MOBOTIX Dienstag, 27. Juni 17

Transkript

1 Webinar 2017 Security Features von Kameras Die sicherste Kamera auf dem Markt AG Intelligent IP Video Solutions

2 3 Sicherheitsbereiche Zugriff auf das Kamera - Konfigurationsinterface Der Zugriff auf das Konfigurationsinterface sollte ausschließlich autorisierten Nutzern nach deren Authentifizeirung ermöglicht werden. Darüber hinaus sollten unterschiedliche Benutzerrechte für unterschiedliche Nutzergruppen vergeben werden können. Kommunikationsprotokolle Alle Daten, die zwischen Kamera und anderen Rechnern im Netzwerk ausgetauscht werden, sollten ausschließlich verschlüsselt übertragen werden. Das gewährleistet Datenvertraulichkeit und Datenintegrität. Gespeicherte Daten (Aufzeichnungen) Alle Kameraaufzeichnungen sollten verschlüsselt abgespeichert werden, sodass nur der Nutzer sie wiedergeben kann. 2

3 Standard Security Features in der VSS Branche Security Features Andere Benutzer und Gruppen mit definierbaren Rechten? Access Control Listen HTTPS (SSL/TLS) und Zertifikate Digest Authentication für HTTP Intrusion Detection Anti-Bot Protection Verschlüsselte Aufzeichnung Verschlüsselte Video & Messages-Übertragung VPN Client 3

4 Ist Ihre Kamera wirklich sicher? Die Konfiguration der Axis Camera erfolgt über ein Browserinterface, bei dem man sich mit Benutzername und Passwort anmelden muss. Wenn in der Browserzeile (man beachte den Doppelslash) eingegeben wird, wird die Authentifizierung für den "admin" umgangen und der Eindringling bekommt direkten Zugfang zur Konfiguration. Unter Ausnutzung dieser Schwachstelle kann der,hacker das root-passwort zurücksetzen, dann den Telnet Server durch Modifikation der Konfigurationsfiles aktivieren, um interaktiven Zugriff auf ein Unix ähnliches Terminal zu erlangen, was ihm die Eingabe von willkürlichen Befehlen mit Root-Rechten ermöglicht. Axis Communications hat eine neue Firmware veröffentlicht, die diese Schwachstelle bei ihren Netzwerkkameras und Videoservern schließt. Quelle: 4

5 Ist Ihre Kamera wirklich sicher? Mehrere Schwachstellen wurden bei der Hikvision IP camera DS-2CD7153-E (und höchstwahrscheinlich anderen Kameras mit gleicher Firmware) gefunden. Diese erlauben einem Hacker folgende Aktionen: Erlangen des Admin Passworts mit einem nicht-vertraulichen User Account. Umgehen der Authentifizierung für den Gastzugang unter Nutzung von fest einprogrammierten Zugangsdaten (selbst wenn der eingebaute Gastzugang explizit abgeschaltet ist). Ausführung von willkürlichem Code ohne Authentifizierung unter Ausnutzung eines Speicherüberlaufs im RTSP packet handler. Von Hikvision liegt diesbezüglich trotz mehreren Rückfragen keine Reaktion vor. Bitte kontaktieren Sie Ihren Lieferanten für weitere Informationen. Quelle: 5

6 Ist Ihre Kamera wirklich sicher? Mehrere Schwachstellen wurden ebenfalls bei Vivotek IP Kameras (und höchstwahrscheinlich anderen Kameras mit gleicher Firmware) gefunden. Diese erlauben einem nicht-authentifizierten Hacker folgende Aktionen per Remote-Zugriff: Ausführen von GET requests, die sensible Informationen liefern. Ausführen von willkürlichen Befehlen Zugriff auf den Videostream per RTSP, Zugriff auf den Inhalt des Arbeitsspeichers und damit auf die Nutzer-Zugangsdaten Ausführen von willkürlichen Befehlen vom Admin-Browser-Interface (Vor- Authentifizierung mit Firmware 0300a and Nach-Authentifizierung mit Firmware 0400a). Bis jetzt liegt keine offizielle Stellungnahme von Vivotek trotz wiederholter Rückfragen vor. Quelle: coresecurity.com 6

7 Die Sicherheitsfeatures der Kameras 1. Zugriffssicherung User passwords get salted and hashed before being stored

8 Keine Hintertürchen ( Backdoors ) Dienste, die unsere Kameras nicht benötigen, sind auf ihnen auch nicht aktiviert. So werden potentielle Angriffe auf diesem Wege von vorneherein ausgeschlossen. Der Webserver der Kamera (Web GUI oder HTTP API) stellt die einzige Möglichkeit dar, auf die Kamera zuzugreifen und sie zu konfigurieren. NOTICE KEEP DOOR CLOSED AT ALL TIMES 8

9 Signierte Firmwaredatei Firmwaredateien werden grundsätzlich per Zertifikat signiert, um die Authentizität ihrer Herkunft zu gewährleisten. Unsere Kameras laden und verwenden nur von uns signierte Firmwaredateien. Die Kamera führt keinen Code von Drittanbietern aus 9

10 Benutzer & Gruppen Es können bis zu 100 Nutzer und 25 Gruppen erstellt werden. Vielfältige Möglichkeiten der Rechtezuweisung und starke Passwortverschlüsselung verhindern Hackingversuche. Ein Supervisor kann anderen Nutzern den Zugriff erlauben, verwehren oder per Zeitplan vergeben. Detaillierte Aufgliederung der Rechtezuweisung 10

