Безпечна конфігурація Hikvision: HTTPS, сертифікати

1. Навіщо взагалі HTTPS на камері чи відеореєстраторі

IP-камера або NVR Hikvision – це насправді маленький веб-сервер. До нього входять:

• через браузер (Chrome, Edge, Firefox);
• через клієнтське програмне забезпечення (iVMS-4200, HikCentral, сторонні VMS);
• через інтеграцію з ISAPI/SDK.

Якщо використовується HTTP, логін, пароль та всі налаштування йдуть у мережі «голими» — їх можна перехопити на будь-якій ділянці маршруту.

HTTPS — це той самий HTTP, але поверх шифрування TLS (SSL/TLS). HTTPS – це протокол шифрування на базі SSL/TLS та HTTP, який підвищує безпеку веб-доступу до камери.

Щоб це шифрування запрацювало, пристрій має пред'явити сертифікат сервера — маленький файл із криптографічним «паспортом» пристрою.

2. Дві ключові галочки у розділі HTTPS

Для більшості мережевих камер Hikvision (серії G1/G2/G3 тощо) шлях до налаштувань виглядає так:

Configuration → Network → Advanced Settings/Network Service → HTTPS

У розділі HTTPS ви майже завжди побачите дві галочки:

1. Enable (Увімкнути HTTPS)
2. Enable HTTPS Browsing (Увімкнути браузинг HTTPS)

Згідно з офіційним Посібником користувача мережевої камери, логіка наступна:

• Увімкнути

1. включає підтримку HTTPS на пристрої;
2. після цього камера доступна і HTTP, і по HTTPS;
3. відкривається HTTPS-порт (за замовчуванням 443 або той, який ви задали);
4. за HTTPS починають працювати веб-інтерфейс, ISAPI/SDK, з'єднання з iVMS-4200, VMS і т.д.

• Увімкнути перегляд HTTPS

1. робить веб-доступ тільки за HTTPS;
2. при спробі зайти по http://IP пристрій зазвичай перенаправляє на https://IP;
3. всі спроби відкрити веб-інтерфейс по чистому HTTP перестають працювати.
4. Для NVR логіка така сама: в Посібнику відеореєстратора, розділ HTTPS говориться, що включення HTTPS дозволяє шифрувати веб-доступ, порт (наприклад 443) явно задається в налаштуваннях.

3. Що таке сертифікат і які варіанти є у Hikvision

Доступні три підходи:

3.1. Самопідписаний сертифікат (Self-signed)

• Генерується прямо на камері чи NVR.
• Безкоштовний, ідеально підходить для локальної мережі.
• Браузер лається: «Ненадійний сертифікат», тому що сертифікат не підписаний зовнішнім центром.
• У посібниках Hikvision це описано як нормальний варіант для локальної мережі, але за підвищених вимог безпеки рекомендується використовувати сертифікат від довіреного центру (CA).

3.2. Сертифікат від центру сертифікації (CA)

• Це може бути корпоративний AD CS або громадський CA.
• Процес:

Створюємо на пристрої запит на сертифікат (CSR, запит на сертифікат).

Відправляємо CSR до CA.

Отриманий підписаний сертифікат завантажуємо назад у пристрій.

3.3. Імпорт уже готового сертифіката

• Якщо ви згенерували ключ і сертифікат на іншому хості (OpenSSL, корпоративний PKI-шаблон тощо), його можна імпортувати в камеру/NVR.
• Підтримуваний формат залежить від моделі та прошивки. У типовому quick-guide явно вказано формат PEM для NVR: «Підтримується лише сертифікат формату PEM; NVR може розпізнати лише сертифікат, згенерований на основі запиту, експортованого ним самим».

4. Що зробити до включення HTTPS

Перед тим, як ставити галочки в розділі HTTPS, варто виконати три базові кроки. 

4.1. Надійний пароль адміністратора

• При активації пристрою ви повинні задати пароль адміністратора; слабкі паролі прямо позначені як ризиковані.
• Тільки адміністратор може керувати налаштуваннями HTTPS та сертифікатами.

4.2. Коректний час та часовий пояс

• Налаштування: Конфігурація → Система → Налаштування часу.
• Якщо час на пристрої невірний:

1. сертифікат може виявитися "ще не дійсний";
2. або «вже прострочений»;
3. тоді браузери та клієнти лаятимуться, навіть якщо сертифікат сам по собі коректний.

4.3. Актуальна прошивка

• У посібниках Hikvision наполегливо рекомендує регулярно оновлювати прошивку до останніх версій для виправлення вразливостей та помилок.
• Оновлювати прошивку потрібно суворо під вашу модель та регіон, скачуючи з офіційного порталу Hikvision

5. Сценарій із самопідписаним сертифікатом

Це найбільш простий та універсальний варіант для квартир, невеликих офісів та малих об'єктів.

Крок 1. Відкрити розділ HTTPS

У веб-інтерфейсі камери або NVR:

Configuration → Network → Advanced Settings/Network Service → HTTPS

Крок 2. Створити самопідписаний сертифікат

1. В області встановлення сертифіката виберіть Створити самопідписаний сертифікат.
2. Натисніть Створити.
3. Заповніть поля:

• Країна (C) - країна (наприклад, UA, RU, PL);
• Ім'я/IP-адреса хоста - IP-адреса або доменне ім'я вашого пристрою;
• Термін дії - термін дії (у днях/роках, залежно від прошивки, рекомендується 2-3 роки);
• Інші поля (Organization, City) можна заповнити умовно.

