27
октября
2016
Публикации

Безопасность систем безопасности: защита информации IP-видеонаблюдения

Индустрия видеонаблюдения планомерно мигрирует с аналоговых технологий на цифровые, а именно -- на IP-камеры в рамках общей тенденции All-over-IP. При этом трафик IP-видеонаблюдения содержит чувствительную к атакам информацию, например, о критических производственных процессах и объектах и др. Подобные данные многие хотели бы (а некоторые и обязаны) защищать от угроз навязывания, искажения, перехвата и др. Каковы при этом технические и организационно-нормативные сложности? Какие решения ждет рынок и что сегодня готовы предложить производители? На эти и другие вопросы мы попробуем ответить в данной статье.

Видеонаблюдение уже давно стало неотъемлемой частью системы комплексного обеспечения физической безопасности. Но целесообразно ли защищать средства физической защиты от угроз информационной безопасности? Вопрос звучит неоднозначно.

Необходимость комплексной защиты

Обратная ситуация, когда к средствам информационной безопасности применяют меры физической защиты, является вполне типичной -- например, технические устройства (СКУД, сигнализация, решетки на окна и т.д.) контролируемой зоны, в которой размещаются средства криптографической защиты информации (СКЗИ). Другой пример -- это датчик физического вскрытия в программно-аппаратном СКЗИ, при срабатывании которого устройство удаляет (блокирует) криптографически опасную информацию, имеющуюся "на борту". То есть системы физической защиты позволяют обеспечить качественное функционирование средств защиты информации По этой же логике целесообразно повысить общий уровень защищенности путем обеспечения информационной безопасности системы видеонаблюдения. Такой подход, нацеленный на максимальную комплексную защиту, может быть востребован, например, на критически важных объектах.

Также стоит учитывать геополитическую ситуацию, а именно курс на импортозамещение. Видеокамер реально российского производства пока на рынке практически нет. Большинство "российских" изделий создаются полностью на иностранной элементной базе. В текущих реалиях мы еще долго будем вынуждены использовать иностранные камеры за неимением российских аналогов, но при этом необходимо как минимум обезопасить передаваемые данные отечественными средствами защиты, которые на российском рынке как раз присутствуют, и в достаточном количестве. Абстрагируясь от страны производства IP-камер, в любом случае следует использовать средства защиты информации, соответствующие требованиям российского законодательства и национальным стандартам в области ИБ.

Шифрование данных IP-видеонаблюдения

В настоящее время можно констатировать, что IP-видеонаблюдение победило аналоговое. Кратко перечислим основные угрозы информационной безопасности, методы защиты, а также востребованную функциональность решений по защите информации систем IP-видеонаблюдения.

 Угрозы:

  • Прослушивание трафика; 
  • Изменение содержания трафика; 
  • Атаки типа "отказ в обслуживании".

Методы защиты:

  •  Использование патентованных (закрытых) кодеков;
  •  Применение технологии VLAN;
  •  Внедрение криптографической защиты сетевого трафика.

Функциональность решений:

  • Шифрование и фильтрация управляющего, аудио- и видеотрафика; 
  • Поддержка виртуальных адресов для решения проблемы пересечения пространства IP-адресов удаленных объектов; 
  • Беспрепятственное прохождение трафика через устройства NAT:

- инкапсуляция всего трафика в пакеты UDP с произвольным портом отправителя и получателя;

- возможность организовать соединение в условиях использования как NAT (Dynamic NAT или Static NAT), так и PAT (Dynamic PAT или Static PAT).

- Обеспечение параметров качества обслуживания (QoS) -- копирование битов ToS из исходного пакета в заголовок зашифрованного пакета.

 

Зарубежные и российские VPN-решения

Остановимся немного подробнее именно на криптографической защите IP-трафика как единственной технологии, гарантирующей определенный уровень безопасности. Хорошая новость состоит в том, что эта технология не новая, давно изученная и широко распространенная. Речь идет о VPN (Virtual Private Network) -- построение защищенной с использованием криптографических механизмов логической сети поверх открытой недоверенной физической. При этом криптографические функции шифрования, имитозащиты и аутентификации обеспечивают конфиденциальность, целостность и подлинность информации соответственно.  

На текущий момент в мире насчитывается более 30 производителей VPN-решений корпоративного класса. Самые заметные из них на российском рынке -- это Cisco, Check Point, Juniper Networks, WatchGuard. Отечественных производителей несколько меньше, а именно около 10. Наиболее крупные игроки -- это "С-Терра СиЭсПи", "Код Безопасности", "ФАКТОР-ТС", "ИнфоТеКС" и др.

