недеља, 7. децембар 2014.

Bezbednost video obezbeđenja?



Savremeni sistemi video obezbeđenja se uglavnom oslanjaju na uređaje bazirane na IP, odnosno računarskim mrežama. Istorijski gledano, ovom temom  su se uglavnom bavili stručnjaci sa podužim stažom u oblasti informacionih tehnologija. No, sa napretkom tehnologije i "uvezivanja" sve većeg broja ljudi na globalnu računarsku mrežu, javila se potreba za edukacijom umrežene populacije u bezbenom ponašanju na Internetu.
Internet je mreža svih mreža, a TCP/IP je njen jezik. IP je mrežni deo TCP/IP protokola koji omogućava uređajima u mreži da "pričaju" jedni sa drugima. U IP spada adresiranje, prenošenje paketa informacija, rutiranje i slične aktivnosti, koje omogućavaju uređajima Internet konektivnost i pronalaženje međusobnih puteva.
IP mreže su, svojim dizajnom, otvorene za mnoge napade. Osnovni razlog za to je činjenica da IP protokol ne poseduje mehanizam autentifikacije, odnosno verifikacije izvorišne adrese paketa. Primer je tzv. IP Spoofing tj. napad lažiranjem IP adrese, gde jedan od uređaja na mreži "tvrdi" da ima adresu nekog drugog uređaja, pa se ka njemu usmerava sav mrežni saobraćaj namenjen legitimno adresiranom uređaju. Na taj način napadač dolazi u posed podataka namenjenih žrtvi.
Video strim sa IP kamera je  jedna od informacija koja na ovaj način može biti presretnuta i usmerena na neželjenu lokaciju. Obzirom da je ovde reč o bezbednosnim sistemima, gde je potencijalna šteta usled probijanja u mrežu nemerljiva, bezbednost IP mreže je jedan od segmenata kome treba posvetiti punu pažnju.
Prvi nivo bezbednosti je autorizacija i autentifikacija. Korisnik se na udaljeni mrežni uređaj prijavljuje korisničkim imenom i lozinkom, koje taj uređaj verifikuje kao ispravne i dozvoljava prijavu.
Dodatna bezbednost se postiže enkripcijom razgovora između korisničkog i udaljenog uređaja korišćenjem neke od standardnih metoda enkripcije – HTTPS (SSL/TLS), ili VPN i kod bežičnih mreža WEP i WPA.
IEEE 802.1x je standard koji specificira način autorizacije i autentifikacije mrežnog uređaja na nivou porta sviča na koji je uređaj zakačen, odnosno na nivou bežičnog access pointa na koji se bežično povezuje uređaj. Primena ovog standarda u mrežnom okruženju onemogućava tzv. „napad preuzimanjem porta“, tj. povezivanje neželjenog računara na zaštićenu mrežu unutar, ili izvan objekta. Implementacija IEEE 802.1x je prilično jednostavna, pa se često koristi u aplikacijama  mrežnog videa, gde se IP kamere postavljaju na javnim mestima i njihov mrežni priključak predstavlja bezbednosni rizik.
Princip rada IEEE 802.1x autorizacije i autentifikacije se zasniva na „međusobnom razgovoru“ tri uređaja:

  •  klijentu, odnosno računaru koji pristupa nekom mrežnom resursu
  • serveru – uređaju odgovornom za potvrdu kredencijala klijenta za pristupanje mreži, često se naziva i RADIUS server (Remote Authentication Dial-In User Server)
  • uređaju u sredini – obično je u pitanju mrežni svič, čija je funkcija prenošenje kredencijala i zabrana/dozvola priključenja uređaja na svoj port

Znači, da bi se obavila autentifikacija na nivou porta sviča, dotična mreža mora biti opremljena RADIUS serverom, mrežnim svičem koji podržava IEEE 802.1x  i, naravno, uređajem koji se autentifikuje (u našem slučaju kamerom), a da podržava IEEE 802.1x standard.