بهترین راه همان VPN است.

نکته مهم:
“تغییر پورت” جایگزین رمز قوی، آپدیت Firmware، لاگ/Lockout و جداسازی شبکه نیست؛ فقط یک لایه دفاعی اضافی است.

چرا استفاده از DMZ برای انتقال تصویر خطرناک است؟

DMZ در بسیاری از مودم‌ها یعنی یک دستگاه داخلی را عملاً “در معرض مستقیم اینترنت” قرار بدهی (مثل این که آن را بیرون از فایروال گذاشته‌ای). در عمل:

  • تقریباً همه پورت‌ها/سرویس‌های دستگاه در دسترس اینترنت قرار میگیرد
  • سطح حمله به طور شدید افزایش پیدا میکند
  • اگر یک باگ یا سرویس باز وجود داشته باشد، مهاجم راحت تر وارد میشود
  • حتی اگر فقط NVR را DMZ کنی، چون NVR به دوربین‌ها دسترسی دارد، نفوذ به آن یعنی دسترسی به کل سیستم

نتیجه عملی:
برای سیستم‌های دوربین مداربسته، DMZ معمولاً یک «راه میان بر خطرناک» است و توصیه نمیشود. اگر هدف فقط دیدن تصویر از بیرون است، VPN یا روش‌های کنترل شده بهترند.

دسترسی امن از بیرون با VPN (سناریوهای رایج و مزیت‌ها)

VPN یعنی قبل از اینکه به پنل یا تصویر دسترسی بگیری، اول یک تونل امن به شبکه داخلی می زنی؛ مثل اینکه “از بیرون وارد شبکه شرکت شده‌ای”، اما با احراز هویت و رمزنگاری.

مزیت‌های اصلی VPN

  • سرویس‌های دوربین/NVR در اینترنت “نمایان” نمیشوند (پورت‌ها بسته می‌مانند)
  • ارتباط رمزنگاری شده است و ریسک شنود/MITM کمتر میشود
  • میتوانی دسترسی را به کاربران مشخص بدهی (به جای عمومی)
  • Allowlist داخلی خیلی راحت میشود (کاربر بعد از VPN یک IP داخلی ثابت میگیرد)

سناریوهای رایج

  1. خانه/دفتر کوچک
    • فقط صاحب سیستم میخواهد از موبایل تصویر را ببیند
    • راه امن: VPN روی روتر یا یک دستگاه میانجی → بعد مشاهده از داخل شبکه
  2. کسب وکار متوسط
    • چند نفر باید دسترسی داشته باشند (مدیر، نگهبانی، IT)
    • راه امن: VPN + نقش‌ها (RBAC) + لاگ و هشدار
  3. سازمانی
    • نیاز به کنترل دسترسی سخت گیرانه و مانیتورینگ
    • راه امن: VPN + Segmentation + Firewall + SIEM/Alerts (در صورت نیاز)

نکته مهم:
حتی اگر از VPN استفاده میکنی، باز هم باید رمزهای قوی، آپدیت Firmware و تنظیمات امنیتی دستگاه‌ها را رعایت کنی؛ VPN یک «لایه محافظتی» است، نه کل امنیت.

نکات DDNS و ریسک‌های آن (اگر استفاده میکنید)

DDNS کمک میکند وقتی IP اینترنت شما ثابت نیست، بتوانی با یک دامنه ثابت به شبکه‌ات وصل شوی. اما از نظر امنیتی چند نکته دارد:

  1. DDNS خودش در را باز نمیکند، ولی پیدا کردنت را آسان تر میکند
    • اگر همراه DDNS، Port Forwarding فعال باشد، مهاجم با داشتن دامنه راحت تر میتواند سیستم را هدف بگیرد.
  2. دامنه DDNS را عمومی پخش نکن
    • در شبکه‌های اجتماعی/گروه‌ها یا حتی بین افراد غیرضروری منتشر نشود.
  3. ترجیحاً DDNS را با VPN ترکیب کن
    • بهترین استفاده: DDNS فقط برای پیدا کردن آدرس VPN (نه برای باز کردن پنل NVR روی اینترنت)
    • یعنی: کاربر با DDNS به VPN وصل میشود، بعد داخل شبکه دسترسی میگیرد.
  4. اگر مجبور به Port Forwarding با DDNS هستی
    • حداقل: پورت‌های محدود، تغییر پورت، Lockout/Rate limit، لاگ و هشدار
    • و بهتر: Allowlist روی روتر (اگر ممکن باشد)

ارتباط امن و رمزنگاری: HTTPS/TLS و گواهی‌ها

حتی اگر رمز قوی داشته باشی و شبکه را هم جدا کرده باشی، اگر ارتباط بین مرورگر/اپلیکیشن و دوربین/NVR/VMS رمزنگاری نشده باشد، احتمال «شنود» یا «دستکاری ارتباط» وجود دارد؛ مخصوصاً وقتی از وای فای‌های عمومی، شبکه‌های اشتراکی، یا مسیرهای اینترنتی استفاده میکنی. اینجاست که HTTPS/TLS و گواهی دیجیتال (Certificate) نقش حیاتی پیدا میکنند.

به زبان ساده:

  • HTTPS/TLS یعنی اطلاعات (یوزرنیم/پسورد/ویدیو/تنظیمات) در مسیر رمزگذاری میشود.
  • Certificate به سیستم کمک میکند مطمئن شود واقعاً به همان دستگاه درست وصل شده (نه یک واسطه‌ی جعلی).

فعال سازی HTTPS/TLS در پنل وب و اپ‌ها

هدف: جلوگیری از شنود (Eavesdropping) و کاهش ریسک حملات MITM.

  1. اگر پنل وب دارید، همیشه با HTTPS وارد شوید
    • به جای http:// از https:// استفاده کن.
    • اگر دستگاه اجازه میدهد، گزینه‌ی Redirect HTTP to HTTPS را فعال کن تا هیچکس اشتباهی از HTTP استفاده نکند.
  2. TLS را برای سرویس‌های مدیریتی و انتقال تصویر فعال کنید (اگر پشتیبانی میشود)
    • بعضی برندها/مدل‌ها برای سرویس‌های مختلف مثل وب، API، یا حتی استریم، گزینه‌های امنیتی جدا دارند.
    • اولویت: پنل مدیریتی و حساب‌ها → سپس سرویس‌های مرتبط با مشاهده/مدیریت.
  3. اگر از اپ موبایل یا VMS استفاده میکنید
    • در تنظیمات، اگر گزینه‌ای مثل “Use HTTPS / Secure Connection / SSL” وجود دارد، فعالش کن.
    • اگر اپ یا VMS امکان انتخاب پروتکل دارد، “Secure” را انتخاب کن.
  4. دسترسی از راه دور را با VPN + HTTPS ترکیب کن
    • VPN مسیر را امن میکند و HTTPS هم ارتباط اپ/مرورگر تا دستگاه را رمزنگاری میکند.
    • این ترکیب معمولاً بهترین حالت برای جلوگیری از MITM و نشت اطلاعات است.

علامت خطر:
اگر هنگام ورود به پنل وب، اطلاعات ورودت بدون HTTPS ارسال شود، مهاجم روی همان شبکه (یا در مسیر) میتواند «پکت‌ها» را بررسی کند و حتی credential را به دست آورد به خصوص در شبکه‌های ناامن.

مدیریت گواهی (Certificate) و نکات رایج خطا

خیلی از کاربران وقتی HTTPS را فعال میکنند، با اخطارهای مرورگر مواجه میشوند (مثل “Not secure”، یا خطای گواهی). این خطاها معمولاً به یکی از دلایل زیر است:

Self-Signed Certificate (گواهی خودامضا)

    • بسیاری از دوربین‌ها و NVRها به صورت پیش فرض یک گواهی خودامضا تولید میکنند.
    • مرورگر به طور طبیعی به این گواهی اعتماد نمیکند و هشدار میدهد.

راهکارها (بسته به سناریو):

  • برای شبکه داخلی کوچک:
    میتوانی از گواهی خودامضا استفاده کنی، اما بهتر است دسترسی مدیریتی را محدود کنی (VLAN/Allowlist) و فقط افراد مطمئن وصل شوند.
  • برای سازمان یا استفاده حساس:
    بهتر است از گواهی معتبر استفاده شود یا از CA داخلی (Internal CA) بهره بگیرید.

عدم تطابق نام (Hostname/IP Mismatch)

    • گواهی برای یک نام صادر شده ولی شما با IP یا نام دیگری وصل میشوی.
    • مثال: گواهی برای nvr-office.local است ولی تو با 192.168.20.10 وارد میشوی.

راهکار:

  • اگر دستگاه اجازه میدهد، نام/دامنه‌ای که با آن وارد میشوی را با SAN/نام گواهی هم راستا کن.
  • در شبکه داخلی میتوانی از DNS داخلی یا نام ثابت استفاده کنی تا mismatch کمتر شود.

تاریخ/زمان اشتباه (Time Sync Problem)

    • اگر ساعت NVR یا دوربین غلط باشد، گواهی ممکن است “هنوز معتبر نشده” یا “منقضی شده” نشان داده شود.

راهکار:

  • NTP را فعال کن تا زمان همیشه درست باشد (این کار برای لاگ‌ها هم مهم است).

گواهی منقضی شده یا تمدید نشده

    • اگر گواهی را دستی نصب کرده‌ای، باید قبل از انقضا تمدید شود.

