Cybersecurity for IP Video Surveillance Guide
Keeping surveillance networks secure can be a formidable task, but there are several methods that can greatly reduce risk, especially when used together.
In this guide, IPVM reviews several security techniques, both physical and logical, used to secure surveillance networks, including:
- Video Surveillance Vulnerabilities
- Network Hardening Guides
- Video Surveillance Hardening Guides
- Password Security
- Firewalls and Remote Access
- Remote Access Risks
- P2P / Cloud
- VLANs (Virtual LANs)
- Disabling Switch Ports
- Disabling Network Ports
- Disabling Unused Services
- Software and Firmware Updates
- MAC Address Filtering
- LDAP / Active Directory Integration
- 802.1X Authentication
- Locking Plugs
- Physical Access Control
- Managing Network Security For Video Surveillance Systems
Cybersecurity ********
**** **** ****, ************* *** ****** a *** *****, **** ********* ***************, hacks, *** ******* ** *** ****.
** **** *** **** *** *****, major *************** (*** ***** *******) **** reported ** ******** *************, *********:
- ********* "******* ***** ** ******** *************": *************** ****** **** ********* ******** full ******* ** ********* *******, ****, and ***** ********, ********* ***+ ******* devices.
- ****** ********* ********* ******** ************* *** DDoS ******* *** "********** ********* **** From *******": ***** ************* **** ** **** attacks.
- ***** *** ******** *************** ****: ************* ****** *************** ***** **** control ** ***** *******.
- **** *** ***** ************ ************* ******* Millions (**********): *** ************* ****** ********* ** remotely ****** ***** *** ***** **** the ********, **** * **********-******* *** or ******, ********* **** **** *** others.
- ******* **** ****: ******* **** **** ** *** root / ***** ****** ** *** ~150,000 ******* *** **** **** ** pivot ** ***** ******* ** *********' networks.
- ***** ******** ***** ***************: ***** *** ** **** ********* Panasonic *** ******* *** ****-***** ***** keys / ********* ***** **** ****** and ***** ** **** ** ********** gain **** ****** ** ***** ********* equipment.
- **** ******* **** ****: ******** ** *****' ******* **** was ******* ******** ********* ***** *********, usernames, **** *****, *** ****.
*** ************ ** ***** ************ ************* *************** and *********** **** *********** ** ***** *** other ******, ********* *** **** ** they *****.
******* ** *** ******** ** ***** incidents *** ***** ********** *********, ** is ******** **** ***** ********** *** basics ** ***** ******** *** ************ systems, *** *** ** ******* ******* simple ******* ** *** **** *****.
Cybersecurity ************ ** ********** *******
************* ****** **** **** *********** ** government ****** ******* ******** *************. *** US ****** *****, *********, ****, *** others **** ******* *** *******-****** ******** due ** ******** *** ******** ******** stemming **** ************* *** ***** *************' PRC ********** *******/*********, **** *** ************** authoring *** **** ******:
***** ************ *** ******** ********* **** byChinese ********* ******* *** *.*. ********** ** *********** ***************
*** **** *******, ******** ** *** **** ***** ************ Ban.
************, *** *** *** **** ***** to **** *** *** ************** **** Dahua *** ********* ****** *** ********* as * ****** ** ******** ********. President ***** ****** *** **** **** law **** ******** ***** ******** *** FCC **** ***** *** ********* ************** by ******** **** *** *****, *********, Huawei, ***, *** ******. ************ ***** *** ******* *** *** Authorizations ** ***** *** *********, ******* Law*** **** *******.
Network ********* ******
** *** ** ******** ** *****, network ********* ****** *** ******, ********* recommendations (** ** *******, *** ********* ********* *****) ** **** *** ******* **** secure. ****/**** ** ***** *************** ***** to ************ ********, ** ****, ********* controlling ******** *** ***** *******, ******** passwords, ********* *****, ***.
*******, **** *************** *** ** ***** and ****** **** **** ** ***** integrators *** ******* **, ** **** is ********* *** * ***** ******. Complex ************** ******* **** ** ***.**, LDAP ***********, **** **********, ***., *** simply *** ***** *** ****/**** ** implement *** **** *******, ***** *** limited ****.
Surveillance ********* ****** ************ ******
****** **, ************-******** ********* ****** **** historically **** ****. *******, **** **** become ****** ** *** **** *** years, **** **** ************* *** ********** their ***:
- **** ****** ********* *****
- ***** ** ***** *** **** ******** Guidebook
- ***** ******* ******** ********* *****
- ******* ***** ********* ***** (******** ******* login)
- ****** ******* ********* *****
- ********* ******* ******** ********* *****
- ********* ********* *****
- ***** ********* *****
- ******* ***** ************ ****** ********* *****
- ******* ******** ********* *****
*** ***** *************** ** **** ** these ****** ****, *** **** *** divided **** ***** *** ******** ******, depending ** *** *********** ** *** installation.
******* *****, *** ********, ****** **** **** only (*** ********** ***) ** ****** secure ********** ********, *** ******* ***** best *********, **** ** ****** *********, updating ********, *** ********* ********* ******, through **** ******* *********, **** ** 802.1x **************, **** **********, *** ****** servers.
***** ***** ****** *** ************-********, ********* instructions ********* ** *** ****** ** VMS, **** *************** *** ****** ****** all *************, *** **** ** **** with ** ******** **** *********, *** the ********* ********* *****.
Strong *********
****** ********* *** *** **** ***** security *******, *** *************, ******* ** many *****. **** ************ ******* *** deployed ** *** ***** **** **** passwords ** *** *********, ********* *******, switches, *********, *** **** (*** ***** ******* ******* ********* ****). ***** ** *** **** ** easier *** ***** ** ****** ******* but **** **** ** ****** *** anyone ** *** **** ***'* ******* (see:****** ****** *** ******* ** *******).
** *** **** *****, *** ************ network *******, ********* *******, *******, *** servers, ****** ** ******* **** ****** passwords, ********** ** * ****** ********. This ******** ****** ** *** ******* using ****** ******** ********, ********* * more ******* ******** *** **** ******* methods.
**** ************* *** ******* ******** *** default ******** ** ********* ** ***** password **** ********** *** *** ***** time, *** *** *** ******* ****** passwords.
Password **********
******** *** ******** ****** ********* *** be **** **** ****** *** ************** with ******** ***** *********** *** ******* be ***** **** ** ****, ***********, or *** *** ******* ********** ********.
******* ***** ***** **** **** ***** in ***** *******-***** ******** ******** (********,********,*********, *** **** ****). **** **** be **** ****** **** ***** * default ******, * ******* *** ******** customer *********, ******* ********* ** *****, or ***** ********* *******.
** ******** ** *** ***** *****, showing ******** **********, ******** ** ******** *** **** *************** **** ******** ***** ** *** each ** ******.
Firewalls/Remote ******
** ******* ************ ****** ******, **** surveillance ******* *** *** ********* ** the ******** ** ***, ******* ** a ******* ******** ***. **** ******* risk, *** *** **** ******* **** difficult, ** ******* ** ************ ******** and ********, ******* ****** **********, **** be ****** **** *** ** ***** means.
***** ******* ***** *** ********* *** typically ****** * ********, ***** ****** inbound/outbound ******* ** **** ******** ** addresses *** ***** ***** **** **** authorized. ***** ******* ** ********. ******** implemented, **** *** ******* *** **** majority ** *******. **** ******* *** other ************ ********* ** ** ********* to **** ******* ******** ** ** date. ***** **** **** *** ***** security *************** ******* ** ******** *******. The ***** ** ************** ** ***** ********, *** *** ***** ** ********** ********** ********* **************** **** ** ********* ******** **** / *** *******.
Remote ****** *****
*** ******* ***** ************* ******, ***** *** ******* *** ******* one ** **** ***** ** ** open. *******, **** **** **** ******** a ******** *********** *** ** ********. Exactly *** **** *** ***** ****** by *** ***. ***** ****** ***** to ************ ************* *** ***** ***** must ** **** ** ****** ****** is ******** (*** *********** ** ****** viewing), *** ** **** **** ******** in ********** ***** *** ** ***** ************ Tutorial.
P2P/Cloud ******
*************, **** ************* ***** *** "***** home" ****** ******, ***** **** ** a ****** ****** *** ** ******** connection ******* ********* **** *****, ******** risks. **** ******* *** ********* *** cloud *********** *** ****** ******, **** as***,***** *** ***** ***, ********** *****. ************, **** ****** ******* ******** use ******* **********, **** ** *******, TeamViewer, *********, ***.
** ******* ***** ******* ** ********* ******* ****** *** ***** ********************.
*****
******* **** (********* ** *****)******* ******** ** ********** ******* **** multiple ******* ********. ** ***** ***** services, **** ** ** ***** ************ equipment ** ******* ****** *** *******, may ***** ** *** **** ******** switch, *** ********* ******** *** ******** are ********* ** **** *****, *** unreachable.
