Myprotect.net

Sve za zaštitu

  • Nadzor od kuce

    Novi britanski nadzorni sustav omogućuje korisnicima interneta da se putem vlastitog računala iz svoje dnevne sobe uključe u borbu protiv kriminala i zarade do 1.000 funti ako im se posreći da ulove lopova 's prstima u pekmezu'.

     

You are here: Home » Računalna zaštita » Zaštita na internetu » Video zaštita preko mreže
Nedjelja, 20 Svi 2012

Video zaštita preko mreže

Sustavi IP videonadzora, ovisno o proizvođaču, koriste sustave enkripcije različite snage. Trenutno najjača u upotrebi je AES (Advanced Encryption Standard) enkripcijska metoda kakvu u rješenjima videonadzora koristi, primjerice, Cisco. Radi se o najpopularnijem algoritmu korištenom u kriptografiji simetričnog ključa i odobrila ga je američka NSA (National Security Agency) za zaštitu tajnih podataka u verziji s dužinom ključa od 256 bita. Enkripcija se obavlja u sklopu SRTP i HTTPS protokola, koji su standardni protokola za sigurni prijenos mrežom. Kamera koristi SRTP za prijenos videa, a HTTPS, koji ste, vjerojatno, uočili na raznim zaštićenim web stranicama, koristi se za prijenos kontrolnih komandi.

 

 


Sigurna komunikacija između elemenata sustava

Slabost komunikacije unutar analognog sustava je u nepostojanju mehanizma autentifikacije kamera prema centralnom sustavu za snimanje i upravljanje kamerama. Dakle, vrlo je jednostavno iskoristiti trenutak nepažnje čuvara i zamijeniti živi video s kamere prethodno pripremljenim videozapisom, a da sustav jednoznačno ne može potvrditi da se ne radi o signalu s originalne kamere.

U okviru IP videonadzora koristi se IEEE 802.1X standard koji predstavlja standard za kontrolu pristupa mreži na bazi pojedinog porta (fizičkog, najčešće, RJ-45 mrežnog priključka). On definira mehanizam autentifikacije uređaja koji se žele spojiti na LAN (Local Area Network) i omogućava ili onemogućava stvaranje “point-to-point” konekcije između kamere i mrežnog preklopnika. Prijava se obavlja na način da se prilikom fizičkog spajanja uređaja na port preklopnika port električki aktivira i postavlja u „neautorizirano“ stanje. U tom stanju samo 802.1X promet je dopušten i sav drugi promet poput DHCP-a ili HTTP-a se blokira na razini mrežnog sloja. Preklopnik autentifikator šalje zahtjev novospojenom uređaju za potvrdom identiteta, a uređaj odgovara preklopniku s kombinacijom – korisničko ime i zaporka ili dostavljanjem digitalnog certifikata. Preklopnik prosljeđuje podatke autentifikacijskom serveru ili aplikaciji na provjeru. U slučaju da su podaci točni, port prelazi u „autorizirano“ stanje i uređaju, klijentu ovog mehanizma, dopušta se pristup resursima na zaštićenoj strani mreže u kojoj se nalaze svi već pozitivno autentificirani uređaji. Gašenje uređaja pokreće mehanizam slanja odjavne poruke autentifikacijskom preklopniku, dok fizičko odspajanje uređaja kao što je kamera automatski resetira status i procedura se ponovno obavlja kod novog fizičkog spajanja. Kao što morate pokazati valjanu putovnicu na aerodromu da bi vas propustili na tlo zemlje u koju dolazite i kada odlazite, tako i ovaj mehanizam kontrolira tko se spaja, odnosno, odspaja na najnižem nivou.

