Cybersecurity for IP Video Surveillance Guide

Published Jan 24, 2022 15:39 PM

Keeping surveillance networks secure can be a formidable task, but there are several methods that can greatly reduce risk, especially when used together.

IPVM Image

In this guide, IPVM reviews several security techniques, both physical and logical, used to secure surveillance networks, including:

  • Video Surveillance Vulnerabilities
  • Network Hardening Guides
  • Video Surveillance Hardening Guides
  • Password Security
  • Firewalls and Remote Access
  • Remote Access Risks
  • P2P / Cloud
  • VLANs (Virtual LANs)
  • Disabling Switch Ports
  • Disabling Network Ports
  • Disabling Unused Services
  • Software and Firmware Updates
  • MAC Address Filtering
  • LDAP / Active Directory Integration
  • 802.1X Authentication
  • Locking Plugs
  • Physical Access Control
  • Managing Network Security For Video Surveillance Systems

Cybersecurity ********

**** **** ****, ************* *** ****** a *** *****, **** ********* ***************, hacks, *** ******* ** *** ****.

** **** *** **** *** *****, major *************** (*** ***** *******) **** reported ** ******** *************, *********:

*** ************ ** ***** ************ ************* *************** and *********** **** *********** ** ***** *** other ******, ********* *** **** ** they *****.

******* ** *** ******** ** ***** incidents *** ***** ********** *********, ** is ******** **** ***** ********** *** basics ** ***** ******** *** ************ systems, *** *** ** ******* ******* simple ******* ** *** **** *****.

Cybersecurity ************ ** ********** *******

************* ****** **** **** *********** ** government ****** ******* ******** *************. *** US ****** *****, *********, ****, *** others **** ******* *** *******-****** ******** due ** ******** *** ******** ******** stemming **** ************* *** ***** *************' PRC ********** *******/*********, **** *** ************** authoring *** **** ******:

***** ************ *** ******** ********* **** byChinese ********* ******* *** *.*. ********** ** *********** ***************

*** **** *******, ******** ** *** **** ***** ************ Ban.

************, *** *** *** **** ***** to **** *** *** ************** **** Dahua *** ********* ****** *** ********* as * ****** ** ******** ********. President ***** ****** *** **** **** law **** ******** ***** ******** *** FCC **** ***** *** ********* ************** by ******** **** *** *****, *********, Huawei, ***, *** ******. ************ ***** *** ******* *** *** Authorizations ** ***** *** *********, ******* Law*** **** *******.

Network ********* ******

** *** ** ******** ** *****, network ********* ****** *** ******, ********* recommendations (** ** *******, *** ********* ********* *****) ** **** *** ******* **** secure. ****/**** ** ***** *************** ***** to ************ ********, ** ****, ********* controlling ******** *** ***** *******, ******** passwords, ********* *****, ***.

*******, **** *************** *** ** ***** and ****** **** **** ** ***** integrators *** ******* **, ** **** is ********* *** * ***** ******. Complex ************** ******* **** ** ***.**, LDAP ***********, **** **********, ***., *** simply *** ***** *** ****/**** ** implement *** **** *******, ***** *** limited ****.

Surveillance ********* ****** ************ ******

****** **, ************-******** ********* ****** **** historically **** ****. *******, **** **** become ****** ** *** **** *** years, **** **** ************* *** ********** their ***:

*** ***** *************** ** **** ** these ****** ****, *** **** *** divided **** ***** *** ******** ******, depending ** *** *********** ** *** installation.

******* *****, *** ********, ****** **** **** only (*** ********** ***) ** ****** secure ********** ********, *** ******* ***** best *********, **** ** ****** *********, updating ********, *** ********* ********* ******, through **** ******* *********, **** ** 802.1x **************, **** **********, *** ****** servers.

***** ***** ****** *** ************-********, ********* instructions ********* ** *** ****** ** VMS, **** *************** *** ****** ****** all *************, *** **** ** **** with ** ******** **** *********, *** the ********* ********* *****.

Strong *********

****** ********* *** *** **** ***** security *******, *** *************, ******* ** many *****. **** ************ ******* *** deployed ** *** ***** **** **** passwords ** *** *********, ********* *******, switches, *********, *** **** (*** ***** ******* ******* ********* ****). ***** ** *** **** ** easier *** ***** ** ****** ******* but **** **** ** ****** *** anyone ** *** **** ***'* ******* (see:****** ****** *** ******* ** *******).

