Видеонаблюдение на базе IP для безопасности здания

Действительно ли охранное видеонаблюдение на базе IP обеспечивает должную безопасность? Этот вопрос часто задают клиенты, перед которыми встает вопрос выбора системы охранного видеонаблюдения. Приведем несколько основных методов и инструментов для защиты сетей, а также рассмотрим подробно методику шифрования данных и защиты от их хищения.

Станислав Гучия
Генеральный директор ООО "Аксис Коммуникейшнс"

Охранное видеонаблюдение на базе IP обладает многими преимуществами по сравнению с аналоговыми системами. С другой стороны, многие опасаются, что оно подвержено риску атаки хакеров. Подобные опасения вызваны по большей части публикациями в СМИ, где описывается, как легко получить несанкционированный доступ к охранной системе и управлять ею. В них же описываются методы и инструменты для создания защищенной системы охранного видеонаблюдения на базе IP. Прежде всего, система на базе IP может быть настолько открытой или защищенной, насколько вы сами этого хотите. Многие пользователи хотят иметь открытый доступ к изображению в режиме реального времени, чтобы распространять эту информацию среди членов семьи, друзей, а также в рекламных Web-приложениях. Однако охранные системы необходимо защищать от несанкционированного доступа как снаружи, так и изнутри.

Использование стандартной сетевой инфраструктуры для системы охранного видеонаблюдения, несомненно, имеет множество преимуществ. Главным образом, установка и обслуживание становятся менее затратными, поскольку общая инфраструктура может использоваться несколькими различными системами, в том числе и IP-сетью для голосового оповещения (VoIP), системой управления зданием и т.д. У видеосистем на базе IP нет ограничений по разрешению и частоте кадров, которые присущи аналоговым системам.

Уровни безопасности

Сетевая безопасность осуществляется на трех уровнях. Необходимо начать с определения требуемой степени безопасности системы, а также того, кто будет ею пользоваться и какова вероятность получения несанкционированного доступа. На основе этой информации можно принимать физические меры по обеспечению безопасности. Самое главное - постоянно контролировать эффект принятых мер. Одно из недооцененных достоинств систем охранного видеонаблюдения на базе IP состоит в том, что они используют уже существующие технологии. Эти технологии нехарактерны для видео, и потребовались годы развития, чтобы доказать, что они действительно работают. Создание безопасной системы охранного видеонаблюдения на базе IP напоминает охрану дома. В доме есть двери с замками. Когда вы уходите, то тщательно запираете окна и двери, чтобы в дом не пробрались воры. Если в нем есть ценные вещи, вы устанавливаете сигнализацию. Защита видеосистемы работает точно так же. Обычной камере, расположенной на виду и показывающей окружающие красоты и погоду, не нужны специальные меры защиты. Достаточно установки пароля для раздела администрирования камеры. Охранное видеонаблюдение с использованием корпоративной сети требует дополнительных мер безопасности. А системы охранного видеонаблюдения в зонах особой важности требуют усиленных мер, таких как аутентификация сетевого устройства, предотвращающая возможность использования другого источника. Трафик данных необходимо шифровать, чтобы посторонние лица не могли прочитать и использовать информацию.

Любые манипуляции в сетевой инфраструктуре приведут к включению сигнала тревоги и отключению части оборудования.

Аутентификация и авторизация: кто вы и есть ли у вас разрешение здесь находиться?

Безопасная передача данных означает не только обеспечение защиты внутри сети, но и между различными сетями и клиентами. Эффективные решения должны контролировать все, начиная от данных, отправленных через сеть, и заканчивая определением личности, использующей канал и получающей к ней доступ. Они должны не только идентифицировать и авторизовать источник сообщения, но и гарантировать конфиденциальность передачи данных во время ее прохождения по сети.

В течение первого этапа необходима идентификация пользователя или устройства в сети и на удаленной конечной точке-получателе. Существует несколько способов идентификации в сети или системе. Наиболее типичными являются имя пользователя и пароль. После окончания идентификации необходимо проверить, имеет ли пользователь или устройство разрешение на запрашиваемые действия. После подтверждения этого права пользователь получает полное соединение и возможность передачи данных.

Представляя собой базовую защиту, эта технология хорошо подходит для систем, которым не требуется высокая степень безопасности, а также в тех случаях, когда видеосеть отделена от основной сети в целях предотвращения к ней физического доступа для авторизованных пользователей.

