Обеспечение надежности систем видеонаблюдения

• Аппаратный видеорегистратор и видеорегистратор на базе компьютера на уровне устройств идентичны и поэтому одинаково надежны. При этом система на базе компьютера значительно функциональнее и производительнее.
• Операционная система Windows менее надежна, чем Linux, в связи с возможностью пользователя влиять на ее работу.
• Программное обеспечение операционных систем является одинаково надежным по защите от воздействий из внешних сетей.
• На преимущество аппаратного видеорегистратора перед видеорегистратором на базе компьютера влияет человеческий фактор - важны простой доступ к настройкам системы и наличие клавиатуры.

IP видеонаблюдение             

 Система видеонаблюдения,  построенная на базе персонального  компьютера и IP-камер во многом  аналогична системе наблюдения, построенной на базе персонального  компьютера. Центром управления  системой также является персональный  компьютер. 

Основным отличием являются способ передачи сигнала от камеры к ПК и отсутствие плат захвата  видеоизображения. Сигнал передается по сетевому кабелю. Это удобно когда  структура сети хорошо организована, а работа стабильна. Вместо плат здесь  используется сетевое оборудование (маршрутизаторы, роутеры, мосты) и программное  обеспечение, что требует еще  более высокой квалификации инсталляторов, с глубоким знанием сетевых технологий. А, как известно, труд профессионалов стоит очень дорого. 

Камера для системы IP видеонаблюдения  как минимум в 3 раза дороже обычной. Если гнаться за разрешением 1-3 МП, то для этого уже нужны гигабитные сети (а не 100-мегабитные, как везде), что поднимает стоимость по сравнению  с видеорегистраторами на порядок. И в 2-3 раза дороже системы на базе ПК и плата видеозахвата. Одна камера на 3 МП может стоить как полный комплект из 4 камер и видеорегистратора.

Управление системой осуществляется в диалоговом окне программы в  операционной среде Windows со всеми ее минусами. Необходимо отметить, что  версия операционной системы здесь  скорее будет не домашняя - XP или Vista, а сетевая - NT или Server. 

По интеграции и масштабируемости данная система обходит всех конкурентов, но не нужно забывать, что и затраты  на это будут самыми большими по сравнению с конкурентами. 

С наступлением эпохи цифровизации аудио-и видеоинформации, с массовым распространением телекоммуникационных сетей на базе протокола IP естественным шагом производителей систем видеонаблюдения стал выпуск цифровых систем видеонаблюдения для сетей IP. Эти системы уже не используют коаксиальный кабель для передачи в аналоговой форме картинки и звука, как это делают классические системы видеонаблюдения, а преобразовывают его в цифровую форму и передают по стандартным каналам связи и локальным вычислительным сетям от камер на посты наблюдения и к системам архивирования.

Использование цифрового формата  и стандартного для большинства  сетей протокола IP позволяет строить  системы IР-видеонаблюдения с недостижимыми для аналоговых систем показателями гибкости и масштабируемости. Кроме того, появляется возможность использовать в таких системах стандартное телекоммуникационное и компьютерное оборудование, что существенно снижает начальные инвестиции и стоимость сопровождения систем.

Однако, по мнению некоторых адептов  аналоговых систем видеонаблюдения, использование стандартного сетевого оборудования и есть одна из слабых точек систем IР-видеонаблюдения, что позволяет говорить об их общей ненадежности и незащищенности перед злоумышленниками. Для того чтобы расставить все точки над "и", рассмотрим компоненты, типовую схему построения систем IP-видеонаблюдения и механизмы обеспечения безопасности

Состав системы IР-видеонаблюдения

Источником видеосигнала для систем IP-видеонаблюдения являются цифровые камеры, на выходе которых аудио- и видеосигнал представлен в цифровом формате (IP-пакеты) с интерфейсом подключения в виде порта FastEthernet, который непосредственно подсоединяется к такому сетевому оборудованию, как коммутатор или маршрутизатор. Это могут быть сетевые устройства, выделенные специально для систем наблюдения или совместно используемые для передачи всех корпоративных данных и подключения рабочих мест пользователей. В последнем случае может показаться, что безопасность системывидеонаблюдения зависит от действий любого пользователя компьютерной сети компании, и, если на месте пользователя окажется злоумышленник, он сможет безнаказанно нарушить ее работу. Немного позже разочаруем строящего радужные планы горе-хакера, а сейчас отметим, что при правильном выборе и настройке сетевого оборудования доступ произвольного пользователя к данным и оборудованию системы IP-видеонаблюдения невозможен.

Итак, мы получили оцифрованный сигнал от камер, подключили камеры к сетевому оборудованию, а теперь будем использовать компьютерную сеть для передачи аудио- и видеоинформации непосредственно  к посту видеонаблюдения. Этот пост может находиться как в 100 м от объекта наблюдения, так и в 2000 км от него. Замечательный показатель, который недостижим для традиционных аналоговых систем видеонаблюдения. Однако нам он интересен с точки зрения масштабов IP-сети - от расстояний и количества объектов наблюдения зависит состав и конфигурация сетевого оборудования системы IP-видеонаблюдения и меры, необходимые для обеспечения ее безопасности. Это может быть один коммутатор, к которому подключены и камеры наблюдения, и компьютеры поста наблюдения, а также несколько маршрутизаторов и коммутаторов, обеспечивающих в совокупности передачу на значительные расстояния информации, поступающей от множества камер. Заметим, что в первом случае при использовании медного кабеля максимальное удаление камер от поста наблюдения составит 200 м (ограничение стандарта FastEhernet).

Таким образом, с учетом компьютеров  поста видеонаблюдения, мы можем выделить три участка любой системы IP-видеонаблюдения, которые важны с точки зрения обеспечения безопасности: 

• видеокамера и кабель подключения видеокамеры к сетевому оборудованию - самый незащищенный физически участок;
• сетевое оборудование в виде маршрутизаторов и коммутаторов, которые осуществляют передачу информации в необходимую точку расположения поста наблюдения;
• зона кабельного подключения компьютеров поста наблюдения к сетевому оборудованию, которое осуществляет передачу видеосигнала.

Рассмотрим механизмы защиты для  каждого участка.

Системы защиты локальных  систем IР-видеонаблюдения

На физических аспектах защиты первого  участка останавливаться нет  смысла, так как они ничем не отличаются от традиционных систем аналогового видеонаблюдения. Единственное, что может получить злоумышленник без риска быть обнаруженным (при условии свободного доступа к кабелю), - лишь картинку с камеры. При этом, однако, ему потребуется специализированный программно-аппаратный комплекс на базе ноутбука, изготовить который под силу только эксперту, разбирающемуся в компьютерных сетях, программировании и цифровой электронике одновременно. Попытка же повлиять на видеосигнал, идущий с камеры (не говоря уже о подключении какого-либо источника видеосигнала вместо видеокамеры), будет мгновенно обнаружена и запротоколирована системой. Такую реакцию обеспечивают механизмы контроля целостности передаваемой информации, заложенные в сетевые протоколы FastEthernet, IP и HTTP, которые осуществляют передачу данных от видеокамер по сети. Таким образом, безопасность участка подключения видеокамера - кабель у систем IP-видеонаблюдениявыше, чем у аналоговых систем.

Рассмотрим с точки зрения безопасности участок сетевого оборудования, который  абсолютно незнаком большинству  специалистов по аналоговым системам видеонаблюдения. Не обладая специальными знаниями о принципах защиты информации в корпоративных сетях и необходимым для этого оборудованием, некоторые специалисты делают поспешные заявления и проводят так называемые "тест-драйвы" сетевого оборудования, которое предназначено не для создания корпоративных сетей, а для домашнего применения. Давайте же, наконец, прольем свет на этот часто используемый для спекуляций вопрос.

При построении современных корпоративных  компьютерных сетей к ним предъявляются  высокие требования в части надежности и безопасности передаваемых данных. Эти требования, как правило, даже выше требований к надежности и безопасности системвидеонаблюдения. Ведь зачастую информация для служебного пользования, циркулирующая в корпоративной сетевой среде, имеет значительно большую ценность, нежели картинка с видеокамеры, установленной у входа на склад. Сетевое оборудование для корпоративных сетей таких производителей, как Cisco Systems или Allied Telesis, имеет централизованную многоуровневую защиту и разграничение прав доступа на уровне пользователей и портов сетевых устройств, обеспечивает фильтрацию передаваемых данных на основе правил, заданных администратором. Рассмотрим подробнее такие механизмы безопасности сетевых коммутаторов, как виртуальные локальные сети VLAN, Port Security, авторизация доступа на базе 802.1х.

Технология VLAN

VLAN, как базовую и наиболее  распространенную технологию ограничения  доступа, поддерживают практически  все коммутаторы для корпоративных  сетей. Можно даже сказать,  что если в коммутаторе нет  поддержки VLAN, этот коммутатор  явно не для сети современного  предприятия.

С помощью этой технологии все устройства системы IP-видеонаблюдения выделяются в отдельную группу, изолированную от всех остальных устройств и пользователей, подключенных к сети, - виртуальную локальную сеть VLAN. Таким образом возводится барьер, который ограничивает обмен данными только в пределах одной конкретной VLAN. Пользователи, а вместе с ними и потенциальные злоумышленники, естественно, подключены к другой аналогичной VLAN; это означает, что у злоумышленника нет физического доступа к устройствам, работу которых у него есть желание нарушить. Единственный путь - взломать управляющую консоль коммутатора и вручную добавить свой компьютер в VLAN системы IР-видеонаблюдения. Одна незадача - доступ к консоли возможен только с рабочего места администратора, но никак не с произвольного рабочего места пользователя. Круг замкнулся.

