Видеонаблюдение всерьез и надолго

Видеонаблюдение всерьез и надолго
Кукушин Николай


ЧТО НОВОГО?

В начале 1990-х, когда у нас в городе еще только начинался выпуск видеокамер с ПЗС-матрицами, где нужно было подстроеч-ными резисторами добиться соответствия картинки. Были сделаны первые платы видеозахвата с ПДП, всерьез рассматривались такие «бредовые» идеи, как вращающееся зеркало в совокупности с «прозрачной» оптикой. А стримеры R-DAT были несопоставимо привлекательнее винчестеров, и за ними стояла длинная очередь крупных клиентов, способных платить много и стабильно. Но навалившаяся приватизация перечеркнула многие интересные проекты, которые могли бы осуществиться в рамках крупных государственных объединений без расчленения их на мелкие враждующие между собой предприятия.

Как ни странно, но до сих пор во многих дорогостоящих проектах крупных компаний используются прежние аналоговые решения с матрицами и аналоговыми коммутаторами, что преподносится как нечто надежное и посему не нуждающееся в совершенствовании. В действительности же все в точности до наоборот. Всем, кто применяет непродуманные системы видеонаблюдения, следует всерьез подумать о собственной безопасности. Вряд ли установщики сообщили такую «мелочь», что внутренний логин (известный в т.ч. охранникам) вполне доступен из Интернета и дает возможность наблюдать за владельцем видеосистемы. И отследить это невозможно, поскольку второй и последующий вход в систему не фиксируется в журнале одних систем и недоступен для обнаружения автоматизированными средствами в других.

Анализ технологий показывает, что такая «лазейка» есть в большинстве видеорегистраторов и ПО видеонаблюдения. Опасно?! Но представители производителей в таких случаях демонстрируют «заплыв на длинные дистанции», заявляя, что у них есть фильтрация по МАС-адресам - что по сути абсолютно не имеет никакого отношения к безопасности. Грамотным специалистам известно, что МАС-адреса в Интернете не передаются, это атрибут только ЛВС, но на стендах многих компаний до сих пор фильтрацию по МАС-адресам пропагандируют с убежденностью какой-то секты. Выставки все больше превращаются в собрание гуманитариев, заточенных на вопросы: «А как вас зовут?», но дальше выяснить у них ничего не удается. «Что нового?» - спросили на презентации представителя достопочтенного европейского вендора, и он ответил, что ничего нового у них за целый год не появилось, поскольку все и так очень хорошо. Прямо и честно. Публика ошарашенно проглотила этот ответ и больше вопросов ему не задавала.


Отчасти, в крупных проектах, где строгие сжатые сроки и большой объем, работает другой эффект - новатор всегда рискует. Проектировщику гораздо проще использовать красиво упакованные европейские решения, дорогие и солидные, чем пойти на риск и применить еще неопробованные в широких мировых масштабах российские. На этом сформировался целый клан системных интеграторов, которые в упор не видят ничего отечественного, но с легкостью выигрывают тендеры крупных заказчиков. Так проще, и никто не посмеет открыто выступить против европейского авторитета. Но кое-что меняется.

Стоимость часто не соответствует полезности. Яркий пример - модные видеокамеры Х, продажи которых несут продавцам хорошие дивиденды, пока их покупатели не знают о том, что видеокамеры У в одинаковых условиях показывают лучше, стоят вдвое меньше и вдвое меньше по размерам и весу. Все больше россиян понимают, что каким бы ни был европейский бренд, внутри вся начинка сделана на заводах Юго-Восточной Азии.

Положение западников осложняется еще и тем, что в электронике достигнут своеобразный технологический потолок, который не позволяет развивать дальше прежнюю электронику, а конкурировать при равных условиях, например, с Китаем им гордость не позволяет, слишком велика разница в привычном уровне зарплаты.

В итоге, китайцы постепенно забрали рынок и у американцев, которым едва удается защитить внутренний рынок посредством законодательных препятствий для китайцев.

Так было с «Хуавей», которую американцы не пустили на сети связи, так стало и с «Самсун-гом», которому «Эппл» предложил не торговать в США в обмен на отзыв своих авторских исков.