** *** **** *****, *** ************ network *******, ********* *******, *******, *** servers, ****** ** ******* **** ****** passwords, ********** ** * ****** ********. This ******** ****** ** *** ******* using ****** ******** ********, ********* * more ******* ******** *** **** ******* methods.

**** ************* *** ******* ******** *** default ******** ** ********* ** ***** password **** ********** *** *** ***** time, *** *** *** ******* ****** passwords.

Password **********

******** *** ******** ****** ********* *** be **** **** ****** *** ************** with ******** ***** *********** *** ******* be ***** **** ** ****, ***********, or *** *** ******* ********** ********.

******* ***** ***** **** **** ***** in ***** *******-***** ******** ******** (********,********,*********, *** **** ****). **** **** be **** ****** **** ***** * default ******, * ******* *** ******** customer *********, ******* ********* ** *****, or ***** ********* *******.

** ******** ** *** ***** *****, showing ******** **********, ******** ** ******** *** **** *************** **** ******** ***** ** *** each ** ******.

IPVM Image

Firewalls/Remote ******

** ******* ************ ****** ******, **** surveillance ******* *** *** ********* ** the ******** ** ***, ******* ** a ******* ******** ***. **** ******* risk, *** *** **** ******* **** difficult, ** ******* ** ************ ******** and ********, ******* ****** **********, **** be ****** **** *** ** ***** means.

***** ******* ***** *** ********* *** typically ****** * ********, ***** ****** inbound/outbound ******* ** **** ******** ** addresses *** ***** ***** **** **** authorized. ***** ******* ** ********. ******** implemented, **** *** ******* *** **** majority ** *******. **** ******* *** other ************ ********* ** ** ********* to **** ******* ******** ** ** date. ***** **** **** *** ***** security *************** ******* ** ******** *******. The ***** ** ************** ** ***** ********, *** *** ***** ** ********** ********** ********* **************** **** ** ********* ******** **** / *** *******.

Remote ****** *****

*** ******* ***** ************* ******, ***** *** ******* *** ******* one ** **** ***** ** ** open. *******, **** **** **** ******** a ******** *********** *** ** ********. Exactly *** **** *** ***** ****** by *** ***. ***** ****** ***** to ************ ************* *** ***** ***** must ** **** ** ****** ****** is ******** (*** *********** ** ****** viewing), *** ** **** **** ******** in ********** ***** *** ** ***** ************ Tutorial.

P2P/Cloud ******

*************, **** ************* ***** *** "***** home" ****** ******, ***** **** ** a ****** ****** *** ** ******** connection ******* ********* **** *****, ******** risks. **** ******* *** ********* *** cloud *********** *** ****** ******, **** as***,***** *** ***** ***, ********** *****. ************, **** ****** ******* ******** use ******* **********, **** ** *******, TeamViewer, *********, ***.

** ******* ***** ******* ** ********* ******* ****** *** ***** ********************.

*****

******* **** (********* ** *****)******* ******** ** ********** ******* **** multiple ******* ********. ** ***** ***** services, **** ** ** ***** ************ equipment ** ******* ****** *** *******, may ***** ** *** **** ******** switch, *** ********* ******** *** ******** are ********* ** **** *****, *** unreachable.

*** *******, ** *** ***** *****, the ************ ********* ** **** * may *** ** ******* ** *** office ** ** **** *, *** could * **** ** *** ****** (VLAN *)"***" ******* ** *** **** VLAN (**** *).

IPVM Image

***** *** **** ******** *** ** using***.** *******, ***** **** * ****** ** each ***** ********** **** ***********. **** header ** *********** ** *** ****** and ******* ********* **** ** ***** devices ** *** **** ****.

**** **** ***** ******* *** *** be *********** ****** *****, ********* *********** still *****. ******** ***** ***** ******* may ********** ****** **** *** ****** application ***********, ***** ***** **** ********* may ****** *** ************ *******. ******* of ****, ***** *** **** **** often ******** ** *********** *********** ** ******* (***), ***** *********** ******* *******, ******* video ******* ***** ** **** *********, for *******, ** ***** ******* ** not ********.

