Если вы думаете, что техподдержка #Hikvision мне ответила - то нет! Первое письмо отправил 18.11, но видимо дел много у них. Ладно, будем разбираться сами.
С горем-пополам мы продираемся сквозь спецификацию камеры DS-2CD3645FWD-IZS и зависли мы на разделе "Сеть". Не всё там так просто и однозначно, как хотелось бы. Что-то пропуская (но не забывая и не забивая, а обещая вернуться в доразборах) мы подобрались к подразделу "Безопасность". И тут первые два пункта - о, чудо - просты и понятны (практически) каждому. Исходя из логики раздела - вы можете защитить доступ к камере по сети паролем или даже сложным (!!!) паролем! То есть не просто четыре цифири, а больше и даже с символами! Не устану повторять, что надёжные, не тривиальные пароли - залог безопасности вашей системы безопасности! А то будет, как в том мультике про банковское хранилище, ключ от черного входа в которое лежал под дверью.
Шифрование, базовая и дайджест аутентификация HTTPS
Как и заем? Почему так сложно и кому с этим надо разбираться? Вот не могу сказать, что специалистам по проектированию, монтажу, настройке и эксплуатации обязательно нужны эти знания. Потому что уж очень они специфические. Есть такой ресурс #Хабр и там очень много по-хорошему гиканутых и грамотных людей и аж прям классное сообщество, которое много чего отслеживает. Так вот есть там статья, которую переписывать или пересказывать своими словами - только портить. А она как раз про это!
Аутентификация 802.1X (EAP-TLS 1.2, EAP-LEAP, EAP-MD5)
Представьте себе, что рядом с вами в кабинете есть сетевая розетка и все, что туда подключается, автоматически получает доступ к сети, ко всей. Любые устройства - даже если они являются "шпионскими" или не авторизованными. Вы, может быть, скажете - есть же простой протокол под названием Port Security! Включил, забыл! Отчасти верно, но как он работает? Вы либо указываете MAC-адрес, который может подключиться к порту и получить доступ в сеть, либо указываете какое-то количество таких MAC адресов, которые будут динамически опознаны коммутатором или смешиваете два этих способа. Но вдруг ваш ноутбук кто-то умудрился ловко утащить и что тогда? У кого-то постороннего появится доступ в сеть, которая только и ждёт MAC-адрес в качестве пропуска, так как доступ по его MAC-адресу разрешен. Тут-то и вступает в дело 802.1X - он позволяет проводить аутентификацию не устройства, но пользователя. Таким образом, если устройство будет украдено, злоумышленники все равно не получат доступ в сеть.
Водяные знаки, фильтрация IP-адресов
Опять вклинились простые вещи. В настройках камеры вы можете добавить "водяные знаки" на ваше видео (и скриншоты тоже), чтобы в случае чего, сразу было понятно откуда архив. А технология фильтрации IP-адресов избавит вас от такой проблемы, подключение с "незнакомых" или не разрешённых адресов.
WSSE и дайджест-аутентификация для ONVIF
Дайджест-аутентификация доступа — один из общепринятых методов, используемых веб-сервером для обработки учётных данных пользователя веб-браузера. Подробнее про протокол WSSE и как организовать на нём аутентификацию пользователей можно посмотреть вот тут. А про TLC (протокол защиты транспортного уровня) мы с вами уже упоминали в предыдущей статье.
...продолжение следует