*** *******, ** *** ***** *****, the ************ ********* ** **** * may *** ** ******* ** *** office ** ** **** *, *** could * **** ** *** ****** (VLAN *)"***" ******* ** *** **** VLAN (**** *).
***** *** **** ******** *** ** using***.** *******, ***** **** * ****** ** each ***** ********** **** ***********. **** header ** *********** ** *** ****** and ******* ********* **** ** ***** devices ** *** **** ****.
**** **** ***** ******* *** *** be *********** ****** *****, ********* *********** still *****. ******** ***** ***** ******* may ********** ****** **** *** ****** application ***********, ***** ***** **** ********* may ****** *** ************ *******. ******* of ****, ***** *** **** **** often ******** ** *********** *********** ** ******* (***), ***** *********** ******* *******, ******* video ******* ***** ** **** *********, for *******, ** ***** ******* ** not ********.
*** ******** *** ***************** *** ******* ***********.
Disabling ****** ****** *****
******* **** *** ********* ********** ****** of ******* ************ ******* **** ********* a ****** ** ** ******* *** unused *****. **** **** ********* *** risk ** ******* ****** ** ****** a ******** ****** ** ******** * patch ***** **** * ****** ** unused ******* ****. *** ****** ** disable ******** ***** ** * ****** option ** ******* ********, **** *** cost *** **********:
***** ********* ** ********* *** ****** of ********* ****** ******, **** **** does *** *********** ******* ************ ****** to * *******, ** ******* ***** potentially ****** * ****** (******, ***********, printer) **** * ********** ********** **** or **** *** ****** *** ****, unless ******** **** ** *** ********* or ***.** *** ** *****.
Disabling ****** ******* *****
**** ******* **** **** ******** ******* ports ****** **, **** ** ******, SSH, ***, ***., ** ** ***** in ********** ** ******* ****. ***** ***** *** ******** ******* of ******* (** *********** ** ******* miners *** ****** *************** ***** *********** *******).
* ***** ** ****** **** ** a ******* ** ****** ******* ******** open ***** ***** **** ***** ******** for *** ****** *** ***** ********* (80/554):
***** ***** ****** ** ******** ******** possible ** ******* ********* *******.
Disabling ****** ********
*********** ******** ** ******* ************ *** servers ****** ** ****** ***. ***** may ******* ************-******** ****** *********, ******* Microsoft ****** ********, *** ********, ***. These ******** ******** *** *** ** a ******** *** ******* ** *******, consume ********** ********* *** ******, *** increase ******* ****.
***** ******** ****** ** ******** ** set ** ******* **** **** ******** started, ** **** **** ** *******:
OS *** ******** *******
** *********** ********** * ****** ** **** ******, **** **** ***** ********** ***** available ******* ******, *** *******, ***** others ****** **** ***** ******* *** break *** ******** ** ****** ************.
*******, ***** ******* (********** ******* ******) often ******* ******* ** ***** ********** security ***************, **** ** ************* *** *************, ***** ******** ******** ** ********* worldwide. ******* *** ***** *********** ****** should ** *********.
*****, **** *******, ******* *** ** optional. ***** ********** ********* ***** ************* issues ****** ******* ***** ******/********/*** ************* to *** ***** *************** *** ******** updates ** ***.
MAC ******* *********
*** ******* ********* ****** **** * specific **** ** ******* ** ******* to *** ******. ***** ******* ******* into *** ****** *** *******, **** if *** **** ********** *** **** by * ***** ******. *** ********* is ******** **** ***** ******* ********.
** ************ ********, *** ********* ** typically **** ** **********. **** *** cameras, *******, *** ******* *** *********, it ** *******, *** ********* *******' MACs ***** ** *** *********. ***** these ******* ** * ************ ******* are ****** ******* ***, ****** ***** maintenance ** ********. ** ***** ******** where ******* *** ********** ** ***** or *******, ************** *** **** ********* more ********** ** **********.
**** ***** ***** *** ********* ******* in * ******* ******* ****** *********:
*** ********** ********** *** ***** ************ ******** **** ********** *** * ***** overview ** *** *********.
LDAP/Active ********* ***********
***** ****/****** ********* (**) ***********, *** permissions *** ******** ** ******* ***** managed ** * ******* ****** (**** called ****** ****-**). ***** ***** **** accounts ***** ********* ******** ******** *** expiration *****, **** *********** *** ******* security **** ***** *** ******** ***** do *** **** ***** ************. **** reduces ************** ********, ***** ********** ******** do *** ** ** ******* *** maintained.
