IP監控面臨的資訊安全問題
慧聰安防網訊 走上無遠弗屆的網路監控���,也代表你必須要面對無所不在的駭客問題���,資安防護的課題開始刻不容緩���。
IP網路監控在網路環境上會有那些資訊安全層面問題呢���?
1.IP安防與資訊安全有何關聯呢���?該注意那些建置要點���?
2.IP網路監控在網路環境上有那些常見的資安問題���?會造成哪些影響���?如何克服���?
3.無線網路架構比較容易中毒或被駭客入侵���?有影無���?
4.IP安防設備的管理軟體該如何進行資訊安全防護���?
問題解答:
只要是暴露在網路上的任何設備���,多少都有潛在的資訊安全風險���!網路攝影機也是如此���。所以���,無論在內部���、外部網路���,或者有線網路���、無線網路���,都有可能遇到遺失���、入侵���、竄改���、阻斷服務等常見的資安風險���。
過去的安防系統大多建立在封閉且專用的通訊線上���,因此多數廠商在進入網路監控的時候���,往往忽略資訊安全風險的問題���,甚至對其毫無概念���。然而���,要建立一個穩固的安防監控體系(RobustSurveillanceEco-System)���,除了設備的實體保全性(DeviceSafety)���,更需要注意內容完整性(ContentIntegrity)及傳輸可用性(TransmissionAvailability)���。
所以���,在更進一步解釋如何建構穩固的監視系統之前���,我們先要了解可能會遭遇到的破壞或入侵���。
常見的破壞可分為以下幾類:
1.實體設備的破壞:包含直接摧毀設備���、移轉或遮蔽鏡頭���、切斷電力���、剪斷線路等���;
2.內容的破壞:包含人為惡意的影音檔案竄改���、系統的資料遺失等���。
3.內容的竊?��。喊I取系統設定帳號���、內容側錄等���。
如果依照資訊安全理論���,我們也可以將主要的攻擊分成兩大類:主動式攻擊(ActiveAttack)或被動式攻擊(PassiveAttack)���。
1.主動式攻擊:攻擊者針對會針對檔案或通訊內容進行偽造或修改���,常見的攻擊有資料偽裝(Masquerade)���、重送攻擊(Replay)���、中間人攻擊(Man-In-The-Middle)���、內容竄改(MessageModification)以及阻斷服務(DenialofService)���。
防范做法與認證方式
2.被動式攻擊:以取得資訊的存取權限為優先���,而不對內容進行修改���,常見的攻擊有內容竊聽(Eavesdropping)以及通訊分析(TrafficAnalysis)���。
防范做法���?
我們先從設備的破壞防御談起���,如果要避免實體設備的破壞���,你必須選擇防暴型(Vandal-proof)攝影機���,并且在安裝上避免網路線及電力線外露���,尤其是安裝在戶外的設備���,更應該選擇將線路隱藏在支架管內���。
至于���,鏡頭遮蔽的問題���,則是要開起攝影機內建的主動式防破壞警報(ActiveTamperingAlarm)���。如果擔心入侵者直接破壞錄影系統���,更應該要選擇支援SD/SDHC可離線儲存功能的攝影機���,例如AXISP3346-VE叁百萬半球型網路攝影機���,就支援了以上的所有功能���。
而內容的竊取與破壞防御上���,首要的基本的觀念就是將身分認證(Authentication)以及權限授權(Authorization)做好���。使用者登入網路攝影機進行存取或者網路攝影機加入網路時���,都應該完成相關的認證程序���。
認證動作主要有三種方式:
1.多層級的使用者身分認證:輸入帳號以及密碼是最常見也是最簡單的認證���,可以提供最基本的保障���。一般的網路攝影機都會提供這樣的功能���,但是在實作上請養成良好的習慣���,一定要變更塬廠預設的帳號與密碼���。像AXIS這樣重視網路安全的廠商���,除了基本的帳號密碼驗證之外���,也提供多層級的身分驗證���,透過多種不同的權限設定���,讓不同的帳號登入有不同的功能選項���。
2.IP位址過濾(IPAddressFiltering):很多人忽略這項功能的重要性���。在一個企業網路上���,可能有眾多的設備���,如果沒有透過VLAN或者防火墻將網段切開���,任何人或者任何設備都可以存取到網路攝影機���。因此���,透過IP位址過濾的方式���,可以設定黑名單或者白名單選擇要拒絕或者接受的來源要求���。常見的設定方式為:在網路攝影機的IP位址過濾功能上設定為僅接受影像管理伺服器的網址���。如此就可以在網路層先過濾掉可能的攻擊���,例如:阻斷式服務攻擊���。