راهکار:

  • تاریخ انقضا را بررسی کن و یک یادآور برای تمدید بگذار.

استفاده از TLS/Cipherهای قدیمی

    • بعضی دستگاه‌ها یا تنظیمات قدیمی از نسخه‌های قدیمی TLS یا الگوریتم‌های ضعیف استفاده میکنند و مرورگر هشدار میدهد.

راهکار:

  • Firmware را آپدیت کن (خیلی وقت‌ها پشتیبانی از TLS بهتر با آپدیت می آید).
  • اگر گزینه انتخاب نسخه TLS یا Cipher وجود دارد، “Secure/Modern” را انتخاب کن.

نکته عملی: اگر قرار است کارکنان زیاد وارد پنل شوند، خطاهای گواهی باعث میشود افراد به هشدارها عادت کنند و هر اخطاری را “ignore” کنند؛ پس مدیریت درست Certificate به امنیت واقعی کمک میکند.

نکات امنیتی ONVIF (در صورت استفاده از ONVIF)

ONVIF یک استاندارد رایج برای سازگاری بین دوربین‌ها، NVRها و نرم افزارهای VMS است. ONVIF باعث میشود دستگاه‌های برندهای مختلف راحت تر با هم کار کنند، اما از دید امنیتی چند نکته مهم دارد:

  1. برای ONVIF یوزر جدا بساز (نه Admin)
    • بسیاری از سیستم‌ها اجازه میدهند یک کاربر مخصوص ONVIF تعریف کنی.
    • این کاربر باید حداقل دسترسی لازم را داشته باشد (مثلاً فقط مشاهده/استریم، نه تغییر تنظیمات).
  2. اگر امکان دارد، ONVIF را فقط داخل شبکه داخلی فعال کن
    • ONVIF برای کار در LAN طراحی شده؛ اگر به اینترنت نرود امن تر است.
    • با VLAN/Firewall این را تضمین کن.
  3. اگر دستگاه/نرم افزار پشتیبانی میکند، ONVIF روی TLS را فعال کن
    • بعضی پیاده سازی‌ها اجازه میدهند ارتباط ONVIF امن تر شود (بسته به مدل و VMS).
    • در صورت وجود گزینه‌های “Secure ONVIF / ONVIF over HTTPS”، فعال کردنش ارزش دارد.
  4. پورت‌ها و سرویس‌های کشف خودکار (Discovery) را مدیریت کن
    • در محیط های بزرگ، کشف خودکار ممکن است باعث شود دستگاه‌ها بیشتر “قابل شناسایی” شوند.
    • اگر نیاز نداری، Discovery را محدود یا کنترل شده استفاده کن.
  5. بعد از راه اندازی، ONVIF را رها نکن
    • اگر ONVIF فقط برای اضافه کردن اولیه دوربین‌ها استفاده شده و دیگر لازم نیست، در برخی سناریوها میشود آن را محدود یا حتی خاموش کرد (بسته به نیاز و معماری).

به روزرسانی و مدیریت آسیب پذیری (Firmware / Patch)

یکی از رایج ترین دلایل نفوذ به سیستم‌های دوربین مداربسته این است که دستگاه‌ها ماه‌ها یا حتی سال‌ها آپدیت نشده‌اند. در دنیای امنیت، مهاجم لازم نیست «جادو» کند؛ کافی است از یک آسیب پذیری شناخته شده در Firmware دوربین، NVR/DVR یا نرم افزار VMS استفاده کند. به همین دلیل، آپدیت و مدیریت Patch یکی از ستون‌های اصلی امنیت است به خصوص وقتی سیستم شما از راه دور قابل دسترسی باشد.

چرا Firmware Update حیاتی است؟

Firmware همان سیستم‌عامل/نرم افزار داخلی دوربین یا NVR است. آپدیت Firmware معمولاً این کارها را انجام میدهد:

  1. بستن حفره‌های امنیتی (Vulnerabilities)
    • بسیاری از باگ‌ها بعد از انتشار عمومی (یا لو رفتن) توسط سازنده Patch میشوند.
    • اگر آپدیت نکنید، سیستم شما دقیقاً همان نسخه آسیب پذیر را نگه می دارد.
  2. بهبود امنیت ارتباطات
    • گاهی آپدیت‌ها پشتیبانی از TLS بهتر، Cipherهای امن تر، یا تنظیمات امنیتی جدید اضافه میکنند.
    • بدون آپدیت، ممکن است مجبور باشید با استانداردهای قدیمی و ناامن کار کنید.
  3. رفع مشکلات پایداری و جلوگیری از قطع سرویس
    • برخی آپدیت‌ها باگ‌های کرش، هنگ، یا اختلال ضبط را حل میکنند.
    • این موضوع مستقیم روی “امنیت عملیاتی” اثر دارد (سیستم پایدار = فرصت کمتر برای سوءاستفاده).
  4. سازگاری بهتر با VMS/ONVIF و تجهیزات دیگر
    • گاهی ناسازگاری‌ها باعث میشود کاربران برای “راه افتادن” سراغ تنظیمات خطرناک (مثل باز کردن پورت‌های زیاد یا DMZ) بروند.

از کجا آپدیت کنیم؟ (فقط منابع رسمی سازنده)

یکی از خطاهای خطرناک، دانلود Firmware از کانال‌های نامعتبر است. چون Firmware عملاً میتواند دسترسی سطح بالا به دستگاه بدهد و اگر فایل آلوده یا دستکاری شده باشد، شما خودتان درِ ورود را باز کرده‌اید.

منبع درست برای آپدیت:

  • وب سایت رسمی سازنده (Manufacturer Official Website)
  • پورتال رسمی پشتیبانی/دانلود همان برند
  • در برخی موارد، داخل پنل رسمی دستگاه (اگر قابلیت بررسی/دانلود امن دارد)

کارهایی که بهتر است انجام ندهید:

  • دانلود از وب سایت‌های ناشناس یا لینک‌های تلگرامی/فروم‌های غیررسمی
  • استفاده از Firmware مدل‌های مشابه ولی “نه دقیقاً همان مدل”
    (ممکن است دستگاه Brick شود یا سرویس‌ها بدتر و ناامن تر شوند)

قبل از آپدیت اینها را چک کن:

  • مدل دقیق دستگاه و نسخه فعلی Firmware
  • Release Notes (اگر موجود است): چه چیزهایی تغییر کرده؟
  • تهیه بکاپ از تنظیمات (Config Backup) مخصوصاً برای NVR/VMS
  • زمان بندی آپدیت در ساعت کم تردد (برای کاهش ریسک قطع ضبط)

برنامه منظم Patch Management برای دوربین، NVR، VMS و اپ‌ها

آپدیت کردن باید تبدیل به یک «روال» شود، نه یک کار اتفاقی. یک برنامه ساده و قابل اجرا:

1) لیست دارایی‌ها (Asset List) بساز

حداقل شامل:

  • مدل و تعداد دوربین‌ها
  • مدل NVR/DVR
  • نسخه VMS یا نرم افزار کلاینت
  • اپ موبایل و نسخه‌ها
  • تجهیزات شبکه مرتبط (روتر/سوئیچ/فایروال)

2) یک چرخه آپدیت مشخص تعیین کن

پیشنهاد عملی:

  • ماهانه: بررسی وجود آپدیت (Check)
  • هر ۳ ماه: اجرای آپدیت‌های غیراضطراری (Routine Updates)
  • فوری (کمتر از ۷۲ ساعت تا ۷ روز): برای Patchهای امنیتی مهم، مخصوصاً اگر سیستم از راه دور در دسترس است

3) اولویت بندی آپدیت‌ها

همه چیز را یک باره آپدیت نکن، اولویت بده:

  1. روتر/فایروال و تجهیزات شبکه‌ای که مسیر دسترسی را کنترل میکنند
  2. NVR/DVR (چون مرکز کنترل و ذخیره است)
  3. دوربین‌ها (به خصوص دوربین‌های در معرض شبکه یا حساس)
  4. VMS/کلاینت‌ها و اپ‌های موبایل

4) آپدیت امن و بدون دردسر

  • قبل از آپدیت NVR، از تنظیمات بکاپ بگیر.
  • اگر سیستم بزرگ است، ابتدا روی یک دستگاه تست کن (Pilot Update).
  • بعد از آپدیت، چند مورد را چک کن:
    • Live View و Playback
    • ضبط طبق زمان بندی
    • دسترسی کاربران و نقش‌ها (RBAC)
    • تنظیمات شبکه، HTTPS/TLS، لاگ‌ها

مدیریت CVE و هشدارهای امنیتی (اگر سازمانی هستید)

در محیط‌های سازمانی، صرفاً “آپدیت کردن گاهی وقت‌ها” کافی نیست. بهتر است یک فرآیند سبک ولی منظم برای مدیریت آسیب پذیری داشته باشید.

CVE یعنی چه؟
CVE شناسه‌ی عمومی آسیب پذیری‌هاست (مثل یک “کد رهگیری” برای مشکلات امنیتی). اگر یک برند دوربین یا یک نسخه Firmware دارای CVE باشد، یعنی یک ضعف مشخص شناسایی شده که ممکن است Exploit هم داشته باشد.