Однако есть и плохая новость. Несмотря на обилие производителей, готовых комплексных решений по защите трафика IP-видеонаблюдения на российском рынке практически нет. Предлагаемые западные системы имеют существенные недостатки, такие как:

1. Использование в протоколах "слабой" криптографии (например, иностранных криптоалгоритмов с уменьшенным в соответствии с экспортными ограничениями размером ключа и, следовательно, уменьшенной стойкостью).

2. Отсутствие сертификатов российских регуляторов.

3. Применение протокола IPSec и отсюда - риски блокировки пакетов провайдерами, отсутствие возможности установить защищенное соединение Peer-to-Peer, сложности в работе за NAT-устройствами, несовместимость реализаций протокола у разных производителей и т.д.

 

Решения российских компаний лишены первых двух, однако в основном также базируются на протоколе IPSec со всеми его минусами. Выходом может стать переход на перспективный российский протокол IPlir, обеспечивающий защиту данных при их передаче в гетерогенной среде IPv4/IPv6 и имеющий ряд преимуществ перед IPSec, а именно:

  • отсутствие необходимости установления предварительного криптографического соединения между узлами сети;
  • отсутствие ограничений на топологию сетей, их адресную структуру и место подключения узлов к сети; 
  • синхронизация межу узлами в каждом пакете и др.

Работа по стандартизации протокола IPlir активно ведется в профильном Техническом комитете "Криптографическая защита информации" (TK 26), однако прогнозы по срокам выхода соответствующих нормативных документов пока делать рано.

Ожидания потребителей и реальность

Кроме описанных выше проблем и сложностей, есть определенное расхождение в ожиданиях потребителей и текущих решениях, предлагаемых производителями. Зачастую клиенты хотят получить криптографическую защиту трафика видеонаблюдения на уже существующей инфраструктуре, включая закупленные ранее IP-камеры. То есть они ожидают от поставщиков некоего софта, который можно встроить в программно-аппаратную платформу камер и получить реализацию криптографических механизмов на имеющихся устройствах, к слову сказать, совершенно для этого не предназначенных. Реализация такого подхода крайне затруднительна, если не сказать -- невозможна, как минимум по двум причинам:

1. Ограничения платформы. Несмотря на применение в современных IP-камерах все более высокопроизводительных процессоров и постоянное увеличение объема памяти, эти платформы все же не предназначены для решения побочных задач и не имеют ощутимого запаса производительности. Таким образом, реализация ресурсоемких криптографических преобразований "на борту" IP-камеры видится проблематичной.

2. Нормативные сложности. Потребители хотят получить программную организацию криптографической защиты на многочисленных платформах различных IP-камер, но, как правило, не представляют, что такое разработка и сертификация СКЗИ в российских реалиях и какие требования предъявляются регулятором к среде функционирования СКЗИ, механизмам очистки памяти и т.д. Со стороны производителей перспективы создания и особенно сертификации программных СКЗИ под обширный "зоопарк" IP-камер иностранного производства выглядят сомнительно.

Что предлагают российские производители?

Российские поставщики предлагают модульное и относительно универсальное решение, которое представляет собой последовательное соединение "стандартной" IP-камеры и программного СКЗИ на отдельном контроллере. Иногда такие интеграционные системы "переупаковывают" в новый корпус для создания видимости законченного единого устройства. Захваченное камерой изображение в обработанном и сжатом виде передается по шине Ethernet не сразу в канал связи, а на контроллер СКЗИ, где формируется VPN-тоннель до криптомаршрутизатора в центре управления.

Криптомаршрутизатор расшифровывает трафик от всех подключенных камер и передает в исходном виде на видеосервер. Подобный подход вполне понятен, он имеет свои плюсы и минусы, но по факту пока такие решения не находят широкого применения в реальных проектах.

Есть и другие сложности при внедрении технологии шифрования трафика IP-видеонаблюдения. Например, это пропускная способность ЛВС. При шифровании нам не избежать так называемого Overhead, то есть добавления некой служебной информации "поверх" каждого защищаемого пакета полезных данных. Для уже упоминаемого выше протокола IPSec Overhead на каждый пакет может составлять от 50 до 100 байт.

Таким образом, вполне вероятны ситуации, когда шифрование трафика может перегрузить существующую ЛВС, уже функционирующую на пределе своей пропускной способности. Решением является создание выделенной ЛВС исключительно под IP-видеонаблюдение или под всю систему физической безопасности, при проектировании которой можно заложить необходимую пропускную способность и подобрать подходящие средства межсетевого экранирования, обнаружения и предотвращения вторжений и т.д. Но эти вопросы уже за пределами темы данной статьи.

В заключение отметим, что мы рассмотрели только некоторые аспекты криптографической защиты информации при передаче от IP-камер к серверам, то есть In Motion. Отдельного освещения заслуживают вопросы защиты трафика видеонаблюдения при его обработке и хранении (In Use и At Rest).

Автор: Сергей Петренко, менеджер отдела развития продуктов компании ИнфоТеКС.