CC BY
118
Системы охранного видеонаблюдения на базе 1Р для обеспечения безопасности здания
Ключевые слова: _
Охранное видеонаблюдение, В СТатье приводятся оПиСаНМя меТОд°в и ИНСТрумеНТов для СоЗдаНия
безопасность здания, защищенной системы охранного видеонаблюдения на базе !Р.
аутентификация, авторизация
Станислав Гучия,
Генеральный директор ООО "Аксис Коммуникейшнс"
Действительно ли охранное видеонаблюдение на базе !Р обеспечивает должную безопасность? Этот вопрос часто задают клиенты, перед которыми встает вопрос выбора системы охранного видеонаблюдения. Охранное видеонаблюдение на базе !Р обладает многими преимуществами по сравнению с аналоговыми системами, с другой стороны, многие опасаются, что они подвержены риску атаки хакеров. Подобные опасения вызваны по большей части газетными статьями, где описывается, как легко получить несанкционированный доступ к охранной системе.
Во-первых, система на базе !Р может быть настолько открытой или защищенной, насколько вы сами этого хотите. Многие пользователи хотят иметь открытый доступ к изображению в режиме реального времени, чтобы распространять эту информацию среди членов семьи, друзей, а также в рекламных веб-приложениях. Однако охранные системы необходимо защищать от несанкционированного доступа как извне, так и изнутри.
Использование стандартной сетевой инфраструктуры для системы охранного видеонаблюдения, несомненно, имеет множество преимуществ. Прежде всего, установка и обслуживание становятся менее затратными, поскольку общая инфраструктура может использоваться несколькими различными системами, в том числе и 1Р-сетью для голосового оповещения (Уо!Р), системой управления зданием и т. д. У видеосистем на базе !Р нет ограничений по
разрешению и частоте кадров, которые присущи аналоговым системам.
Уровни безопасности
Сетевая безопасность осуществляется на трех уровнях. Необходимо начать с определения требуемой степени безопасности системы, а также того, кто будет ей пользоваться, и какова вероятность получения несанкционированного доступа. На основе этой информации можно принимать физические меры по обеспечению безопасности. Самое главное — постоянно контролировать эффект принятых мер. Одно из недооцененных достоинств систем охранного видеонаблюдения на базе !Р состоит в том, что они используют уже существующие технологии. Эти технологии нехарактерны для видео, потребовались годы развития, чтобы доказать, что они действительно работают.
Создание безопасной системы охранного видеонаблюдения на базе !Р напоминает охрану дома. В доме есть двери с замками. Когда вы уходите из дома, то тщательно запираете окна и двери, чтобы в него не пробрались воры. Если в доме есть ценные вещи, вы устанавливаете сигнализацию. Защита видеосистемы работает точно так же. Обычной камере, расположенной на виду и показывающей окружающие красоты и погоду, не нужны специальные меры защиты. Достаточно установки пароля для раздела администрирования камеры. Охранное видеонаблюдение с использованием корпоративной сети требует дополнительных мер безопасности. А системы охранного видеонаблюдения в зонах особой важности требуют усиленных мер, таких как аутентификация сетевого устройства, предотвращающая возможность использования другого источника. Трафик данных необходимо шифровать, чтобы посторонние лица не могли прочитать и использо-
вать информацию. Любые манипуляции в сетевой инфраструктуре приведут к включению сигнала тревоги и отключению части оборудования.
Аутентификация и авторизация: кто вы и есть ли у вас разрешение здесь находиться?
Безопасная передача данных означает не только обеспечение защиты внутри сети, но также и между различными сетями и клиентами. Эффективные решения должны контролировать все, начиная от данных, отправленных через сеть, и заканчивая определением личности, использующей канал и получающей к ней доступ. Они должны не только идентифицировать и авторизовать источник сообщения, но также и гарантировать конфиденциальность передачи данных во время ее прохождения по сети.
Во время первого этапа необходима идентификация пользователя или устройства в сети и на удаленной конечной точке-получателе. Существует несколько способов идентификации в сети или системе. Наиболее типичным является имя пользователя и пароль. После окончания идентификации необходимо проверить, имеет ли пользователь или устройство разрешение на запрашиваемые действия. После подтверждения этого права пользователь получает полное соединение и возможность передачи данных.
Представляя собой базовую защиту, эта технология хорошо подходит для систем, которым не требуется высокая степень безопасности, а также в случаях, когда видеосеть отделена от основной сети в целях предотвращения к ней физического доступа для авторизованных пользователей.
