IP监控面临的资讯安全问题
走上无远弗届的网路监控,也代表你必须要面对无所不在的骇客问题,资安防护的课题开始刻不容缓。
IP网路监控在网路环境上会有那些资讯安全层面问题呢?
1.IP安防与资讯安全有何关联呢?该注意那些建置要点?
2.IP网路监控在网路环境上有那些常见的资安问题?会造成哪些影响?如何克服?
3.无线网路架构比较容易中毒或被骇客入侵?有影无?
4.IP安防设备的管理软体该如何进行资讯安全防护?
问题解答:
只要是暴露在网路上的任何设备,多少都有潜在的资讯安全风险!网路摄影机也是如此。所以,无论在内部、外部网路,或者有线网路、无线网路,都有可能遇到遗失、入侵、窜改、阻断服务等常见的资安风险。
过去的安防系统大多建立在封闭且专用的通讯线上,因此多数厂商在进入网路监控的时候,往往忽略资讯安全风险的问题,甚至对其毫无概念。然而,要建立一个稳固的安防监控体系(RobustSurveillanceEco-System),除了设备的实体保全性(DeviceSafety),更需要注意内容完整性(ContentIntegrity)及传输可用性(TransmissionAvailability)。
所以,在更进一步解释如何建构稳固的监视系统之前,我们先要了解可能会遭遇到的破坏或入侵。
常见的破坏可分为以下几类:
1.实体设备的破坏:包含直接摧毁设备、移转或遮蔽镜头、切断电力、剪断线路等;
2.内容的破坏:包含人为恶意的影音档案窜改、系统的资料遗失等。
3.内容的窃取:包含盗取系统设定帐号、内容侧录等。
如果依照资讯安全理论,我们也可以将主要的攻击分成两大类:主动式攻击(ActiveAttack)或被动式攻击(PassiveAttack)。
1.主动式攻击:攻击者针对会针对档案或通讯内容进行伪造或修改,常见的攻击有资料伪装(Masquerade)、重送攻击(Replay)、中间人攻击(Man-In-The-Middle)、内容窜改(MessageModification)以及阻断服务(DenialofService)。
防范做法与认证方式
2.被动式攻击:以取得资讯的存取权限为优先,而不对内容进行修改,常见的攻击有内容窃听(Eavesdropping)以及通讯分析(TrafficAnalysis)。
防范做法?
我们先从设备的破坏防御谈起,如果要避免实体设备的破坏,你必须选择防暴型(Vandal-proof)摄影机,并且在安装上避免网路线及电力线外露,尤其是安装在户外的设备,更应该选择将线路隐藏在支架管内。
至于,镜头遮蔽的问题,则是要开起摄影机内建的主动式防破坏警报(ActiveTamperingAlarm)。如果担心入侵者直接破坏录影系统,更应该要选择支援SD/SDHC可离线储存功能的摄影机,例如AXISP3346-VE叁百万半球型网路摄影机,就支援了以上的所有功能。
而内容的窃取与破坏防御上,首要的基本的观念就是将身分认证(Authentication)以及权限授权(Authorization)做好。使用者登入网路摄影机进行存取或者网路摄影机加入网路时,都应该完成相关的认证程序。
认证动作主要有三种方式:
1.多层级的使用者身分认证:输入帐号以及密码是最常见也是最简单的认证,可以提供最基本的保障。一般的网路摄影机都会提供这样的功能,但是在实作上请养成良好的习惯,一定要变更塬厂预设的帐号与密码。像AXIS这样重视网路安全的厂商,除了基本的帐号密码验证之外,也提供多层级的身分验证,透过多种不同的权限设定,让不同的帐号登入有不同的功能选项。
2.IP位址过滤(IPAddressFiltering):很多人忽略这项功能的重要性。在一个企业网路上,可能有众多的设备,如果没有透过VLAN或者防火墙将网段切开,任何人或者任何设备都可以存取到网路摄影机。因此,透过IP位址过滤的方式,可以设定黑名单或者白名单选择要拒绝或者接受的来源要求。常见的设定方式为:在网路摄影机的IP位址过滤功能上设定为仅接受影像管理伺服器的网址。如此就可以在网路层先过滤掉可能的攻击,例如:阻断式服务攻击。
3.选择支援IEEE802.1x的摄影机:网路摄影机是连接在网路上的设备之一,最常见的攻击方式就是端口劫持(PortHijacking),简单来说在网路上有未经授权的设备连接到网路中,最常见的就是在无线网路的环境。IEEE802.1x可以建立一个点对点的设备认证。这是一个相当有效且安全的方式,尤其是网路摄影机会安装在公共区域或者不是很信任的网路上时。IEEE802.1x会透过数位凭证(DigitalCertificate)来辨识设备间彼此的身分。在强健安防监控系统中,实作IEEE802.1x的网路摄影机会先向Switch或者AccessPoint提示数位凭证并送出认证要求;然后Switch或者AccessPoint会转送要求到后端的认证伺服器,如RADIUS;如果通过认证,伺服器就会指示Switch或者AccessPoint开启端口(Port)接受该摄影机的接入。
当你做好使用者以及设备的认证后,接下来就是考虑内容保护以及防窜改的问题。在TCP/IP的网路环境上最常见的内容保护就是HTTPS(HyperTextTransferProtocolSecure)协定的设备,该协定是HTTP与SSL技术的结合,可以加密端点与端点之间的资料(Data),透过HTTPS将在公众网路上的视讯资料保护起来,可以确保资料的隐密性。
不过,HTTPS仅针对封包的”内容”进行加密,其他的封包资料,例如来源端与目的端位址,则仍是以明码传递。因此,还是有可能遇到中间人攻击。因此,如果整个系统会暴露在公众网路上,建议在相关的网路节点间,採用VPN(VirtualPrivateNetwork)的方式进行封包加密可以更加安全。HTTPS跟VPN在协定上是不互斥的,所以也可以选择HTTP+VPN进行多重的保护,不过,在实作上为了避免影响整个系统的运作效能,我们还是建议择一即可。
无线网路比较容易被入侵?
&