Криптозащита систем видеонаблюдения

Всем привет! Сегодня хочу осветить тему использования криптомаршрутизаторов для защиты трафика систем видеонаблюдения. Тема эта интересная и в последнее время все более актуальна.

Не для кого не секрет, что в системах видеонаблюдения (давайте для удобства называть их, как принято, CCTV) цифровой сигнал окончательно победил аналоговый. Видеокартинка упаковалась в IP-пакет и пошла по нашим ethernet сетям. Что принесло как немало плюсов, так и минусов.

В частности, для организации CCTV больше не нужно специфическое железо, линии связи и т.п.  Видеосигнал с IP-камеры может идти по витой паре напрямую к видеосерверу (что маловероятно), использовать специально выделенные для этой цели сетевые концентраторы и линии связи (что вероятнее на самую малость) или использовать для передачи данных уже существующую локальную сеть (LAN) предприятия. Таким образом, предположим, что изображение с камер перемещается по офисному LANу, проходя через то же оборудование и сервера, что и отчет для шефа или картинка в/из ВКонтактике.

Разобъем путь видеосигнала на три участка:

1. Сама IP-камера и кабель до концентратора.

2. Активное и пассивное сетевое оборудование на пути видеосигнала.

3. Сервер видеонаблюдения.

Сразу хочу сказать, что я рассматриваю вопросы информационной безопасности, т.е. вандалозащищенные камеры, упаковка кабеля в металлическую трубу и другие вопросы безопасности физической, меня сейчас не интересуют.

 Участок №1. Какие угрозы нас могут тут поджидать?

Во-первых, перехват трафика от камеры до концентратора. Для этого злоумышленнику необходим физический доступ к кабелю, т.е. с весьма внушительным оборудованием он должен находится в непосредственной близости. Риск, только для того, чтоб снять копию картинки, когда можно пойти и посмотреть самому, на мой взгляд, неадекватный.

Исажение передаваемой камерой информации или подключение другого источника видеосигнала немедлено будет обнаружено штатными средствами системы CCTV, поэтому бессмыслено.

Участок №2. Сетевое оборудование.

Коммутаторы на пути следования видеосигнала так же нуждаются в защите. Это утверждение справедливо даже не для CCTV в частности, а для локальной сети предприятия в принципе. Рассмотрим традиционные методы защиты, такие как VLAN, Port Security, и стандарт  802.1Х.

C помощью технологии VLAN все устройства CCTV выделяют в отдельную виртуальную сеть и на низкоканальном уровне ограничиваются от доступа неавторизованных устройств. При самой жесткой настройке технологии Port Security администратором назначается соответствие каждого устройства, включаемого в сеть, конкретному порту коммутатора. При несоответствии  MAC- и IP-адреса порт коммутатора полностью выключается до его ручного включения администратором. Однако, это делает неудобным работу мобильных пользователей, подключающих свой нетбук к любой свободной розетке. Для них технология  Port Security недостаточно гибкая, их легитимный порт должен путешествовать вслед за ними. Проблему решает технология  802.1Х и использование сервера RADIUS в сопряжении, допустим, с Active Directory. При аутентификации пользователя через RADIUS порт коммутатора переходит в состояние «authorized» и подгружает в коммутатор разрешения, определенные для этого пользователя. Таким образом, директор со своим планшетником может подключатся к VLAN’у, выделенному для CCTV, с любой точки доступа wi-fi, без привязки к какому-либо порту определенного коммутатора.

Участок №3. Серверная часть.

К ней предъявляются схожие требования, но нужно понимать, что сервере CCTV обрабатывает всю совокупность информации, собираемой со всех устройств сети, а крмое того, ведет объемный архив. Требования, предъявляемые в таком случае к коммуникационнму оборудованию, в несколько раз превосходят требования к рядовым камерам и концентраторам как по производительности, так и по безопасности. К серверу необходимо ограничить доступ, защитить его от сетевых атак и т.д. Кроме того, необходимо обеспечить прозрачность работы средств защиты при колоссальном объеме трафика, проходящего через них.

