Dostępność rozwiązań IP dostosowanych do potrzeb wizyjnych systemów dozorowych zmieniła sposób, w jaki przedsiębiorcy mogą wykorzystywać te systemy, by chronić swój majątek, a pracownikom zapewniać bezpieczne warunki pracy.
Kluczową cechą systemów wykorzystujących protokół IP do transmisji strumieni wizyjnych jest możliwość podglądu obrazów i sterowania kamerami z dowolnego miejsca, w którym jest dostęp do sieci. Osoba odpowiedzialna za systemy bezpieczeństwa może znajdować się w dowolnym miejscu na świecie i mieć dostęp do obrazów z kamer o wysokiej rozdzielczości oraz do zarejestrowanych materiałów wizyjnych, a także przekazywać je w celach dowodowych odpowiednim służbom.
Podatność na ataki
Wraz ze wzrostem wykorzystania kamer sieciowych w wizyjnych systemach dozorowych wzrasta również ryzyko nieautoryzowanego dostępu do tych systemów i naruszenia poufności informacji.
Tworzenie systemów sieciowych wymaga przemyślenia sposobu realizacji zdalnego dostępu do ich zasobów, gdyż istnieje ryzyko umożliwienia nieautoryzowanego dostępu do sieci komputerowej firmy. Poziom zabezpieczenia sytemu przed nieautoryzowanym dostępem można łatwo podnieść, tworząc odizolowaną sieć do transmisji strumieni wizyjnych z wykorzystaniem zarządzalnych przełączników sieciowych, ale i tak należy liczyć się z innymi ryzykownymi czynnikami.
Jako przykład można rozpatrzyć zaatakowanie sieci wykorzystywanej w wizyjnym systemie dozorowym poprzez odłączenie zewnętrznej kamery i wykorzystanie jej kabla sieciowego do ataku na pozostałe kamery czy rejestrator systemowy. Jeśli sieć wykorzystywana w wizyjnym systemie dozorowym jest połączona z główną siecią przedsiębiorstwa, to atakujący o większej wiedzy może uzyskać wgląd, a nawet dostęp do innych systemów wykorzystywanych w danym obiekcie.
Fot. 1. Jedno z urządzeń Hirewire
Pomocna technologia
Na szczęście dostępne są obecnie rozwiązania, które uniemożliwiają podjęcie skutecznych prób ingerencji w wizyjny system dozorowy czy też prób przedostania się z sieci systemu wizyjnego do sieci firmowej.
Firma Veracity z Wielkiej Brytanii opracowała przełomowe rozwiązanie LINKLOCK, które jest dostępne wyłącznie w sieci dystrybucyjnej Samsung Techwin Europe. Tworzy ono unikatową i szczelną barierę chroniąca przed każdym nieautoryzowanym dostępem do sieci, uniemożliwiając podłączenie obcego sprzętu sieciowego i chroniąc przed naruszeniem połączeń pomiędzy urządzeniami wchodzącymi w skład wizyjnego systemu dozorowego. Wykrycie próby wtargnięcia do sieci przez któryś z interfejsów obsługujących kamery powoduje przerwanie połączenia oraz wyłączenie zasilania na naruszonym interfejsie. Jest to metoda przydatna przede wszystkim dla instytucji wymagających najwyższego stopnia zabezpieczenia, np. banków, w których to rozwiązanie może zostać wykorzystane do zabezpieczenia przed ingerencją w systemy służące do ochrony przed wandalizmem, skimmingiem kart płatniczych, napadami rabunkowymi oraz do zdalnego monitorowania pomieszczeń po zakończeniu normalnego dnia pracy.
Fot. 2. Kamera SNV-6084R
Jak to działa?
LINKLOCK, jest opcjonalną funkcją w urządzeniach Veracity serii HIGHWIRE Powerstar, które umożliwiają transmisję danych z sieci Ethernet oraz pobieranie energii elektrycznej potrzebnej do zasilania kamer metodą POE, poprzez kabel koncentryczny. Urządzenia mogą współpracować z dowolnym dostępnym na rynku modelem czy typem kamery IP.
W standardowym wizyjnym systemie dozorowym ustanowienie bezpiecznego lub szyfrowanego połączenia sieciowego poprzez kabel koncentryczny nie zapobiega próbom penetracji wnętrza sieci, ponieważ interfejsy obsługujące kamery pozostają otwarte i nie są zabezpieczone. Protokół wykorzystywany w urządzeniach serii HIGHWIRE został opracowany specjalnie na potrzeby transmisji strumieni wizyjnych typu punkt-punkt. Standardowa metoda PoE może być wykorzystana zarówno do zasilania konwertera HIGHWIRE, jak i samej kamery. Każda próba ingerencji czy odłączenia kabla jest wykrywana przez urządzenie nadzorujące LINKLOCK, które natychmiastowo wyłącza zasilanie PoE i przerywa transmisję danych. Wynikiem takiego działania jest to, że każda próba dołączenia urządzeń zewnętrznych odizolowuje zagrożone łącze od sieci LAN.
Rys. 1. Schemat ilustrujący działanie urządzeń HIGHWIRE LINKLOCK
Dodatkowe bezpieczeństwo
Trybu blokowania LINKLOCK nie można wyłączyć przez sieć IP lub przez kabel koncentryczny. Powrót do normalnego stanu działania urządzenia nadzorującego HIGHWIRE LINKLOCK, które powinno zostać zainstalowane wewnątrz budynku, jest możliwy tylko po fizycznym resecie przeprowadzonym z użyciem przełącznika umieszczonego wewnątrz urządzenia.
Ta metoda jest skuteczna nie tylko wówczas, gdy kamera IP jest zasilana metodą PoE. Jeśli kamera jest zasilana za pomocą zewnętrznego zasilacza, to będzie działać nawet po zablokowaniu przez urządzenie LINKLOCK, ale nie będzie możliwe nawiązanie komunikacji przez naruszone łącze. Podobnie będzie w przypadku, gdy atakujący zasili kamerę prądem z własnego źródła jeszcze przed podjęciem próby sabotowania łącza. Dzieje się tak, ponieważ strumień danych w kablu ethernetowym lub sygnał w kablu koncentrycznym HIGHWIRE jest monitorowany. Próba „wstrzyknięcia” zewnętrznego sygnału przez atakującego spowoduje zablokowanie łącza.
Efektywne rozwiązanie
Spośród wysokiej klasy zabezpieczeń sieciowych, które zostały ostatnio wprowadzone na rynek, LINKLOCK wyróżnia się łatwością zastosowania oraz efektywnością działania (ważną dla tych, którzy mają obowiązek stać na straży bezpieczeństwa danych). Przekłada się to na korzyści płynące z korzystania z sieciowego systemu wizyjnego bez narażania sieci firmowej na ataki.
Samsung Techwin Europe
Opracowanie: Redakcja