Безопасность видеонаблюдения на базе IP

Сомнения относительно защищенности систем охранного видеонаблюдения вызваны по большей части газетными публикациями, где описывается, как легко получить несанкционированный доступ к управлению системой. Между тем, с помощью надлежащих методов и инструментов можно создать полностью защищенную систему охранного видеонаблюдения на базе IP.

Такая система может быть открытой или защищенной в той мере, в какой это необходимо. Многие пользователи хотят иметь доступ к изображению в режиме реального времени, чтобы его могли просматривать члены семьи, друзья, а также для привлечения внимания Internet-аудитории. Однако охранные системы необходимо защищать от несанкционированного доступа как извне, так и изнутри.

Реализация системы видеонаблюдения на основе стандартной сетевой инфраструктуры, несомненно, имеет множество преимуществ. Прежде всего, установка и обслуживание становятся менее затратными, поскольку общие ресурсы распределяются между несколькими системами, в том числе для передачи голоса по IP (VoIP), управления зданием и т.д. У видеосистем на базе IP к тому же нет ограничений по разрешению и частоте кадров, которые присущи аналоговым системам.

УРОВНИ БЕЗОПАСНОСТИ

Сетевая безопасность реализуется на трех уровнях. Сначала необходимо определить требуемую степень безопасности системы, круг потенциальных пользователей и вероятность получения несанкционированного доступа. На основе этих данных можно сформулировать, какие физические меры по обеспечению безопасности следует предпринять. При этом важно не забывать осуществлять постоянный контроль действенности принятых мер.

Одно из недооцененных достоинств систем видеонаблюдения на базе IP состоит в использовании уже существующих технологий, которые применяются не только для видео — они развивались в течение многих лет и за это время доказали свою эффективность.

Создание безопасной системы охранного видеонаблюдения на базе IP можно сравнить с охраной дома. Уходя, вы тщательно запираете окна и двери, при наличии ценных вещей устанавливаете сигнализацию. Видеосистема защищается точно так же. Обычной камере, расположенной на виду и показывающей окружающие красоты и погоду, не нужны специальные меры безопасности — вполне достаточно задать пароль для раздела администрирования камеры.

Для целей охранного видеонаблюдения корпоративную сеть придется дополнить усиленными средствами защиты, а в зонах особой важности реализовать аутентификацию сетевого устройства, дабы исключить возможность установки подложного источника сигнала, и шифровать трафик данных, чтобы оградить его от злонамеренных действий. В таком случае любые манипуляции в отношении сетевой инфраструктуры приведут к включению сигнала тревоги и отключению части оборудования.

КТО ВЫ ТАКОЙ И ЧТО ЗДЕСЬ ДЕЛАЕТЕ?

Безопасная передача данных означает обеспечение защиты не только внутри сети, но и между различными сетями и клиентами. Эффективные решения должны контролировать все, начиная от данных, отправленных через сеть, и заканчивая распознаванием личности, использующей канал и получающей к нему доступ. Они должны не только идентифицировать и аутентифицировать источник сообщения, но также гарантировать конфиденциальность передачи данных во время их прохождения по сети.

На первом этапе необходима идентификация пользователя или устройства в сети и на удаленной конечной точке (получателе). Идентификация в сети или системе реализуется несколькими способами. Наиболее распространенный — использование имени пользователя и пароля. На втором этапе, после установления личности, проверяется, имеет ли пользователь или устройство право на запрашиваемые действия. При наличии соответствующих полномочий предоставляется полный доступ к соединению с возможностью передачи данных.

Эта технология обеспечивает базовую защиту и хорошо подходит для систем, где не требуется высокая степень безопасности, а также для видеосети, отделенной от основной сети с целью предотвращения физического доступа к ней.

КАК СКРЫТЬ ПЕРЕДАЧУ ДАННЫХ ОТ ПОСТОРОННИХ?

Следующая мера безопасности состоит в шифровании данных, не позволяющем просмотреть их или воспользоваться ими во время передачи по сети. Этого можно достичь с помощью нескольких различных технологий. Каждая из них имеет свои достоинства и недостатки. Как правило, применяются следующие решения:

• фильтрация IP-адресов;
• виртуальная частная сеть;
• протокол HTTPS;
• стандарт 802.1X.