Следует заметить, что все перечисленные механизмы достаточно устойчивы для начинающих крутых хакеров и при атаке «в лоб» должны вступить в игру механизмы выявления аномалий в сетевом трафике, которые изолируют злоумышленника.

Все эти штуки выглядят очень модно, но стоят денег и слабо защищают от человека, который готов целенаправленно, месяцами, не вызывая лишнего шума искать дырки в ваших эшелонах информационной безопасности. Тем более при территориальной удаленности некоторых участков, использовании открытых сетей провайдеров и т.д. эти риски многократно возрастают. Вот тут на помощь и приходит VPN.

Решение.

Использование виртуальных частных сетей VPN (Virtual Private Network) позволяет решить целый ряд вопросов, озвученных выше. При использовании сетевого оборудования, поддерживающего передаваемой в туннеле информации, решаются классические задачи информационной безопасности — конфиденциальность, целостность, доступность. Видеоряд, генерируемый средствами CCTV, зашифровывается, что делает его перехват бессмысленным. Шифрованием же достигается и защита от искажения видеосигнала. Высокая производительность аппаратных средств и приоритетные виды обрабатываемого трафика поддерживают доступность.

Рассмотрим пример построения такой сети на продуктах ViPNet CUSTOM. Поверх существующей LAN предприятия в прозрачном, для авторизованных пользователей, режиме накладывается VPN, состоящая из криптомаршрутизаторов, клиентских мест и центра управления сетью (ЦУС). Сервер видеонаблюдения располагается за криптомаршрутизатором повышенной производительности, например VipNet Coordinator HW2000 (производительность шифрования до 2,7 Гбит/сек), и надежно изолируется с помощью встроенного межсетевого экрана от неавторизованных пользователей. Криптомаршрутизаторы, устанавливаемые в других узлах сети (это могут быть, в зависимости от количества подключаемых IP-камер,  VipNet Coordinator HW100 или HW10) собирают трафик от устройств CCTV и загоняют его в шифрованный тунель, который идет непосредственно до сервера видеонаблюдения. Любой доступ к такому трафику, даже со стороны легитимного пользователя защищенной сети, исключен. С другой стороны, пользователь, с установленным VipNet клиентом и имеющий доступ к серверу CCTV может так же установить с ним защищенное соединение и просмотреть записи, так же обеспечив отсутствие прохождения информации в открытом виде по открытым сетям.

С помощью горячего резервирования и средств мониторинга сети, комплекс обеспечивает функционирование каналов связи CCTV в режиме 24/7. Важной особенностью линейки ViPNet CUSTOM является использование криптографических алгоритмов по российским стандартам ГОСТ. Продукты сертифицированны по требованиям ФСБ и ФСТЭК, что позволяет использовать их при построении систем CCTV для государственных заказчиков. По сравнению с обычными VPN-решениями ViPNet CUSTOM предоставляет целый ряд дополнительных возможностей по защищенному обмену информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция) и файлами, а также собственная защищенная почтовая служба с элементами автоматизации обмена письмами, файлами и поддержкой механизмов ЭЦП.  Дополнительные сетевые возможности комплекса ViPNet CUSTOM, такие как контроль сетевой активности приложений, строгий контроль доступа в Интернет, механизмы аварийной перезагрузки и защиты от вторжений на этапе загрузки операционной системы, — позволяют организовать защиту от большинства сетевых атак и минимизировать затраты на систему безопасности в целом. ViPNet CUSTOM является самодостаточным комплексом продуктов, поэтому нет необходимости приобретать дополнительные элементы, такие как базы данных, почтовые серверы и специализированные серверные платформы.

Решение легко масштабируется и в последствии, оценив все преймущества использования VPN-решений ViPNet CUSTOM, заказчик может закрыть этими средствами защиты всю сеть, комплексно решив вопросы безопасности обрабатываемой на предприятии конфиденциальной информации.

 

Связанные записи

Метки: , , ,