Мировые аналитики уже признали тот факт, что в Азии значительно больше новых инноваций и патентов, чем в почтенной Европе, а А. Меркель с предвыборной трибуны засвидетельствовала отставание в сфере ИТ-технологий.

ТОЛЬКО IP

Развитие IP-технологий привнесло в системы безопасности новые функции, о которых 20 лет назад задумывались очень немногие. В сфере видеонаблюдения до 2011 года бытовала точка зрения, что видеорегистраторы являются наилучшим выбором для ядра надежной видеосистемы, а компьютерные серверы с платами видеозахвата с ПО устанавливались только там, где не хватало денег на приличную технику.

Если еще 5 лет назад включение в проект аналоговых видеокамер не вызывало сомнений, то теперь клиент спрашивает: «А почему аналоговые камеры здесь поставили?» Ему прекрасно известно, что детализация на аналоговых видеокамерах оставляет желать лучшего (рис. 1, 2).

 

 

 Рис. 1. Изображение с аналоговой видеокамеры

Рис. 2. Изображение с IP-видеокамеры

И нужна серьезная аргументация, чтобы подтвердить правильность выбора. По сути, клиенту почти безразлична транспортная среда, ему важна картинка - насыщенная, без муара. И в этом ключе шансов на победу у аналоговых видеокамер совсем не остается, даже несмотря на сверхнизкие цены. С видеокамерами все просто - в них важнее всего детализация, широта динамического диапазона и чувствительность. Выставки в какой-то степени позволяют сравнить динамические диапазоны и чувствительность видеокамеры, если знаешь, конечно, как это делать прямо на месте, не подставляя уши для развешивания гуманитарной «лапши».

Есть значительно более существенные вопросы, предопределяющие оперирование видеопотоками, которое является наиболее сложной задачей и требует максимальных ресурсов.

Во-первых, необходима защита от «штормов» в сети. Для этого сети должны быть построены на оборудовании, поддерживающем борьбу с ними. Открываем спецификацию и определяем пригодность оборудования по протоколам STP (RSTP). Конечно, нужно знать такие критерии, о которых апологеты «сухих контактов» обычно даже не догадываются. В качестве бесплатного бонуса профессионалы получат при той же цене еще и автоматическое резервирование линий в придачу.

Во-вторых, необходима защита от ARP-спуффинга, разновидности атаки «негодяй посредине», манипулирующим сетевым коммутатором, чтобы прогнать информацию через свой девайс.

Обычная защита в составе коммутаторов от подмены адресов не срабатывает, потому что манипулируются ARP-таблицы. Здесь эффективен firewall, позволяющий управлять трафиком по МАС-адресам. В нем мы задаем строгий список, с которым работает сервер. Кроме того, мы формируем списки по IP-адресам и разрешаем требуемые сокеты. Есть firewall, позволяющие сразу проводить его обучение и создавать правила, что очень удобно. Работа firewall не только устраняет угрозы в сети, но и существенно разгружает сеть и процессор от деятельности ненужных приложений и служб, большую часть которых обычно забывают отключить.

В-третьих, необходим определитель «чужаков», то есть появление в сети посторонней активности с незарегистрированного устройства. Возможно, что это делается с целью, например, DDOS-атаки или же в ЛВС был включен второй сервер, старающийся захватить видеопотоки на себя. Обнаружение позволяет быстро осуществить превентивные мероприятия по выявлению его владельца с последующими организационными мерами.

КАБАЛЬНАЯ СИСТЕМА

Некоторые администраторы полагают, что VLAN открывает видеонаблюдению «зеленую улицу», но на практике получается, что какие-то кассовые аппараты внезапно перестают работать из-за превышения предела производительности коммутаторов весьма почтенного производителя. Это больно ударяет по бизнесу - проще и правильнее было с самого начала для видеонаблюдения сделать отдельную сеть.

