Автор: Алексей ТИТОВ, генеральный директор «Интемс»

Как подключиться к камере видеонаблюдения через интернет, если у вас динамический IP-адрес

Окончание. Начало - № 6-2021

Облачные сервисы производителей роутеров

О проблеме с «серыми» IP-адресами знают все, в том числе и производители роутеров. И некоторые из них предложили решение, которое может быть хорошим и бесплатным выходом.

Например, сервис KeenDNS для роутеров Keenetic. Через KeenDNS можно получить удаленный доступ к любым устройствам внутренней локальной сети с веб-интерфейсом. Применительно к видеонаблюдению веб-интерфейс есть у IP-камер и большинства видеорегистраторов.

Дело в том, что облачный сервис KeenDNS поддерживает доступ только по протоколам HTTP или HTTPS и только по следующим портам:
- HTTP — 80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080.
- HTTPS — 443, 5083, 5443, 8083, 8443 и 65083.

Ограничение в использовании протоколов для видеонаблюдения, конечно, не очень удобно. Например, в видеонаблюдении достаточно часто используется прикладной протокол RTSP, облачный сервис KeenDNS его использовать не позволит.

Плюсы

  • Позволяет получать удаленный доступ даже с «серыми» IP-адресами.<
  • Более высокий уровень кибербезопасности, чем использование проброса портов. Роутер и все ваши данные и устройства находятся за NAT провайдера, а значит, в гораздо большей безопасности, чем с использованием «белых» IP-адресов.<
Кроме NAT, безопасность обеспечивается средствами KeenDNS – цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер по протоколу HTTPS защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых через интернет данных. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транс- портном уровне.

При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также защищает данные от перехвата.

Минусы

  • Перенаправление портов – это «приглашение для хакеров».
  • Провайдер может блокировать открытие дополнительных пор- тов.
  • Придется отключить DHCP.
  • Физический сервер, на котором крутится облачный сервис произ- водителя роутера, находится за границей.
  • Производитель может вносить изменения в работу своего облака. Например, KeenDNS отключает 5 своих доменных имен, соответственно, если вы регистрировали доменное имя в одной из этих зон, то нужно заходить в настройки роутера и регистрировать имя на другом домене. Это если вы отследили, что такое изменение будет, скорее всего, вы это обнаружите в тот момент, когда доменные имена будут отключены, и ваше видеонаблюдение упадет.
  • Нельзя использовать другие протоколы, зачастую нужные для организации видеонаблюдения, например, протокол RTSP.


Облачные сервисы производителей оборудования для видеонаблюдения

Всем понятно, что использовать первые два способа может только слабоумный. Понятно это и производителям оборудования. Потому что это спрос, это то, чего требуют твои клиенты. Поэтому производители вынуждены были решать вопрос о предоставлении удаленного доступа к своему оборудованию.

Но производители оборудования для видеонаблюдения оказались не заинтересованы делать облачные сервисы, удобные и одновременно безопасные для пользователей. Они клепают свои облака по принципу «лишь бы купили наше оборудование, а дальше неважно».

Особенно отличились китайские производители. Например, бесплатный облачный сервис для удаленного видеонаблюдения от одной китайской компании, который уже известен как эталон отвратительности. Что не мешает его использовать многим «российским» производителям видеонаблюдения.

Есть и достойные образцы надежной кибербезопасности и функциональности, например, AXIS Secure Remote Access компании Axis Communications, или DirectIP корейского производителя видеорегистраторов и камер видеонаблюдения IDIS. Но, как и все хорошее, стоит такое оборудование недешево.

Важный момент заключается в том, что облачные сервисы производителей видеонаблюдения работают только с их же оборудованием.

И тут, наверное, вы хотите меня спросить: а чем в таком случае могут помочь облачные сервисы производителей видеонаблюдения, если система видеонаблюдения у вас уже есть. Ответ прост: если вы хотите использовать облако от производителей, вы можете купить P2P-видеорегистратор – это как раз те регистраторы, которые поддерживают облачные сервисы производителей видеонаблюдения. А камеры видеонаблюдения вы сможете оставить старые и подключить их к новому видеорегистратору с поддержкой облачного сервиса. Причем, не особо важно, какие у вас камеры – аналоговые или IP, так как и те, и другие современные видеорегистраторы поддерживают облачный удаленный доступ. То есть у вас будут разовые затраты на видеонаблюдение, но удастся избежать постоянных затрат в виде абонентской платы.

Плюсы

  • Позволяет получать удаленный доступ даже с «серыми» IP-адресами.
  • Позволяет получать доступ к просмотру живого видео и к видеоархиву на видеорегистраторе.


Минусы
  • Ограничения в выборе оборудования, облачный сервис одного производителя работает только с его оборудованием.
  • Физически серверы, на которых крутится облачный сервис производителя видеонаблюдения, находятся за границей.
  • У части китайских брендов низкая кибербезопасность как оборудования, так и облачных сервисов.


Облачное видеонаблюдение от операторов

Операторы – это компании, которые не производят оборудование для видеонаблюдения. Они заказывают оборудование под своим брендом (OEM) и разрабатывают софт, который позволяет организовать удаленный просмотр живого видео и архива.

Например, компания X пытается, в первую очередь, продавать свое OEM- оборудование и свой облачный хостинг за абонентскую плату. Но если поискать на сайте компании X, без особого труда вы найдете программное обеспечение, которое можно использовать для подключения почти любых камер и просмотра их через интернет, но для этого нужно будет сесть на иглу абонентской платы.

Программное обеспечение нужно устанавливать на компьютер, что само по себе – плохая идея, так как компьютер в таком случае будет работать 24 часа в сутки. Что приведет к его повышенному износу, особенно, если вы собираетесь писать на это устройство видеоархив.

Плюсы

  • Позволяет получать удаленный доступ даже с «серыми» IP-адресами.
  • Позволяет получать доступ к просмотру живого видео и к видеоархиву на компьютере.


Минусы
  • Ежемесячная абонентская плата.
  • Круглосуточно работающий компьютер.
  • Расход ресурсов компьютера на обработку видео.
  • Низкий уровень кибербезопасности. Если хакеры взломают такой обратный сервис, то получат все и сразу, вот недавно одно известное «облако» взломали и получили доступ к 150 тысячам камер видеонаблюдения.
  • Зависимость от работоспособности облака.


Виртуальные частные сети (VPN)

Мы подошли к золотому стандарту организации удаленного доступа. Золотой он потому, что при правильной настройке его не могут ни расшифровать, ни взломать.

Существуют разные протоколы VPN-соединения, их детальный разбор выходит за рамки этой статьи. С моей точки зрения, IPsec IKEv2 лучше всего подходит для организации видеонаблюдения. В первую очередь, потому что это – современный VPN-протокол, разработанный Microsoft и Cisco, и он быстрее других.

При прочих равных условиях IKEv2 будет всегда быстрее чем, скажем, OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например, на роутерах или одноплатных компьютерах.

Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN – в контексте пользователя (userspace), и при обработке каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.

К тому же IPsec IKEv2 «вшит» в iOS, macOS и Windows и является для них нативным, не требующим установки дополнительного ПО. Для Android потребуется ставить приложение, например, strongSwan, он выпускается под лицензией GPL.

Также мы не будем рассматривать различные архитектуры VPN-соединений, а сразу рассмотрим архитектуру, которая наиболее подходит для специфики видеонаблюдения.

Заключается она в том, что у нас будет много клиентских подключений, например, с ноутбуков, смартфонов, стационарных компьютеров. Для этого нужно взять один приличный роутер, например, MikroTik RB4011iGS+RM, чтобы организовать на нем VPN-сервер.



И роутеры попроще, на которых мы поднимем VPN-клиенты, например, MikroTik RB3011UIAS-RM.


В результате можно реализовать архитектуру, представленную на рисунке 1.

Для реализации такой архитектуры потребуется «белый» IP-адрес, он нужен там, где мы будем настраивать VPN- сервер. Напомню, что IP-адрес может быть «белым» динамическим, и тогда можно обойтись без абонентки с помощью DDNS, а если такой роскоши нет, то придется брать фиксированный уже за абонентскую плату.

Соответственно, если у вас сейчас IP-адрес «серый», придется разориться на один фиксированный внешний IP- адрес. Но есть и хорошие новости: там, где используются VPN-клиенты, сгодится и «серый» адрес.

Плюсы

  • «Пуленепробиваемая» кибербезопасность.
  • Все элементы сетевой инфраструктуры находятся в России.
  • Позволяет получать удаленный доступ даже с «серыми» IP-адресами там, где используется VPN-клиент.
  • Позволяет использовать весь функционал видеонаблюдения.


Минусы
  • Абонентская плата за один фиксированный внешний адрес.
  • Сложная первоначальная настройка.
  • Затраты на приобретение роутеров.


Вывод

Хороших производителей видеонаблюдения не то чтобы много, но они есть. А вот хороших коробочных решений для организации удаленного доступа нет и, похоже, не предвидится.

Единственный хороший вариант – это надежный VPN, но для того, чтобы его организовать, нужны навыки администрирования и приличное сетевое оборудование.

Несмотря на то, что VPN стоит денег, выбора, похоже, нет, киберпреступность растет гигантскими темпами, только по официальным данным число преступлений с использованием интернета возросло на 91%, и рост продолжается.

Перефразируя одного известного чекиста, можно сказать: то, что вас не коснулась киберпреступность, не ваша заслуга, а недоработка киберпреступников. Но судя по такому внушительному росту, они намерены это исправить.



Источник: https://securityrussia.com/blog/udalennoe-videonabljudenie.html


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru