Bezpieczeństwo sieci

Ze względu na charakter pracy sieciowych systemów monitoringu wizyjnego zapewnienie odpowiedniego bezpieczeństwa sieci jest jednym z kluczowych elementów podczas budowy tego typu instalacji dozorowych. Istnieje wiele sposobów zabezpieczenia sieci zarówno bezprzewodowych, jak i przewodowych. W sieciowych systemach monitoringu kontrolowane może być niemal wszystko, począwszy od wysyłanych danych skończywszy na wykorzystaniu i dostępności sieci.

Bezpieczeństwo transmisji

Odpowiedni poziom zabezpieczeń transmisji danych w sieciowych systemach monitoringu jest kluczowym elementem w jego sprawnym działaniu. Tworzenie bezpiecznej komunikacji w tego typu instalacjach można podzielić na trzy podstawowe etapy:

Etap I - Uwierzytelnianie

Podstawowym etapem komunikacji w sieci IP jest identyfikacja użytkownika lub urządzenia w sieci i u odbiorcy. Odbywa się to na zasadzie okazania systemowi swojego rodzaju dowodu tożsamości, występującego np. w postaci nazwy użytkownika i hasła dostępu, certyfikatu SSL oraz wykorzystania standardu IEEE 802.1x.

Fot. Uwierzytelnianie użytkownika w oprogramowaniu firmy GeoVision

Etap II - Autoryzacja

Autoryzacja i akceptowanie uwierzytelniania jest kolejnym etapem w tworzeniu bezpiecznej komunikacji w sieciowych systemach monitoringu IP. To właśnie na tym etapie system sprawdza, czy podane przez użytkownika dane w trakcie uwierzytelniania są prawidłowe (porównanie z bazą danych). Po zakończeniu autoryzacji, jeśli wszystko jest poprawne użytkownik jest przepuszczany dalej, w przeciwnym razie dostęp do systemu jest blokowany.

Etap III - Prywatność

Jest to ostatni etap, który wiąże się z zastosowaniem wymaganego poziomy prywatności. Przeważnie odbywa się z wykorzystaniem szyfrowanej komunikacji, która uniemożliwia osobom nieuprawnionym odczyt danych. Wybór standardu szyfrowania jest dosyć istotny, gdyż niewłaściwe wybranie metody szyfrowania może skutkować znacznym spadkiem wydajności systemu.

Obecnie najpowszechniejszymi metodami szyfrowania komunikacji są sieci VPN (ang. Virtual Private Network) i protokół SSL/TLS, znany również jako HTTPS.

Sieci VPN - w przypadku tego rodzaju szyfrowania tworzony jest tzw. "bezpieczny tunel" między określonymi punktami tej samej sieci. W sieci VPN mogą pracować jedynie urządzenia wyposażone w odpowiedni "klucz". Urządzenia znajdujące się pomiędzy klientem a serwerem nie posiadają dostępu do danych. Sieci VPN zapewniają bezpiecznie połączenie punktów przez Internet.

Protokół SSL/TLS (HTTPS) - protokół odpowiedzialny za szyfrowanie transmitowanych danych. W odrażeniu od sieci VPN nie stosuje się tutaj tzw. "bezpiecznego tunelu" komunikacyjnego, tylko zabezpiecza się same dane. Dostępnych jest wiele metod szyfrowania danych. W sieciach przewodowych powszechnie spotykana jest technika SSL, zaś w sieciach bezprzewodowych najczęściej mamy do czynienia z szyfrowaniem WEP i WPA (o czym szerzej w dalszej części artykułu). W przypadku korzystania z SSL urządzenie sieciowe lub komputer instaluje na swojej platformie specjalny certyfikat, który umożliwia odszyfrowanie danych.

Fot. Szyfrowanie sieci i danych

Bezpieczeństwo w sieciach bezprzewodowych

Natura sieci bezprzewodowych sprawia, że każda osoba lub urządzenie znajdujące się w ich zasięgu może korzystać z udostępnianych przez sieć bezprzewodową usług. Ta charakterystyczna cecha komunikacji bezprzewodowej sprawia, że wymaga się wręcz odpowiednich zabezpieczeń, które nie pozwolą osobom trzecim na korzystanie z zasobów danej sieci. Jak już wcześniej wspomniałem we współczesnych sieciach bezprzewodowych stosuje się dwa podstawowe standardy szyfrowania, mianowicie standard WEP i WPA. Każdy z nich ma swoje wady i zalety, a wybór odpowiedniego standardu zabezpieczającego zależy od wymagań danego systemu.

Standard WEP (ang. Wireless Equivalent Privacy) - komunikacja szyfrowana przy pomocy algorytmu RSA RC4, który uniemożliwia dostęp do usługi osobom nie posiadającym prawidłowego klucza. WEP posiada statyczny klucz szyfrujący i krótki wektor początkowy. Standard WEP ma kilka wad, a jego piętą achillesową jest wysoka podatność na ataki. Obecnie bardzo rzadko stosowany w sieciach bezprzewodowych, gdyż nie jest w stanie zapewnić podstawowego poziomu bezpieczeństwa. W przypadku monitoringu korzystającego z sieci bezprzewodowych odradza się stosowanie zabezpieczenia w postaci standardu WEP.

Standard WPA (ang. WiFi Protected Access) - zdecydowanie lepszy standard szyfrowania, w którym wyeliminowano główne wady standardu WEP. Klucz w standardzie WPA jest zmieniany dla każdej przesyłanej klatki za pomocą protokołu TKIP i jego długość została wydłużona z 24 do 48 bitów. Obecnie uznawany za podstawowy poziom zabezpieczeń w sieciach bezprzewodowych. W celu uzyskania najwyższego poziomu bezpieczeństwa należy stosować standard WPa2, korzystającego z szyfrowania AES (ang. Advanced Encryption Standard). Na dzień dzisiejszy standard WPA2 jest najlepszym zabezpieczeniem sieci bezprzewodowych, ponieważ oprócz szyfrowania obejmuje również uwierzytelnienie IEEE 802.1x.

Ochrona poszczególnych urządzeń

Bezpieczeństwo sieci nie ogranicza się jedynie do szyfrowania danych oraz uwierzytelniania użytkowników, to również odpowiednie zabezpieczenie poszczególnych urządzeń sieciowych pracujących w systemie. Ochrona urządzeń najczęściej wiąże się z ich zabezpieczeniem przed włamaniem (dostęp osób trzecich), wirusami oraz innymi elementami, których nie pożądamy w systemie.

Dostęp do komputerów lub serwerów PC można zabezpieczyć przy pomocy nazwy użytkownika i hasła, którego długość powinna składać się przynajmniej z 6 znaków, które są zarówno cyframi, jak i literami (małe i duże). Im dłuższe hasło dostępu tym lepiej, ponieważ trudniej je złamać, a w przypadku długich kombinacji cyfr i liter jest to praktycznie niemożliwe. Dodatkowym sposobem zabezpieczenia urządzenia może być również specjalne narzędzie, np. w postaci czytnika linii papilarnych lub mikroprocesorowej karty dostępowej.

Bardzo ważne jest odpowiednie zabezpieczenie urządzeń sieciowych przed wirusami komputerowymi i złośliwymi aplikacjami (np. trojany). Najlepiej stosować profesjonalne skanery antywirusowe renomowanych firm, które często są aktualizowane w nowe bazy wirusów.

Kolejnym istotnym zabezpieczeniem podczas podłączenia urządzeń sieciowych do sieci lokalnej LAN lub globalnej Internet jest zastosowanie odpowiedniej zapory Firewall, której zadaniem jest blokowanie lub ograniczanie określonego ruchu pochodzącego z sieci. Ponadto, może również pełnić filtra, który kontroluje przechodzące przez sieć dane lub je ogranicza.