Есть объекты с распределенной структурой, где много всевозможных углов и закоулков, где разбросано всевозможное оборудование системы видеонаблюдения. Как правило, это некие ниши, потолочные лючки, шкафчики, столики и т.д. Если открыть подвесной потолок, то можно увидеть нелепое хитросплетение набросанных без лотков в разных направлениях всевозможных кабелей - и там, разумеется, не бывает пожарных извещателей, но именно там кабель застревает между острых краев несущих профилей, и электрическая изоляция стремительно нарушается при малейшем продергивании, без которого не обойтись в этом переплетении кабелей. Отсюда угроза возгорания и угроза персоналу, который запросто может попасть под опасное напряжение. Представьте себе, сколько времени и сил было убито на такой «дизайн» (рис. 3), сколько стараний потрачено на размещение в труднодоступных местах всевозможных блоков питания и коммутаторов! Потолки в некоторых зданиях с деревянными перекрытиями после прокладки кабелей зашиты приходится наглухо закрывать гипсокартоном, организовывая таким образом тепленькое жилище для грызунов.

Рис. 3. Кабельное хозяйство напоминает африканские джунгли

Нормальная структура базируется на нормальной СКС, в центре которой находятся этажные шкафы, куда сведены все линии от видеокамер. И в этих же шкафах размещаются профессионального уровня коммутаторы и блоки питания - ничего другого не требуется. Администрировать такую сеть и поддерживать ее в порядке несопоставимо проще, нежели бродить по установленной неизвестно где скрытой в труднодоступных местах периферии. Напомним, что все виды электропроводки требуют соблюдения норм ПУЭ, на знание которых некоторые проектировщики никогда в жизни не были аттестованы, и именно они закладывают многие опасные риски в современные здания, пополняющие статистику пожаров даже на этапе строительства, не говоря уже об эксплуатации. Более того, многие объекты под руководством неопытных менеджеров реконструируются без оформления проектной документации наобум, по принципам «быстрей и дешевле».

На самом же деле предварительная прорисовка трасс прокладки всех кабелей и мест установки оборудования с помощью современных САПР позволяет автоматически подсчитать буквально все до последнего гвоздя, избежать недомыслия и произвола со стороны монтажников и, самое важное, упрощает дальнейшую эксплуатацию, устраняя необходимость разгадывания ребусов спонтанных решений подрядчиков.

В одном проекте все чаще гармонично объединяются ЛВС, видеонаблюдение, СКУД и ОПС - все «слаботочные» линии проектируются в одной кабеленесущей системе, что сокращает затраты и на проектирование, без дополнительных согласований между разными проектами, и на монтаж, и в ходе эксплуатации.

РОЕ-НИЕ ВИДЕОКАМЕР

Стандарт питания IEEE 802.3af-2003 и IEEE 802.3at-2009 быстро берет свое, несмотря на психологические барьеры. Открывается реальная возможность в 4 раза уменьшить количество блоков питания, кабелей, аппаратов защиты и прочей атрибутики по сравнению с 12-вольтой системой электропитания.

Рис. 4. Схема РоЕ реализуется довольно просто

Теперь многие производители перешли на выпуск видеокамер с одним разъемом, по которому видеокамера получает электропитание РоЕ и соединяется с ЛВС (рис. 4). На рынке появилось множество сетевых коммутаторов с РоЕ, и уже не нужно ждать целый месяц пока их привезут в Россию. Однако появились и многочисленные инжекторы, которые несут в себе скрытую угрозу для объекта в целом. Дело в том, что мало кто из «слаботочников» заморачивается на обязательные по нормам ПУЭ расчеты по току КЗ, а напрасно. Вопрос весьма актуален не только для РоЕ, но и для многих линий с напряжением 12 В, которые для уверенного срабатывания аппарата защиты должны иметь большее сечение кабеля, чем требуется видеокамере. Обычно в проектах копируются величины тока КЗ из других проектов, не имеющих отношения к конкретной линии, что явно противоречит и требованиям технического регламента ФЗ 123. Многие предлагаемые рынком инжекторы имеют соединенные внутри линии питания и ничего более, а сами инжекторы также соединяются параллельно. И в итоге, довольно значительные токи, по величине в десятки раз больше допустимого для сечения кабеля витой пары, вполне могут сначала перегреть кабель и соседствующие с ним кабели, а затем и воспламенить хорошо прогретый окружающий мусор, обильно скапливающийся в кабельных трассах в силу различных факторов. Впрочем, некоторые ШПД-провайдеры идут еще дальше - по витой паре пускают не только Ethernet, но и 220 В. Такие изобретательства обнаруживаются во многих местах, в том числе на чердаках и в подвалах. Бедные управдомы просто уже устали с ними бороться (рис. 5), потому что орды провайдеров весьма многочисленны и определить принадлежность того или иного кабеля бывает очень сложно.

