Network technologies

Сетевая безопасность

При передаче защищенной информации по IP-сетям используется несколько уровней безопасности. Во-первых, аутентификация и авторизация. Удаленный пользователь или устройство идентифицируют себя в сети или на удаленном узле с помощью имени пользователя и пароля, которые затем проверяются перед разрешением работы в системе. Дополнительная защита обеспечивается шифрованием данных, что предотвращает их использование или прочтение. Наиболее часто используемыми методами являются протокол HTTPS (также известный как SSL/TLS), VPN и стандарт WEP или WPA в беспроводных сетях. зависимости от реализации и метода шифрования использование шифрования может уменьшить скорость передачи данных по сети.

Авторизация с именем пользователя и пароля

Использование авторизации с именем пользователя и пароля является базовым методом защиты данных в IP-сетях и может быть достаточным в тех случаях, когда не требуется обеспечение высокого уровня безопасности. Метод также применяется в видеосетях, являющихся сегментом главной сети, и предотвращает несанкционированный доступ пользователей к видеосети. Пароли могут передаваться зашифрованными и незашифрованными, первый способ позволяет обеспечить более высокий уровень безопасности.

Изделия сетевого видео производства компании Axis обеспечивают многоуровневый доступ с защитой паролями. Возможны три уровня: Администратор (полный доступ ко всем функциям), Оператор (доступ ко всем функциям кроме страниц конфигурации), Зритель (доступ только к просмотру в режиме реального времени).

Фильтрация IP-адресов

Изделия сетевого видео производства Axis позволяют производить фильтрацию IP-адресов, чтобы разрешить или запретить доступ к системе с определенных IP-адресов. Обычно сетевые камеры настраиваются таким образом, чтобы позволить доступ к ним только с IP-адреса сервера, на котором установлено программное обеспечение для управления видеонаблюдением, имеющее доступ к изделиям сетевого видео.

Протокол IEEE 802.1X обеспечивает безопасность на основе проверки портов, в проверке участвуют запрашивающее доступ устройство (например, сетевая камера), аутентификатор (например, коммутатор) и сервер аутентификации.

Протокол IEEE 802.1X

Многие изделия сетевого видео производства компании Axis поддерживают протокол IEEE 802.1X, который обеспечивает аутентификацию устройств, подключенных к порту LAN. Протокол IEEE 802.1X устанавливает соединение «точка-точка» или предотвращает доступ к порту LAN, если аутентификация не была пройдена. Протокол IEEE 802.1X предотвращает «захват портов», т. е. получение несанкционированного доступа к сети с помощью подключения к сетевому разъему внутри или вне здания. IEEE 802.1X полезен в приложениях сетевого видео, поскольку сетевые камеры часто расположены в публичных местах, где прямой доступ к захвату порта предоставляет собой риск для безопасности системы. На сегодняшний день стандарт IEEE 802.1X становится базовым требованием для всех устройств в сети предприятия.

В сетевых видеосистемах протокол IEEE 802.1X работает следующим образом:

  1. сетевая камера отправляет запрос на сетевой доступ коммутатору или точке доступа
  2. коммутатор или точка доступа отправляют запрос серверу аутентификации, например RADIUS-серверу (сервису удалённой аутентификации звонящего), такому как MIAS-сервер (Microsoft Internet Authentication Service — служба проверки подлинности в Интернете Microsoft)
  3. если аутентификация проходит успешно, сервер направляет команду на открывание порта коммутатору или точке доступа, команда позволяет данным с сетевой камеры проходить через коммутатор и пересылаться по сети.

Протокол HTTPS или SSL/TLS

HTTPS (Hyper Text Transfer Protocol Secure — протокол защищённой передачи гипертекста) идентичен протоколу HTTP, но имеет одно важное отличие: передаваемые данные зашифровываются с помощью протокола SSL (Secure Socket Layer — протокол безопасных соединений) или протокола TLS (Transport Layer Security — протокол безопасности транспортного уровня). Этот метод безопасности позволяет осуществлять шифрование самих данных. Многие сетевые изделия производства компании Axis имеют встроенную поддержку протокола HTTPS, которая позволяет безопасно просматривать видео с помощью веб-браузера. Тем не менее, использование протокола HTTPS может уменьшить скорость передачи данных, а значит и частоту кадров видео.

В частности, но не ограничиваясь перечисленным далее, в комплекты поставки некоторых устройств Axis входит программное обеспечение, разработанное в рамках проекта OpenSSL Project для использования в приложениях OpenSSL Toolkit (http://www.openssl.org/), а также криптографическое программное обеспечение, разработанное Эриком Янгом (Eric Young, eay@cryptsoft.com). 

Виртуальная частная сеть (VPN)

С помощью VPN между двумя сообщающимися устройствами создается защищенный «тоннель», позволяющий надежно и безопасно выполнять обмен данными через сеть Интернет. При такой настройке зашифровывается исходный пакет, включая данные и их метку, которая может содержать информацию об источнике и адресе назначения, типе пересылаемой информации, номере пакета в последовательности пакетов и длине пакета. Затем зашифрованный пакет инкапсулируется в другой пакет, который показывает только IP-адреса двух сообщающихся устройств (например маршрутизаторов). Такая настройка защищает поток данных и его содержимое от несанкционированного доступа, устройства в VPN могут работать только при наличии правильного ключа. Сетевые устройства между клиентом и сервером не способны получать доступ или просматривать данные.

Различие между HTTPS (SSL/TLS) и VPN состоит в том, что при работе HTTPS зашифровываются только действительные данные пакета. При использовании VPN пакет может быть зашифрован и инкапсулирован для создания защищенного «тоннеля». Обе технологии могут использоваться параллельно, однако данный подход не рекомендуется, т.к. одна технология будет накладываться на другую, что ухудшит характеристики системы.