IP-сети в безопасности – безопасность в IP-сетях

Современная система безопас-ности — охранной, пожарной си-гнализации, контроля и управления доступом или видеонаблюдения -это множество узлов (датчиков, извещате-лей, видеокамер, панелей или компьютеров), которые должны обмениваться информацией. Среда передачи данных отличается от системы к системе — это сеть LonWorks, шина ModBus или проприетарный протокол по RS-485. С развитием цифровых систем видеонаблюдения для задач обеспечения безопасности повсеместно стали применяться IP-сети — с каждым годом на рынке все больше появляется продуктов «с поддержкой IP». Для многих IP связано с Интернетом, открытой сетью, вирусами и хакерами. Попробуем разобраться, действительно ли передавать данные по специализированным линиям связи безопаснее, чем по IP-сетям?

ЧТО ТАКОЕ IP?

IP-сеть — это сеть, построенная в рамках стека протоколов TCP/IP. В повседневной жизни мы сталкиваемся с IP-сетям повсеместно — Интернет, доступ к принтеру в офисе, Wi-Fi в ресторане, связь банкомата с процессинговым центром или информация о пробках в коммуникаторе. Стек протоколов TCP/IP — стандарт для сетей общего назначения. Поэтому IP-системы обычно противопоставляют таким специализированным решениям, как LonWorks, Bacnet или ModBus, и проприетарным системам, построенным, например, на RS-232 или RS-485. На первый взгляд, в сравнении с ними IP предлагает много преимуществ — больше объем и выше скорость передачи данных, унифицированная сетевая инфраструктура, большой выбор оборудования. Но насколько защищена IP-сеть от внутренних и внешних угроз?

Название TCP/IP происходит из двух важнейших протоколов семейства -Transmission Control Protocol (TCP) и Internet Protocol (IP), которые были разработаны и описаны первыми в данном стандарте. Именно IP стал тем протоколом, который объединил отдельные компьютерные сети во всемирную сеть Интернет. Кроме IP и TCP стек образуют несколько десятков протоколов разных уровней — Ethernet, IEEE 802.11, UDP, ICMP, ARP и др.

В 1994 году французский хакер по имени Антоний Зборальски позвонил в вашингтонский офис ФБР и представился представителем этой организации, работающим в американском посольстве в Париже. Он убедил собеседника на другом конце провода, и тот объяснил ему, как подключиться к системе телеконференции ФБР. Его звонки за последующие семь месяцев стоили ФБР 250 000 долларов.

БЕЗОПАСНОСТЬ В СЕТИ

Безопасность сети в целом складывается из защищенности сетевых узлов и каналов передачи данных между ними. В части узлов главным критерием безопасности является их надежность и защита от несанкционированного доступа, что в свою очередь определяется качеством продукта и правильной организацией деятельности на объекте. Вообще, в большинстве случаев причиной нарушения безопасности является «человеческий фактор». Поэтому далее рассматриваются только аспекты защиты каналов передачи данных по линиям связи.

Обеспечить выполнение соответствующих требований можно в любых каналах передачи данных. Но в специализированных шинах, не IP-сетях, при проектировании протоколов информационного обмена их либо учитывают частично, либо просто игнорируют. Поэтому в подобных системах информационная безопасность в первую очередь неявно обеспечивается двумя факторами — секретностью протокола сетевого взаимодействия и ограничением физического доступа к каналам связи.

Так, например, протокол LonTalk в сетях LonWorks определяет возможность выполнить цифровую подпись каждого передаваемого сообщения с тем, чтобы получатель мог авторизовать отправителя и проверить неизменность данных. Таким образом достигаются имитостойкость и целостность. Но критерий конфиденциальности не выполняется, данные передаются в открытом виде. Причина проста — ограниченность производительности вычислительных ресурсов.

Вообще, использование устаревшей и/или дешевой аппаратной базы во многих современных системах в принципе не позволяет качественно защитить информационное взаимодействие — на шифрование и вычисление криптостойких хеш-функций в реальном времени банально не хватает процессорного времени. Максимум, что применяют — цифровые подписи на основе простых целочисленных полиномов, примитивные контрольные суммы или побайтовое маскирование данных. Само собой, о соответствии ГОСТам в части защиты информации речи точно не идет.

Вот соответствующий пример — известная российская система охранной сигнализации. Связь периферии с охранной панелью осуществляется по RS-485, связь охранной панели с компьютером — по RS-232. Протокол, конечно, закрыт. Злоумышленник приобретает систему, собирает статистику передаваемых сообщений, выясняет структуру протокола — «запрос/ответ». Защита примитивная, не криптостойкая. Злоумышленник легко восстанавливает структуру пакетов данных, коды событий. Получив доступ (например, атакой на «человеческий фактор») к линиям передачи данных в рабочее время (помещения сняты с охраны), осуществляет установку специального модуля в разрыв линии, который до специальной радиокоманды не вмешивается в коммуникации периферии с панелью. Ночью активирует модуль, проникает на объект — тревожные сигналы не поступают на охранную панель… конечно, это лишь теория.

Когда в 2000 году Кевин Митник (наверное, самый известный хакер в мире) давал показания в Конгрессе США, он говорил о манипулировании людьми: «Нападения этого рода были столь успешны, что мне редко приходилось обращаться к техническим средствам. Компании способны истратить миллионы долларов на технические средства защиты, но все это будет напрасно, если можно позвонить по телефону и убедить кого-нибудь сделать на компьютере нечто, что ослабляет защиту или открывает доступ к интересующей информации».

ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ КАНАЛОВ ПЕРЕДАЧИ ДАННЫХ ОПРЕДЕЛЯЮТ ЧЕТЫРЕ КРИТЕРИЯ:

УСЛОВНАЯ БЕЗОПАСНОСТЬ

Закрытость протокола — наивная попытка производителя обеспечить безопасность системы, по крайней мере, в глазах покупателя. Доступ к протоколу -также вопрос атаки на «человеческий фактор». Наш опыт показывает, что подобный протокол элементарно можно восстановить при наличии экземпляра продукта — правила взаимодействия в подобных системах настолько просты и однотипны, что на сбор пакетов данных и реверсивное проектирование протокола требуется совсем немного времени. После чего эта информация становится доступной всем желающим, а оборудование уже установлено на большом количестве объектов и менять или обновлять его никто не будет.

Предотвращение несанкционированного доступа к каналам связи — действенная мера, рекомендуемая к применению вне зависимости от типа сети. К сожалению, качественно осуществить ее почти не представляется возможным. Ограничить доступ к линиям коммуникации на всем пространстве сети, особенно в условиях большой, децентрализованной системы очень трудоемко. Эта мера чрезвычайно уязвима к атакам типа «человеческий фактор» — одно нарушение пропускного режима, и вся система безопасности объекта оказывается под угрозой. Лучше ситуация обстоит с радиоканальными системами — впрочем, лишь растет стоимость необходимого для взлома оборудования.

Почему столь «незащищенные» системы до сих пор применяются и пользуются популярностью? Потому что проще не взламывать такие системы, а обходить их. Например, посредством атаки на все тот же «человеческий фактор».

РЕШЕНИЕ ДЛЯ IP-СЕТЕЙ

В IP-сетях ситуация полностью противоположная. Масштабность, публичность и открытость IP-сети Интернет привели к появлению различных стандартных механизмов обеспечения безопасности на разных уровнях стека TCP/IP. Ниже мы рассмотрим наиболее популярные и проверенные временем и бизнесом решения.

VPN

Virtual Private Network (виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети. В рамках VPN конфиденциальность, целостность, имитостойкость обеспечиваются на нижних уровнях стека TCP/IP (обычно IP или Ethernet) благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по сети сообщений).

Основное преимущество VPN — на прикладном уровне информационного взаимодействия и в соответствующих программных средствах можно не думать о защите информации, взаимодействие осуществляется как будто в отдельной, изолированной от внешнего мира сети. Ключевой недостаток — необходимо на всех узлах будущей виртуальной сети развернуть соответствующее программное обеспечение (обычно одно и то же) и осуществлять его администрирование.

TLS

TLS (Transport Layer Security), пришедший на смену SSL (Secure Socket Layer), -криптографический протокол, обеспечивающий защищенную передачу данных между узлами в IP-сети. Применяемый в стеке TCP/IP поверх TCP он позволяет организовать безопасный канал информационного обмена между узлами на прикладном уровне взаимодействия. Применяемые инструменты криптографии аналогичны VPN. Отличие в том, что поддержку TLS надо реализовывать непосредственно в прикладных программных средствах — не требуется установка специализированного ПО. Именно TLS является стандартным протоколом обеспечения информационной безопасности в сети Интернет.

Благодаря такой популярности существует большое количество проверенных временем средств и библиотек, реализующих TLS и пригодных для повторного использования в новых продуктах.

Кстати, именно TLS заявлен основным протоколом обеспечения информационной безопасности в ONVIF — отраслевом стандарте, определяющем протоколы взаимодействия в IP-системах видеонаблюдения, а с недавнего времени и в системах контроля и управления доступом.

НАЛОЖЕННЫЕ СРЕДСТВА

Возможна ситуация, в которой IP-система уже построена, но существующее оборудование и программные средства не обеспечивают надлежащей защиты информационного обмена.

Для таких случаев на рынке представлено много «наложенных средств» — продуктов (как программных, так и технических средств), устанавливаемых в дополнение к средствам системы и обеспечивающих их безопасный информационный обмен.

Кроме того, только такие средства обычно сертифицированы по ГОСТ, и только их применение возможно в некоторых системах. Впрочем, такие средства все равно «внутри» построены на той же криптографической базе, что и VPN/TLS.

Минусом наложенных средств является необходимость их приобретения и установки на каждом сетевом узле — потребитель несет дополнительные издержки, пропорциональные размеру сети. Кроме того, безопасность системы начинает зависеть от одного конкретного продукта — сменить его так просто уже не получится.

ВЫВОД

Таким образом, высокая защищенность закрытых специализированных каналов и серийных систем, использующих такие каналы, является мифом. Ограниченные пропускная способность линий связи и вычислительные ресурсы «дешевых» систем делают невозможным обеспечение качественной защиты информационного обмена.

В то же время, бурное развитие IP-сетей, в том числе сети Интернет, способствовало созданию и совершенствованию большого количества проверенных временем и бизнесом средств и механизмов обеспечения безопасности. Их применение позволяет сделать информационный обмен по IP-сетям намного более безопасным, чем передачу данных по специализированным линиям связи.

Безопасность в IP-сетях — это реальность.

новинки,  видеокамеры,  Smartec,  мониторы,  видеорегистраторы,  программное обеспечение,  видеонаблюдения,  IP-видеосерверы,  источник питания,  сирены 

Читайте новости