برای مدیریت CVE و هشدارها چه کار کنیم؟

  1. کانال‌های اطلاع رسانی رسمی را دنبال کنید
    • صفحه Security Advisory سازنده
    • خبرنامه یا ایمیل‌های پشتیبانی
    • اطلاعیه‌های امنیتی مرتبط با IoT/دوربین‌ها
  2. امتیازدهی ریسک داخلی (Risk Triage)
    • آیا دستگاه شما در اینترنت در دسترس است؟ (Port Forwarding/DMZ) → ریسک خیلی بالاتر
    • آیا اکانت‌ها امن و محدود هستند؟ (RBAC/MFA) → کاهش ریسک
    • آیا VLAN و فایروال دارید؟ → کاهش ریسک
  3. Patch یا Mitigation
    • اگر Patch منتشر شده: برنامه ریزی برای نصب
    • اگر Patch هنوز نیست: راه حل‌های موقت (Mitigation) مثل:
      • قطع دسترسی از اینترنت و استفاده از VPN
      • بستن پورت‌ها و سرویس‌های غیرضروری
      • Allowlist برای IPها
      • محدود کردن اکانت‌ها و فعال سازی Lockout
  4. ثبت و مستندسازی
    • تاریخ کشف، اقدام انجام شده، تاریخ نصب Patch
    • این کار در تیم‌ها باعث میشود هیچ مشکل امنیتی “فراموش” نشود.

سخت سازی تنظیمات دستگاه (Hardening) و خاموش کردن قابلیت‌های پرریسک

بعد از اینکه رمزها را قوی کردی، شبکه را جدا کردی و دسترسی از راه دور را امن تر ساختی، یک قدم خیلی مهم باقی میماند: Hardening.
هاردنینگ یعنی تنظیمات دوربین/NVR/VMS را طوری سفت وسخت کنی که سطح حمله (Attack Surface) کم شود؛ یعنی هر چیزی که لازم نیست، خاموش شود و هر جایی که ممکن است، دسترسی محدود شود.

این کار معمولاً «کم هزینه ترین» و در عین حال «پربازده ترین» بخش امنیت است؛ چون بسیاری از نفوذها دقیقاً از سرویس‌های اضافی و تنظیمات پیش فرض شروع میشوند.

غیرفعال کردن سرویس‌های غیرضروری (نمونه‌ها: SNMP، Multicast)

قاعده طلایی: اگر نمیدانی یک سرویس دقیقاً چه کاربردی برای تو دارد، روشن گذاشتنش احتمالاً ارزش ریسک را ندارد.

1) SNMP (برای مانیتورینگ شبکه)

  • SNMP بیشتر در شبکه‌های سازمانی برای مانیتورینگ دستگاه‌ها استفاده میشود.
  • اگر تیم IT یا ابزار مانیتورینگ حرفه‌ای ندارید، معمولاً لازم نیست.

چرا پرریسک است؟

  • اگر اشتباه تنظیم شود (Community ضعیف/پیش فرض، دسترسی باز)، میتواند اطلاعات سیستم را لو بدهد یا در برخی سناریوها نقطه حمله شود.

اقدام پیشنهادی:

  • اگر نیاز ندارید: Disable
  • اگر نیاز دارید: فقط روی شبکه داخلی/VLAN، محدود به IPهای مجاز، با تنظیمات امن تر

2) Multicast (پخش همزمان برای چند دریافت کننده)

  • Multicast برای سناریوهایی استفاده میشود که چند گیرنده همزمان یک استریم را دریافت کنند.
  • در بسیاری از پروژه‌های کوچک/متوسط اصلاً ضروری نیست.

چرا پرریسک/مزاحم است؟

  • میتواند ترافیک غیرضروری بسازد یا در صورت تنظیمات غلط، به کشف دستگاه‌ها و الگوهای شبکه کمک کند.

اقدام پیشنهادی:

  • اگر نیاز ندارید: Disable
  • اگر نیاز دارید: در VLAN مخصوص دوربین و با کنترل شبکه (نه روی کل شبکه اصلی)

3) سرویس‌های اضافی دیگر (بسته به مدل دستگاه)

  • Discovery / Auto-Discovery
  • P2P/Cloud (اگر استفاده نمیکنید)
  • APIها یا سرویس‌های قدیمی
  • هر چیزی که “Remote / Easy Access” را بدون کنترل دقیق فعال میکند

محدود کردن دسترسی پنل مدیریتی (فقط داخل شبکه/فقط IPهای مجاز)

پنل مدیریتی دوربین یا NVR همان جایی است که با یک ورود موفق میشود:

  • کاربران را تغییر داد
  • رمزها را عوض کرد
  • ضبط را قطع کرد
  • پورت‌ها و شبکه را دستکاری کرد
  • یا حتی ویدیوها را پاک کرد

پس باید دسترسی به پنل مدیریتی “سخت” باشد.

1) محدودسازی به داخل شبکه (LAN Only)

  • بهترین حالت این است که پنل مدیریتی اصلاً از اینترنت قابل دسترسی نباشد.
  • دسترسی از بیرون را از طریق VPN انجام بده تا کاربر اول وارد شبکه داخلی شود، بعد پنل را باز کند.

2) محدودسازی به IPهای مجاز (IP Filter / Allowlist)

اگر دستگاه یا فایروال اجازه میدهد:

  • فقط IP کامپیوتر نگهبانی / سرور VMS / IP داخلی مدیر اجازه ورود داشته باشند.
  • حتی اگر رمز لو برود، مهاجم از یک IP غیرمجاز نمیتواند وارد شود.

3) کاهش سطح نمایش سرویس‌ها

  • اگر گزینه‌ای برای تغییر پورت پنل وب وجود دارد، میتواند به عنوان یک لایه کمکی مفید باشد.
  • اگر امکان انتخاب پروتکل هست، HTTPS/TLS را برای پنل مدیریتی فعال کن.

به عنوان یک تست ساده:

  • آیا از یک سیستم ناشناس در شبکه میتوان پنل مدیریتی را باز کرد؟ اگر بله، یعنی هنوز محدودسازی کافی نیست.

تنظیمات زمان و لاگ: NTP برای صحت گزارش‌ها

لاگ‌های امنیتی وقتی ارزش دارند که زمان دقیق داشته باشند. اگر ساعت دستگاه غلط باشد:

  • زمان ورودهای مشکوک را اشتباه میبینی
  • همبستگی رخدادها (Correlation) سخت میشود
  • در بررسی حادثه (Incident) شواهد ارزششان را از دست میدهند

چرا NTP مهم است؟

NTP زمان دستگاه را با یک سرور زمان هماهنگ میکند.

کارهایی که انجام بده:

  1. روی NVR/DVR و دوربین‌ها (اگر گزینه دارد) NTP را فعال کن
  2. یک سرور زمان معتبر تعیین کن (یا در سازمان، NTP داخلی)
  3. منطقه زمانی (Time Zone) را درست تنظیم کن
  4. بعد از فعال سازی، یک بار لاگ‌ها را چک کن ببین زمان درست ثبت میشود

بکاپ گرفتن از تنظیمات (Config Backup) قبل از تغییرات مهم

خیلی از کارهای امنیتی (مثل تغییر شبکه، سخت سازی سرویس‌ها، تغییر کاربران، فعال سازی HTTPS) اگر اشتباه انجام شود ممکن است باعث شود:

  • دسترسی‌ات به دستگاه قطع شود
  • تنظیمات ضبط بهم بخورد
  • یا زمان زیادی برای برگشت به حالت قبل تلف شود

برای همین Config Backup یک بیمه است.

چه زمانی بکاپ بگیریم؟

  • قبل از آپدیت Firmware
  • قبل از تغییر تنظیمات شبکه (IP/VLAN/Port)
  • قبل از تغییرات گسترده دسترسی‌ها و کاربران
  • قبل از فعال/غیرفعال کردن سرویس‌های مهم

چه چیزهایی را بکاپ بگیریم؟

  • تنظیمات NVR/DVR (کاربران، شبکه، ضبط، هشدارها)
  • تنظیمات VMS (اکانت‌ها، نقش‌ها، دستگاه‌ها)
  • اگر امکان دارد، تنظیمات مهم دوربین‌ها هم (یا حداقل مستندسازی)

بکاپ را کجا نگهداری کنیم؟

  • یک محل امن (نه روی همان سیستم)
  • ترجیحاً با دسترسی محدود (Only Admin)
  • اگر سازمانی هستید: نسخه بندی و تاریخ گذاری بکاپ‌ها

امنیت Wi-Fi برای دوربین‌های بی سیم

دوربین‌های بی سیم (Wi-Fi) نصب ساده تری دارند، اما اگر شبکه بی سیم درست امن نشده باشد، مهاجم لازم نیست سراغ NVR یا پنل وب برود؛ ممکن است از همان وای فای وارد شود. چون در این حالت “درگاه ورود” فقط دوربین نیست کل شبکه Wi-Fi است.

پس اگر از دوربین Wi-Fi استفاده میکنی، این سه کار را جدی بگیر: استاندارد رمزنگاری درست، جداسازی شبکه، و حذف قابلیت‌های پرریسک مثل WPS.

انتخاب استاندارد مناسب (WPA3 و حداقل WPA2-AES)

مهم ترین خط قرمز:
از WEP و WPA (قدیمی) استفاده نکن. اینها عملاً ناامن محسوب میشوند.