Port Security

Итак, первый рубеж защиты, блокирующий  доступ произвольных пользователей  компьютерной сети компании к системеIP-видеонаблюдения, установлен. Второй рубеж призван блокировать доступ посторонних лиц, не являющихся сотрудниками компании, а значит, и потенциальных злоумышленников, непосредственно к компьютерной сети и сетевому оборудованию. Этот рубеж и состоит из механизмов Port Security. Это наиболее распространенное среди производителей коммутаторов для локальных сетей название специальных функций, охраняющих каждый порт сетевого оборудования от подключения неавторизованных устройств. Ведь даже самому неграмотному хакеру известно, что свободная розетка локальной сети в офисе подключена к порту коммутатора, который можно использовать для доступа в корпоративную сеть.

Работа же механизмов Port Security состоит  в идентификации подключаемых к  портам коммутаторов сетевых устройств  и пресечении неавторизованного  доступа. В момент подключения любого сетевого устройства, например ноутбука, механизм Port Security по таким характеристикам, как МАС-адрес подключаемого устройства, его IP-адрес, однозначно определяет его  как "своего" или "чужого", и  в последнем случае (например, для  гостей компании), разрешает доступ только к сети Интернет.

Более жесткие настройки Port Security состоят  в назначении администратором соответствия каждого компьютера компании конкретному  порту коммутатора, к которому он должен быть подключен, и при нарушении  этого правила порт коммутатора  полностью выключается до его  ручного включения администратором. Безусловно, злоумышленник может  установить любой MAC- и IP-адрес на свой ноутбук, однако для этого ему  необходимо выяснить не только сами адреса, но и принадлежность их портам коммутатора. А эта конфиденциальная информация известна только администратору безопасности компьютерной сети компании.

Авторизация доступа на базе 802.1х

Наконец, третий рубеж, контролирующий все сетевые подключения персональных компьютеров и ноутбуков пользователей  с помощью паролей, в частности, по данным их учетных записей в  среде Microsoft Windows. Речь идет о протоколе 802.1Х. Здесь надо отметить, что зачастую правила Port Security усложняют и увеличивают  объем работ по администрированию  и доставляют множество хлопот мобильным  пользователям с ноутбуками. В  таких случаях проектировщики сетевых  решений останавливаются на варианте, состоящем из связки VLAN и протокола 802.1Х. Этот протокол позволяет реализовать  централизованный контроль доступа  ксети компании компьютеров и  пользователей в точках их подключения, на портах коммутаторов.

Для использования в локальной  сети авторизации по протоколу 802.1Х  необходимы коммутаторы с поддержкой 802.1Х и сервер авторизации RADIUS, который  выполняет авторизацию либо с  использованием внутренней базы данных пользователей, либо перенаправляет запрос на корпоративный сервер авторизации, например, Active Directory. При успешной аутентификации и авторизации подключения на коммутатор загружаются установленные  для конкретного пользователя и  его группы правила обработки  сетевого трафика, которые разрешают (или блокируют) доступ пользователя к определенным частям сетевой инфраструктуры компании. Таким образом, администратор  может ограничить доступ к системе IP-видеонаблюдения только с определенных компьютеров, в определенное время и определенных пользователей. Поддержка 802.1Х встроена во многие операционные системы, поэтому, как правило, работа этой схемы контроля доступа прозрачна для конечного пользователя.

Необходимые и достаточные  механизмы

Таким образом, в распоряжении проектировщиков  и инсталляторов системы IP-видеонаблюдения существуют по крайней мере три механизма обеспечения безопасности, которые следует грамотно использовать. Эти механизмы необходимы и достаточны для полной защиты систем IP-видеонаблюдения как в случае выделенного сетевого оборудования для системывидеонаблюдения, так и в случае совместного использования общей компьютерной сети компании для работы системыIP-видеонаблюдения. Здесь читатель, знакомый с сетевыми технологиями, заметит, что автор никак не упомянул различные приложения для сканирования сети и атак на сетевое оборудование, например сканеры портов и IP-сетей, flood-приложения. Дело в том, что на современном уровне развития сетевого оборудования для корпоративных сетей этот вопрос уже решен и остался в прошлом. Современные сетевые устройства для корпоративных сетей умеют обнаруживать аномалии в сетевом трафике. Они отличают обычный сетевой трафик при нормальной работе пользователя от моментов сканирования или атаки на какой-либо узел сети с компьютера злоумышленника - в этих случаях порт коммутатора, к которому подключен такой враждебный компьютер, автоматически отключается до вмешательства администратора и службы безопасности.