Рис. 5. Ящик с посланием управдома

Правильным будет применение все же коммутаторов с РоЕ, где уже предусмотрена защита по току для каждой линии. Применение инжекторов возможно лишь при условии соблюдения ограничений по току с учетом, конечно, мощности потребления самих видеокамер.

СЕРВЕРЫ

В мире существует огромное количество систем видеонаблюдения, и вряд ли кто-то может утверждать, что у него построена абсолютно идеальная система, базирующаяся на совершенном серверном ядре. Если посмотреть за развитием системных продуктов, то можно увидеть две мощные тенденции, влияние которых нарастает все больше. Во-первых, это растущее могущество процессоров самих видеокамер, которым даже уже не нужна система видеонаблюдения в прежнем ее понимании. Современные видеокамеры обладают развитым функционалом поддержки всех основных видов сетевого резервирования, хранения и информирования владельца при затруднениях. Облегчение здесь в том, что наилучшее ПО систем видеонаблюдения можно узнать по отсутствию требования использовать самую дорогую версию операционной системы, при этом даже майкрософтовская жадность начинает работать на пользу безопасности. Вторая тенденция - растущее совершенство накопителей информации.

Эти два наиболее значимых тренда быстро высвечивают уровень производителя. Например, если производитель NAS до сих пор барахтается в 2ТБ винчестерах и не может подключить 4ТБ, что было доступно еще пару лет назад у других производителей, то сразу становится ясно, где лучшее.

С серверами все гораздо сложнее. Прежде всего, существуют устаревшие предубеждения, которые не позволяют применять наиболее современные решения. С другой стороны, многие ориентированы сторону ЦОД -и строят систему по аналогии. Но большинство объектов в этом совершенно не нуждаются. Важнее учесть другое - через пару лет владельцу видеосистемы придется отдать компьютер на техобслуживание. А встроенные неизвлекаемые диски, на которых была записана информация, будут переданы в составе сервера? Поэтому диски должны быть извлекаемы. В любом случае должен быть второй сервер, который автоматически подхватывает видеокамеры, если с «напарником» что-то произошло. Лучшие виды ПО систем видеонаблюдения выполняют такой переход автоматически без участия администратора по принципу периодического пингования, при отрицательном результате соответствующий скрипт заберет видеокамеры «напарника» в свою юрисдикцию.

ВЫХОД В ИНТЕРНЕТ

Трудно представить себе современную сеть без возможности просмотра видеонаблюдения на планшете. Здесь у многих систем видеонаблюдения есть тяжелая проблема - по аналогии с производителями DVR и NVR многие программисты полагают, что серверу достаточно одного сетевого интерфейса. Следовательно, их ПО не умеет различать LAN от WAN, и единственным выходом остается подключение роутера-маршрутизатора. Но, как известно, большинство ро-утеров не имеют сертификатов с учетом ключевых изменений Интернет по версии 2, включая самых авторитетных производителей, поэтому через их «защиту» вполне может идти «множество всевозможного», и все оно будет перегружать сеть, в которой обитают видеокамеры. Идеальная на сегодняшний день схема видеонаблюдения показана на рисунке 6, под изображением коммутаторов, конечно, подразумевается ЛВС.

Согласитесь, что гораздо правильнее включать внешние сети через отдельный сетевой интерфейс, что исключает влияние внешних воздействий на производительность системы видеонаблюдения. Просто, эффективно, но доступно не во всех системах видеонаблюдения.

СКРЫТАЯ СТОРОНА

Создающие ПО систем видеонаблюдения программисты зачастую стараются создать максимум удобств - с их точки зрения. Но для служб безопасности многие их «удобства» оказываются сущей проблемой. Среди таких «удобств» можно отметить, например, встроенную инструкцию «help», неотделимую от программы, в результате чего любой оператор, даже не обладающий хакерскими навыками, постепенно может освоить все навыки администрирования системы и узнать все тонкости настройки видеосистемы. К чему это приводит? Как минимум, к «сносу» паролей - ведь так интересно узнать, что будет если... Но иногда за этим стоит и подкуп охранников - остановить систему на время вывоза некоторого груза, чтобы директор не узнал. Правильно поступают те производители, которые дают доступный для редактирования файл инструкции отдельно, а уж владелец системы самостоятельно решает, что должен знать конкретный оператор о системе видеонаблюдения и ее настройках.

