Strona główna Telewizja Dozorowa Kamery w (nie)Bezpieczeństwie!

Kamery w (nie)Bezpieczeństwie!

Michał Marciniak


Bezpieczeństwo, ochrona danych, kwestie przejęcia dostępu do urządzeń to dzisiaj tematy żywo interesujące zarówno osoby chcące zdobyć nasze dane, jak i firmy oferujące wszelkiej maści zabezpieczenia. Na co zatem zwracać uwagę w fazie projektowania systemu wizyjnego i co należy sprawdzić w działającym systemie wizyjnym, aby zminimalizować ryzyko nieuprawnionego dostępu?

Większość systemów telewizji dozorowej IP składa się z podobnych komponentów, jednakże skala rozwiązania może wymuszać zastosowanie odmiennego podejścia, a co za tym idzie będzie wymagać indywidualnej oceny praktycznie w każdym przypadku. Są jednak pewne cechy wspólne, które można wskazać jako „pierwszą linię” w trakcie weryfikacji poszczególnych elementów.

Kamery IP/rejestrator

Rdzeniem każdego systemu wizyjnego są oczywiście kamery. Obecne systemy stawiają wysokie wymagania dotyczące zabezpieczenia tych urządzeń, gdyż nie każdy zdaje sobie sprawę z tego, iż obecna moc obliczeniowa tych urządzeń dorównuje niekiedy mocy przeciętnych komputerów PC na naszych biurkach (niektóre z nich są nawet wyposażone w procesory graficzne – GPU – wspomagające procesy inteligentnej analizy obrazu). Kluczową kwestią jest dostęp do samej kamery – stosowanie domyślnych haseł jest niedopuszczalne, jedyną opcją jest hasło niezwiązane z innymi usługami lub systemami w danej sieci. Powiązaną czynnością powinno być dodanie użytkowników, którzy będą korzystali z systemu. Użytkownik „admin” stosowany jako autoryzacja u wszystkich operatorów może doprowadzić do przejęcia hasła i tym samym w prosty sposób uzyskania dostępu do danych.

Powinno się również wyłączyć wszelkie nieużywane serwisy (np. SSH, Telnet, SNMP, UPNP), jeśli nie planujemy z nich korzystać w przyszłości. Idąc dalej, można skorzystać z listy wykluczeń adresów IP i zawęzić dostęp do kamery tylko dla rejestratora i np. administratora. Dodatkową kwestią są certyfikaty HTTPS zwiększające bezpieczeństwo podczas korzystania z menu kamery, jednakże konfiguracja jest dość pracochłonna (generowanie i dodawanie certyfikatów), a korzyści (szczególnie w rozwiązaniach na bazie sieci lokalnej LAN) niewspółmierne do pracy, jaką należy w to włożyć.

Dobrą praktyką jest zmiana domyślnych portów HTTP/UDP/TCP/RTSP na niestandardowe, co wprawdzie nie wykluczy niebezpieczeństwa próby włamania, ale ograniczy próby skanowania przez niepowołane osoby po znanych portach (well known port).

Ostatnim ważnym obszarem do weryfikacji (często pomijanym ze względu na wysoki poziom zaufania do lokalizacji, w jakiej instalowane są kamery) jest bezpieczeństwo fizyczne. Na ten temat napisano już bardzo dużo (np. cykl artykułów opublikowanych w A&S dotyczących ochrony perymetrycznej obiektów infrastruktury krytycznej), jednakże za każdym razem problem wraca jak bumerang z powodu licznych błędów po stronie wszystkich uczestników projektu: projektanta i dostawcy sprzętu, instalatora, podmiotu zlecającego i odbierającego rozwiązanie.
Kluczowym elementem jest wizja lokalna i skrupulatna analiza potrzeb (i możliwości) klienta. Wskazanie odpowiednich punktów montażu zarówno kamer, jak i rejestratora często wymusza kompromis pomiędzy ograniczonymi środkami finansowymi, limitami nałożonymi przez rozkład pomieszczeń w budynku i otoczeniu, ale nierzadko też kwestiami estetycznymi i wizualnymi (na które nie wyraża zgody architekt lub klient). Znalezienie wspólnego mianownika wymaga ścisłej kooperacji pomiędzy wszystkimi stronami – tylko takie podejście gwarantuje profesjonalne i rzetelne wdrożenie bezpiecznego rozwiązania.

Sieć LAN/WAN

Nie każdy ma bezpośredni dostęp do tego poziomu, gdyż najczęściej switche/routery znajdują się w serwerowni, która powinna być dostępna tylko dla wskazanych osób. Jest jednak kilka kwestii, które warto poruszyć w aspekcie ruchu sieciowego dotyczącego systemów wizyjnych. W przeciwieństwie do standardowego przepływu pakietów pomiędzy komputerem PC a serwerem, najczęściej odbywającego się z określoną częstotliwością, strumień danych z kamery płynie praktycznie nieustannie do miejsca przeznaczenia (rejestrator). Powoduje to naturalnie zwiększone zapotrzebowanie na pasmo sieciowe, co z pewnością musi zostać uwzględnione na etapie projektowania systemu, wraz z założeniem marginesu na ewentualną rozbudowę o kolejne sekcje.

Z punktu widzenia bezpieczeństwa urządzenia sieciowe również należy chronić przed niepowołanym dostępem od strony konfiguracyjnej (każdy switch zarządzalny lub router ma mniej lub bardziej bogate menu, umożliwiające zmianę różnych parametrów portów i wielu innych ustawień).
Jednym z sugerowanych zaleceń jest oddzielenie sieci firmowej od sieci dla ruchu wizyjnego – daje to ogrom korzyści z wielu powodów:

  • fizyczne oddzielenie na poziomie osobnych urządzeń gwarantuje możliwość zastosowania dedykowanych switchy PoE pracujących (i testowanych) w warunkach ciągłego przepływu danych związanych z ruchem w sieci monitoringu,
  • wydzielenie portów VLAN tylko dla kamer lub rejestratorów w istniejącej infrastrukturze spowoduje rozdzielenie obu środowisk, jednakże ta forma wymaga większej wiedzy, uwagi, nadzoru (i poprawnej dokumentacji) ze strony specjalisty od spraw sieciowych, gdyż działamy na tym samym urządzeniu, na którym odbywa się firmowy przepływ danych.

Bardziej dogłębnym zabezpieczeniem, z którym współpracuje spora część kamer, jest protokół 802.1x. Dzięki niemu do portu sieciowego switcha jest w stanie podłączyć się tylko uwierzytelnione urządzenie, co minimalizuje problemy związane z nieautoryzowanym dostępem poprzez inne niż firmowe (autoryzowane) komponenty.

To nie koniec niespodzianek, z jakimi przyjdzie nam się zmierzyć w kwestii spraw sieciowych. Zataczając szerszy krąg – wychodzimy poza obszar naszej firmy i np. z hotelowego zacisza planujemy sprawdzić aktualny stan produkcji dzięki zainstalowanym tam kamerom. Obecny trend bezpieczeństwa wymusza coraz częściej stosowanie połączeń VPN (minimum L2TP, a najlepiej SSL VPN do pracy z danymi lokalnymi (serwer plików, połączenia Remote Desktop itd.). Dlaczego zatem nie stosować tego połączenia również do przeglądania danych z kamer/rejestratora? Należy pamiętać, że na rynku jest niewiele narzędzi szyfrujących całą ścieżkę przepływu (od kamery/rejestratora do zdalnego klienta) – mało jeszcze popularne rozwiązania powoli wchodzą na rynek, np. Axis/Genetec Secure Real-time Protocol (SRTP), ale cena i niska dostępność ograniczają jeszcze te propozycje. Połączenie VPN daje nam pewne i szybkie rozwiązanie, niwelując tym samym skutki wpuszczania nieszyfrowanego ruchu wizyjnego bezpośrednio do Internetu.

Istotnym elementem, jaki należy mieć na uwadze, jest utrzymywanie aktualnych wersji oprogramowania (firmware) środowiska sprzętowego – dotyczy to wszystkich urządzeń, gdyż podatności na wszelkiego rodzaju malware dotykają każdy system informatyczny.

Pamięć – bezpieczne miejsce na dane

Wiele rozwiązań opartych na platformach rejestratorów stacjonarnych (NVR/DVR) nie zapewnia pożądanego poziomu zabezpieczenia zarejestrowanych danych z bardzo prostego powodu – są one nieszyfrowane. Składowane dane zawierające nagrania z kamer można najczęściej łatwo przenieść do innego rejestratora lub odzyskać bezpośrednio z podłączonego dysku twardego do komputera za pomocą odpowiedniego oprogramowania.

