Безопасные подключения

Для обеспечения защиты передаваемых данных Macroscop позволяет использовать сертификаты безопасности SSL/TLS для шифрования данных, передаваемых между компонентами системы.

Можно устанавливать безопасные подключения, использующие сертификаты безопасности SSL/TLS, для следующих соединений:

  • Подключение сервера Macroscop к IP-камерам;

  • Подключение приложения Macroscop Конфигуратор к серверу Macroscop;

  • Подключение клиентских приложений Macroscop Клиент, Bеб-клиент Macroscop, Мобильный Android-клиент Видеонаблюдение Macroscop и Мобильный iOS-клиент Видеонаблюдение Macroscop к серверу Macroscop.

В то же время, для следующих соединений используется небезопасное подключение:

  • Передача данных между серверами Macroscop в многосерверной системе;

  • Передача данных между компонентами Macroscop и сторонними системами, если в процессе интеграции с данными системами функция безопасного соединения не была реализована специально;

  • Мультикаст-трансляция сервером Macroscop потокового видео для использования в приложении Macroscop Клиент.

Особенности безопасного подключения сервера Macroscop к камерам
  • Принимаются любые SSL/TLS-сертификаты камер. То есть, Macroscop не проверяет, являются ли эти сертификаты доверенными.

  • Возможность безопасного подключения реализована для ограниченного перечня моделей. При этом, для некоторых моделей камер, поддерживающих безопасное подключение, отдельные возможности могут быть будут недоступны при безопасном подключении.

  • Доработка программного обеспечения Macroscop с целью реализации возможности безопасного подключения к определенным моделям камер осуществляется по отдельному запросу, согласно существующим регламентам.

В случае, когда приложению Macroscop Конфигуратор не удается осуществить безопасное подключение к серверам Macroscop, такие серверы в списке серверов будут помечены, как недоступные. Также возможна ситуация, когда, при добавлении нового сервера по безопасному соединению, не удается корректно завершить процедуру добавления. Причиной этих проблем может служить отсутствие у сервера возможности запускаться с использованием безопасного порта: он может быть занят другим приложением, либо закрыт в настройках окружения. В таком случае следует освободить данный порт и обеспечить к нему сетевой доступ.

При недоступности безопасного порта сервера из клиентского приложении, в клиентском приложении прекратится трансляция с камер, прикрепленных к данному серверу, а также перестанет воспроизводиться архив этих камер, не будут строиться отчеты по данным камерам, и т.п.

При включении запрета небезопасного подключения к серверу, подключенные к нему приложения Macroscop Клиент и Bеб-клиент Macroscop будут автоматически перезапущены по безопасному соединению. В то же время, Мобильный Android-клиент Видеонаблюдение Macroscop и Мобильный iOS-клиент Видеонаблюдение Macroscop в такой ситуации не перезапускаются. Также при этом не перезапустится приложение Macroscop Конфигуратор (иначе можно потерять контроль над сервером). После включения запрета небезопасных подключений к серверу данный запрет будет действовать для всех новых подключений из приложений Macroscop Клиент, Bеб-клиент Macroscop, Мобильный Android-клиент Видеонаблюдение Macroscop и Мобильный iOS-клиент Видеонаблюдение Macroscop. При этом, приложение Macroscop Клиент будет принудительно подключаться безопасным способом даже в том случае, если производится попытка подключиться небезопасным способом.

Особенности устанавливаемых на сервере сертификатов SSL/TLS
  • Подтверждение сертификата требуется для каждого отдельного пользователя операционной системы на каждом устройстве, использующем данный сертификат.

  • Надежными (доверенными) принято считать сертификаты безопасности, выданные общепризнанными (доверенными) центрами сертификации.

  • Для каждого безопасного подключения к серверу из приложения Bеб-клиент Macroscop в веб-браузере осуществляется проверка, является ли сертификат, используемый для шифрования сеанса, надежным. Если надежность сертификата подтвердить не удается, пользователю выдается предупреждение о небезопасном подключении.

  • Если при безопасном подключении к серверу из приложений Macroscop Конфигуратор и Macroscop Клиент будет обнаружено, что используемый сертификат безопасности не является доверенным, то откроется диалоговое окно с вопросом о доверии к данному сертификату. В данном окне пользователь может запретить подключение, либо разрешить единовременное или постоянное использование этого сертификата. В последнем случае подобное предупреждение при подключении больше не будет отображаться.

  • Проверка, является ли сертификат доверенным, осуществляется каждый раз при безопасном подключении к серверу из приложений Macroscop Конфигуратор и Macroscop Клиент. Если сертификат не является доверенным, то пользователь увидит диалоговое окно с информацией о сертификате и возможностью либо отказаться от подключения, либо подтвердить использование сертификата. В последнем случае при повторном входе подтвержденный сертификат уже будет считаться доверенным и дальнейшее его подтверждение не потребуется. Однако, по истечении срока действия сертификата, снова потребуется подтверждение его использования для каждой новой сессии.

Если сторонний сертификат безопасности на данный сервер не установлен, или его не удалось загрузить при запуске сервера, то для безопасных соединений с сервером будет использоваться самоподписанный TLS-сертификат. Такой сертификат генерируется на сервере при создании новой конфигурации системы видеонаблюдения. Самоподписанный TLS-сертификат обладает следующими недостатками:

  • Возможна подмена сертификата другим небезопасным сертификатом внутри сети; причем, пользователь может этого не заметить, подтверждая, таким образом, небезопасное соединение.

  • Пользователям веб-приложения потребуется каждый раз подтверждать небезопасное подключение; что, в свою очередь, может вызывать недоверие со стороны пользователей.

Особенности использования сертификатов в приложении Macroscop Клиент
  • При использовании приложения Macroscop Клиент в многосерверной системе проверка сертификата безопасности может осуществляться в процессе работы. При этом, в случае обнаружения недоверенных сертификатов, в правом нижнем углу экрана отображаются соответствующие уведомления, а связь с серверами, использующими данные сертификаты, блокируется до принятия решения пользователем.

  • Все факты принятия сертификатов безопасности регистрируются в журнале событий системы видеонаблюдения.

  • При использовании приложения Macroscop Клиент в многомониторном режиме уведомление о небезопасном соединении будет отображаться только на главном мониторе.

  • Для приложения Macroscop Клиент можно отключить проверку сертификатов безопасности с помощью специального параметра запуска.

Связанные ссылки