انتخاب پیشنهادی

  • بهترین: WPA3-Personal
  • حداقل قابل قبول: WPA2-AES (نه WPA2-TKIP)

چرا WPA3 بهتر است؟

  • در برابر برخی حملات مربوط به حدس رمز و شنود مقاوم تر طراحی شده
  • ساختار امنیتی به روزتری دارد

چک لیست سریع تنظیمات Wi-Fi

  • Security Mode روی WPA3 یا WPA2-AES است
  • از حالت‌های Mixed ناامن (مثل WPA/WPA2) تا حد ممکن اجتناب شده
  • رمز وای فای طولانی و غیرقابل حدس است (ترجیحاً 16+ کاراکتر)

جدا کردن Wi-Fi دوربین‌ها از شبکه اصلی (Guest/VLAN)

یکی از بهترین کارها این است که دوربین‌های Wi-Fi را روی همان شبکه‌ای که موبایل‌ها و لپ تاپ‌های روزمره هستند قرار ندهی. چون:

  • یک لپ تاپ آلوده میتواند به دوربین‌ها دسترسی پیدا کند
  • یا یک دوربین آسیب پذیر میتواند به دستگاه‌های دیگر شبکه راه پیدا کند

دو روش رایج و عملی:

Guest Network (شبکه مهمان)

  • خیلی از مودم/روترها قابلیت Guest دارند.
  • دوربین‌ها را به Guest وصل کن و شبکه اصلی را برای کاربران نگه دار.

نکته مهم: بعضی روترها در Guest، دسترسی بین دستگاه‌های داخل Guest را هم محدود میکنند. اگر NVR یا VMS باید دوربین‌ها را ببیند، باید طوری تنظیم شود که ارتباط لازم برقرار بماند (ولی همچنان محدود و کنترل شده).

VLAN (حرفه‌ای تر و انعطاف پذیرتر)

  • اگر روتر/سوئیچ/اکسس پوینت VLAN ساپورت کند، یک VLAN مخصوص CCTV بساز.
  • دوربین‌های Wi-Fi و NVR/VMS را داخل همان VLAN قرار بده.

هدف جداسازی چیست؟

  • دوربین‌ها فقط با NVR/VMS ارتباط داشته باشند
  • دسترسی مدیریتی فقط از IPهای مشخص (Allowlist) انجام شود
  • اینترنت مستقیم دوربین‌ها (در صورت عدم نیاز) بسته شود

کاهش ریسک نفوذ: خاموش کردن WPS، انتخاب SSID و رمز مناسب

اینجا چند تنظیم کوچک داریم که اثر امنیتی بزرگ دارند:

1) WPS را خاموش کن

WPS برای اتصال سریع (با دکمه یا PIN) است، اما از نظر امنیتی میتواند یک ریسک باشد.

  • اگر WPS روشن باشد، مهاجم ممکن است به جای حدس رمز وای فای، روی WPS تمرکز کند.
  • در سیستم دوربین مداربسته، “اتصال سریع” معمولاً ارزش این ریسک را ندارد.

اقدام: WPS Off

2) SSID مناسب انتخاب کن (اطلاعات لو نده)

SSID اسم شبکه است. بهتر است:

  • از SSIDهایی مثل “CCTV”, “Camera”, “NVR”, “OfficeCam” استفاده نکنی
  • چون به مهاجم میگوید این شبکه احتمالاً مربوط به دوربین هاست

بهتر: یک نام خنثی و غیرقابل حدس

نکته: مخفی کردن SSID (Hidden SSID) به تنهایی امنیت واقعی ایجاد نمیکند، ولی نام گذاری هوشمند میتواند از هدف گیری مستقیم کم کند.

3) رمز وای فای قوی و اختصاصی

  • حداقل 16 کاراکتر
  • ترکیبی و غیرقابل حدس
  • بهتر: یک Passphrase طولانی و معنادار برای خودت، ولی سخت برای دیگران
  • مهم‌تر: رمز وای فای دوربین‌ها را با رمز وای فای اصلی یکی نگذار (اگر شبکه جدا ساخته‌ای)

4) محدودسازی دستگاه‌های مجاز (اگر روتر پشتیبانی کند)

  • بعضی روترها اجازه میدهند MAC Filtering انجام دهی (فقط دستگاه‌های مشخص وصل شوند)
  • این روش به تنهایی کافی نیست (MAC قابل جعل است)، ولی در کنار WPA3/WPA2 و جداسازی شبکه میتواند یک لایه اضافه باشد.

امن سازی نرم افزارها و اپ‌های مدیریت (VMS/Client/Mobile)

خیلی از افراد فکر میکنند «امنیت دوربین» یعنی فقط دوربین و NVR را امن کنند؛ در حالی که در عمل، بخش بزرگی از ریسک از جایی می آید که ما هر روز با آن کار میکنیم: اپ موبایل، پنل وب، و نرم افزارهای کلاینت/VMS روی کامپیوتر.
اگر موبایل آلوده شود، اگر روی یک سیستم عمومی لاگین بمانید، یا اگر نرم افزار با Auto-Login همیشه باز باشد، مهاجم حتی بدون هک کردن خود دوربین میتواند به تصویر و تنظیمات برسد.

هدف این بخش: امن سازی “درگاه‌های انسانی” (Human Access Points)؛ یعنی همان جاهایی که کاربران وارد میشوند.

امنیت پنل وب و اپ موبایل: دسترسی‌ها، نشست‌ها و خروج امن

پنل وب و اپ موبایل معمولاً سه ریسک اصلی دارند:

  1. دسترسی بیش از حد کاربران
  2. مدیریت ضعیف نشست‌ها (Session)
  3. استفاده در دستگاه‌های ناامن یا شبکه‌های ناامن

اقدامات ضروری:

برای هر شخص، حساب جدا بساز

  • از یک حساب مشترک (مثلاً admin برای همه) اجتناب کن.
  • این کار هم امنیت را بالا میبرد هم وقتی مشکلی پیش آمد، از روی لاگ مشخص میشود چه کسی وارد شده.

دسترسی‌ها را حداقلی کن (RBAC)

  • اپراتور فقط Live View
  • مدیر فقط تنظیمات
  • دسترسی به Playback/Archive محدود

مدیریت نشست‌ها (Session Management)

  • روی اپ یا پنل اگر گزینه‌ای مثل “Auto logout / Session timeout” دارد، فعال کن.
  • اگر گزینه “Remember me” هست، فقط روی دستگاه‌های شخصی و امن فعال کن.

خروج امن (Logout) را جدی بگیر

  • مخصوصاً روی سیستم‌های اشتراکی (کامپیوتر نگهبانی، لپ تاپ شرکت)
  • صرفاً بستن مرورگر همیشه کافی نیست؛ بهتر است خروج از حساب را انجام بدهی.

ورود امن در شبکه‌های بیرون

  • از وای فای عمومی برای ورود به پنل مدیریتی استفاده نکن.
  • اگر مجبور شدی، حداقل از VPN استفاده کن (ترجیحاً VPN به شبکه داخلی) و سپس وارد پنل شو.
  • اگر امکان دارد، فقط HTTPS/TLS را استفاده کن و اجازه HTTP نده.

اعلان‌ها و هشدارها را فعال کن

  • در بعضی سیستم‌ها میتوانی برای ورود از دستگاه جدید یا تغییر رمز هشدار بگیری.
  • این هشدارها برای کشف سریع نفوذ خیلی ارزشمندند.

SmartPSS و نرم افزارهای مشابه: غیرفعال کردن Auto-Login

نرم افزارهای کلاینت (مثل SmartPSS و مشابه‌ها) معمولاً روی سیستم‌هایی نصب میشوند که همیشه روشن‌اند (مثل سیستم نگهبانی). همین موضوع اگر Auto-Login روشن باشد، تبدیل به یک ریسک جدی میشود:

  • هر کسی که به آن کامپیوتر دسترسی پیدا کند، بدون وارد کردن رمز وارد سیستم مانیتورینگ میشود
  • اگر سیستم آلوده شود (بدافزار/Keylogger)، دسترسی سریع تر لو میرود
  • در سرقت یا تعمیر سیستم، اطلاعات ورود ممکن است باقی بماند

اقدامات پیشنهادی:

  1. Auto-Login را خاموش کن
  2. گزینه‌های “Remember password” را تا حد ممکن غیرفعال کن
  3. برای نرم افزار، یک رمز قوی و حتی الامکان MFA (اگر پشتیبانی می‌کند) فعال کن
  4. خود سیستم عامل کامپیوتر را هم امن کن:
    • رمز ورود ویندوز/سیستم عامل
    • قفل خودکار صفحه (Auto Lock)
    • محدودیت دسترسی فیزیکی (فقط افراد مجاز)

استفاده از حساب/رمز جداگانه برای نرم افزار کلاینت (نه رمز دستگاه)

یکی از اشتباهات رایج این است که کاربران همان رمز Admin دستگاه را در نرم افزار کلاینت یا اپ موبایل استفاده میکنند. این کار چند مشکل بزرگ ایجاد میکند:

  • اگر رمز کلاینت لو برود، مهاجم عملاً رمز ادمین NVR/دوربین را دارد
  • رمز بین چند نفر پخش میشود و کنترل از دست میرود
  • امکان مدیریت دسترسی و ردگیری کاربران سخت میشود

راه درست:

برای نرم افزار کلاینت/VMS حساب جدا تعریف کن

  • اگر VMS نقش‌ها را پشتیبانی میکند، حساب مخصوص “Monitoring” بساز.
  • حساب‌های “Admin” فقط برای تنظیمات و افراد محدود.

برای هر نفر حساب جدا

  • مدیر، اپراتور، نگهبانی… هرکدام حساب خودشان.

رمزهای دستگاه و رمزهای کلاینت را جدا نگه دار

  • رمز دوربین/NVR یک چیز است
  • رمز نرم افزار یا سرویس مدیریت یک چیز دیگر

در صورت ترک همکاری یا تغییر پرسنل

  • فقط همان حساب کاربر را غیرفعال کن، نه اینکه مجبور شوی رمز Admin کل سیستم را عوض کنی.

کنترل دستگاه‌های مجاز برای ورود (Device management) در صورت امکان

اگر پلتفرم/اپلیکیشن شما قابلیت “Device Management” یا “Trusted Devices” دارد، حتماً از آن استفاده کن. این قابلیت کمک میکند:

  • فقط موبایل‌ها/کامپیوترهای تایید شده بتوانند وارد شوند
  • ورود از دستگاه جدید نیاز به تایید داشته باشد
  • اگر گوشی گم شد یا دزدیده شد، بتوانی دسترسی را قطع کنی

کارهایی که انجام بده:

لیست دستگاه‌های لاگین شده را بررسی کن

  • هر دستگاه ناشناس یا قدیمی را حذف/Logout کن.

ورود از دستگاه جدید را محدود یا تایید دو مرحله‌ای کن

  • اگر گزینه دارد: “Require verification for new device” را فعال کن.

در صورت گم شدن گوشی/لپ تاپ

  • سریعاً:
    • از داخل پنل، دستگاه را Remove کن
    • رمز حساب را تغییر بده
    • اگر MFA داری، دوباره امن سازی کن (Recovery codes / شماره‌ها)

کنترل سطح دسترسی برای دستگاه‌ها

  • اگر امکان دارد، دسترسی مدیریتی را فقط از یک دستگاه مشخص (مثلاً سیستم IT) مجاز کن.

مانیتورینگ، هشدار و تشخیص نفوذ

امنیت فقط «پیشگیری» نیست؛ بخش مهمی از امنیت یعنی زود متوجه شدن. چون اگر یک مهاجم وارد سیستم شود یا شروع به آزمون وخطا کند، هر دقیقه‌ای که دیرتر بفهمی، احتمال نشت ویدیو، دستکاری تنظیمات یا پاک شدن آرشیو بیشتر میشود.

در سیستم‌های دوربین مداربسته، سه ابزار کلیدی برای کشف سریع مشکل داریم:

  1. لاگ‌ها (Audit Logs)
  2. هشدارهای خودکار (Alerts)
  3. پایش نشانه‌های غیرعادی (رفتار دستگاه، شبکه و کاربران)

فعال سازی لاگ‌ها و Audit Logs

Audit Log یعنی ثبت دقیق «چه کسی، چه زمانی، چه کاری انجام داده». اگر لاگ نداشته باشی، حتی بعد از وقوع حادثه هم ممکن است نتوانی بفهمی چه اتفاقی افتاده.

چه لاگ‌هایی را حتماً فعال کنید؟

  • ورود موفق و ناموفق (Login Success/Failed Login)
  • تغییر رمز و تغییر کاربران (User/Password changes)
  • تغییر سطح دسترسی و نقش‌ها (RBAC changes)
  • تغییر تنظیمات شبکه (IP، پورت‌ها، UPnP، DDNS، VPN settings)
  • فعال/غیرفعال شدن سرویس‌ها (مثل ONVIF، SNMP، P2P)
  • تغییر تنظیمات ضبط و حذف فایل‌ها (Record settings / Delete/Format)
  • تغییر زمان/NTP (برای جلوگیری از دستکاری تایم لاین)

چند نکته عملی برای لاگ‌ها

  • زمان دستگاه‌ها را با NTP درست کنید تا لاگ‌ها قابل اعتماد باشند.
  • اگر امکان دارد، لاگ‌ها را جایی نگه دارید که با یک نفوذ ساده پاک نشوند (مثلاً خروجی گرفتن دوره‌ای یا ارسال به یک سیستم مرکزی).
  • دوره نگهداری لاگ‌ها را مشخص کنید (مثلاً ۳۰ تا ۹۰ روز)، مخصوصاً اگر محیط حساس است.

هشدارهای خودکار برای ورودهای مشکوک/تغییر تنظیمات

لاگ داشتن خوب است، ولی کافی نیست؛ چون شما قرار نیست هر روز دستی لاگ‌ها را بخوانید. برای همین باید هشدار (Alert) تعریف کنید تا وقتی یک رفتار مشکوک اتفاق افتاد، سریع مطلع شوید.

هشدارهایی که بیشترین ارزش را دارند:

تعداد زیاد تلاش ورود ناموفق (Failed Login Spike)

  • مثلاً اگر در ۵ دقیقه، ۱۰ بار ورود ناموفق دیدید → احتمال Brute Force

ورود از IP/دستگاه جدید

  • مخصوصاً برای پنل وب، اپ موبایل یا VMS
  • اگر سیستم Device Management دارد، هشدار “New Device Login” را فعال کنید.

تغییرات حساس

  • تغییر کاربران و نقش‌ها
  • تغییر تنظیمات شبکه (Port Forward/UPnP/DDNS)
  • خاموش شدن HTTPS/TLS یا تغییر گواهی
  • فعال شدن سرویس‌های پرریسک (P2P/Cloud، ONVIF بدون نیاز)

تغییرات مربوط به ضبط و آرشیو

  • قطع ضبط، تغییر زمان بندی ضبط
  • حذف ویدیوها یا فرمت هارد

هشدارها را به کجا بفرستیم؟

  • ایمیل مدیر سیستم
  • پیامک (در صورت پشتیبانی)
  • نوتیفیکیشن اپ
  • در سازمان‌ها: سیستم مانیتورینگ/مرکزی (اگر دارید)

نشانه‌های هک شدن دوربین یا NVR و اقدامات فوری

گاهی قبل از اینکه “هک قطعی” را بفهمی، نشانه‌هایی میبینی. این نشانه‌ها را جدی بگیر:

نشانه‌های رایج

  • ورودهای ناموفق زیاد یا ورودهایی که متعلق به شما نیست
  • تغییر رمز/کاربر بدون اطلاع شما
  • تغییر تنظیمات شبکه (پورت‌ها، DDNS، UPnP، فعال شدن DMZ/Port Forward)
  • قطع و وصل شدن غیرعادی دوربین‌ها یا آفلاین شدن‌های تکراری
  • کند شدن شدید NVR/DVR یا داغ شدن و مصرف CPU/شبکه غیرعادی
  • تغییر کیفیت/رزولوشن/کدک بدون دلیل
  • حذف شدن ویدیوها، پاک شدن آرشیو، یا تغییر زمان بندی ضبط
  • انتقال داده غیرعادی به اینترنت (اگر در روتر قابل مشاهده است)

اقدامات فوری (ترتیب پیشنهادی)

قطع دسترسی اینترنتی مستقیم

  • اگر Port Forwarding/DMZ فعال است، موقتاً قطع کن.
  • اگر امکان دارد، ارتباط بیرونی را فقط به VPN محدود کن.

ایزوله کردن دستگاه‌ها

  • VLAN را سخت تر کن یا NVR/دوربین مشکوک را از شبکه اصلی جدا کن.
  • اگر لازم شد، موقتاً فقط شبکه داخلی محدود.

تغییر فوری رمزها

  • رمز Admin، رمزهای کاربران، رمز اپ/VMS
  • اگر رمزها مشترک بوده، همه را جدا کن.

بررسی کاربران و سطوح دسترسی

  • دنبال اکانت‌های ناشناس یا دسترسی‌های بیش‌ازحد بگرد.
  • اگر Device Management دارید، دستگاه‌های ناشناس را Logout/Remove کن.

آپدیت Firmware و نرم افزارها

  • بعد از کنترل اولیه، Firmware دوربین/NVR و VMS را از منبع رسمی به روز کن.

بررسی لاگ‌ها و استخراج شواهد

  • زمان شروع اتفاق را پیدا کن.
  • اگر محیط حساس است، لاگ‌ها را ذخیره کن تا قابل بررسی باشد.

بازگردانی تنظیمات از بکاپ (در صورت نیاز)

  • اگر تنظیمات دستکاری شده، از Config Backup سالم استفاده کن.

تهدیدات DDoS و نقش روتر/فایروال در مقابله

DDoS یعنی حمله‌ای که با حجم زیاد درخواست/ترافیک، سرویس شما را از دسترس خارج میکند. در حوزه دوربین مداربسته، DDoS دو شکل مهم دارد:

دوربین/NVR قربانی DDoS میشود

  • نتیجه: قطع دسترسی از راه دور، اختلال در مشاهده زنده، کندی شدید

دوربین/NVR تبدیل به عضو Botnet میشود و برای DDoS دیگران استفاده میشود

  • نتیجه: مصرف اینترنت بالا، کندی شبکه، ریسک قانونی/اعتباری، و احتمال نفوذهای دیگر

نقش روتر/فایروال در مقابله

بستن سرویس‌های اینترنتی غیرضروری

  • هر پورت/سرویس باز، نقطه هدف گیری است.
  • بهترین کاهش ریسک: عدم نمایش مستقیم NVR/دوربین روی اینترنت (VPN جایگزین Port Forward)

قوانین محدود کننده و Rate Limiting

  • بعضی روترها میتوانند تعداد درخواست‌ها را محدود کنند یا رفتار غیرعادی را بلوکه کنند.