*********, **** *** ** ********** ** larger, ********** *******, ***** **** ***** installations ** *** **** ** **** server ***********. **** ***** ** ******* systems ***** *** ********* ** ****** entities, ********** ********* *** ********* **********, may *** **** ** ***** ************* are ****** ** *** ** *** their ******* ****** *******.
**** / ** ***** ************* ** used *** ** *******, ***, ** practice ** ***. ***************, ** * Microsoft ********, ** *** ********* ** almost *** ** ******, ***** ********* run ** *****. ********** ** ****** ******* ** ** so, *** ** *** *** ****** any ********** ****** *****.
***.**
***.** ******** ******* ****** ** ******* to *** ******* ** **** ****** credentials ** ** ******* **. **** blocks ****** ******* ** ********* **** just ******* ** * *******.
***** ***.**, * "**********" (****** **** a ******, **, ***.) ******** ** connect ** ******* *** * ****** or *** (****** *** "*************"). *** authenticator **** ****** *** *********** ** the ********** **** * ******, **** the ************** ****** (********* ***** * protocol ************, *** ****** ** ****** ****** accordingly.
***** ***.** ******** ****** ********, ******* up * ******* ** ******* ** can ** ********** *** ********. *** only **** ********* ******* (*******, ****, client ***, ****, ***.) ******* ***.** integration, *** ******** ****, ** ****. Each ** ***** ******* **** ** individually ********** *** ***.**, ****** ********** configuration **** ** *** *******.
******* ** ***** *******, ***** ******** cost *** ************** ********, ***.** ** rarely **** ** *** *** *** most ******* ********** ************ ********, **** users ****** *** ******* ******** ******** instead.
Locking *****
******* ***** ** ******** **** ********** prevents ********** ** ********* **** ******* cabling ** ************ ******* *** **** plugs *** ***** *****. ***** ******* mechanically **** * ***** **** * switch, ***** *****, ** **** ****, or **** ****** ****** *****, *** may **** ** ******* **** * proprietary ****.
***** ***** ***** ** ***** *** effective ** ******** ****** *********, **** are *** ********** ** **************, *** a ********** ******** *** ****** ** able ** ***** **** *** ** pry **** ***** ***** ****** ****. As ****, ******* ***** ****** ** considered **** ** * **** ******* security *******, *** *** *** **** element.
*** * ****** ****, **** ********** **** ******* *****************.
Door ***** *** ******** ******
*******, **** ********* **** *** *********** access ** *** **** ********** ***** of * *******, *** *****, *******, or ***** ***** ************ ******* *** switches *** ********* *******. ** ******** the ********* ************ ** ***** *****, many ***** **** ********** ** **** inadvertent ******* *** ** *******. ** doors ****** ** *******, ********** **** cages ** ****** ********** ****** **. Most ****** ** ********* ******** ******** equipment ** ******** *******:
** * ******, **** ********** ****** electronic ****** ******* ** ****** ** network ********* *****. *******, **** ***-****** mechanical **** *** ***** *** ** a ***** *** ** ********** ********* areas **** ******** *******.
Managing ************* *** ***** ************ *******
***** *** *** ***** ***** *** improve ******** ** ***** ***, **** are **** ********* **** ********** ** part ** * ******* (*** ********) security ******.
** ************, **** ****** ** ** to *** ********** *******, *** ********* it ***** **** *** ** *** places:
- *** ****:**** *** ************ ******* ** **** of * ****** *********/********** *** (******* sharing ******** ** *********), *** ***** most ****** ******* *** ******** ****** for *** ******* *******, *** *** force ***** ************ **** *********** (*** better ** *****).
- **********:** ** *** **** **** *** have * ******** ****** ** *****, the ********** ********** *** ****** ** create *** ** **** ** ***** documentation, ********* ** ** ** ******** in ***** *** *** ******** ** be ******** *** ***** ********* ** case ** * ******.
Test **** *********
**** ****** ******** *******.
[****: **** ***** *** ********** ********* in **** *** ************* ******* ** 2018-2022 **** ********** ******* *******/************* ***********, hardening ******, ***** ********, *** ****]
***** ****** ** * ******** **** at *** *** ** *** *******, but ****** *** ********...
**** ****, ****** ******* * ******** link, * ******** **'* ******* * week ***.
*** ****** **** ** **** *** group ****.
******
**, *** *** ****** ******* * general ********** ******** ****, *** **** available *** ** *** ***** *****.
******