Фильтрация IP-адресов. Некоторые сетевые камеры и видеокодеры используют фильтрацию IP-адресов, предоставляя доступ к сетевым видеокомпонентам только с одного или нескольких IP-адресов. По своему действию фильтрацию IP-адресов можно сравнить со встроенным брандмауэром.

Эта технология подходит для проектов, где требуется более высокий уровень безопасности. Как правило, сетевую камеру необходимо настроить таким образом, чтобы она принимала команды только с IP-адреса сервера, на котором установлено ПО для управления видео.

Безопасный маршрут. Еще более безопасная альтернатива — виртуальная частная сеть (VPN), где используется протокол шифрования для построения защищенного тоннеля между сетями; по нему данные передаются скрытно для посторонних наблюдателей, в том числе через общую сеть, например Internet, потому что только устройства с правильным «ключом» могут работать в сети VPN.

VPN, как правило, зашифровывает пакеты на уровнях IP или TCP/UDP и выше. В сети VPN наиболее часто реализуется протокол шифрования IPSec. В нем используются различные алгоритмы шифрования: стандарт тройного шифрования данных (3DES) или стандарт усовершенствованного шифрования (AES). Для последнего характерно наличие 128- и 256-разрядных ключей, что обеспечивает более высокую степень защиты и требует заметно меньшей мощности компьютера для шифрования и расшифровки данных, чем стандарт 3DES.

При помощи сетей VPN часто организуются соединения между несколькими офисами одной организации или осуществляется доступ к сети удаленных сотрудников (см. Рисунок 1). Удаленные камеры включаются в корпоративную систему охранного видеонаблюдения аналогичным образом.

Шифрование данных по протоколу HTTPS. Еще более высокого уровня конфиденциальности можно добиться путем непосредственного шифрования данных. Наиболее распространенным протоколом шифрования данных является HTTPS. Он используется, к примеру, при проведении банковских операций через Internet. HTTPS отличается от HTTP единственной ключевой особенностью — шифрованием передаваемых данных (см. Рисунок 2), которое осуществляется с помощью протокола безопасных соединений (SSL) или протокола защиты транспортного уровня (TLS).

Протокол SSL был разработан компанией Netscape и опубликован в 1994 г. Безопасность, обеспечиваемая протоколами SSL/TLS, базируется на трех основных элементах:

• аутентификация партнера по обмену данными;
• симметричное шифрование данных;
• защита от манипуляций с передаваемыми данными.

При осуществлении соединения SSL/TLS протокол квитирования связи определяет, какие методы шифрования должны использовать получатель и отправитель: алгоритмы шифрования, основные настройки, генераторы случайных чисел и т.д. Затем проверяется подлинность партнера по обмену данными: сервер Web идентифицируется браузером лишь после предоставления сертификата — своего рода удостоверения личности. Этот документ в двоичном формате обычно выпускается удостоверяющим центром VeriSign. Пользователи могут создавать собственные сертификаты для закрытых групп, таких как Web-сервер локальной сети, к которому имеют доступ только сотрудники компании.

На следующем этапе партнеры обмениваются предварительным (premaster) секретным кодом, который перед передачей на сервер шифруется при помощи общего ключа из сертификата сервера с привлечением метода асимметричного шифрования или алгоритма обмена ключами Диффи-Хеллмана. Обе стороны вычисляют главный (master) код локально и на его основе создают сеансовый ключ. Если сервер способен расшифровать эти данные и завершить выполнение предписанных протоколом процедур, то клиент может быть уверен, что у сервера имеется правильный частный ключ. Это самый важный этап в процессе аутентификации сервера, поскольку только сервер с частным ключом, соответствующим общему ключу в сертификате, в состоянии расшифровать полученные данные и продолжить процедуру согласования в рамках протокола.

Многие продукты сетевого видео имеют встроенную поддержку протокола HTTPS, что позволяет безопасно просматривать видеоизображение через браузер Web.

Cтандарт 802.1X. Одним из наиболее популярных и безопасных методов аутентификации для беспроводных сетей является стандарт IEEE 802.1X. С его помощью осуществляется аутентификация устройств, подключенных к портам локальной сети, установление прямого соединения («точка-точка») или блокирование доступа через порт в случае неудачной аутентификации. Стандарт 802.1X часто называют контролем доступа к сети на базе портов, потому что он позволяет предотвратить хищение данных, когда злоумышленник пытается получить доступ в сеть неавторизованного компьютера путем подсоединения к сетевому разъему внутри или вне здания.