1. Натисніть Гаразд.

Після цього у розділі сертифікатів з'явиться інформація про поточний сертифікат.

Крок 3. Увімкнути HTTPS

1. Поставте галочку Enable.
2. Переконайтеся, що створений сертифікат обрано як Server Certificate (На деяких прошивках він підставляється автоматично).
3. Збережіть налаштування.

Результат:

• пристрій починає використовувати HTTPS-порт (зазвичай 443);
• клієнти подібні до iVMS-4200 можуть працювати через зашифрований SDK-канал (Enhanced SDK/TLS, якщо він є в прошивці).

Крок 4. Вирішити, чи вмикати Enable HTTPS Browsing

Згідно з мануалом, ця галочка переводить веб-доступ у режим тільки HTTPS. 

Практичні рекомендації:

• Якщо ви готові повністю перейти на HTTPS і знаєте, як повернутися (через SADP або локальний GUI NVR), можна вмикати Enable HTTPS Browsing.
• Якщо ви тільки тестуєте HTTPS або боїтеся втратити доступ, особливо при доступі через NVR/Virtual Host, спочатку залиште цю галочку вимкненою.

Важливо: на частини пристроїв після увімкнення HTTPS Browsing весь HTTP-доступ перестає працювати, і веб-інтерфейс доступний тільки по https://….

Крок 5. Перевірка

1. Відкрийте у браузері https://IP-адреса:порт (порт - 443, якщо не змінювали).
2. Браузер попередить про небезпечний сертифікат – це очікувано для self-signed.
3. Додайте виняток або прийміть ризик (у межах вашої політики безпеки).
4. Зайдіть в налаштування HTTPS і переконайтеся, що: 

• галочка Enable включена;
• сертифікат відображається як встановлений.

6. Налаштування клієнтів: браузери, iVMS-4200 та VMS

6.1. Веб-браузер

Сценарій наступний:

При self-signed браузер завжди показує попередження - це зафіксовано і в IPC Security Guide, і в посібниках NVR: самопідписаний сертифікат не виданий довіреним центром, тому з'явиться вікно з попередженням, яке можна пропустити вручну.

Для камер з  plug-in-free переглядом (нові Web-інтерфейси) у посібнику вказано: при доступі до HTTPS необхідно увімкнути WebSocket/WebSockets у розділі Network Service, інакше живе відео може працювати.

6.2. iVMS-4200 та інші клієнти Hikvision

У нових мануалах для камер зустрічається опція Enhanced SDK Service / SDK over TLS: при її включенні:

• клієнтське ПЗ додає пристрій із шифруванням SDK-трафіку;
• Hikvision рекомендує вмикати цей режим та використовувати його для захисту даних у каналі «клієнт → пристрій».

Практично це виглядає так:

1. Цей пристрій вмикає HTTPS та/або Enhanced SDK Service.
2. У iVMS-4200 додаєте пристрій як завжди; при необхідності експортуєте сертифікат із пристрою та поміщаєте його до папки сертифікатів клієнта (це прямо вказано у розділі HTTPS Settings мануалу камери).

7. Термін дії сертифікату - що говорить Hikvision і що робити на практиці

Важливо: у відкритих документах Hikvision для камер та NVR немає жорсткого ліміту за терміном дії сертифіката. Важливі лише його валідність та коректність.

Тому:

• Офіційні вимоги Hikvision: сертифікат повинен бути чинним (не прострочений і не «з майбутнього»), формат та зв'язка «CSR ↔ сертифікат» повинні відповідати очікуванням пристрою.
• Практика інформаційної безпеки:

1. 1-3 роки - типовий розумний термін для сервера;
2. що довше термін, то довше ви живете з наслідками компрометації ключа.

8. Додаткові параметри безпеки навколо HTTPS

HTTPS - це не срібна куля. Hikvision у своїх security-guide підкреслює, що це лише частина загальної моделі захисту. 

8.1. Паролі, користувачі та ролі

• Використовуйте надійні паролі і не залишайте дефолтних логінів. 
• Створюйте окремі облікові записи для операторів та гостей з мінімальним набором прав:

1. адміністратору - конфігурація та безпека;
2. оператору - перегляд та управління;
3. користувачеві – лише перегляд.

• Регулярно видаляйте обліки, що не використовуються.

8.2. Вимкнення непотрібних сервісів

У IPC і NVR Security Guide прямо сказано: за замовчуванням включено обмежену кількість сервісів, інші варто активувати лише за необхідності (ONVIF, CGI, UPnP, SNMP, Multicast, Platform Access тощо.).

Рекомендується:

• вимкнути UPnP, якщо пристрій не повинен сам відкривати порти в роутері;
• вимкнути SNMP, якщо ви його не використовуєте;
• не вмикати ISAPI, SADP, Multicast, якщо немає явного завдання.

8.3. Ведення та експорт логів

Обидва security-guide підкреслюють важливість логів:

• Логи містять операції, події, винятки, IP джерел, користувача тощо;
• Логи не можна редагувати. При переповненні нові записи перезаписують старі. 

Практика:

• увімкніть логування;
• періодично вивантажуйте логи (особливо після зміни налаштувань безпеки);
• зберігайте їх окремо від пристрою.

8.4. NTP та синхронізація часу

І для камер, і для NVR Hikvision рекомендує налаштувати NTP-сервер, щоб час був точним - це важливо і для валідності сертифіката, і для коректного маркування записів та логів.