Огромное количество видеосистем, как уже было отмечено, не способно определить, сколько пользователей воспользовалось одним логином (рис. 7), поэтому администратору такой системы видеонаблюдения приходится частенько менять пароли и аккаунты, что совсем не добавляет энтузиазма, потому что угроза клонирования пароля пользователя и незаметного хищения видеоконтента остается.

Другим примером являются закладки, позволяющие отметить фрагменты архивных записей, которые система удалять не должна. Отметив закладками побольше фрагментов, мы оставляем для других записей все меньше места - система незаметно и быстро удаляет то, что и было необходимо инсайдеру, дабы скрыть свои мероприятия.

Публикация проектной документации в интернете явно не способствует повышению уровня безопасности. Какие еще объекты за несколько лет не прошли через критикуемый со всех сторон сайт госзакупок? Пожалуй, только самые депрессивные. Согласитесь, первое, что требуется для рейдеров - это подробные схемы систем безопасности с привязкой оборудования к поэтажным планам, со всеми спецификациями и подробными пояснительными записками. Остальное выболтают заранее прикормленные охранники.

 Рис. 6. Включение в Интернет с резервированием серверов

  Рис. 7. Клонирование юзер-аккаунта не определяется


АКТУАЛЬНОСТЬ CCTV ВОЗРАСТАЕТ

Клонирование (подделка) карт доступа оказалось неразрешимой проблемой СКУД, которая останавливает многих руководителей сразу, как только они узнают про считыватели увеличенного радиуса действия, позволяющие быстро получить копию RFID-карты, даже не держа ее в руках. Иными словами, ТМ-ключи (есть защищенные версии i-button) оказываются даже более безопасными, чем RFID, поскольку для их клонирования необходим прямой контакт. Но развитие технологий достигло другой ожидаемой вершины, появились смартфоны и модули со встроенными RFID-трансиверами, способные симулировать и без клонирования односторонние протоколы карт RFID, которые настолько тривиальны, что взлом защиты не является сверхзадачей для приложения даже путем простейшего перебора шифров. Более того, проход в открывшуюся дверь следом или навстречу остается наиболее простым способом незаметного проникновения на «защищенный» объект.

В этой связи возрастает потребность в таких СКУД, где идентификация происходит по карте доступа с условием, что от охраны получен разрешающий сигнал. Для этого с обеих сторон вблизи охраняемой двери устанавливаются видеокамеры (рис. 8). У охранника на мониторе автоматически появляется фото работника из файла, закрепленного за конкретной картой, одновременно охранник сравнивает видеоизображение посетителя, и, если посетитель похож на работника, обладающего правом доступа, если вокруг нет подозрительных лиц, способных пройти следом или навстречу по другую сторону двери, он кнопкой на компьютере разрешает проход либо вызывает группу быстрого реагирования (ГБР), которая прибывает раньше, чем нарушитель успеет выполнить свою миссию.

Рис. 8. Видеокамеры на входной двери -внутри и снаружи

Следуя дальше этой логике, вполне возможно заменить СКУД кнопкой звонка охраннику, который идентифицирует посетителя и разрешает либо не разрешает проход. Но является ли это СКУД в чистом виде или это уже видеонаблюдение? Актуальность таких СКУД с высокой строгостью авторизации при проходе растет с учетом того, что целью желающих незаметно проникнуть на объект современных нарушителей, несомненно, является вовсе не офисная бумага и оргтехника.

ИНТЕГРАЦИЯ

Некоторые производители восхваляют интеграцию систем до небес, расписывая невиданные блага от созданного ими продукта настолько, что вспоминается комедийный фильм про самолет, на первом этаже которого был бассейн, на втором - варьете, а на третьем - ресторан с огромным роялем, в итоге пианиста придавило этим роялем, когда самолет накренился. Относительно целесообразности интеграции вопрос весьма спорен и общая тенденция налицо - интегрированные продукты существенно уступают по возможностям, отстают от аналогов и значительно дороже по цене.