В стандарте 802.1X предусмотрена аутентификация на трех уровнях (см. Рисунок 3): проситель, аутентификатор и аутентификационный сервер. Проситель (supplicant) соответствует устройству сети, например, сетевой камере, которой необходим доступ к сети. В качестве аутентификатора (authenficator) может выступать коммутатор или точка доступа. Логические порты аутентификатора разрешают передачу видеоданных от запрашивающего устройства после его идентификации. Функции аутентификационного сервера (authenficating server), на котором осуществляется аутентификация других серверов, обычно выполняет специальный сервер, выделенный для этих целей в локальной сети.

Аутентификационный сервер, например, Microsoft Internet Authentication Service, называется службой дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS). Если устройству необходимо получить доступ к сети, оно запрашивает разрешение через аутентификатор, который, в свою очередь, перенаправляет запрос на аутентификационный сервер. Если аутентификация прошла успешно, сервер отправляет аутентификатору команду предоставить доступ к сети для ожидающего разрешения сервера.

Поддержку стандарта 802.1X часто встраивают в сетевые камеры и видеокодеры. Такая поддержка полезна, когда сетевые камеры расположены в общественных местах (в офисных приемных, коридорах, в комнатах для переговоров) или даже вне помещений. При ее отсутствии риск злонамеренного подключения к сетевому разъему, находящемуся в легкодоступном месте, очень высок. В современных корпоративных сетях, где внутренним пользователям и внешним партнерам постоянно требуется доступ к данным, реализация стандарта 802.1X становится основным требованием
для любых подключаемых к сети компонентов.

Таким образом, стандарт 802.1X обеспечивает защиту на базе портов, при этом в процессе участвуют запрашивающее устройство (например, сетевая камера), аутентификатор (например, коммутатор) и аутентификационный сервер.

ЛУЧШАЯ ПРАКТИКА

Защита системы сетевого видео — это непрерывный процесс, требующий постоянного внимания уже на этапе разработки проекта. Для оценки безопасности системы можно воспользоваться следующим контрольным списком:

• установили ли вы, кто и как будет использовать систему? Необходимо конкретизировать роли администратора, оператора и наблюдателя;
• известно ли вам, что происходит с хранящимся в архиве материалом? Как долго предполагается хранить видеоматериалы, и кто будет иметь доступ к записям?
• проверена ли физическая безопасность инсталляции? Кабели и сетевое оборудование необходимо тщательно защитить;
• предусмотрена ли процедура проверки безопасности системы через определенные промежутки времени? Удостоверьтесь в том, что предусмотренные вами процессы действуют и система работает исправно;
• определены ли и приняты меры для обеспечения безопасности сети? В их число входит программное и аппаратное обеспечение, в частности брандмауэры.

Перед вводом системы в эксплуатацию следует провести проверку по всем пунктам из приведенного списка.

КАКОЙ ТИП ЗАЩИТЫ ВАМ ПОДХОДИТ?

Система сетевого видео может быть защищена гораздо лучше, чем аналоговая система. Ее можно отключать от Internet и корпоративной сети и использовать шифрование данных для каждой камеры. Но зачастую выгодно интегрировать систему сетевого видео с операциями в корпоративной сети и доступом к изображению для удаленных пользователей через Internet.

На вопрос, какая степень защиты необходима, однозначного ответа нет. Все зависит от среды, сценария использования и ценности передаваемых данных. Это очень похоже на выбор защиты для конкретного здания. Вы можете ограничиться одним замком или поставить несколько. Если риск взлома в вашем районе велик, а в здании хранятся ценные вещи, придется установить решетки на окна, подключить сигнализацию, соорудить забор и даже нанять охранников.

Прежде чем принять какое-либо решение, нужно тщательно оценить потенциальные опасности и определить, какая технология защиты наиболее соответствует имеющимся условиям.

Вильфрид Раков — менеджер Axis по продуктам ​и продажам в регионе EMEA.

Рисунок 1. Удаленный защищенный доступ к системе охранного видеонаблюдения по VPN.

Рисунок 2. Сравнение защиты данных в случае туннелей VPN и шифрования HTTPS.

Рисунок 3. Процедура аутентификации для контроля доступа по протоколу 802.1Х.