*** ******** *** ***************** *** ******* ***********.

Disabling ****** ****** *****

******* **** *** ********* ********** ****** of ******* ************ ******* **** ********* a ****** ** ** ******* *** unused *****. **** **** ********* *** risk ** ******* ****** ** ****** a ******** ****** ** ******** * patch ***** **** * ****** ** unused ******* ****. *** ****** ** disable ******** ***** ** * ****** option ** ******* ********, **** *** cost *** **********:

IPVM Image

***** ********* ** ********* *** ****** of ********* ****** ******, **** **** does *** *********** ******* ************ ****** to * *******, ** ******* ***** potentially ****** * ****** (******, ***********, printer) **** * ********** ********** **** or **** *** ****** *** ****, unless ******** **** ** *** ********* or ***.** *** ** *****.

Disabling ****** ******* *****

**** ******* **** **** ******** ******* ports ****** **, **** ** ******, SSH, ***, ***., ** ** ***** in ********** ** ******* ****. ***** ***** *** ******** ******* of ******* (** *********** ** ******* miners *** ****** *************** ***** *********** *******).

* ***** ** ****** **** ** a ******* ** ****** ******* ******** open ***** ***** **** ***** ******** for *** ****** *** ***** ********* (80/554):

IPVM Image

***** ***** ****** ** ******** ******** possible ** ******* ********* *******.

Disabling ****** ********

*********** ******** ** ******* ************ *** servers ****** ** ****** ***. ***** may ******* ************-******** ****** *********, ******* Microsoft ****** ********, *** ********, ***. These ******** ******** *** *** ** a ******** *** ******* ** *******, consume ********** ********* *** ******, *** increase ******* ****.

***** ******** ****** ** ******** ** set ** ******* **** **** ******** started, ** **** **** ** *******:

IPVM Image

OS *** ******** *******

** *********** ********** * ****** ** **** ******, **** **** ***** ********** ***** available ******* ******, *** *******, ***** others ****** **** ***** ******* *** break *** ******** ** ****** ************.

*******, ***** ******* (********** ******* ******) often ******* ******* ** ***** ********** security ***************, **** ** ************* *** *************, ***** ******** ******** ** ********* worldwide. ******* *** ***** *********** ****** should ** *********.

*****, **** *******, ******* *** ** optional. ***** ********** ********* ***** ************* issues ****** ******* ***** ******/********/*** ************* to *** ***** *************** *** ******** updates ** ***.

MAC ******* *********

*** ******* ********* ****** **** * specific **** ** ******* ** ******* to *** ******. ***** ******* ******* into *** ****** *** *******, **** if *** **** ********** *** **** by * ***** ******. *** ********* is ******** **** ***** ******* ********.

** ************ ********, *** ********* ** typically **** ** **********. **** *** cameras, *******, *** ******* *** *********, it ** *******, *** ********* *******' MACs ***** ** *** *********. ***** these ******* ** * ************ ******* are ****** ******* ***, ****** ***** maintenance ** ********. ** ***** ******** where ******* *** ********** ** ***** or *******, ************** *** **** ********* more ********** ** **********.

**** ***** ***** *** ********* ******* in * ******* ******* ****** *********:

IPVM Image

*** ********** ********** *** ***** ************ ******** **** ********** *** * ***** overview ** *** *********.

LDAP/Active ********* ***********

***** ****/****** ********* (**) ***********, *** permissions *** ******** ** ******* ***** managed ** * ******* ****** (**** called ****** ****-**). ***** ***** **** accounts ***** ********* ******** ******** *** expiration *****, **** *********** *** ******* security **** ***** *** ******** ***** do *** **** ***** ************. **** reduces ************** ********, ***** ********** ******** do *** ** ** ******* *** maintained.

*********, **** *** ** ********** ** larger, ********** *******, ***** **** ***** installations ** *** **** ** **** server ***********. **** ***** ** ******* systems ***** *** ********* ** ****** entities, ********** ********* *** ********* **********, may *** **** ** ***** ************* are ****** ** *** ** *** their ******* ****** *******.

**** / ** ***** ************* ** used *** ** *******, ***, ** practice ** ***. ***************, ** * Microsoft ********, ** *** ********* ** almost *** ** ******, ***** ********* run ** *****. ********** ** ****** ******* ** ** so, *** ** *** *** ****** any ********** ****** *****.