Jakość usługi - QoS (ang. Quality of Service)

Dynamiczny rozwój technologii bazujących na protokole IP sprawia, że obecnie zupełnie różne sieci łączą się w jedną sieć komputerową. Można zważyć niezwykle szybką migrację sieci telefonicznych i telewizyjnych (CCTV) ku rozwiązaniom korzystającym z protokołu sieciowego IP. Łączenie różnych sieci i rozwiązań sprawia, że konieczna jest kontrola sposobu udostępniania zasobów w celu spełnienia wymagań użytkowych. Podstawowym standardem kontroli jakości świadczonych usług jest QoS, który pozwala na współistnienie różnych aplikacji sieciowych w tym samym systemie.

QoS (ang. Quality of Service - jakość usług) - wymagania nałożone na połączenie komunikacyjne, realizowane przez daną sieć telekomunikacyjną, w celu zapewnienia określonej jakości różnych usług w sieci komputerowej. Jakością usługi może być przykładowo: zachowany poziom przepustowości sieci czy też brak utraty pakietów danych.

W celu zapewnienia QoS stosuje się:

Kształtowanie i ograniczane przepustowości

Zapewnienie sprawiedliwego dostępu do zasobów

Nadawanie odpowiednich priorytetów poszczególnym pakietom wędrującym przez sieć IP (większe pewność, że istotne dane dotrą w całości do punktu docelowego)

Większa niezawodność, dzięki kontroli przepustowości

Zarządzanie opóźnieniami w przesyłaniu danych

Zarządzanie buforowaniem nadmiarowych pakietów

Określenie charakterystyki gubienia pakietów

Unikanie przeciążeń

QoS w sieciowych systemach monitoringu

Aby można było w sieciowym systemie monitoringu zastosować mechanizm jakości usług QoS, system muszą być spełniona dwa podstawowe warunki:

Wszystkie urządzenia sieciowe w postaci routerów i przełączników muszą być przystosowane do obsługi mechanizmu QoS, ponieważ tylko wtedy uzyskamy maksymalną funkcjonalność standardu QoS.

Wszystkie produkty wizyjne muszą mieć włączoną funkcję QoS.

Sieć zwykła bez mechanizmu QoS

Na przedstawionym powyżej schemacie PC1 jest odpowiedzialny za kontrolę dwóch strumieni wizyjnych pochodzących z kamera 1 i kamera 2. Obie kamery transmitują sygnał wizyjny z prędkością 2,5Mb/s, co łącznie daje wykorzystanie pasma na poziomie 5Mb/s. W trakcie pracy kamer 1,2 i PC1 nagle rozpoczyna się transfer plików z PC2 na PC3. W takim scenariuszu transfer plików będzie chciał wykorzystać pełną przepustowość dostępnego łącza między routerami 1 i 2, natomiast strumienie danych będą chciały zachować swoją pierwotną prędkość transmisji która łącznie wynosi 5Mb/s. W takim przypadku przepustowość przypisana dla systemu monitoringu nie może być zagwarantowana, a liczba klatek na sekundę z jaką odbywa się przesył obrazu z całą pewnością zmaleje. W najgorszym scenariuszu ruch między PC2 i PC3 może wykorzystać całą dostępną przepustowość, co zaowocuje zaniechaniem transmisji wizji z kamery 1 i 2.

Sieć z obsługa mechanizmu QoS

Na przedstawionym powyżej schemacie Router 1 został skonfigurowany w taki sposób, aby przeznaczyć maksymalnie 5 Mb/s na transmisję sygnału wizyjnego z dostępnych 10 Mb/s do przesyłu danych. Na ruch FTP zostało zarezerwowane maksymalnie 2 Mb/s, zaś dla pozostałego ruchu np. HTTP pozostałe 3 Mb/s z dostępnych 10 Mb/s. Takie rozwiązanie gwarantuje zachowanie optymalnego pasma dla transmisji sygnałów wizyjnych z kamery 1 i 2. Na transfer plików została przeznaczona mniejsza przepustowość, ponieważ jest uznawany za mniej ważny od transmisji strumieni video. Warto również zwrócić uwagę, że te wartości maksymalne mają jedynie zastosowanie w sytuacjach przeciążenia sieci, natomiast jeżeli część dostępnej przepustowości nie jest wykorzystywana, może zostać wykorzystana przez inny typ ruchu sieciowego.

...wróć do pomocy