Назад
03.12.2012

Юрий БУРЧАКОВЮрий БУРЧАКОВ, инженер ЛУИС+

В наш век глобальной компьютеризации и информатизации интернет все быстрее проникает во все уголки нашей необъятной Родины, и сетевые технологии все чаще начинают использоваться в сферах, которым доселе были чужды. И, к сожалению, а, может быть, и к счастью, системы безопасности и охранного видеонаблюдения не стали исключением. Следствием этого проникновения явилось несколько процессов, которые мы очень отчетливо можем сегодня наблюдать. Во-первых, это интеграция рынка ТСБ и рынка информационных технологий, о чем уже давно говорит множество экспертов. А во-вторых, это катастрофическая нехватка квалифицированных IT-специалистов на рынке систем безопасности.

Выражается эта нехватка в неспособности множества компаний – системных интеграторов построить эффективно работающую и безопасную сетевую инфраструктуру, которая могла бы без потерь и задержек передавать, например, видеопотоки с камер видеонаблюдения или трафик между контроллерами СКУД и центральным сервером. В общем, многие современные компании, проектирующие системы безопасности, возможно, не настолько часто сталкиваются с необходимостью проектировать крупные локальные вычислительные сети, чтобы держать соответствующих специалистов в штате. Тем не менее необходимость построения ЛВС у таких компаний регулярно возникает, и из этой ситуации есть выход: привлекать специалистов со стороны. Однако и к этому компании не всегда прибегают. Многие руководители, которыми, разумеется, движет непреодолимое желание сэкономить, считают, что небольшую компьютерную сеть для IP-видеонаблюдения, состоящую из нескольких десятков устройств, в состоянии спроектировать любой более или менее грамотный инженер – специалист по аналоговому видео. Что ж, отчасти это правда, однако, как говорил Незнайка, «каждому делу учиться надо». Не имея базовых знаний о стеке протоколов TCP/IP и об активном сетевом оборудовании, даже небольшую сеть будет тяжело построить. Недостаток этих знаний можно и нужно компенсировать всем известными народными способами – чтением специальной литературы и посещением соответствующих семинаров как платных, так и бесплатных, которые регулярно проводят дистрибьюторы и представительства компаний – производителей активного сетевого оборудования и систем IP-видеонаблюдения.

Итак, предположим, что с проблемой построения локальных сетей для систем видеонаблюдения мы уже разобрались. Теперь приступим наконец к проблемам их безопасности. Несмотря на то что система видеонаблюдения предназначена для обеспечения безопасности объекта, саму эту систему необходимо защищать от внешних воздействий. Существует огромное множество вариантов сетевых атак и способов защиты от них. Очевидно, что в одной статье невозможно рассмотреть подробно все эти варианты, поэтому мы сконцентрируемся на наиболее часто встречающихся ошибках при построении безопасных систем видеонаблюдения и рассмотрим только основные способы защиты. Начнем с наиболее простого и очевидного правила, которым, несмотря на всю его простоту и очевидность, пренебрегают почему-то практически все. Собственно, правило очень простое: меняйте стандартный пароль. Это относится не только к IP-камерам, но и к любым другим сетевым устройствам, будь то NAS, NVR или DVR. Думаю, причины для выполнения этого простого действия понятны всем и объяснять их не нужно. Защита паролем – это базовая защита, которая в идеале должна быть у любого устройства, подключенного в сеть. Это довольно простой и в то же время эффективный способ защитить устройство от несанкционированного доступа.

Защита сетевого устройства паролем всегда необходима, но не всегда является достаточной. Как правило, производители IP-камер и других устройств, к которым возможен доступ по сети, включают в прошивки и некоторые дополнительные средства защиты, например, поддержку протокола HTTPS (Hypertext Transfer Protocol Secure). Этот протокол обеспечивает защиту передаваемых данных от атак, предполагающих прослушивание сетевого трафика. Шифрование осуществляется при помощи использования криптографических протоколов TLS или SSL. Для подключения к камере по протоколу HTTPS пользователю необходим подписанный сертификат, удостоверяющий, что пользователь на самом деле тот, за кого себя выдает. Эти сертификаты выдаются сертификационными центрами обычно не бесплатно, однако есть возможность подписывать свои сертификаты самостоятельно при помощи специальных утилит. Такие сертификаты называются самоподписанными и не защищают от атак типа man-in-the-middle, когда между клиентом и сервером может присутствовать третье лицо и активно вмешиваться, читать и изменять данные, пересылаемые между клиентом и сервером, в том числе и подменять видеопоток. Использование HTTPS, конечно, довольно надежный способ защиты и не накладывает практически никаких ограничений на возможности использования камеры, но в некоторых случаях его реализация может занять значительное время и оказаться неоправданно ресурсоемкой.

Наряду с HTTPS и защитой паролем существует еще один простой способ защиты – фильтрация по IP-адресу. В большинстве IP-камер есть возможность ограничить диапазон IP-адресов, с которых возможно осуществить подключение к камере и получать с нее видеопоток. Такой способ защиты эффективен и оправдан, если количество клиентов, подключаемых к камере, ограничено и они все имеют статические IP-адреса. Для реализации этого способа необходимо просто сообщить камере, с каких IP-адресов к ней возможно подключиться. Все запросы с IP-адресов, не входящих в список доверенных, будут просто игнорироваться.

Кроме этого существует еще одна проблема, которая связана непосредственно с производителями IP-камер. В истории систем IP-видеонаблюдения есть несколько случаев, когда встроенное программное обеспечение (прошивка) камеры не позволяло обеспечить должный уровень сетевой безопасности. Приведу несколько примеров. Так, например, одна из линеек камер известного производителя имеет прошивку, позволяющую изменять настройки камеры при помощи простых http-запросов без авторизации; прошивка IP-камер другого производителя позволяла также без авторизации подключиться к камере и получать изображение в реальном времени и т. д. Конечно, производители стараются по мере обнаружения уязвимостей исправлять прошивки, однако при выборе оборудования имеет смысл руководствоваться в том числе и информацией о количестве известных брешей в безопасности, которую в избытке можно найти в интернете в открытом доступе.

Тем не менее наиболее эффективным способом защиты является изолирование локальной сети, используемой для видеонаблюдения от других сетей и интернета. В случае с небольшими системами, состоящими из одного-двух десятков камер, для реализации такого решения могут использоваться сетевые видеорегистраторы со встроенными коммутаторами, к которым камеры подключаются напрямую. Такая структура напоминает структуру аналоговой системы видеонаблюдения, проста в установке и практически не требует настройки. Для обеспечения сетевой безопасности более крупных систем необходимо строить отдельную локальную сеть и располагать активное сетевое оборудование в отдельных шкафах. Если же такой вариант по каким-то причинам невозможен, можно использовать существующую локальную сеть объекта, однако в этом случае желательно настроить виртуальную локальную компьютерную сеть (VLAN – Virtual Local Area Network) на используемых коммутаторах, чтобы хотя бы программно разделить сети.

С каждым днем средства защиты от сетевых атак совершенствуются, как совершенствуются и сами механизмы сетевых атак. Пытаться описать их все нет никакого смысла, тем более применительно к системам видеонаблюдения. В случае необходимости обеспечения безопасности системы на высоком уровне, конечно, нет другого выхода, кроме как привлекать высококвалифицированных специалистов в этой области, но такая необходимость возникает крайне редко. Как правило, для защиты сети видеонаблюдения достаточно применения методов, описанных выше.

Источник: tzmagazine.ru/jpage.php?uid1=837&uid2=913&uid3=935

Это интересно: