Контакты
Подписка
МЕНЮ
Контакты
Подписка

Видеонаблюдение. IP-сеть. Безопасность

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

А. В. Лукацкий
Менеджер по развитию бизнеса компании Cisco Systems

Видеонаблюдение. IР-сеть. Безопасность

Современные предприятия немыслимы без систем видеонаблюдения, выступающих в роли цепного пса, который круглосуточно наблюдает за всем, что творится на подконтрольной территории. И конечно, при эксплуатации сложной и разветвленной системы охраны неизбежно возникают и проблемы, связанные с техническими особенностями установленного оборудования, и проблемы, являющиеся результатом злого умысла или неосторожности

Возможности и опасности

Не редкость, когда охраняемая территория удалена от центрального пульта охраны на многие километры и прокладывать собственный кабель слишком дорого. Гораздо выгоднее данные видеонаблюдения передавать по уже имеющимся каналам связи, например по локальной сети.

Еще одна проблема, связанная с организацией видеонаблюдения, — что делать в экстремальной ситуации, когда вы не имеете возможности попасть в комнату управления? Современные технологии помогают и в этом случае: у вас есть возможность подключиться к любой видеокамере, используя обычный мобильный компьютер и даже карманный компьютер (PDA). Все это позволяют сделать новейшие информационные технологии, благодаря которым системы видеонаблюдения вышли на 3-й этап своей эволюции. Этот этап характеризуется следующими особенностями.

Для передачи данных используется уже существующая IP-инфраструктура — локальная сеть и даже Интернет. Данные могут передаваться как через обычный кабель (Ethernet), так и с помощью беспроводных технологий (WiFi). В последнем случае вы получаете поистине безграничные возможности: можно подключить видеокамеру в любом, даже самом непредсказуемом месте, и к ней не потребуется тянуть кабель для передачи видеосигнала.

Видеокодеки уже встроены в видеокамеры наряду с поддержкой IP-протокола, что устраняет необходимость приобретения и установки специального оборудования, выполняющего преобразование аналогового видеосигнала в цифровой формат и его передачу в IP-сеть.

Цифровой формат делает возможными разные методы обработки и анализа видеоизображений — распознавание, корреляция и т.д.

Но помимо преимуществ, которые несет с собой совмещение системы видеонаблюдения с локальной сетью, имеется и ряд особенностей, которые необходимо учитывать при внедрении системы IP-видеонаблюдения. Об одной из них мы и расскажем в данной статье. Речь идет об информационной безопасности. Если забыть о ней, то не только любой желающий сможет получить доступ к данным видеонаблюдения, но и любой злоумышленник сможет нарушить работоспособность видеокамер, систем хранения и архивирования видеоданных. Данная статья и посвящена тому, как избежать ситуаций, подобных той, в которую попал известный на весь мир Оксфордский университет. В июле 2004 года два студента этого вуза проникли в компьютерную сеть университета и получили доступ к камерам видеонаблюдения. Известны и более серьезные инциденты. В начале 2001года в Германии разразился большой скандал, когда Министерство обороны и МИД страны отказались от использования продуктов Microsoft. В частности, МИД мотивировал свой отказ тем, что все видеоконференции NetMeeting передавались через США и некоторые неназванные (но всем известные) организации могли иметь доступ ко всем переговорам МИД с посольствами.

С самого начала

Первое, с чего надо начать защиту IP-видеонаблюдения, — это разделение сегментов данных и видеонаблюдения, что достигается с помощью технологии VLAN, реализованной практически в любом коммутаторе. Использование данного подхода позволяет не приобретать дополнительных средств защиты, а воспользоваться тем, что и так уже реализовано в вашем сетевом оборудовании. Однако гораздо более высокий уровень безопасности достигается за счет применения межсетевых экранов (firewall или брандмауэров), которые четко определяют, кто, когда, куда и с какими привилегиями может получить доступ к видеокамерам и записанным ими данным. Кстати, если уж мы заговорили о коммутаторах, то почему бы помимо VLAN не задействовать и другие механизмы защиты. Перечислим их, не вдаваясь в технические подробности: port security, VLAN ACL (VACL), запрет Gratuitous ARP, Source Guard, DHCP Snooping и т.д. Все эти механизмы существенно затрудняют злоумышленникам доступ к видеосегменту.

Но что делать в том случае, если видеонаблюдение построено не на кабельной системе, которую эффективно защищают вышеназванные механизмы, а на беспроводной технологии? В этом случае получить доступ к видеосигналу не составляет большого труда. В частности, такая проблема возникает в аэропортах, использующих беспроводные IP-видеокамеры. Но и эту проблему могут решить современные системы защиты, например средства построения VPN (Virtual Private Network). Эта технология, называемая V3PN (Voice and Video-enabled VPN), может задействовать различные стандартизованные протоколы, используемые в зависимости от потребностей конкретной организации — IPSec, SSL, MPLS.

Что еще может грозить IP-камерам? Несанкционированный доступ к ним и изменение их настроек. С целью предотвращения этой угрозы используется механизм аутентификации, который определяет взаимоотношения между видеокамерой и сервером управления, а также между сервером управления и архивом видеоизображений. Не пройдя процесс подтверждения подлинности, никто не сможет получить доступ к изображению, получаемому с камер наблюдения.

Если вышеперечисленные меры защиты внедрены и настроены правильно, то у злоумышленников остается последний шанс — атаки "отказ в обслуживании", которые могут не только нарушить функционирование подсистем видеонаблюдения (IP-камер, архива, сервера управления и т.п.), но и задеть другие сегменты корпоративной сети. С целью защиты от этой напасти можно использовать принцип эшелонированной обороны — средства обнаружения и предотвращения атак устанавливаются как на уровне сети, так и на уровне конкретного узла — сервера управления видеонаблюдением и видеоархива. Необходимо заметить, что такие системы должны не только обнаруживать, но и блокировать атаки, чтобы не допустить нанесения ущерба защищаемым ресурсам.

Важные замечания

При выборе системы защиты видеотрафика необходимо учитывать ряд важных аспектов.

  • Производительность. Шифрование видеосигнала может сказаться на пропускной способности канала связи.
  • Задержки. Шифрование требует определенных ресурсов, что может вносить определенные задержки видеосигнала. При превышении некоторого порогового значения в получаемом с камер наблюдения изображении могут появляться помехи, оно может "скакать" и т.п.
  • Качество сервиса. Использование некоторых протоколов шифрования приводит не только к полному скрытию всей передаваемой информации, но и к скрытию от средств передачи данных специальных меток (QoS), влияющих на очередь обработки трафика. А раз эти метки скрыты, то сетевое оборудование не будет приоритезировать видеоданные, что может привести к задержкам и помехам.

Как это делают у них

В заключение приведем пример проекта защиты системы видеонаблюдения в американском городе Seal Beach. Этот проект, развернутый в рамках целой административной единицы, дал возможность всем правоохранительным структурам города быть всегда в курсе того, что, где, когда и как происходит. В случае совершения правонарушения сотрудники полиции еще по дороге к месту преступления могут получить доступ к беспроводным IP-видеокамерам и контролировать все происходящее, изучать дислокацию преступников и готовиться к ответным действиям. В качестве центрального компонента системы видеонаблюдения с передачей данных по протоколу IP выступает обычный коммутатор, к которому подключены и видеоархив и сервер управления. Сами же видеокамеры разбросаны по всему городу — больницы, библиотека, школа, муниципальные учреждения, спортивные учреждения, вокзалы и т.п. Для защиты сети используются все вышеназванные средства и механизмы защиты, на которые также возложена задача защиты и всей остальной инфраструктуры. А управление осуществляется централизованно с помощью всего одной интегрированной системы.

В заключение хочу отметить, что наметившийся в последнее время переход к использованию IP-среды передачи данных для систем видеонаблюдения (и не только для них, но и для многих других систем – пожарной и охранной сигнализации, оповещения и т.п.) дает очевидные преимущества (снижение издержек, масштабируемость, удобство управления и т.д.). Но внедряя эти технологии, не стоит забывать и об их безопасности, которая является одним из важных критериев при выборе системы видеонаблюдения, построенной на базе протокола IP.

Опубликовано: Журнал "Системы безопасности" #6, 2004
Посещений: 13502

  Автор

Лукацкий А. В.

Лукацкий А. В.

Менеджер по развитию бизнеса компании Cisco Systems

Всего статей:  3

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций