Att skydda egendom och information har alltid varit viktigt för organisationer. Den enda skillnaden idag mot förr är att systemen nu blivit mer sofistikerade. Dessvärre har metoder och medel som används av förövare också gått samma väg. Trenden de senaste åren är att använda befintlig IP-infrastruktur och Internet som bärare av information och signaler från systemet. Detta har i sin tur lett till frågor om hur säkert detta verkligen är mot bakgrund av att man ganska ofta hör talas om brister i säkerhet och andra möjliga hot mot nätverken.

Denna artikel skall försöka bringa klarhet i diskussionen och beskriva hur olika metoder och tillgängliga tekniker kan hjälpa till att skapa en väl skyddad nätverksmiljö för ett IP-baserat system.
Som en ledande leverantör av produkter för video över IP blir vi ofta konfronterade med frågor om nätverkssäkerhet. Vi utmanas ofta av företrädare för den analoga branschen som menar att analoga system är överlägsna när det gäller skydd av information under sändning och lagring. Vidare att en kamera som är ansluten till nätverket i princip är tillgänglig för vem som helst. Detta är inte nödvändigtvis sant av många skäl.

• Vilket system som helst är så öppet eller slutet man väljer att göra det.
• Skydds- och krypteringsmetoder för analoga signaler förekommer knappast.
• Kopiering av information från ett analogt system kan göras utan att lämna några spår.
• Den analoga videokällan kan splittras upp eller ersättas utan spår eller loggning.
• Listan över tillgängliga skydd för digital information är nästan ändlös.
Låt oss först titta på grundläggande fakta och skillnader.
Grundläggande fakta:
• Man kan göra systemen så öppna eller slutna som man önskar. Jämför med dörrar. Man kan låsa dörren eller lämna den olåst när man går.
• En video-nod i ett nätverk är bara tillgänglig över nätverket om den är programmerad på detta sätt.
• Ingen kedja är starkare än den svagaste länken.
Skillnader:
• En enhet i ett IP-nätverk är en aktiv komponent och kan processera information på ett aktivt sätt.
• En analog komponent har ingen möjlighet att veta var eller vad den är ansluten till och är alltså passiv.
CCTV kontra IP-nätverk

Ett traditionellt CCTV system är som namnet antyder (Closed Circuit Television) ett slutet system där tillträde till systemet måste ske via kretsarna i själva systemet. Det finns ingen möjlighet att få tillträde till andra system via CCTV så länge som det är ett slutet system. Alla kablar är avsatta för just detta system och isolerade från andra system.
Hela idén är just att systemet endast skall tjäna ett syfte. Det är emellertid möjligt att avlyssna videoströmmarna och till och med ersätta dessa utan att det märks.

Ett IP-baserat system med liknande uppbyggnad, dvs ett slutet och dedikerat system som inte delar kablage eller nätverk med någonting annat är slutet på samma sätt och enda sättet att komma åt en anslutning är att koppla in sig på själva kretsarna. Men här slutar likheterna. Även om man är elektriskt ansluten kan man inte komma till ett IP-system med mindre än att man har behörighet utfärdad av systemadministratören. Det finns ett flertal metoder att förhindra tillträde och att ersätta videosekvenser. Dessa metoder beskrivs mer i detalj längre fram i denna artikel.

Ett IP-baserat system som bygger på att dela IP-infrastrukturen med andra system måste vara konstruerat för och administrerat så att de skilda systemen inte påverkar varandra. Vidare att obehörigt tillträde ej kan ske och att videoavsnitt inte kan bytas ut. Dessa metoder beskrivs också mer i detalj senare i denna artikel.
Hot
Det mest uppenbara hotet för ett nätverk är intrång. Någon som inte har givits tillträde av nätadministratören lyckas komma in i systemet. Detta är vad man ofta hör när det gäller trådlösa nätverk och anledningen sägs vara att "de har lämnat dörren öppen". Väl inne kan förövaren få tillgång till information och plantera in virus som allvarligt kan skada systemet.
För att utestänga intrång i systemet kan man sätta in ett antal olika skydd och tekniker som förhindrar detta. De enklaste baseras på att identifiera användaren med hjälp av lösenord och/eller IP-filtrering. Detta gör att endast godkända och i förväg definierade användare kan komma åt nätverket. Det är dock viktigt att komma ihåg att ingen kedja är starkare än den svagaste länken. Ett lösenord på drift är också en nyckel till systemet.

IP-filtrering innebär att endast användare med fördefinierade IP-adresser kan få tillträde. Denna metod kan stärkas ytterligare genom att skydda tillträdet till den aktuella datorn, något som kallas MAC adressfiltrering.

Dedikerade nätverk eller delade nätverk
Ett dedikerat nätverk som beskrivits ovan, som används enbart till nätverksvideo kan använda lösenord och filtrering för att utestänga oönskade användare. För att ytterligare höja säkerheten i bildmaterialet och tillförsäkra att en kamera inte har bytts ut kan såväl kryptering som verifiering användas. Se nedan för mer detaljer.

I delade nätverk som översiktligt beskrivits ovan finns många fler faktorer att ta hänsyn till, inte minst delade funktioner och att de skilda systemen måste arbeta utan att störa varandra vilket styrs av mängden tillgänglig bandvidd. Denna typ av nätverk måste konstrueras för att kunna separera trafiken mellan noderna och kunna skilja mellan användare av olika undersystem. Så länge som nätverket administreras på rätt sätt och en lämplig säkerhetsnivå är fastställd är risken för intrång minimerad. För att ytterligare öka videosystemets integritet kan man införa ovan nämnda kryptering och verifiering. Se nedan för mer detaljer.

Slutna system eller Internet
Man kan anta att de känsligaste frågorna uppkommer om nätverkssystemet ansluts till Internet, antingen för att sända videosekvenser eller för att möjliggöra för operatörer att få tillgång till systemet över Internet. Alla datorer som ansluts till Internet måste vara utrustade med lämpliga skydd. Nätverksvideo utgör inget undantag.
Om systemet är slutet och inte har någon uppkoppling mot Internet kan systemet endast administreras på samma slutna nätverk men måste ändå programmeras för att endast tillåta fördefinierade användare.

Det förefaller vara en missuppfattning från den analoga CCTV-industrins sida att om systemet är uppkopplat mot Internet så är alla kameror tillgängliga via Internet. Så är dock inte nödvändigtvis fallet. Det är en betydande fördel att kamerorna och systemen kan programmeras för att vara åtkomliga över Internet eller att skicka bilder över Internet. För att upprätthålla en tillräcklig integritetsnivå finns det ett flertal metoder för att skydda materialet från att bli avkodat av obehöriga såsom lösenord, IP-filtrering, MAC- adressfiltrering, VPN-lösningar, verifiering och kryptering med användning av SSL/TLS. Se nedan för mer detaljer.

Nätverkssäkerhet Överföringssäkerhet
Säker överföring av data är som att använda ett bud för att föra över ett värdefullt och känsligt dokument från en person till en annan. När budet ankommer till avsändaren kontrollerar man dennes identitet. Avsändaren avgör så om personen är den som denne uppges vara och om det går att lita på densamma. Om allt tycks vara i ordning blir den förseglade och låsta väskan överlämnad till budet som levererar den till mottagaren. På mottagarsidan upprepas samma identifieringsprocedur och förseglingen verifieras som obruten. Så snart budet har gått öppnar mottagaren väskan tar ut dokumentet och läser det.
Säker kommunikation skapas på samma sätt och är indelad i tre olika steg:
1. Verifiering
Första steget är att användaren eller enheten identifierar sig för nätverket. Detta sker genom att tilldela en identitet för nätverket/systemet, såsom användarnamn och lösenord, IP/MAC adressfiltrering eller ett X509 (SSL) certifikat.
2. Behörighet
Så snart verifieringen är fullbordad, men innan enheten är fullt uppkopplad och operativ, måste behörighetsprocessen fastställa tillträdesnivån. Dessa rättigheter sätts individuellt för varje operatör beroende på vilka uppgifter denne har. Detta sker genom att verifiera den uppgivna identiteten mot en databas eller en lista med godkända identiteter, ett giltigt användarnamn och lösenord mot motsvarande användarbehörighetsnivå.
3. Dataskydd
Det sista steget är att applicera nivån på dataskyddet. Detta görs genom att man krypterar kommunikationen, vilket förhindrar att andra läser/använder informationen. Användning av kryptering kan ge en betydande prestandareduktion, beroende på vilken slags kryptering som används och hur den är implementerad. Data kan skyddas på flera sätt. De två mest vanligt förekommande metoderna är VPN och SSL/TLS (också känd som HTTPS): VPN (Virtual Private Network)

