IT biztonság a beléptető rendszerek gyakorlatában

Felhasználói fiók Hírlevél feliratkozás

IT biztonság a beléptető rendszerek gyakorlatában

„Őrizzük az őrzőket…”

Biztonságtechnika
/
2023-12-12

IT biztonság a beléptető rendszerek gyakorlatában

A portásokat leváltó elektro-mechanikus beléptetés ellenőrző rendszerek sokáig drága és rendszeridegen játékszerként voltak jelen a vagyon- és objektumvédelmi rendszerek mellett.

Az informatikai megoldások hozták el az egyszerűen használható, gyors áteresztőképességű, de megbízhatóan működő eszközök korszakát. Az elektronikus beléptető rendszerek elterjedésével nem csak számosságuk, hanem funkcionalitásuk is növekedett. A vagyonvédelmi rendszerek családjában talán itt jelent meg először a számítógépek és programok alkalmazása, kezdve az egyszerű nyilvántartástól a rendszerelemek összerendelésén keresztül a teljes rendszerfelügyeletig.

Sajnos az IT technológia árnyoldalai is hamar megjelentek, felfedezték a korábbi technológiák által védtelenül hagyott réseket, mint például a beléptetés-vezérlők és az olvasók közötti kommunikációt biztosító, szinte szabványként kezelt Wiegand kódolást.

Napjaink beléptető rendszerei széles tárházzal rendelkezve segítik a felügyelt objektum védelmi rendszerét, a be- és kilépő forgalom szabályzását, nyilvántartását. De mit tegyünk, ha magát a beléptető rendszert támadják?

1. A beléptetés-vezérlő és az olvasók közötti kommunikáció védelme

A ma telepített beléptető rendszerek több mint 90 százaléka a Wiegand protokollt használja, így ez a legelterjedtebb kommunikációs megoldás, amellyel a beléptető eszközök információt küldenek a kártyaolvasótól a beléptetés-vezérlő felé. A kihívásokra válaszul a beléptető rendszerek fejlesztését és tesztelését szabályozó szabványok is tovább fejlődnek, javítva a biztonságot, valamint a hozzáférés-felügyeleti és a biztonsági termékek közötti együttműködést. Az új megközelítésen alapuló IEC 60839-11 szabványcsalád kockázatelemzéssel indítva határozza meg egy védendő objektum beléptető rendszerével szemben támasztott követelményeket. Túllépve az 1. és 2. fokozatú besorolásokon, amelyek alacsony veszélyeztetettségű objektumokra vonatkoznak, a 3. (ipari, igazgatási, pénzügyi objektumok) és 4. fokozatok (kormányzati és kritikus infrastruktúra) már komolyabb védelmi igényeket támasztanak. Napjaink informatikai környezetében egy személyes és üzleti adatokat is továbbító, kezelő beléptető rendszernek meg kell felelnie a 3., ill. 4. fokozatú elvárásoknak, felügyelnie kell a beléptetés-vezérlő és a rendszerelemek közötti kommunikációt.

Mit is jelent ez?

Ellenőrizni kell a beléptetés-vezérlő egység és a részegységek közötti kommunikációt:
- a berendezések kommunikációs csatornájának meghibásodása és/vagy helyreállítása nem eredményezheti a beléptetési pontok zárásának oldását; - adott időtartamú kommunikáció vesztés eredményezzen riasztást; - az információbiztonságot olyan intézkedésekkel kell megvalósítani, amelyek megakadályozzák a továbbított adatok illetéktelen olvasását, módosítását; - a 4. fokozatú berendezések közötti kommunikációnak támogatnia kell a hitelesítéssel történő titkosítást.

A követelmények teljesítésére született iparági megoldás az Open Supervised Device Protocol (OSDP) hozzáférés-vezérlési kommunikációs szabvány, amelyet a Security Industry Association (SIA) fejlesztett ki a hozzáférés-felügyeleti és biztonsági termékek közötti együttműködés javítására. Az OSDP specifikációt, amely leírja a protokoll megvalósítását egy kétvezetékes RS-485 multi-drop soros kommunikációs csatornán nemzetközi szabványként hagyta jóvá a Nemzetközi Elektrotechnikai Bizottság (IEC) 2020 májusában, és EN IEC 60839-11-5 néven sorolták a szabványok közé.

A hagyományos átviteli protokollokhoz képest az OSDP jóval biztonságosabb, mivel az OSDP Secure Channel támogatja a csúcskategóriás AES-128 titkosítást. Egy AES-128 titkosítást alkalmazó beléptető rendszer védelmi szintje megfelel az EN 60839-11 szabványcsalád 3. és 4. biztonsági fokozatai követelményeinek. Ezen túl az OSDP folyamatosan felügyeli a vezetékek egyéb paramétereit, így a titkosításnak és a hitelesítésnek köszönhetően észleli a manipulációs típusú támadásokat.

Az OSDP támogatja az IP-kommunikációt és a pont-pont soros interfészeket, lehetővé téve a kapcsolatot a különböző gyártók eszközei és megoldásai között. A szabvány a perifériás eszközökre is vonatkozik, például a kártyaolvasókra, a védett bejárati ajtókon/kapuknál lévő egyéb eszközökre és azok vezérlőpaneljeire.

Itt kell megemlíteni, hogy az OSDP nem az egyetlen protokoll, amely könnyebben kezelhetővé és biztonságosabbá akarja tenni a beléptető rendszeren belüli, ill. a kapcsolódó rendszerek közötti kommunikációt. Mint minden szabványra, úgy az EN IEC 60839-11-5-re is érvényes, hogy nem kizárólagos alkalmazás, a kommunikáció védelmére más megoldást is lehet alkalmazni, de annak megfelelőségét a gyártónak kell alátámasztani, igazolni.

2. A beléptető rendszer szoftveres interfésze a tárolt információk más rendszerekbe történő átvitelére

A beléptető rendszerek fejlődésük során meghatározó szerepet kaptak a vagyonvédelmi, rendszerekben, hiszen egyedülálló információkkal rendelkeznek az azonosított felhasználók objektumon belüli tartózkodásáról. Ezen adatokat felhasználva nagymértékben javíthatják a kapcsolódó behatolásjelző, videó, tűzjelző, épület automatika vezérlő, munkaidő nyilvántartó stb. rendszerek hatásfokát. Eleinte az eltérő alkalmazásokhoz minden esetben saját interfészt kellett kifejleszteni, ezért megjelent az igény egy univerzális protokoll kifejlesztésére.

Amikor a beléptető rendszert más rendszerekkel kell összekapcsolni, a következőket kell figyelembe venni:
- a kommunikációs kapcsolatok típusa, az ezekhez kapcsolódó továbbított adatok kívánt elérhetősége, megbízhatósága és biztonsága,
- a hálózati infrastruktúra követelményei,
- konkrét kezelési parancsok.

Jelenleg az egyik legelterjedtebb alkalmazásprogramozási felület a REST API, melynek legfontosabb előnye, hogy nagyfokú rugalmasságot biztosít. Az adatok nincsenek erőforrásokhoz vagy metódusokhoz kötve, így a REST API többféle hívást tud kezelni, különböző adatformátumokat ad vissza, és a hipermédia megfelelő megvalósításával strukturálisan is változhat.

Természetesen több olyan programozási megoldás is létezik, amely lehetővé teszi két, nem kifejezetten együttműködésre tervezett alkalmazás számára, hogy zökkenőmentesen kommunikáljanak egymással és cseréljenek információkat, de a https alapú megoldás igen elterjedt ezeken a területeken is.

3. A beléptető rendszer használatbavételéhez szükséges képzés

A beléptető rendszerek használatbavételéhez szükséges képzés nem túlságosan népszerű terület. Végre telepítettük a rendszert gyorsan megmutatjuk, hol kell bekapcsolni, a működést ellenőrizni, a többi meg megtalálható a mellékelt használati utasításban. És ha később reklamáció érkezik a rendszer működésével kapcsolatban, a legegyszerűbb kijelenteni, hogy kezelői hiba történt, nem tehetünk róla.

Egy nagyobb, több céget, szervezetet is befogadó objektum beléptető rendszere meglehetősen bonyolult lehet, nem beszélve az esetlegesen kapcsolódó egyéb vagyonvédelmi stb. rendszerekről. A telepítők szívesen veszik, ha a megrendelő képviselője megfelelő biztonságtechnikai ismeretekkel rendelkezik, de ez ritkán történik így, ezért a képzési idő erősen meghosszabbodhat. A jogosultsági, időzítési mátrix létrehozása megkerülhetetlen, amit többnyire a telepítőnek kell a megrendelő kezét fogva felállítania, kitöltenie. A problémák ott kezdődnek, ha idővel változnak az igények (dolgozó kilép, belép, előlép, kártya elveszik, ismételt belépés tiltást vezetnek be stb.). Ezek az események viszonylag ritkán következnek be, a rendszerfelügyelettel megbízott személy bizony könnyen téveszthet, az eredmény biztonsági rés kialakulása, de akár a rendszer összeomlása is lehet.

A másik út a felhasználóbarát, kifejezetten a telepített rendszerre vonatkozó kezelőfelület kialakítása. Ez nem egyszerű, valójában hosszadalmas folyamat, amikor képesnek kell lenni a felhasználó fejével gondolkodni. Hasznos, ha a kezelőfelület feladatorientált, interaktív szinte vezeti a felhasználót az adott feladat megoldása felé. Jó, ha vannak részletes magyarázatok, súgók, amelyek jelzik az esetleges következményeket, alternatívát kínálnak. Kerülni kell a szakszavakat és rövidítéseket, minél köznapibb nyelvezetet használjunk. Egy önállóan működő rendszert minimális szakmai ismeretekkel rendelkezve kezelni nagy kockázatokkal jár. Célszerű elkülöníteni a napi standard, egyszerűen megoldható feladatokat, mint a kártyakiadás, jogosultság beállítás, kártyaletiltás stb. Az egyszerűnek látszó, de a közlekedési folyamatot befolyásoló tevékenységek, mint egyes belépési pontok lezárása, időszakos nyitva tartása, vagy az időzítések módosítása stb., már nagyobb odafigyelést igényel, hiszen a módosítások a teljes beléptetési folyamatot befolyásolják. Bár nem tipikus, de több rendszer üzemeltetése esetén megoldás lehet helpdesk biztosítása, ahol akár 24 órában is lehet nem csak műszaki, hanem kezelési jellegű segítséget kérni.

A 15-20 másodperc alatt történő kártyabeállítások többnyire megoldhatók, ha hibátlan, naprakész, a személyüggyel egyeztetett mátrixunk van. Az ördög azonban a részletekben, a váratlan helyzetekben lakozik, ezért fontos a segítségnyújtás opcióját is kialakítani.

A napjainkban megjelenő felhőalapú megoldás (Access Control as a Service (ACaaS)) főleg a kis és középvállalkozások számára célszerű választás, részben a szükséges anyagi erőforrások minimalizálása, részben a szakszerű üzemeltetés biztosítása miatt. A felhő alapú megoldásokon keresztül felügyelt szolgáltatások lehetővé teszik a kis- és középvállalkozások számára, hogy jobban összpontosítsanak az üzleti tevékenységre, kevésbé a biztonságkezelésre, a kritikus infrastruktúra karbantartására. Az ACaaS lehetővé teszi, hogy a végfelhasználók mindig hozzáférjenek a legújabb szoftverfunkciókhoz, anélkül, hogy attól kellene tartaniuk, hogy valaha is maguknak kell frissíteniük a szoftvert. Ez a szolgáltatás egy egyszerűbb és kevésbé időigényes telepítésű beléptető rendszert biztosít az integrátor számára.

4. Beléptető rendszer védelme WEB-es hozzáférés esetén

A klasszikus elektronikus beléptető rendszerek önállóan működtek, nem csatlakoztak külső hálózatokra. Manapság, ha meg akarjuk őrizni a rendkívüli esetekre való gyors reagálás lehetőségét szükségessé válhat a rendszeradminisztráció távoli elérése, a távoli beavatkozás lehetővé tétele. Külön kategória a felhő alapú beléptető megoldás, ahol a kapcsolat közvetlenül a felhő és a beléptetés-vezérlők között jön létre, így a hagyományos struktúráktól eltérően a külső kommunikáció védelme a vezérlőknél kezdődik. A beléptető rendszer részegységei közötti kommunikáció biztosításához nyilvános megosztott hálózatok (pl. Internet) használata esetén titkosítás szükséges. Az adattovábbítás https kapcsolaton keresztül AES algoritmussal titkosítva történjen.

Amennyiben a kommunikáció VPN kapcsolaton keresztül történik, a kapcsolatot a szabvány nem tekinti nyilvános megosztott hálózatnak. Nyilván elsőrendű szempont a bejelentkezés megbízható védelme, amely az EN 60839-11 szabványcsalád előírása szerint legalább 8 alfanumerikus karakterből kell, hogy álljon. További védelmet biztosíthat a kétfaktoros hitelesítés. A próbálkozásos feltörési módszerek ellen hatásos védelmet biztosít az egymás utáni sikertelen kísérletek számának behatárolása, valamint a források megbízhatóságának ellenőrzése.

A rendszeradminisztráció, beleértve a konfigurációt is, csak érvényes logikai hitelesítőadatok használatával lehet elérhető. Külön hozzáférési szintek kategorizálják a kezelők lehetőségeit, hogy milyen műveleteket hajthatnak végre a beléptető rendszerben. A 3. fokozatú rendszereknél a logikai hozzáférési szintek minimális száma 2, a 4. fokozatú rendszereknél 4. A vezérlőegység(ek) és a felügyeleti munkahely közötti kommunikáció megszakadása esetén a beléptetés-vezérlőnek képesnek kell lennie arra, hogy belépési pontonként tárolja a jogosultságokat, és meghatározott számú eseményt naplózzon, ill. a kommunikáció helyreállása után utólag továbbítson.

Kerekes János
műszaki szakértő

Forrás: Detektor Security Szakfolyóirat