Wi-Fi и IP
Достижения в области беспроводных технологий сделали IP-видеонаблюдение более безопасным, более подходящим вариантом для инсталляторов и конечных пользователей.
Согласно докладу IMS Research, в 2013 году доход от установки IP-видеооборудования превысит доход от установки аналоговых систем. Однако, не смотря на то, что IP, похоже, в целом выигрывает эту войну, существует целый ряд вертикальных рынков, где противостояние с аналоговыми системами, по-прежнему, остается напряженным, а исход сражения определить пока невозможно. Речь идет о таких важных рынках, как банковское дело, розничная торговля, мелкий бизнес, а также жилой сектор. Большинство систем видеонаблюдения, устанавливаемых на объектах, которые относятся к перечисленным областям, обычно характеризуются как небольшие, – 16 или меньше камер на участок – однако 80 процентов используемого там оборудования по-прежнему аналоговое.
Так почему же аналоговое оборудование одерживает победу в битве за «небольшие системы»? В основном по двум причинам: меньшие цена и сложность.
Первое препятствие, вероятно, будет устранено за счет продолжающегося снижения цен на сетевые камеры и др. IP-устройства. Значительное превосходство цифровых видеокамер и множество вариантов хранения данных (сервер, NVR, PC, NAS, SD-карты или различные сочетания из перечисленных пунктов) очень скоро сделают проблему «цена vs производительность» незначительной.
Однако кажущаяся сложность установки IP-систем может стать более прочным барьером, сломать который будет не так и просто. Особенно это относится к тем монтажным организациям, которые, например, обслуживают малый бизнес и продают аналоговые CCTV на протяжении десятилетий. С момента появления локальных и глобальных сетей (LAN и WAN), некоторые специалисты по безопасности, к сожалению, испытывают нехватку знаний – или, быть может, уверенности – в области установки IP-систем. Тем не менее, последние достижения в сфере беспроводного соединения могут помочь устранить этот пробел и сделать доступное сетевое видеонаблюдение возможным для представителей малого бизнеса.
Пример: беспроводная бытовая электроника
Производители бытовой техники стали настоящими мастерами по созданию и производству все более сложно устроенной, но простой и удобной в использовании продукции. Например, маршрутизатор широкополосного доступа в Интернет, установленный во многих жилых домах. Это простое эффективное устройство типа «включай и работай» (plug-and-play), которое далеко ушло от старых модемов с их противным попискиванием и ограниченными пропускными способностями. Сегодняшние роутеры всегда подключены к сети, мгновенно предоставляя доступ к информации при помощи проводного, либо беспроводного соединения. Преимущества беспроводной связи для видеонаблюдения более чем очевидны, но по-прежнему вызывают у представителей малого бизнеса сомнения и опасения.
Защита информации
Начнем с того, что очень часто беспроводная передача данных считается менее безопасной, по причине того, что информация может быть перехвачена третьими лицами. Для того, чтобы справиться с этой проблемой было введено шифрование, которое с каждым годом становится все более эффективным и действенным методом. За долгие годы в этом направлении проделана большая работа: от алгоритма обеспечения безопасности WEP (Wired Equivalent Privacy) до программы сертификации устройств беспроводной связи WPA2, появившейся в 2004 году и быстро ставшей стандартом в области беспроводного шифрования. Программа безопасности WPA2 включает в себя ограниченный доступ к авторизованным пользователям, а также полную защиту их данных, пересылаемых по сети.
Сложность
Однако, не смотря на доступность высокобезопасной связи, многие представители малого бизнеса до сих пор не пользуются развернутыми решениями по шифрованию, в связи с тем, что воспринимают их как что-то технически сложное и запутанное. Например, если вы хотите использовать WPA2 для защиты передачи данных с вашей камеры, вы должны знать идентификатор беспроводной сети (SSID), равно как и секретную фразу (passphrase) устройства. Секретная фраза – это заданная строка символов, используемая для создания открытого ключа, который вводится для соединения камеры с беспроводным маршрутизатором. И если в процессе установки вы введете данную фразу неправильно, то в доступе будет отказано.
Из-за этих сложностей, во многих современных офисах или на объектах малого бизнеса установлены сети, в которых не предусмотрена функция шифрования. Однако без шифрования, злоумышленники могут легко подключиться через роутеры к Интернету и свободно потреблять трафик, который оплачивают владельцы этих офисов. В самом худшем случае, подобного рода взломы могут закончиться серьезными нарушениями бизнес-операций или даже компрометацией личной и корпоративной информации.
Устранение последнего барьера на пути к Wi-Fi-безопасности
В ответ на тенденцию игнорирования коммуникационной безопасности в пользу более легкого развертывания и использования, Wi-Fi Альянс в 2007 году разработал WPS-стандарт (Wi-Fi Protected Setup) с целью облегчить установку безопасных беспроводных сетей на потребительском рынке и рынке малого бизнеса. К 2011 году данная технология проложила тропинку к устройствам физической безопасности, в которых используется беспроводное соединение, вроде видеокамер или считывателей СКУД. Не смотря на то, что основным движущим фактором для продвижения этой технологии стала простота установки, ее реальная ценность состояла в преодолении многочисленных препятствий, мешающих обеспечению IT-безопасности передаваемых по сети данных.
Чтобы значительно сократить время установки, данный стандарт предлагает два простых способа настройки: способ PIN-кода, а также кнопочный способ (push button configuration).
Способ персонального идентификационного номера (PIN) предусматривает присвоение продукции определенной PIN-последовательности, которая передается на беспроводную точку доступа. Используя графический пользовательский интерфейс (ГПИ), пользователь выбирает, какие именно устройства будут распознаваться сетью, вводя соответствующие PIN-коды. Например, каждый сетевая камера имеет уникальный PIN-код, указанный в специальной документации или на наклейке, приклеенной к устройству. После монтажа и активации оборудования, пользователь или установщик открывает графический интерфейс беспроводного маршрутизатора и вводит PIN-коды установленных устройств. После чего камера присоединяется к сети и работает в безопасном режиме.
Второй и наиболее популярный способ реализации WPS – кнопочный – считается едва ли не самым простым. Установщики монтируют устройство, а затем нажимают на две кнопки – одну на маршрутизаторе, другую непосредственно на устройстве. Для сетевых камер кнопочный способ – вопрос исключительно физической установки, после чего достаточно просто нажать на соответствующие кнопки на самой камере и на точке доступа. Камера автоматически регистрирует себя и начинает безопасную работу внутри беспроводной сети.
Оба метода не требуют знания SSID и секретной фразы и минимизируют время установки. Но реальная польза здесь, прежде всего, в том, что соединение между камерой и сетью теперь зашифровано, а это, если говорить о многочисленных установках, производимых в сфере малого бизнеса, является, скорее, исключением, а не правилом.
100-процентно надежных решений не существует
Благодаря простоте и доступности, WPS, кажется, помогает решить все хитрости, связанные с развертыванием так называемых «небольших систем». WPS упрощает установку WPA 2 и создает защищенное соединение на основе отраслевого стандарта, который в прошлые годы часто игнорировался из-за многочисленных сложностей. К сожалению, в 2011 году, в сети появилась инструкция, позволяющая с помощью атаки подбором пароля (brute-force attack) заполучить PIN-коды к точкам доступа, основанным на WPS.
Такой тип атак используется хакерами для расшифровки закодированной передачи данных и получения пароля. Чем длиннее пароль, тем больше времени требуется для того, чтобы взломать его. В защищенных Wi-Fi-сетях – на основе кнопочного или PIN-способа – пароль состоит всего из восьми символов и может быть дешифрован за считанные часы. Просто для сравнения: традиционные методы WPA2-установки используют 14-значные пароли, что увеличивает сроки подбора пароля при помощи вышеописанных атак с нескольких минут до нескольких лет (с учетом имеющихся на сегодняшний день вычислительных мощностей).
Если WPS-способ декодирован при помощи атаки, хакер получает полный доступ к сети, как если бы в ней не использовалось шифрование. Как результат: большинство сетевых администраторов требуют, чтобы во время установки беспроводного маршрутизатора WPS был отключен, заставляя многих установщиков систем безопасности отказываться от использования метода шифрования.
Делает ли это WPS ненужным? Все зависит от цели. Например, какова вероятность того, что местный магазин пиццы, использующий беспроводное решение для видеонаблюдения, будет взломан? Даже если произошел взлом – из другого здания или из соседней комнаты – то, что именно сможет украсть хакер, чего он добьется, взломав магазинную сеть? Совсем другое дело – небольшой филиал какого-нибудь банка, где установлено такое же количество камер и также используется беспроводное видеонаблюдение. В этом случае риск более существенный, и установщик должен сделать выбор между проводным решением и традиционным способом ручной настройки.
Шифровать или не шифровать: вот в чем вопрос
Как и во всех вопросах, относящихся к системам физической безопасности, пользователям необходимо самим определить вероятность атаки подбором пароля, а также возможные потери и существующие риски, связанные с уязвимой беспроводной сетью. Ответы на эти вопросы окончательно определят, каким именно образом следует устанавливать в каждом конкретном случае беспроводное видеонаблюдение: при помощи WPS или ручной установки. Так или иначе, наличие шифрования в беспроводных сетях – лучшее решение из возможных, решение, которое должно применяться абсолютно в каждой установке видеонаблюдения.
Об авторе: Джим Марчелла вот уже на протяжении 18 лет работает техническим специалистом в области IT и систем безопасности. В настоящий момент он является руководителям отдела технического обслуживания компании Axis Communications. Перевод портала Sec.ru