Конфиденциальность: можете ли вы скрыть передачу данных от посторонних?

Второй этап включает в себя шифрование данных, чтобы во время передачи по сети никто не мог прочитать их или использовать. Существует несколько различных технологий, которые могут использовать интеграторы. Рассмотрим здесь четыре из них:

  • фильтрация IP-адресов;
  • виртуальная частная сеть;
  • протокол HTTPS;
  • стандарт 802.1X.

Ограничивающий брандмауэр: фильтрация IP-адресов

Некоторые сетевые камеры и видеокодеры используют фильтрацию IP-адресов, чтобы предотвратить доступ к компонентам сетевого видео со всех IP-адресов, кроме одного или нескольких. Фильтрация IP-адресов по своему действию напоминает встроенный брандмауэр.

Эта технология подходит для систем, требующих более высокого уровня безопасности. Как правило, сетевую камеру требуется настроить таким образом, чтобы она принимала команды только с IP-адреса или сервера, на котором установлено ПО для управления видео.

Безопасный маршрут: виртуальная частная сеть

Еще более безопасная альтернатива - это виртуальная частная сеть (VPN), использующая протокол шифрования для обеспечения безопасного тоннеля между сетями, по которому данные могут передаваться незаметно для посторонних наблюдателей. Это позволяет безопасно передавать данные через общую сеть, например Интернет, потому что только устройства с правильным "ключом" могут работать в самой сети VPN.

VPN, как правило, зашифровывает пакеты на уровнях IP или TCP/UDP и выше. Протокол защиты IPSec является наиболее часто используемым протоколом шифрования в сети VPN. В этом протоколе используются различные алгоритмы шифрования: стандарт тройного шифрования данных (3DES) или стандарт усовершенствованного шифрования (AES). Стандарт AES, использующий 128- и 256-битные ключи, обеспечивает более высокую степень безопасности и требует заметно меньше мощности компьютера для шифрования и расшифровки данных, чем стандарт 3DES.

Сети VPN часто используются в разных офисах в пределах одной организации или работающими удаленно сотрудниками, имеющими доступ к сети. Удаленные камеры образуют корпоративную систему охранного видеонаблюдения подобным образом.

Шифрование данных: протокол HTTPS

Вы можете достигнуть еще более высокого уровня конфиденциальности с помощью шифрования данных. Протокол защиты HTTPS -это наиболее часто употребляемый протокол шифрования данных, использующийся, к примеру, в приложениях для банковских операций, осуществляемых через Интернет, для обеспечения безопасности при финансовых транзакциях. Протокол HTTPS отличается от HTTP только одной ключевой особенностью: шифрование передаваемых данных осуществляется с помощью протокола безопасных соединений (SSL) или протокола защиты транспортного уровня (TLS). Протокол SSLбыл разработан компанией Netscape и выпущен в 1994 г. Безопасность, обеспечиваемая протоколами SSL/TLS, основана на трех основных элементах:

  1. аутентификация партнера по обмену данными;
  2. симметричное шифрование данных;
  3. защита от манипуляций с передаваемыми данными.

При осуществлении соединения SSL/TLS протокол приветствия определяет, какие методы шифрования должны быть использованы получателем и отправителем: алгоритмы, основные настройки, генерация случайных чисел и т.д. Затем протокол подтверждает идентификационные данные партнера методом использования сертификата Web-сервера для идентификации в Web-браузере. Такой сертификат представляет собой нечто вроде удостоверения личности, которое используют люди. Это документ в двоичном формате, часто выпускающийся центром сертификации в качестве идентификационного знака (Verisign). Пользователи также могут выпускать собственные сертификаты для закрытых групп, таких как Web-сервер локальной сети, к которому имеют доступ только сотрудники компании.

На следующем этапе партнеры по обмену данными сообщают друг другу предварительный код, который зашифрован перед передачей на сервер с помощью общего ключа, полученного в виде сертификата сервера (метод асимметричного шифрования), или обмениваются ключами согласно алгоритму Диффи-Хеллма-на. Обе стороны вычисляют главный код локально и на его основе создают сеансовый ключ. Если сервер может расшифровать эти данные и завершить протокол, клиент может быть уверен, что на сервере правильный частный ключ. Этот этап является самым важным в процессе аутентификации сервера. Только сервер с частным ключом, соответствующим общему ключу в сертификате, может расшифровать эти данные и продолжить согласование протокола.

Многие продукты сетевого видео имеют встроенную поддержку протокола HTTPS, которая позволяет безопасно просматривать видеоизображение через Web-браузер.

Защита от хищения данных для сетевых портов: стандарт 802. 1X

Одним из наиболее популярных и безопасных методов аутентификации для беспроводных сетей является стандарт IEEE 802.1X. С его помощью осуществляется аутентификация устройств, подсоединенных к портам сети LAN, установка соединения типа "точка - точка" или предотвращение доступа с порта в случае неудачной аутентификации. Стандарт 802.1X часто называют контролем доступа к сети на базе портов, потому что он позволяет предотвратить хищение данных, когда неавторизованный компьютер получает доступ к сети в результате подсоединения к сетевому разъему внутри или вне здания.

В стандарте 802.1X предусмотрена аутентификация на трех уровнях: запрашивающий, ау-тентификатор и аутентификационный сервер. Запрашивающий сообщает устройству сети, например сетевой камере, что ему необходим доступ к сети. Аутентификатором может выступать коммутатор или точка доступа. Последовательные порты аутентификатора разрешают передачу видеоданных от запрашивающего устройства после его идентификации. Аутентификационный сервер обычно представляет собой специализированный сервер в локальной сети LAN, перед которым в процессе аутентификации другие серверы должны быть идентифицированы.

Аутентификационный сервер, например Microsoft Internet Authentication Service, называется службой дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS). Если устройству необходимо получить доступ к сети, оно запрашивает разрешение на доступ через аутентификатор, которые перенаправляет все запросы в очередь на аутентификационный сервер. Если аутентификация осуществляется успешно, сервер отправляет аутентификатору команду авторизовать доступ к сети для ожидающего сервера.

Поддержку стандарта 802.1X часто встраивают в сетевые камеры и видеокодеры. Она очень полезна в случаях, когда сетевые камеры расположены в общественных местах (таких, как приемные, коридоры, комнаты переговоров) или даже вне помещений. Без поддержки стандарта 802.1X риск повреждения сетевого разъема, находящегося в легкодоступном месте, очень высок. В современных корпоративных сетях, где внутренние пользователи и внешние партнеры постоянно получают доступ к данным, поддержка стандарта 802.1X становится основным требованием для любых компонентов, подключаемых к сети.

Стандарт 802.1X обеспечивает безопасность на базе портов, при этом в процессе участвуют: запрашивающее устройство (например, сетевая камера), аутентификатор (например, коммутатор) и аутентификационный сервер.

Лучшие показатели

Защита системы сетевого видео - это непрерывный процесс, требующий постоянного внимания. Он начинается уже на этапе разработки проекта. Используйте следующие контрольные вопросы для оценки безопасности системы. • Определили ли вы, кто и как будет использовать систему? Вам необходимо определить роли администратора, оператора и наблюдателя.
 

  • Определили ли вы, что происходит с хранящимся в архиве материалом? Как долго вы хотите хранить видеоматериалы, и кто будет иметь доступ к записям?
  • Проверили ли вы физическую безопасность установки? Кабели и сетевое оборудование необходимо тщательно защитить.
  • Есть ли у вас способ проверки безопасности системы на месте через определенные промежутки времени? Удостоверьтесь в том, что определенные вами процессы действуют и система исправно работает.
  • Определили ли вы и приняли ли меры для безопасности сети? В их число входит программное и аппаратное обеспечение, такое как брандмауэры.

Необходимо время от времени осуществлять проверку всех важных позиций перед запуском системы.

Какой тип защиты вам подходит?

Система сетевого видео может быть гораздо более безопасна, чем аналоговая система. Вы можете отключать ее от Интернета и корпоративной сети и использовать шифрование данных для каждой камеры. Но часто бывает выгодно объединять работу системы сетевого видео с операциями в корпоративной сети и доступом к видео из удаленных мест через Интернет. Нет однозначного ответа по поводу того, какая степень защиты вам необходима. Все зависит от среды, сценария использования и ценности передаваемых данных. Это очень похоже на выбор защиты для здания. Вы можете использовать один замок или несколько. Если риск взлома в вашем районе велик и в вашем здании хранятся ценные вещи, вы может установить решетки на окна, сигнализацию, соорудить забор и даже поставить охранников. Прежде чем принять какое-либо решение, вам нужно тщательно оценить потенциальные риски и определить, какая технология защиты наиболее соответствует вашим условиям.      

Источник: Журнал "Системы безопасности" #6, 2009