Ovakva zaštita u kombinaciji s enkripcijom samih podataka isključuje mogućnost “piggy back” metode infiltracije od strane neželjenih posjetitelja, gdje se na samom kabelu modificiraju ili ometaju video i komandni signali, ili, u najjednostavnijoj verziji, preuzima živi video s kamere. S druge strane, sama enkripcija videosignala i upravljačkih signala onemogućava preuzimanje kontrole nad sustavom. Osim autentifikacije uređaja u trenutku spajanja i potom enkripcije komunikacije kao glavnih funkcija koje valja implementirati, a i oprema mora podržavati, postoji nekoliko funkcija koje svaki sposobniji mrežni preklopnik može pružiti za potrebe detekcije anomalija i kontrolu distribuiranja podataka između autentificiranih korisnika. Primjer jednostavnije verzije zaštite koji pruža IEEE 802.1X standard je zaključavanje opreme na razini porta na MAC adresi uređaja. Kada uparimo port i MAC adresu, nemamo fleksibilnost micanja opreme na druge portove bilo gdje u organizaciji i ostaje slabost, što se s posebnom opremom MAC adresa može replicirati, ali smo barem postigli neku međurazinu zaštite. Što je MAC adresa? U kompjutorskom svijetu MAC (Media Access Control) adresa je unikatan identifikacijski broj dodijeljen svakom mrežnom adapteru ili NIC-u (Network Interface Card) od strane proizvođača tog adaptera iz svjetskog fonda tih oznaka, koji se u paketima podijele proizvođaču. Zato često oprema istog proizvođača proizvedena unutar nekoliko godina ima identične početke MAC adrese. Poznat i kao EHA (Ethernet Hardware Address) ili kao fizička adresa, taj se broj koristi za komunikaciju između uređaja u mreži na nižim razinama u odnosu na komunikaciju i funkcionalnost IP razine.

Drugi mehanizam koji se može usporediti s VIP ložama u kazalištu je korištenje VLAN (Virtual LAN) mehanizma koji na istom preklopniku odjeljuje skupove opreme, s ciljem da neki autorizirani korisnik na razini mreže ipak ne vidi mrežnu opremu videonadzora, ako to nije poželjno. Da se vratimo na paralelu, makar smo svi u kazalištu isto kao što su sva računala, serveri i kamere na mreži, ipak se međusobno ne vidimo na najnižem nivou, zbog paravana u slučaju kazališta ili kod preklopnika zbog elektronike koja čita IP adrese i definira tko koga može vidjeti.

Svi ovi mehanizmi samostalno štite sustav na nivou mreže, ostavljaju očuvanu informaciju o promjenama i problemima kroz sustav logova, pa čak se jednostavno konfiguriraju da nadležne osobe putem elektroničke pošte obavještavaju o anomalijama u radu sustava.

Fleksibilnost premještanja opreme i udaljeni nadzor

Oprema spojena na LAN, odnosno, računalnu mrežu može se premještati po volji. Dakle, svugdje gdje je dostupna mreža možete se priključiti na najbližu utičnicu, pa čak i od kuće, preko ADSL-a se kreira VPN (Virtual Private Network) i kroz nekoliko mehanizama zaštite korisnik se uklopi u korporacijsku mrežu. Potpuno ista stvar vrijedi i za sve elemente IP videonadzora, čime se pojeftinjuje i pojednostavljuje kabliranje. Unatoč toj očitoj činjenici, jedan od popularnih načina implementacije videonadzora na našim prostorima je izgradnja fizički zasebne mrežne infrastrukture, zbog nedovoljnog znanja implementatora za realizaciju videonadzora kroz postojeću mrežu i po potrebi povećanja propusnosti glavne mreže. Ipak, iako lošije rješenje, takva verzija zna biti povoljna sa strane kabliranja u odnosu na koaksijalni kabel zbog manje količine metala koji se koristi u mrežnim kabelima. Dapače, kako ćemo kasnije vidjeti, dodatnu prednost stvara tehnologija napajanja opreme kroz LAN kabel zajedno s prijenosom komandi, čime sada već tri kabela (signal, napajanje i RS485 za komande) mijenjamo jednim UTP (FTP, STP) kabelom. Iz tih razloga inicijalna investicija u komunikacijsku infrastrukturu je manja kao i cijena održavanja, uz dodatnu funkcionalnost zbog korištenja IP mrežne infrastrukture opće namjene.