3.選擇支援IEEE802.1x的攝影機:網路攝影機是連接在網路上的設備之一���,最常見的攻擊方式就是端口劫持(PortHijacking)���,簡單來說在網路上有未經授權的設備連接到網路中���,最常見的就是在無線網路的環境���。IEEE802.1x可以建立一個點對點的設備認證���。這是一個相當有效且安全的方式���,尤其是網路攝影機會安裝在公共區域或者不是很信任的網路上時���。IEEE802.1x會透過數位憑證(DigitalCertificate)來辨識設備間彼此的身分���。在強健安防監控系統中���,實作IEEE802.1x的網路攝影機會先向Switch或者AccessPoint提示數位憑證并送出認證要求���;然后Switch或者AccessPoint會轉送要求到后端的認證伺服器���,如RADIUS���;如果通過認證���,伺服器就會指示Switch或者AccessPoint開啟端口(Port)接受該攝影機的接入���。
當你做好使用者以及設備的認證后���,接下來就是考慮內容保護以及防竄改的問題���。在TCP/IP的網路環境上最常見的內容保護就是HTTPS(HyperTextTransferProtocolSecure)協定的設備���,該協定是HTTP與SSL技術的結合���,可以加密端點與端點之間的資料(Data)���,透過HTTPS將在公眾網路上的視訊資料保護起來���,可以確保資料的隱密性���。
不過���,HTTPS僅針對封包的”內容”進行加密���,其他的封包資料���,例如來源端與目的端位址���,則仍是以明碼傳遞���。因此���,還是有可能遇到中間人攻擊���。因此���,如果整個系統會暴露在公眾網路上���,建議在相關的網路節點間���,採用VPN(VirtualPrivateNetwork)的方式進行封包加密可以更加安全���。HTTPS跟VPN在協定上是不互斥的���,所以也可以選擇HTTP+VPN進行多重的保護���,不過���,在實作上為了避免影響整個系統的運作效能���,我們還是建議擇一即可���。
管理軟件的資安防護
無線網路比較容易被入侵���?
再來���,我們特別討論一下無線網路上的資安問題���。相較于有線網路���,無線網路是更容易被入侵的���。所以���,在無線網路上���,認證與加密的課題就更加的重要���。目前在無線網路常用的通訊協定共有802.11a/b/g/h/n���,其中���,802.11b/g為目前主流的規範���,傳輸率為54Mbit/s���。而802.11n則是可將傳輸頻寬一舉拉到600Mbit/s���。在實務建構上���,AXIS建議一臺AccessPoint最多連接5~6之網路攝影機(如果為百萬畫素則更少)���,以避免網路雍塞���。此外���,AccessPoint一定要實作加密方式���,常見的加密有:WEP���,WPA���,WPA2���。其中���,WEP已經是被認為可以透過軟體推算出加密金鑰的不安全加密加密法���,因此完全不建議���。應該要選擇WPA或者WPA2做為無線網路的加密方式���。
管理軟體的資安防護���?
最后���,就是考慮視訊資料防止竄改的問題���。通常最常發生在資料偽裝或者重送攻擊上���。有考慮到這樣問題的廠商���,大多會提供所謂的圖片嵌入或者浮水印的技術���,使用者可以在攝影機傳遞出來影像上疊加一張特殊的圖片(通常是不可視的圖片)���,來驗證資料的完整性���。一旦接收到可能被竄改的視訊時���,可以檢查該特殊圖片是否仍存在畫面上���。
除了前端設備的認證以及安全問題之外���,影像管理平臺的安全性也是很重要���。在此要打破一個迷思���,就是採用嵌入式的系統不一定就可以屏除入侵或者中毒的風險���,相較于微軟的作業系統有很多的廠商提供相關的安全套件以及弱點修復工具���,然而嵌入式系統可能會存在無法輕易修復的系統漏洞���。因此���,養成定期更新系統或者注意塬廠是否有釋出新的韌體���,是一個很重要的習慣���。
綜觀來說���,時時刻刻要保有建構強健安防監控系統的觀念���,選擇對資安性支援較高的廠牌并且養成更新的習慣���,才不會讓塬本負責安全的系統變成最大的資安漏洞���。