Т-Сотт #6-2009
25
Конфиденциальность: можете ли вы скрыть передачу данных от посторонних?
Второй этап включает в себя шифрование данных, чтобы во время передачи по сети никто не мог прочитать их или использовать. Существует несколько различных технологий, которые могут использовать интеграторы. Рассмотрим четыре из них:
• фильтрация IP-адресов;
• виртуальная частная сеть;
• протокол HTTPS;
• стандарт 802.1X.
Ограничивающий брандмауэр: фильтрация IP-адресов
Некоторые сетевые камеры и видеокодеры используют фильтрацию IP-адресов, чтобы предотвратить доступ к компонентам сетевого видео со всех IP-адресов, кроме одного или нескольких. Фильтрация IP-адресов по своему действию напоминает встроенный брандмауэр.
Эта технология подходит для систем, требующих более высокого уровня безопасности. Как правило, сетевую камеру требуется настроить таким образом, чтобы она принимала команды только с IP-адреса или сервера, на котором установлено ПО для управления видео.
Безопасный маршрут: виртуальная частная сеть
Еще более безопасная альтернатива — это виртуальная частная сеть (VPN), использующая протокол шифрования для обеспечения безопасного тоннеля между сетями, по которому
данные могут передаваться незаметно для посторонних наблюдателей. Это позволяет безопасно передавать данные через общую сеть, например Интернет, потому что только устройства с правильным "ключом" могут работать в самой сети VPN.
VPN, как правило, зашифровывает пакеты на уровнях IP или TCP/UDP и выше. Протокол защиты IPSec является наиболее часто используемым протоколом шифрования в сети VPN. В протоколе IPSec используются различные алгоритмы шифрования: стандарт тройного шифрования данных (3DES) или стандарт усовершенствованного шифрования (AES). Стандарт AES, использующий 128- и 256-битные ключи, обеспечивает более высокую степень безопасности и требует заметно меньше мощности компьютера для шифрования и расшифровки данных, чем стандарт 3DES.
Сети VPN часто используются в разных офисах в пределах одной организации или работающими удаленно сотрудниками, имеющими доступ к сети. Удаленные камеры образуют корпоративную систему охранного видеонаблюдения подобным образом.
Шифрование данных: протокол HTTPS
Еще более высокого уровня конфиденциальности можно достигнуть с помощью шифрования данных. Протокол защиты HTTPS — это наиболее часто употребляемый протокол шифрования данных, использующийся, к примеру, в приложениях для банковских операций, осуществляемых через Интернет, для обеспечения безопасности при финансовых транзакциях. Протокол HTTPS отличается от HTTP только од-
Securt — Non-ttcurt
ной ключевой особенностью: шифрование передаваемых данных осуществляется с помощью протокола безопасных соединений (SSL) или протокола защиты транспортного уровня (TLS).
Протокол SSL разработан компанией Netscape и выпущен в 1994 г. Безопасность, обеспечиваемая протоколами SSL/TLS, основана на трех основных элементах: 1) аутентификация партнера по обмену данными, 2) симметричное шифрование данных, 3) защита от манипуляций с передаваемыми данными.
При осуществлении соединения SSL/TLS протокол приветствия определяет, какие методы шифрования должны быть использованы получателем и отправителем: алгоритмы шифрования, основные настройки, генерация случайных чисел и т. д. Затем протокол подтверждает идентификационные данные партнера методом использования сертификата веб-сервера для идентификации в веб-браузере. Сертификат представляет собой нечто вроде удостоверения личности, которое используют люди. Это документ в двоичном формате, который центр сертификации часто выпускает как идентификационный знак (Verisign). Пользователи также могут выпускать собственные сертификаты для закрытых групп, таких как web-сервер локальной сети, к которому имеют доступ только сотрудники компании.
На следующем этапе партнеры по обмену данными обмениваются предварительным кодом, который зашифрован перед передачей на сервер с помощью общего ключа, полученного в виде сертификата ключа от сервера (метод ассиметричного шифрования) или обмениваются ключами Диффи-Хеллмана. Обе стороны вычисляют главный код локально и на его основе создают сеансовый ключ. Если сервер может расшифровать эти данные и завершить протокол, клиент может быть уверен, что на сервере правильный частный ключ. Этот этап является самым важным в процессе аутентификации сервера. Только сервер с частным ключом, соответствующим общему ключу в сертификате, может расшифровать эти данные и продолжить согласование протокола.
Многие продукты сетевого видео имеют
26
T-Comm #6-2009
встроенную поддержку протокола HTTPS, которая позволяет безопасно просматривать видеоизображение через web-браузер.
Защита от хищения данных для сетевых портов: стандарт 802.1X
Одним из наиболее популярных и безопасных методов аутентификации для беспроводных сетей является стандарт IEEE 802.1X. С его помощью осуществляется аутентификация устройств, подсоединенных к портам сети LAN, установка соединения типа "точка-точка" или предотвращение доступа с порта в случае неудачной аутентификации. Стандарт 802.1 X часто называют контролем доступа к сети на базе портов, потому что он позволяет предотвратить хищение данных, когда неавторизованный компьютер получает доступ к сети в результате подсоединения к сетевому разъему внутри или вне здания.
В стандарте 802.1X предусмотрена аутентификация на трех уровнях: запрашивающий, аутентификатор и аутентификационный сервер. Запрашивающий сообщает устройству сети, например, сетевой камере, что ему необходим доступ к сети. Аутентификатором может выступать коммутатор или точка доступа. Последовательные порты аутентификатора разрешают передачу видеоданных от запрашивающего устройства после его идентификации. Аутентификационный сервер обычно представляет собой специализированный сервер в локальной сети LAN, перед которым в процессе аутентификации другие серверы должны быть идентифицированы.
Аутентификационный сервер, например,
Microsoft Internet Authentication Service, называется службой дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS). Если устройству необходимо получить доступ к сети, оно запрашивает разрешение на доступ через аутентификатор, которые перенаправляет все запросы в очередь на аутентификационный сервер. Если аутентификация осуществляется успешно, сервер отправляет аутентификатору команду авторизовать доступ к сети для ожидающего сервера.
Поддержку стандарта 802.1X часто встраивают в сетевые камеры и видеокодеры. Она очень полезна в случаях, когда сетевые камеры расположены в общественных местах, таких как приемные, коридоры, комнаты переговоров, или даже вне помещений. Без поддержки стандарта 802.1 X риск повреждения сетевого разъема, находящегося в легкодоступном месте, очень высок. В современных корпоративных сетях, где внутренние пользователи и внешние партнеры постоянно получают доступ к данным, поддержка стандарта 802.1 X становится основным требованием для любых компонентов, подключаемых к сети.
Стандарт 802.1X обеспечивает безопасность на базе портов, при этом в процессе участвуют запрашивающее устройство (например, сетевая камера), аутентификатор (например, коммутатор) и аутентификационный сервер.
Лучшие показатели
Защита системы сетевого видео — это непрерывный процесс, требующий постоянного внимания. Этот процесс начинается уже в фазе
разработки проекта. Используйте следующую контрольную таблицу для оценки безопасности системы.
• Определили ли вы, кто и как будет использовать систему? Вам необходимо определить роли администратора, оператора и наблюдателя.
• Определили ли вы, что происходит с хранящимся в архиве материалом? Как долго вы хотите хранить видеоматериалы, и кто будет иметь доступ к записям?
• Проверили ли вы физическую безопасность установки? Кабели и сетевое оборудование необходимо тщательно защитить.
• Есть ли у вас способ проверки безопасности системы на месте через определенные промежутки времени? Удостоверьтесь в том, что определенные вами процессы действуют, и система исправно работает.
• Определили ли вы и приняли ли меры для безопасности сети? В их число входит программное и аппаратное обеспечение, такое как брандмауэры.
Необходимо время от времени осуществлять проверку всех важных позиций перед запуском системы.
Какой тип защиты вам подходит?
Система сетевого видео может быть гораздо более безопасна, чем аналоговая система. Вы можете отключать ее от Интернета и корпоративной сети и использовать шифрование данных для каждой камеры. Но часто бывает выгодно объединять работу системы сетевого видео с операциями в корпоративной сети и доступом к видео из удаленных мест через Интернет.
Нет однозначного ответа по поводу того, какая степень защиты вам необходима. Все зависит от среды, сценария использования и ценности передаваемых данных. Это очень похоже на выбор защиты для здания. Можно использовать один замок или несколько. Если риск взлома в районе велик и в здании хранятся ценные вещи, то можно установить решетки на окна, сигнализацию, соорудить забор и даже поставить охранников.
Прежде чем принять какое-либо решение, нужно тщательно оценить потенциальные опасности и определить, какая технология защиты наиболее соответствует вашим условиям.
T-Comm #6-2009
27