Propusnost koju zahtijeva pojedina kamera varira ovisno o rezoluciji, broju slika u sekundi i mehanizmu kompresije i kreće se od nekoliko stotina kilobita do nekoliko megabita. Kako su ti parametri izuzetno različiti, za potrebe snimanja i prikaza u što većoj kvaliteti unutar korporacijske mreže veće propusnosti i primjerice ADSL pristupa, jedna od zgodnih stvari je što digitalne IP kamere podržavaju “multicast” i “dual stream”.

“Dual stream” kreira dvije odvojene žive slike – jednu visoke kvalitete za potrebe centralnog sustava i jednu niže za slanje na udaljene lokacije s vrlo niskom propusnosti. “Multicast” je mrežna tehnologija za simultano dostavljanje identičnih podataka većem broju korisnika na način da se podatak ne multiplicira odmah na izvoru, što linearno povećava opterećenje mreže, nego da se multiplicira na zadnjem preklopniku na kojem se odvaja promet prema pojedinom korisniku tih informacija. Time se postiže da, primjerice, video od 2 Mbita uvijek toliko opterećuje opremu – bilo gdje u lancu i neovisno o broju korisnika sustava.

Prednosti mrežnog sučelja kvalitetnih IP kamera

Jedna od prednosti sustava IP videonadzora je napajanje kamera preko mrežnog priključka PoE (Power over Ethernet). Iza ove skraćenice skriva se sistem prijenosa električne energije paralelno s podacima kroz klasične mrežne parice. Ova tehnologija se pokazala izuzetno korisnom u napajanju kamera, IP telefona, bežičnih uređaja i drugih manjih potrošača gdje je nezgodno ili preskupo korištenje posebnih napajanja, a sustav se jednostavno održava na napajanju kod nestanka struje, što se izvodi napajanjem samog PoE preklopnika preko UPS-a.

Postoje različiti sinonimi za ovo rješenje – PoL (Power over LAN) i Inline power, ali oni označavaju nestandardna ad hoc rješenja. Preporučljivo je koristiti opremu s IEEE standardom 802.3af, koji je najrašireniji i podržan od velikog broja proizvođača. Taj standard dopušta napajanje uređaja naponima od 36 do 57 V DC, uz nominalni napon od 48 V, preko dvije od četiri parice u klasičnom kabelu kategorije 3 ili 5e, s rasponom struje od 10 do 400 mA, čime dolazimo do maksimalne snage od 15,4 W. Od toga je samo 13 W dostupno na kraju maksimalne dužine linije od 100 m ako uračunamo gubitke u kabelu, što je opet dovoljno za većinu fiksnih kamera montiranih unutar zgrade, jer im je potrošnja do 10 W. Problem su pokretne kamere koje troše više struje, kao i vanjske kamere u kućištima koja se griju i hlade po potrebi. Zato budući standard PoE+, odnosno, IEEE 802.3at, na kojem se radi od 2005., rješava taj problem udvostručenjem raspoložive snage, čime se rješava i problem napajanja videotelefona. Ipak, početna ideja da se ovim putem napaja prijenosno računalo nije moguća jer je ograničenje u korištenim 24 AWG vodičima u samom ethernet kabelu, koje se zbog sigurnosnih razloga smije opteretiti s maksimalno 360 mA uz napon od 50 V, što nas sada dovodi do maksimalne snage od 36 W, što je nedovoljno za pogon prijenosnih računala.


Pošalji u e-poruci
Pogledan članak: 664
Komentari (0)add comment
feedPrikaži/Sakrij komentare

Napišite komentar
feedPrikaži/Sakrij formu za unos

busy

VEZANI ČLANCI: