Network technologies

Segurança de rede

Há diferentes níveis de segurança quando se trata de proteger as informações enviadas por redes IP. O primeiro é a autenticação e a autorização. O usuário ou dispositivo se identifica para a rede e para o ponto remoto através de um nome de usuário e uma senha, que são verificados antes que o dispositivo possa entrar no sistema. A segurança pode ser reforçada com a criptografia dos dados para evitar que outras pessoas usem ou leiam os dados. Os métodos mais comuns são o HTTPS (também conhecido como SSL/TLS), VPN e WEP ou WPA nas redes sem fio. O uso da criptografia pode deixar as comunicações mais lentas, dependendo do tipo de implementação e criptografia.

Autenticação de nome de usuário e senha

A autenticação por nome de usuário e senha é o método mais básico para proteger os dados em uma rede IP, e pode ser suficiente quando não for necessário um alto nível de segurança, ou quando a rede de vídeo for separada da rede principal, sem que usuários não-autorizados tenham acesso físico à rede de vídeo. As senhas podem ser criptografadas ou não quando forem enviadas; as primeiras proporcionam a melhor segurança.

Os produtos de vídeo em rede da Axis oferecem proteção por senha em vários níveis. Há três níveis disponíveis: Administrador (acesso total a todas as funções), Operador (acesso a todas as funções, exceto às páginas de configuração), Espectador (acesso apenas ao vídeo ao vivo).

Filtragem de endereços IP

Os produtos de vídeo em rede da Axis filtram endereços IP, liberando ou bloqueando direitis de acesso a determinados Endereços IP. Uma configuração típica é que as câmeras de rede permitam que apenas o endereço IP do servidor que hospeda o software de gerenciamento de vídeo tenha acesso aos produtos de vídeo em rede.

O IEEE 802.1X proporciona segurança por porta e envolve um solicitante (por exemplo, uma câmera de rede), um autenticador (por exemplo, um switch) e um servidor de autenticação.

IEEE 802.1X

Muitos produtos de vídeo em rede da Axis operam com IEEE 802.1X, que permite a autenticação em dispositivos conectados a uma porta de LAN. O IEEE 802.1X estabelece uma conexão ponto-aponto ou impede o acesso a partir da porta de LAN se a autenticação falhar. O IEEE 802.1X impede o que é conhecido como “seqüestro de portas”; ou seja, quando um computador não-autorizado ganha acesso à rede através de uma tomada de rede dentro ou fora de um edifício. O IEEE 802.1X é útil em aplicações de vídeo em rede, pois as câmeras de rede ficam freqüentemente localizadas em espaços públicos onde uma tomada de rede de fácil acesso pode representar um risco à segurança. Nas redes corporativas de hoje, o IEEE 802.1X está se tornando obrigatório para qualquer coisa conectada a uma rede.

Em um sistema de vídeo em rede, o IEEE 802.1X pode funcionar da seguinte maneira:

  1. Uma câmera de rede envia uma solicitação de acesso à rede a um switch ou ponto de acesso
  2. O switch ou ponto de acesso encaminha a solicitação a um servidor de autenticação; por exemplo, um servidor RADIUS (Remote Authentication Dial-In User Service) como o Microsoft Internet Authentication Service
  3. Se a autenticação for bem-sucedida, o servidor ordena que o switch ou ponto de acesso abra a porta para permitir que os dados da câmera de rede atravessem o switch e sejam enviados pela rede.

HTTPS ou SSL/TLS

O HTTPS (Texto de Transferência Segura de Hipertexto) é idêntico ao http, mas com uma diferença importante: os dados transferidos são criptografados através da Secure Socket Layer (SSL) ou da Segurança da Camada de Transporte (TLS). Esse método de segurança aplica a criptografia aos dados em si. Muitos produtos de vídeo em rede da Axis operam originalmente com HTTPS, o que possibilita a visualização segura das imagens em um navegador de Web. Entretanto, o uso do HTTPS pode reduzir a velocidade do link de comunicação e, portanto, a taxa de quadros.   

Especificamente, e sem limitação, alguns produtos Axis incluem software desenvolvido pelo OpenSSL Project para uso no OpenSSL Toolkit (http://www.openssl.org/), e software criptográfico escrito por Eric Young (eay@cryptsoft.com). 

VPN (Virtual Private Network, Rede Privada Virtual)

Com uma VPN, é possível criar um “túnel” seguro entre dois dispositivos em comunicação, permitindo uma comunicação segura e protegida pela Internet. Nessa configuração, o pacote original é criptografado, inclusive os dados e seu cabeçalho, que pode conter informações como os endereços de origem e destino, o tipo de informação enviado, o número do pacote na seqüência de pacotes e o comprimento do pacote. Então, o pacote criptografado é encapsulado em outro pacote que exibe apenas os endereços IP dos dois dispositivos em comunicação (ou seja, roteadores). Essa configuração protege o tráfego e seu conteúdo contra acesso não-autorizado, e apenas os dispositivos com a “chave” correta poderão operar na VPN. Os dispositivos de rede entre o cliente e o servidor não poderão acessar nem ver os dados.

A diferença entre o HTTPS (SSL/TLS) e a VPN é que, no HTTPS, apenas os dados reais de um pacote são criptografados. Com a VPN, todo o pacote pode ser criptografado e encapsulado para criar um “túnel” protegido. Ambas as tecnologias podem ser usadas paralelamente, mas isso não é recomendado porque cada tecnologia consome recursos e reduz a velocidade do sistema.

Próximo tema: Tecnologias sem fio