فعال سازی ویژگی‌های Anti-DDoS / DoS Protection

  • در روترهای بهتر، گزینه‌هایی برای مقابله با SYN Flood و… وجود دارد.
  • اگر روترتان این قابلیت را دارد، آن را فعال کنید (بدون اینکه سرویس‌های لازم را مختل کند).

مانیتورینگ ترافیک

  • اگر ناگهان مصرف اینترنت یا تعداد کانکشن‌ها زیاد شد، میتواند نشانه حمله یا آلودگی باشد.

جداسازی شبکه دوربین‌ها

  • با VLAN/Segmentation، حتی اگر یک دوربین آلوده شود، اثرش روی بقیه شبکه کمتر میشود.

امنیت ذخیره سازی ویدیو و جلوگیری از نشت اطلاعات

خیلی وقت‌ها “هک دوربین” به این معنی نیست که مهاجم کنترل کامل سیستم را گرفته؛ گاهی فقط به آرشیو ویدیوها دسترسی پیدا میکند یا لینک/اکانت بازپخش (Playback) لو میرود. از طرف دیگر، اگر رکوردر یا هارد آسیب ببیند یا باج افزار درگیر شود، ممکن است مهم ترین بخش ماجرا (شواهد ویدئویی) از بین برود.

پس امنیت ذخیره سازی یعنی:

  • جلوگیری از دسترسی غیرمجاز به آرشیو
  • جلوگیری از نشت یا کپی شدن ویدیوها
  • حفظ یکپارچگی و قابلیت استناد ویدیو
  • داشتن نسخه پشتیبان برای سناریوهای ضروری

امنیت آرشیو در NVR/NAS/Cloud و دسترسی به Playback

در بیشتر پروژه‌ها آرشیو ویدیو یکی از اینجاهاست: هارد NVR/DVR، NAS، یا Cloud (و گاهی SD Card داخل دوربین). هر کدام نقطه‌ی حساس خودش را دارد.

1) NVR/DVR (هارد داخلی رکوردر)

  • Playback را برای همه کاربران باز نگذار.
  • نقش‌ها را جدا کن:
    • اپراتور = Live View
    • Viewer = Playback محدود
    • Admin = تنظیمات/کاربران
  • دسترسی به قابلیت‌های پرریسک مثل Export/Download، Delete، Format فقط برای افراد محدود باشد.
  • اگر امکان دارد، روی عملیات حساس (حذف ویدیو، فرمت هارد، تغییر سیاست ضبط) هشدار/لاگ فعال کن.

2) NAS (ذخیره سازی شبکه‌ای)

NAS اگر درست تنظیم نشود، میتواند نقطه نشت بزرگی باشد؛ چون مثل یک فایل سرور است.

  • دسترسی فولدرها را دقیق تنظیم کن (Permissions)
  • از اشتراک گذاری عمومی (Public Share) اجتناب کن
  • دسترسی را به IPهای مشخص یا VLAN دوربین‌ها محدود کن
  • اگر NAS امکان دارد: 2FA و لاگ‌های دسترسی را فعال کن

3) Cloud Storage (فضای ابری)

ریسک اصلی در Cloud معمولاً «اکانت» است:

  • رمز قوی + 2FA برای اکانت Cloud
  • کنترل دستگاه‌های مجاز (Device management)
  • محدودسازی کاربران و سطوح دسترسی
  • بررسی منظم Login History و نشست‌های فعال

نکته مهم درباره Playback

Playback معمولاً حساس تر از Live View است، چون:

  • ویدیوهای گذشته میتواند اطلاعات محرمانه تری داشته باشد
  • امکان دانلود/انتشار دارد
    پس در RBAC، Playback را یک سطح دسترسی جدا و سخت گیرانه در نظر بگیر.

رمزگذاری داده‌ها (در صورت پشتیبانی) و کنترل دسترسی به فایل‌ها

رمزگذاری (Encryption) دو جا معنا دارد:

رمزگذاری در مسیر انتقال (In transit)

  • یعنی وقتی ویدیو/تنظیمات بین کلاینت و دستگاه رد و بدل میشود، با TLS/HTTPS رمز باشد.
  • (این را در بخش HTTPS/TLS گفتیم، ولی روی دسترسی Playback هم مهم است.)

رمزگذاری در محل ذخیره سازی (At rest)

  • یعنی ویدیوها روی هارد/NAS/Cloud به گونه‌ای ذخیره شوند که اگر کسی به فایل خام دسترسی گرفت، نتواند راحت ببینَد.

چه زمانی رمزگذاری At-rest مهم تر میشود؟

  • وقتی دستگاه‌ها در محل‌هایی هستند که امکان سرقت فیزیکی هارد/دستگاه وجود دارد
  • وقتی آرشیو روی NAS یا Cloud است و چند نفر دسترسی دارند
  • وقتی ویدیوها حساس‌اند (محیط‌های مالی، درمانی، امنیتی، اتاق سرور و…)

کنترل دسترسی به فایل‌ها (Access Control)
حتی اگر رمزگذاری ندارید، اینها را رعایت کنید:

  • دسترسی به فولدرهای آرشیو محدود به کاربران مشخص
  • حذف دسترسی “Everyone / Guest / Anonymous”
  • محدودسازی دسترسی شبکه‌ای (فقط از VLAN/آی پی‌های مجاز)
  • لاگ کردن دسترسی‌ها (چه کسی فایل را دید/کپی کرد)

سیاست نگهداری (Retention Policy) و پاک سازی امن

Retention Policy یعنی مشخص کنی ویدیوها چقدر نگهداری شوند و بعد چه اتفاقی بیفتد. این هم امنیتی است، هم عملیاتی، هم برای حریم خصوصی مهم است.

1) چرا Retention Policy امنیتی است؟

  • نگهداری بیش از حد = افزایش سطح ریسک نشت (چون داده بیشتر است)
  • نگهداری کم = از دست رفتن شواهد (وقتی دیر متوجه حادثه میشوید)

2) چطور یک Retention منطقی تعیین کنیم؟

  • محیط خانگی/مغازه کوچک: معمولاً ۷ تا ۳۰ روز
  • کسب وکار متوسط: ۳۰ تا ۹۰ روز (بسته به اهمیت)
  • سازمان/حساس: طبق الزامات داخلی/حقوقی، گاهی ۹۰+ روز

3) پاک سازی امن یعنی چه؟

در سیستم‌های CCTV معمولاً حذف فایل‌ها “فوراً غیرقابل بازیابی” نیست، چون روی هارد بازنویسی میشوند. اما چند اقدام کمک میکند:

  • اجازه حذف دستی ویدیو را محدود کن (فقط Admin)
  • روی عملیات حذف/فرمت هشدار و لاگ فعال کن
  • اگر هارد تعویض میشود یا از رده خارج میشود، پاک سازی امن/امحای امن را در نظر بگیر (در سازمان‌ها خیلی مهم است)

بکاپ گیری از ویدیوهای حساس (سناریوهای ضروری)

بکاپ گرفتن از کل ویدیوها همیشه عملی نیست (حجم زیاد است). اما در خیلی از سناریوها لازم است ویدیوهای حساس یا بازه‌های مهم بکاپ شوند.

چه زمانی بکاپ ضروری میشود؟

  1. وقوع حادثه امنیتی (سرقت، درگیری، خرابکاری، نفوذ)
  2. ریسک باج افزار یا خرابی تجهیزات
  3. محیط‌های حساس که از دست رفتن ویدیو هزینه زا است
  4. نیاز به نگهداری بلند مدت یک پرونده/پروژه

بکاپ را چطور انجام دهیم؟

  • Export ویدیوهای مهم (با محدودیت دسترسی و ثبت لاگ)
  • ذخیره روی یک محل جدا:
    • NAS امن
    • هارد اکسترنال رمزگذاری شده
    • Cloud با 2FA
  • رعایت کنترل دسترسی: فقط افراد مشخص بتوانند بکاپ را ببینند/کپی کنند

نکات کلیدی برای بکاپ امن

  • بکاپ را روی همان دستگاهی که ممکن است آلوده شود نگه ندار (اصل جداسازی)
  • فایل‌های بکاپ را نام گذاری و تاریخ گذاری کن
  • اگر امکان دارد، یک نسخه دوم هم داشته باش (برای سناریوهای بحرانی)

امنیت فیزیکی تجهیزات و زیرساخت

حتی اگر همه تنظیمات نرم افزاری و شبکه‌ای عالی باشد، یک سیستم دوربین مداربسته میتواند با یک اقدام ساده‌ی فیزیکی از کار بیفتد: چرخاندن دوربین، قطع کابل، برداشتن هارد NVR، یا خاموش کردن برق. به همین خاطر امنیت فیزیکی مکمل مستقیم امنیت سایبری است و در خیلی از پروژه‌ها “عامل اصلی شکست” همین بخش است.

هدف این بخش:

  • جلوگیری از دستکاری عمدی (Tampering) یا خرابکاری
  • محافظت از مسیرهای حیاتی مثل رکوردر، کابل‌ها و برق
  • افزایش تاب آوری (Resilience) در برابر قطعی برق و نوسان

جلوگیری از دستکاری دوربین (Tampering) و نصب صحیح

Tampering یعنی هر نوع دستکاری فیزیکی که باعث شود دوربین تصویر درست ندهد یا کلاً از کار بیفتد. رایج ترین سناریوها:

  • چرخاندن لنز یا تغییر زاویه دوربین
  • پوشاندن لنز (اسپری، چسب، پارچه، رنگ)
  • ضربه زدن یا شکستن پایه
  • قطع برق دوربین یا جدا کردن کابل شبکه

اقدامات کاربردی برای کاهش ریسک:

نصب در ارتفاع و موقعیت قابل کنترل

  • دوربین را جایی نصب کن که دسترسی مستقیم به آن سخت باشد (ارتفاع مناسب، دور از دسترس).
  • اگر دوربین در فضای عمومی است، از پایه‌ها و کاورهای مقاوم تر استفاده کن.

انتخاب محل نصب با دید مناسب و حداقل نقاط کور

  • دوربین‌ها طوری نصب شوند که:
    • در معرض نور مستقیم شدید یا بازتاب نباشند
    • پوشاندنشان به سادگی ممکن نباشد
    • یک دوربین بتواند تا حدی دوربین دیگر را پوشش دهد (پوشش متقاطع)

استفاده از قاب/کاور ضدضربه و ضدآب در محیط‌های پرریسک

  • در محیط‌های صنعتی یا بیرونی، بدنه مقاوم و استاندارد حفاظتی مهم است.
  • دوربین‌های مناسب فضای باز معمولاً مقاومت بالاتری دارند.

فعال سازی هشدارهای Tamper (اگر سیستم پشتیبانی کند)

  • بعضی دوربین‌ها هشدارهایی مثل:
    • تغییر زاویه ناگهانی
    • تار شدن تصویر/پوشانده شدن لنز
    • قطع تصویر
      دارند. اگر این گزینه‌ها وجود دارد، فعالشان کن و هشدار را برای مدیر بفرست.

کاهش ریسک قطع برق/شبکه دوربین

  • اگر PoE استفاده میکنی، مسیر کابل و محل سوئیچ PoE را امن کن.
  • اگر آداپتور جدا دارد، محل پریز و کابل برق را دور از دسترس قرار بده.

ایمن سازی رک/اتاق تجهیزات و کابل کشی

در بیشتر پروژه‌ها، “قلب سیستم” یک نقطه است: NVR/DVR + سوئیچ/روتر + ذخیره سازی. اگر کسی به این نقطه دسترسی فیزیکی داشته باشد، میتواند:

  • رکوردر را خاموش کند
  • هارد را خارج کند
  • کابل شبکه را قطع کند
  • تنظیمات شبکه را به هم بزند
  • یا حتی دستگاه را با خودش ببرد

اقدامات پیشنهادی برای امنیت رک و تجهیزات:

قرار دادن رکوردر و تجهیزات شبکه در مکان قفل دار

  • اتاق تجهیزات، کمد قفل دار یا رک قفل دار (Secure Cabinet)
  • دسترسی کلید/کارت فقط برای افراد مشخص

محدود سازی دسترسی فیزیکی

  • لیست افراد مجاز مشخص باشد (مدیر، مسئول IT، نگهبان ارشد)
  • ورود و خروج به اتاق تجهیزات قابل ثبت باشد (در سازمان‌ها)

ایمن سازی کابل کشی
کابل کشی یکی از آسان ترین نقاط خرابکاری است:

  • کابل‌ها را در داکت/ترانک/لوله محافظ عبور بده
  • مسیر کابل را تا حد ممکن از دید و دسترس عمومی دور کن
  • از عبور کابل از نقاطی که به راحتی قطع میشوند (مثل گوشه‌های باز) اجتناب کن

برچسب گذاری و نظم دهی کابل‌ها

  • برچسب گذاری کمک میکند در تعمیرات، اشتباهی کابل دوربین حیاتی قطع نشود.
  • نظم کابل‌ها زمان رفع مشکل را کم میکند (زمان کمتر = ریسک کمتر)

حفاظت از هارد و آرشیو

  • اگر محیط حساس است، به فکر یک سیاست برای:
    • جلوگیری از خروج فیزیکی هارد
    • یا داشتن بکاپ هدفمند از ویدیوهای مهم
      باشید.

UPS و محافظ برق برای جلوگیری از قطع و آسیب داده‌ها

قطع برق، نوسان و شوک الکتریکی از آن چیزهایی است که هم امنیت را تهدید میکند هم پایداری ضبط را. اگر برق برود:

  • دوربین‌ها خاموش میشوند
  • رکوردر ضبط را از دست میدهد
  • ممکن است فایل‌ها خراب شوند
  • و اگر این قطع برق «عمدی» باشد، عملاً یک روش ساده‌ی از کار انداختن سیستم است

دو ابزار مهم در این بخش:

1) UPS (برق اضطراری)

UPS کمک میکند سیستم در قطع برق چند دقیقه تا چند ساعت روشن بماند (بسته به ظرفیت).

چه چیزهایی بهتر است روی UPS باشند؟

  • NVR/DVR
  • سوئیچ PoE (اگر دوربین‌ها PoE هستند)
  • روتر/مودم (اگر مانیتورینگ یا هشدار از راه دور لازم است)
  • در سناریوهای حساس: NAS یا سرور VMS

مزیت‌های UPS

  • جلوگیری از خاموشی ناگهانی و خرابی فایل‌ها
  • زمان برای خاموش کردن امن یا ادامه ضبط در قطعی کوتاه
  • افزایش تاب آوری در برابر خرابکاری‌های ساده (قطع برق)

2) محافظ برق / Surge Protector

محافظ برق جلوی آسیب ناشی از نوسان و شوک را میگیرد.

  • برای تجهیزات حساس (NVR، سوئیچ PoE، روتر) استفاده کن
  • در مناطق با برق ناپایدار، اهمیتش چند برابر است

نکته عملی برای تنظیمات

  • اگر سیستم امکان دارد، تنظیم کن بعد از برگشت برق، دستگاه‌ها خودکار روشن شوند (Auto Power Recovery) تا سیستم سریع به حالت ضبط برگردد.
  • در کنار UPS، مانیتورینگ قطع برق/قطع شبکه (Alerts) هم کمک میکند سریع متوجه خاموشی یا دستکاری شوی.

حریم خصوصی و الزامات اخلاقی/قانونی

امنیت دوربین مداربسته فقط جلوگیری از هک نیست؛ بخش مهمی از “امنیت واقعی” این است که تصاویر و اطلاعات مردم درست و مسئولانه مدیریت شود. اگر دسترسی‌ها کنترل نشده باشد یا بدون اطلاع رسانی تصویربرداری انجام شود، حتی با بهترین تنظیمات فنی هم ممکن است با مشکلات حقوقی، نارضایتی کارکنان/مشتری، و آسیب به اعتبار کسب وکار مواجه شوید.

در این بخش سه کار کلیدی را پوشش میدهیم: کاهش جمع آوری داده حساس (Privacy Masking)، کنترل دسترسی داخلی و ثبت دسترسی‌ها، و شفافیت/اطلاع رسانی و سیاست‌های داخلی.

Privacy Masking و محدود کردن نقاط حساس

Privacy Masking یعنی بخش‌هایی از تصویر را طوری پوشانده/ماسک کنید که در ضبط و نمایش، جزئیات حساس دیده نشود. این کار هم به حریم خصوصی احترام میگذارد و هم ریسک نشت اطلاعات را کم میکند.

کجاها معمولاً باید ماسک شود؟

  • پنجره‌های رو به خانه‌های همسایه یا فضای خصوصی
  • ورودی اتاق‌های استراحت، فضاهای شخصی، سرویس بهداشتی (اصولاً بهتر است اصلاً در این نقاط دوربین نصب نشود)
  • کیبورد/نمایشگرهایی که اطلاعات حساس نشان میدهند (مثل صندوق، مانیتور مالی)
  • بخش‌هایی که فقط “حفاظت محیط” مهم است نه “هویت افراد”

چطور این کار را اصولی انجام دهیم؟

  1. اول با زاویه نصب درست، داده حساس را کم کن
    • قبل از اینکه سراغ Masking بروی، زاویه دوربین را طوری تنظیم کن که کمترین فضای خصوصی در کادر باشد.
  2. Masking را برای Live و Playback (اگر امکان دارد) فعال کن
    • بعضی سیستم‌ها فقط در Live یا فقط در ضبط ماسک میکنند؛ اگر امکان دارد هر دو را پوشش بده.
  3. محدود سازی زوم/کیفیت برای کاربران کم سطح
    • اگر سیستم اجازه میدهد، دسترسی اپراتور به زوم دیجیتال یا کیفیت‌های بالا را محدود کن (به خصوص در محیط‌های حساس).

دسترسی کارکنان و ثبت دسترسی‌ها (برای جلوگیری از سوءاستفاده داخلی)

در خیلی از نشت‌های ویدئویی، عامل اصلی “هکر اینترنتی” نیست؛ دسترسی داخلیِ زیاد یا کنترل نشده است. یعنی یک نفر داخل سازمان (یا کسی که به سیستم نگهبانی دسترسی دارد) میتواند:

  • ویدیوها را دانلود و منتشر کند
  • به بخش‌هایی دسترسی پیدا کند که نباید
  • یا حتی بدون ردپا، تنظیمات را دستکاری کند

راه حل‌های کلیدی:

RBAC: نقش‌ها و دسترسی‌ها را دقیق تعریف کن

  • همه کاربران Admin نباشند.
  • دسترسی به Playback و Export/Download فقط برای افراد مشخص.
  • دسترسی به حذف ویدیو یا فرمت هارد فقط برای Admin محدود.