Ett VPN skapar en säker kanal mellan punkterna inom nätverket. Bara anordningar med korrekt "nyckel" kan arbeta inom nätverket. Enheter tillkopplade på nätverket mellan klienten och servern kommer inte att ha möjlighet att få tillgång till eller se data. Med ett VPN kan olika arbetsställen kopplas samman över Internet på ett säkert sätt.
SSL/TLS
Ett annat sätt att uppnå säkerhet är att kryptera själva informationen. Det betyder att endast den rättmätiga mottagaren kan komma åt innehållet. I detta fall finns ingen säker kanal som i fallet med VPN-lösningen. Det finns ett flertal olika krypteringstekniker tillgängliga såsom SSL, WEP och WPA, varav de två sistnämnda används i trådlösa nätverk. När man använder SSL, som också är känd som HTTPS, är all data som sänds över nätverket krypterad varvid datorn eller enheten ifråga installerar ett certifikat, som kan utfärdas lokalt av användaren eller av någon tredjepart såsom Verisign.
Skydd av individuella enheter / Intrångsskydd
Varje enhet som är kopplad till ett nätverk är sårbar för angrepp som allvarligt kan skada såväl själva enheten som säkerheten i systemet. Intrång genom virus, maskar, trojaner och rent fysiska inbrott har blivit allt vanligare. För att motverka detta är det viktigt att brandväggar, virusskydd och operativsystem regelbundet uppdateras med service packs och lagningar från leverantören.

När man ansluter ett lokalt nätverk till Internet är det viktigt att använda en brandvägg. Denna fungerar som en spärr som begränsar eller blockerar trafiken till och från Internet. Den kan också tjäna som ett filter för information som passerar brandväggen eller för att förhindra tillträde till vissa sajter.
Säkerhet i trådlösa nätverk
Till följd av den trådlösa kommunikationens natur, kan vem som helst med en trådlös mottagare inom nätverkets mottagningsområde nås och använda delade resurser, varför det finns ett behov av säkerhet. Den mest vanliga standarden i dag är WEP (Wireless Equivalent Privacy), vilken adderar RSA RC4-baserad kryptering till kommunikationen, som förhindrar folk utan den korrekta nyckeln att komma in på nätverket. Men själva nyckeln är inte krypterad, varför det är möjligt att "dyrka upp låset", vilket gör att detta skall ses enbart som en basnivå i säkerhet. En WEP-nyckel har normalt en längd av 40 (64) bitar eller 128 bitar. För att ytterligare förstärka säkerheten i trådlösa nätverk kan IP eller MAC adressfilter sättas in.
På senare tid har nya standards utvecklats som ökar säkerheten betydligt, såsom WPA (WiFi Protected Access), som täcker en del av svagheterna i WEP-standarden, inklusive tillägget av en krypterad nyckel.
Slutsats
Vad vi har beskrivit i denna artikel är att det finns ingen skillnad i sårbarhet mellan CCTV-system och IP-baserade övervakningssystem. Skillnaden är den att när det gäller CCTV-system, får man bara hoppas på att ingen kommer åt kablage och utrustning. För IP-baserade övervakningssystem finns det mängder av verktyg för att tillförsäkra att endast behöriga personer får tillträde till systemet, med korrekta nycklar och med säker transmission.
Det kan också vara klokt att tänka på att det kanske inte alltid är nätverkets säkerhet som är den svagaste länken i kedjan.

Per Björkdahl
Director, Business Development
Axis Communication
Daniel Elvin
Expert Engineer, Intelligent Video
Axis Communications