Dzisiejsze standardy zalecają szyfrowanie dysków w komputerach lub serwerach, co minimalizuje ryzyko przejęcia, a tym samym odczytu danych, ponieważ dane z rejestratorów są często wrażliwe (np. dane biometryczne) lub mogą stanowić łakomy kąsek dla potencjalnej konkurencji (procesy produkcyjne). Użytkownicy tych urządzeń muszą postawić dzisiaj na fizyczną ochronę, gdyż wymogi stawiane procesowi szyfrowania opierają się najczęściej na wykorzystaniu procesora głównego (lub dedykowanego), który obecnie skupia się wyłącznie na procesach związanych z analizą i przetwarzaniem obrazu. Najbliższy czas zmusi wiodących producentów do zweryfikowania swojej oferty i począwszy od topowych modeli oferujących wielodyskowe rejestratory, aż po najprostsze urządzenia jednodyskowe cała gama otrzyma dedykowaną opcję szyfrowania sprzętowego, podnoszącą bezpieczeństwo na nowy poziom.

Obecnie powyższą niedogodność można rozwiązać na kilka sposobów – z pewnością bardziej kosztownych niż prosty NVR, jednak gdy w grę wchodzi bezpieczeństwo danych i ochrona przed konkurencją, koszty schodzą na drugi plan. Można zastosować:
Dedykowane platformy NAS wraz z wbudowanym oprogramowaniem do rejestracji obrazu z kamer (np. Qnap – QVR Pro, Synology – Surveillance Station, Asustor – Surveillance Center) – wszystkie te urządzenia z powodzeniem zastąpią dedykowany rejestrator (NVR), dając w zamian nadmiarowość dyskową (RAID), szyfrowanie dysków (AES), szerokie portfolio obsługiwanych kamer itd.

Programowanie dedykowanie (VMS – Video Management Software) do zarządzania i rejestrowania środowiskiem wizyjnym, instalowane na serwerach (najczęściej bazujących na Windows Server). To podejście gwarantuje wykorzystanie narzędzi szyfrujących, oferowanych przez Microsoft (Bitlocker) lub dostawców firm trzecich (np. VeraCrypt). Część producentów oprogramowania VMS oferuje rozwiązania zwiększające bezpieczeństwo własnych archiwów, np. Axxon Next ma dedykowany system plików SolidStore oferujący dostęp tylko dla konkretnej instancji/użytkownika.

Czy to już wszystko?

Z pewnością nie. Proces zabezpieczania danych i środowiska to niekończąca się „walka” z wieloma nowymi zagrożeniami. Przedstawione w artykule zalecenia to tylko czubek góry lodowej, jednak często może to być dobry początek na uświadomienie sobie, iż nie stanowimy zamkniętej enklawy, do której nikt nie ma wstępu. Z pewnością zachowanie rozsądku i niepopadanie w paranoję będzie bardzo wskazane (monitoring wizyjny sklepu osiedlowego nie wymaga stosowania sieciowych urządzeń ochronnych klasy UTM lub szyfrowania dysków), jednak każdorazowa weryfikacja posiadanego (bądź planowanego) systemu dozoru wizyjnego będzie wiązała się ze ścisłą współpracą wielu działów i ludzi.

Zlecenie tego tylko działowi IT spowoduje skupienie uwagi wyłącznie na kwestiach technicznych. Dział Security może wnieść wiele w obszarze ogólnego bezpieczeństwa, ale pominie detale konfiguracji i zarządzania sprzętem. Wiele cennych informacji związanych z potencjalnymi zagrożeniami są w stanie dostarczyć kierownicy/managerowie zespołów na co dzień borykający się z problemami lub zagrożeniami. Wszystko to stanowi materiał do dyskusji i podejmowania decyzji nt. bezpieczeństwa i zagrożeń (w kontekście rozwiązań CCTV) z dystrybutorem i instalatorem.

Jednakże najważniejszym czynnikiem jest ciągła praca nad właściwymi zachowaniami osób, które mają kontakt z systemem wizyjnym – zarówno operatorów, jak i osóob nadzorowanych. Czynnik ludzki (niestety jak zwykle) stanowi najsłabsze ogniwo w całym procesie i może doprowadzić do przejęcia istotnych danych pomimo stosowania rygorystycznych norm i obostrzeń. Edukacja, spotkania, szkolenia stanowią klucz do zachowania wysokiego stopnia świadomości każdego pracownika nie tylko w kwestii systemów wizyjnych, ale również wszystkich innych krytycznych rozwiązań istotnych dla firmy.

Michał Marciniak
Architekt rozwiązań CCTV, twórca i autor bloga www.10cctv.pl; od 20 lat w branży IT i security – promotor, wdrożeniowiec i pasjonat nowych technologii z pogranicza monitoringu wizyjnego oraz IT.