***.**

***.** ******** ******* ****** ** ******* to *** ******* ** **** ****** credentials ** ** ******* **. **** blocks ****** ******* ** ********* **** just ******* ** * *******.

***** ***.**, * "**********" (****** **** a ******, **, ***.) ******** ** connect ** ******* *** * ****** or *** (****** *** "*************"). *** authenticator **** ****** *** *********** ** the ********** **** * ******, **** the ************** ****** (********* ***** * protocol ************, *** ****** ** ****** ****** accordingly.

***** ***.** ******** ****** ********, ******* up * ******* ** ******* ** can ** ********** *** ********. *** only **** ********* ******* (*******, ****, client ***, ****, ***.) ******* ***.** integration, *** ******** ****, ** ****. Each ** ***** ******* **** ** individually ********** *** ***.**, ****** ********** configuration **** ** *** *******.

******* ** ***** *******, ***** ******** cost *** ************** ********, ***.** ** rarely **** ** *** *** *** most ******* ********** ************ ********, **** users ****** *** ******* ******** ******** instead.

Locking *****

******* ***** ** ******** **** ********** prevents ********** ** ********* **** ******* cabling ** ************ ******* *** **** plugs *** ***** *****. ***** ******* mechanically **** * ***** **** * switch, ***** *****, ** **** ****, or **** ****** ****** *****, *** may **** ** ******* **** * proprietary ****.

IPVM Image

***** ***** ***** ** ***** *** effective ** ******** ****** *********, **** are *** ********** ** **************, *** a ********** ******** *** ****** ** able ** ***** **** *** ** pry **** ***** ***** ****** ****. As ****, ******* ***** ****** ** considered **** ** * **** ******* security *******, *** *** *** **** element.

*** * ****** ****, **** ********** **** ******* *****************.

Door ***** *** ******** ******

*******, **** ********* **** *** *********** access ** *** **** ********** ***** of * *******, *** *****, *******, or ***** ***** ************ ******* *** switches *** ********* *******. ** ******** the ********* ************ ** ***** *****, many ***** **** ********** ** **** inadvertent ******* *** ** *******. ** doors ****** ** *******, ********** **** cages ** ****** ********** ****** **. Most ****** ** ********* ******** ******** equipment ** ******** *******:

IPVM Image

** * ******, **** ********** ****** electronic ****** ******* ** ****** ** network ********* *****. *******, **** ***-****** mechanical **** *** ***** *** ** a ***** *** ** ********** ********* areas **** ******** *******.

Managing ************* *** ***** ************ *******

***** *** *** ***** ***** *** improve ******** ** ***** ***, **** are **** ********* **** ********** ** part ** * ******* (*** ********) security ******.

** ************, **** ****** ** ** to *** ********** *******, *** ********* it ***** **** *** ** *** places:

  • *** ****:**** *** ************ ******* ** **** of * ****** *********/********** *** (******* sharing ******** ** *********), *** ***** most ****** ******* *** ******** ****** for *** ******* *******, *** *** force ***** ************ **** *********** (*** better ** *****).
  • **********:** ** *** **** **** *** have * ******** ****** ** *****, the ********** ********** *** ****** ** create *** ** **** ** ***** documentation, ********* ** ** ** ******** in ***** *** *** ******** ** be ******** *** ***** ********* ** case ** * ******.

Test **** *********

**** ****** ******** *******.

[****: **** ***** *** ********** ********* in **** *** ************* ******* ** 2018-2022 **** ********** ******* *******/************* ***********, hardening ******, ***** ********, *** ****]

Comments (4)
HB
Harold Baumgarten
Jan 24, 2022

**, *** *** ****** ******* * general ********** ******** ****, *** **** available *** ** *** ***** *****.

******

UM
Undisclosed Manufacturer #1
Jan 24, 2022

***** ****** ** * ******** **** at *** *** ** *** *******, but ****** *** ********...

IPVM Image

HB
Harold Baumgarten
Jan 24, 2022

**** ** **** ***** ** *** pageIPVM Image

HB
Harold Baumgarten
Feb 01, 2022

**** ****, ****** ******* * ******** link, * ******** **'* ******* * week ***.

*** ****** **** ** **** *** group ****.

******