11 Passwörter Kameras speichern Passwörter NIE im Klartext ab. Passwörter von Benutzern werden mit einem sehr sicheren One-Way- Hash (SHA-512) verschlüsselt, so dass selbst falls die Konfigurationsdatei in falsche Hände gerät, es fast unmöglich ist, diesen in Klartext zurückzurechnen. Password # usr=admin:admins:$6$7rai9o0jfyc1llys$7jecbtvfxstwleapm3lu2tc0m8ptmuqxnzyzyjodg1vssbn/ 3mGNBXn6DMgE13u7rolRQMTeVXW95nqugGauq.:7bb0990f3339dbe34be4a39bebad71e6 In der Web-GUI werden anstelle der Passwörter nur 3 Punkte A7 1 W 4 gp 0 Passwörter werden vor der Speicherung mit einem Salt und einem Hash versehen. 11

12 Intrusion Detection Mit Hilfe der Intrusion Detection werden nicht autorisierte Zugriffe und Brute-Force- Attacken erkannt und die IP-Adressen der Angreifer geblockt; zusätzlich können bei mehrfach fehlgeschlagenen Loginversuchen Benachrichtigungen verschickt werden. Benachrichtung bei fehlgeschlagenen Loginversuchen 12

13 Webserver- Logdatei Die Webserver- Logdatei ermöglicht IT-Admins die Protokollierung der Zugriffe auf eine Kamera. Die Logdatei kann automatisch per verschickt werden 13

14 Zugriffsbeschränkung Bei aktivierter Zugriffsbeschränkung können Zugriffe nur von bestimmten Hosts oder Hostgruppen erlaubt werden. Die sicherste Kamera auf dem Markt 14

15 Schutz vor Web-Robots Aktiviert der Nutzer die Einschränkungen für Web-Robots, wird diesen sog. Spidern (auch Searchbots oder Robots genannt) von Suchmaschinen nicht erlaubt, die Webseiten der Kamera zu indexieren. So können Nutzer von Suchmaschinen Kameras, die mit dem Internet verbunden sind, nicht mehr finden. Nie wieder in den Suchergebnissen von Google auftauchen! 15

16 Die Sicherheitsfeatures der Kameras 2. Kommunikationsprotokolle User passwords get salted and hashed before being stored

17 IEEE 802.1X Kameras unterstützen die sichere Anmeldung an einem RADIUS-Server auf Layer 2 (Sicherungsschicht). 17

18 Digest Authentifizierung für HTTP- Verbindungen Bei der Digest - Authentifizierungsmethode werden die Nutzerdaten zwischen einem Webserver (z.b. einer - Kamera) und einem Webclient (z.b. Webbrowser) abgeglichen. Benutzername und Passwort werden, bevor sie über das Netzwerk verschickt werden, gehasht. Bei der Basic - Authentifizierungsmethode wird anstelle einer Verschlüsselung das einfach zurückrechenbare Base64- Encoding verwendet, welches an sich unsicher ist, falls nicht gleichzeitig SSL verwendet wird. ****** Anm.: Nur Benutzername und Passwort werden verschlüsselt übertragen, die restliche Kommunikation wird in Klartext übertragen. Verwenden Sie also für wirklich sichere Verbindungen immer HTTPS (SSL/TLS). Verschlüsselte Authentifizierung auch bei HTTP-Verbindungen 18

19 Sichere HTTPS- Verbindungen Sichere Verbindungen von überall via HTTPS. Der X.509- Standard stellt die höchste Sicherheitsstufe durch Zertifikate sicher. Selbst erstellte Zertifikate und solche von Drittanbietern können in die Kamera geladen werden. SSL/TLS HTTPS bietet Verschlüsselung, Authentifizierung und Datenintegrität OpenSSL- Bibliotheken sind immer up-to-date, um Sicherheitslücken zu schliessen und die höchste Verschlüsselungsstufe zu gewährleisten 19

20 OpenVPN Der in der Kamera integrierte OpenVPN- Client ermöglicht es, über das Internet einen verschlüsselten VPN- Tunnel aufzubauen, der eine private und vertrauliche Ende-zu- Ende-Verbindung darstellt. Dank OpenVPN ist die Kamera im Internet nicht zu finden 20

21 MxMessageSystem Das MxMessageSystem ist ein revolutionäres Kommunikationssystem, das auf Multicast-/ Broadcast- Nachrichten basiert und bei dem jeder Teilnehmer verschlüsselte Nachrichten per IP-Netzwerk oder MxBus senden und empfangen kann. Schnell, zuverlässig, sicher! Multicast: Versand von einem an viele Broadcast: Versand von einem an alle Verschlüsselte Nachrichten via Netzwerk (AES 128bit) 21

22 Die Sicherheitsfeatures der Kameras 3. Aufgezeichnete Daten User passwords get salted and hashed before being stored

23 Verschlüsselte Aufzeichnungen auf Dateiserver & microsd- Karte MxFFS Archive, das neue Archivierungssystem von, speichert die Aufzeichnungen sowohl auf der micro-sd- Karte als auch auf dem Dateiserver verschlüsselt ab. MxMC liest verschlüsselte Aufzeichnungen Kamera speichert verschlüsselte Aufzeichnungen 23

24 Vielen Dank Intelligent IP Video Solutions Kaiserstrasse D Langmeil Tel.: Fax: the Logo, MxControlCenter, MxEasy, MxPEG, MxDisplay and MxActivitySensor are trademarks of AG registered in the European Union, the U.S.A. and in other countries Subject to change without notice do not assume any liability for technical or editorial errors or omissions contained herein All rights reserved AG

25 Thank You Intelligent IP Video Solutions Kaiserstrasse D Langmeil Tel.: Fax: the Logo, MxControlCenter, MxEasy, MxPEG, MxDisplay and MxActivitySensor are trademarks of AG registered in the European Union, the U.S.A. and in other countries Subject to change without notice do not assume any liability for technical or editorial errors or omissions contained herein All rights reserved AG