Более того, при аварии падает сразу все, поэтому на практике заказчики предпочитают отдельные системы, но с возможностью некоторой взаимной интеграции. Инженерная инфраструктура находится в ведении часто сменяемых инженеров, и службы охраны совершенно не хотят с ними дружить, т.к. вполне обоснованно видят в них потенциальных расхитителей - этот фактор больше всего препятствует интеграции, хотя с технологической точки зрения она несет множество выгод.

Третий фактор против интеграции вытекает из глубокого резервирования видеонаблюдения, которое в современных системах происходит не только на основе методов L2/3 Ethernet (STP, RSTP), а на основе скриптов уровня L7 и здесь уже сказываются пределы в нагрузке на сервер и саму сеть, если используется сетевое хранилище, эта величина не безгранична, поэтому трафик от другой периферии в сети системы видеонаблюдения совершенно не приветствуется.

Ну, а самое главное состоит в том, что интегрированные продукты на самом деле являются конгломератом разных программ, работающих одновременно, и там полно скрытых уязвимостей в самых важных местах, позволяющих незаметно удушить всю систему, прокравшись под видом легального приложения из состава этого конгломерата.

АВТОМОБИЛЬ НА РОЛИКАХ

Некоторые поставщики в Интернете старательно твердят, что видеорегистратор лучше, чем компьютер.

В качестве аргументов лукаво приводят доводы о том, что якобы видеорегистратор всегда лучше отработан, чем компьютер. Но разве с таким доводом может согласиться специалист, знакомый с производством? Ведь какими бы ни были партии DVR, NVR, они всегда значительно уступают партиям компьютерного оборудования, здесь отличия в объемах производства в десятки раз не в пользу DVR, NVR.

Нам говорят про устойчивость DVR и NVR, не приводя конкретных аргументов. В компьютере всегда можно переустановить ОС, запустить предустановки, сделать диск восстановления и бороться вполне осязаемыми методами с различными сетевыми угрозами. В DVR, NVR ничего такого и в помине нет, все средства защиты могут быть только внешние, а это дополнительные затраты на «железо», например, бесплатный для компьютера firewall, но совсем недешевый и отнюдь не удобный в качестве отдельного блока. Прошивки DVR, NVR могут «слететь» в любой момент, и ничто не заставит их переустановиться. Отправка в ремонт производителю равносильна покупке нового оборудования, потому что не будешь ведь ждать, пока DVR, NVR приведут в чувство. Да и с каким результатом? Через день он опять может сломаться. Компьютер ремонтируется гораздо проще, без отправки в другой город.

DVR, NVR - это удел тех, кто без знаний и опыта гонится за дешевизной, которая на деле оказывается дороговизной.

Специалисты от ОПС часто не умеют настроить компьютер, запросто могут поставить на i5 W32 вместо W64, по незнанию ставя на внедорожник колеса от игрушечного авто, им действительно проще взять дорогостоящий DVR, NVR от некого бренда. Но от этого покупателю не станет лучше. Покупая DVR, NVR, он покупает «склеп», перепродать который почти невозможно, и никакие технологические новинки не будут ему доступны. Никакие обновления видеоаналитики, включая те, что по умолчанию вложены в ПО видеосистем на РС бесплатно.

Но главное даже не это. Покупатель NVR повязан знакомыми производителю видеокамерами. Новые видеокамеры, увы, покупателю доступны не будут, и он будет просто вынужден покупать устаревшие модели видеокамер втридорога у тех же «специалистов», которые навязали ему NVR.

Все это выгодно производителю, выгодно продавцу, но очень невыгодно конечному пользователю.

БУДУЩЕЕ ВИДЕОНАБЛЮДЕНИЯ

Успехи видеонаблюдения несомненны и свидетельствуют о его огромных перспективах. Эта сфера выгодна для инвестиций, и именно в ней идет одно из сражений за технологическое превосходство. Матрицы, используемые сейчас, безусловно, несовершенны и представляют собой тупиковое направление технологий, и уже появились разработки, в которых гармонично решены многие непреодолимые проблемы современных видеокамер, но они пока остаются экспонатами сверхсекретных лабораторий и в некотором роде «звездой» для их создателей, потому что запуск в серию требует значительного финансирования.

Но мир развивается, и многое из того, что было страшно дорого вчера, стало общедоступным сегодня, поэтому очень может быть, что принципиально новые видеокамеры появятся довольно скоро.