حساب مشترک ممنوع

  • “یک یوزر برای همه” یعنی هیچ وقت نمی فهمی چه کسی چه کاری کرده.
  • هر کاربر باید یوزر خودش را داشته باشد.

Audit Logs را فعال کن و بازبینی دوره‌ای داشته باش
لاگ‌ها حداقل باید اینها را ثبت کنند:

  • ورود و خروج کاربران
  • مشاهده Playback
  • دانلود/Export ویدیو
  • تغییر تنظیمات کاربران/شبکه/ضبط
  • حذف فایل یا فرمت

اصول کنترلی در سازمان

  • دسترسی‌ها در یک فرآیند رسمی داده شود (درخواست → تایید → تخصیص)
  • در خروج کارکنان یا تغییر نقش‌ها، دسترسی‌ها فوراً بازبینی و حذف شود
  • اگر امکان دارد، Device Management یا محدود سازی دستگاه‌های مجاز برای ورود را فعال کنید

تفکیک وظایف (Separation of Duties)
در محیط‌های حساس، بهتر است:

  • یک نفر تنها “قدرت کامل” نداشته باشد
    مثلاً کسی که میتواند ویدیو را دانلود کند، نتواند همزمان لاگ‌ها را پاک کند یا دسترسی‌ها را تغییر دهد.

اطلاع رسانی/تابلو و سیاست‌های داخلی سازمان (اگر محیط عمومی است)

وقتی دوربین در محیط عمومی/سازمانی نصب میشود، شفافیت هم به اعتماد کمک میکند هم از نظر حقوقی و اخلاقی مهم است. (جزئیات دقیق قوانین بسته به کشور/شهر متفاوت است، اما اصول کلی تقریباً ثابت است.)

1) نصب تابلو اطلاع رسانی

تابلو باید واضح باشد که:

  • این محل تحت نظارت تصویری است
  • هدف از ضبط چیست (امنیت/حفاظت/پیشگیری از سرقت)
  • در صورت نیاز، راه تماس/مسئول پاسخگو مشخص باشد (در سازمان‌ها)

2) سیاست داخلی سازمان درباره دوربین‌ها

یک سند کوتاه ولی روشن تهیه کنید که موارد زیر را مشخص کند:

  • هدف ضبط (Security purpose)
  • محل نصب و مناطق ممنوعه (مثل فضاهای خصوصی)
  • چه کسانی دسترسی دارند و چه سطحی
  • مدت نگهداری ویدیوها (Retention) و نحوه پاک سازی
  • فرآیند درخواست دسترسی به ویدیو (مثلاً برای بررسی حادثه)
  • ممنوعیت انتشار ویدیوها و پیامدهای سوءاستفاده

3) آموزش کوتاه به کارکنان

خیلی از مشکلات از “ندانستن” شروع میشود:

  • اینکه ویدیوها محرمانه هستند
  • اینکه اشتراک گذاری یا ارسال ویدیو بدون مجوز ممنوع است
  • اینکه هر دسترسی ثبت میشود (Audit Logs)

سوالات متداول (FAQ)

آیا با تغییر پورت، دوربین امن میشود؟

نه؛ تغییر پورت به تنهایی امنیت ایجاد نمیکند. این کار فقط میتواند حجم حملات اتوماتیک روی پورت‌های معروف (مثل 80/554 و… یا پورت‌های رایج برندها) را کمتر کند، اما اگر:

  • رمز ضعیف باشد،
  • Firmware قدیمی باشد،
  • Port Forwarding گسترده باشد،
  • یا سرویس‌های غیرضروری باز باشند،
    باز هم امکان نفوذ وجود دارد.

بهتر است تغییر پورت را فقط به عنوان یک لایه کمکی کنار این موارد انجام بدهی: رمز قوی + Lockout/Rate limit + آپدیت Firmware + بستن UPnP + VLAN/Firewall + ترجیحاً VPN.

VPN بهتر است یا Port Forwarding؟

در اکثر سناریوها VPN بهتر و امن تر است چون:

  • سرویس‌های دوربین/NVR را در معرض مستقیم اینترنت قرار نمیدهد
  • ارتباط را رمزنگاری میکند و ریسک شنود/MITM را کاهش میدهد
  • کنترل دسترسی دقیق تر میدهد (کاربر اول احراز هویت میشود، بعد وارد شبکه میشود)
  • Allowlist داخلی راحت تر اجرا میشود

Port Forwarding فقط وقتی قابل قبول تر میشود که VPN واقعاً ممکن نباشد. حتی آن وقت هم باید:

  • فقط پورت‌های ضروری را باز کنی،
  • پورت‌های پیش فرض را عوض کنی،
  • DMZ را استفاده نکنی،
  • و حتماً Lockout/لاگ/هشدار فعال باشد.

اگر دوربین هک شد چه کار کنیم؟

اگر احتمال نفوذ جدی است، سریع و مرحله‌ای عمل کن:

دسترسی اینترنتی مستقیم را قطع کن

  • Port Forwarding/DMZ/UPnP را موقتاً خاموش کن
  • اگر دسترسی لازم داری، فقط از طریق VPN ادامه بده

سیستم را ایزوله کن

  • دوربین‌ها/NVR را در VLAN جدا نگه دار یا موقتاً از شبکه اصلی جدا کن

رمزها را فوراً تغییر بده

  • Admin و همه کاربران روی NVR/DVR
  • حساب‌های اپ موبایل/VMS/کلاینت
  • رمز روتر/مودم (خیلی مهم)

کاربران و دستگاه‌های مجاز را بازبینی کن

  • اکانت‌های ناشناس را حذف/غیرفعال کن
  • نشست‌ها (Sessions) و دستگاه‌های لاگین شده را Logout/Remove کن

Firmware و نرم افزارها را از منبع رسمی آپدیت کن

  • دوربین‌ها، NVR/DVR، VMS، اپ موبایل

لاگ‌ها را بررسی و ذخیره کن

  • برای فهمیدن زمان و روش نفوذ، لاگ‌ها ارزشمندند (اگر سازمانی هستید، قبل از ریست کامل، لاگ‌ها را نگه دارید)

تنظیمات را بازگردانی امن کن

  • اگر تنظیمات به هم ریخته، از Config Backup سالم استفاده کن یا یک Hardening کامل دوباره انجام بده

آیا دوربین‌های بی سیم ناامن ترند؟

ذاتاً “همه دوربین‌های بی سیم ناامن تر نیستند”، اما ریسکشان بیشتر به امنیت Wi-Fi وابسته است. اگر Wi-Fi ضعیف باشد (رمز کوتاه، WPS روشن، استاندارد قدیمی)، مهاجم ممکن است از طریق شبکه بی سیم وارد شود.

برای امن تر شدن دوربین Wi-Fi:

  • WPA3 (یا حداقل WPA2-AES) استفاده کن
  • WPS را خاموش کن
  • دوربین‌ها را روی Guest Network یا VLAN جدا قرار بده
  • رمز Wi-Fi طولانی و اختصاصی انتخاب کن
  • دسترسی مدیریتی را فقط از شبکه داخلی/VPN انجام بده

اگر اینها رعایت شود، دوربین Wi-Fi میتواند کاملاً قابل قبول و امن باشد.

چگونه بفهمیم فیلم‌ها لو رفته یا دستکاری شده‌اند؟

هیچ روش ۱۰۰٪ قطعی و ساده برای همه سیستم‌ها وجود ندارد، اما این نشانه‌ها خیلی کمک میکنند:

نشانه‌های احتمالی نشت (Leak)

  • ورودهای مشکوک در لاگ‌ها (Login از IP/دستگاه ناشناس)
  • نشست‌های فعال یا دستگاه‌های متصل ناشناس در Device Management
  • افزایش غیرعادی مصرف اینترنت/ترافیک خروجی (خصوصاً شب‌ها)
  • وجود لینک‌های اشتراکی/دسترسی‌های باز در Cloud یا اپ‌ها
  • کاربران اضافه یا سطح دسترسی تغییرکرده

نشانه‌های احتمالی دستکاری (Tampering / Manipulation)

  • فاصله زمانی گم شده در آرشیو یا قطع ضبط بدون دلیل
  • تغییر ناگهانی تنظیمات ضبط/کیفیت/زمان بندی
  • تغییر ساعت دستگاه (اگر NTP خاموش باشد، دستکاری زمان راحت تر میشود)
  • حذف ویدیو یا فرمت هارد (اگر در لاگ ثبت شود، مشخص میشود)

برای افزایش قابلیت تشخیص

  • Audit Logs و لاگ‌های ورود/تغییرات را فعال نگه دار
  • NTP را فعال کن تا زمان لاگ‌ها معتبر باشد
  • دسترسی به Playback/Export/Delete را محدود کن
  • برای تغییرات حساس و ورودهای مشکوک هشدار بگذار

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای مورد نیاز با * مشخص شده است

یازده + هشت =

نوشتن دیدگاه