MOBOTIX Dienstag, 27. Juni 17

Ähnliche Dokumente
WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

Fachbereich Medienproduktion

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Konfiguration der SMTP-Verbindung... 5 Einstellungen speichern / laden... 6 Versenden von Paketen... 6

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Konfigurationsanleitung bintec Hotspot Lösung GUI

Wie richte ich mein Webhosting auf dem Admin Panel ein?

BRL FileBox Anleitung online

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Schwachstellenanalyse 2012

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Datenschutzerklärung. Published: Author: 42media services GmbH

clevere ACL Filter Funktionen mit gemanagten Small Business Switches clusterbare Access-Points für flächendeckendes WLAN

WEBINAR USER GUIDE FÜR TEILNEHMER

Benutzer- und Referenzhandbuch

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Remote Tools. SFTP Port X11. Proxy SSH SCP.

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

HSR Subversion HowTo. Konfigurationsmanagement HSR MAS SE, September 2009 Seite 1 von 13

IT - Sicherheit und Firewalls

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Schwachstellenanalyse 2013

Security Component Bundle

SMTP-Verfahren POP-Verfahren IMAP-Verfahren

VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle

Transparenz 2.0. Passive Nachverfolgung und Filterung von WebApps auf dem Prüfstand

Anschluss von Laptops im Lehrenetz der BA Stuttgart

Rechnernetze. 6. Übung

Apache HTTP-Server Teil 2

Internet Security 2009W Protokoll WLAN Relay

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Proxmox Mail Gateway Spam Quarantäne Benutzerhandbuch

Datenübertragungsportal

HowTo: Einrichtung von L2TP over IPSec VPN

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

FL1 Hosting Kurzanleitung

Docusnap X Docusnap Web. Docusnap Web installieren und anpassen

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

Fernsteuerung über Multi-Web-Browser (IE / Chrome / Safari / Firefox, etc.) Einfache P2P Überwachung via Smartphone-App (Android / IOS)

Remote Tools SFTP. Port X11. Proxy SSH SCP.

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

-Kontoeinrichtung für Mozilla Thunderbird Version IMAP

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

Man liest sich: POP3/IMAP

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH

VPN KickStart. Eine Schritt-für-Schritt Anleitung für das sichere Verbinden zweier Netzwerke durch ein mguard basierendes IPsec-VPN

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

Fernzugriff über Citrix Access Gateway (Campus Inselspital / Spitalnetz Bern AG) (Extern / Home Office)

IPCOP OPENVPN TUTORIAL

Zugriffssteuerung - Access Control

Konfigurieren eines Webservers

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Ensemble Security. Karin Schatz-Cairoli Senior Sales Engineer

Rademacher IP-Kamera

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

«/IE Cache & Cookies» Umfrage startet nicht?

Bedienungsanleitung DV-D (B) Kameras

1 Axis Kamera-Konfiguration IP-Konfiguration Datum und Uhrzeit einstellen Die Option Anonymous viewer login...

EgoSecure Mail Encryption Quick Setup Guide

e-seal Anwenderhandbuch für externe Partner e-seal User Manual Doc. No.: e-seal_2_8_11_0096_ume Version: 1.0

SSL-Protokoll und Internet-Sicherheit

1 Überblick. A-Z SiteReader Benachrichtigung.doc Seite 1 von 9

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Konfigurationsbeispiel USG & ZyWALL

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Remoteservice kaufen oder mieten? Konfiguration VPN Serviceportal Gerhard Galsterer Seite 1

(1) Network Camera

Netzwerksicherheit mit Hilfe von IPSec

Benutzer- und Referenzhandbuch

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Das Kerberos-Protokoll

Collax Web Application

Facebook überträgt unverschlüsselt Daten - Technischer Überblick -

Edix-parts.net Automatischer Upload 2.0

IT-Security Herausforderung für KMU s

terra CLOUD IaaS Handbuch Stand: 02/2015

TVHD800x0. Port-Weiterleitung. Version 1.1

Installation & Setup

PHP und MySQL. Sicherheit und Session-Handling mit PHP. Zellescher Weg 12 Willers-Bau A109 Tel

Hilfe zur Aktivierung des Benutzerkontos für den Zugriff zum Daimler Mitarbeiter-Portal über das Internet

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2)

Quickguide für die manuelle Installation des Routers am Beispiel des UR5i

ALL2205 Kurzanleitung ALL2205. Kurzanleitung ALL2205. Megapixel WLAN IP Kamera. Kurzanleitung V ALLNET GmbH

COLOR LASERJET ENTERPRISE CM4540 MFP SERIES. Kurzübersicht

Check Service CHECKBL

Benutzerhandbuch UMTS-Einstellungen. Megapixel Tag&Nacht Outdoor UMTS Bullet Kamera GOB-100AP-73 GOB-130NP

Einrichten der TSM-Backup-Software unter dem Betriebssystem Windows

Kundeninformationen zu Secure-

Transkript:

Webinar 2017 Security Features von Kameras Die sicherste Kamera auf dem Markt AG Intelligent IP Video Solutions www.mobotix.com

3 Sicherheitsbereiche Zugriff auf das Kamera - Konfigurationsinterface Der Zugriff auf das Konfigurationsinterface sollte ausschließlich autorisierten Nutzern nach deren Authentifizeirung ermöglicht werden. Darüber hinaus sollten unterschiedliche Benutzerrechte für unterschiedliche Nutzergruppen vergeben werden können. Kommunikationsprotokolle Alle Daten, die zwischen Kamera und anderen Rechnern im Netzwerk ausgetauscht werden, sollten ausschließlich verschlüsselt übertragen werden. Das gewährleistet Datenvertraulichkeit und Datenintegrität. Gespeicherte Daten (Aufzeichnungen) Alle Kameraaufzeichnungen sollten verschlüsselt abgespeichert werden, sodass nur der Nutzer sie wiedergeben kann. 2

Standard Security Features in der VSS Branche Security Features Andere Benutzer und Gruppen mit definierbaren Rechten? Access Control Listen HTTPS (SSL/TLS) und Zertifikate Digest Authentication für HTTP Intrusion Detection Anti-Bot Protection Verschlüsselte Aufzeichnung Verschlüsselte Video & Messages-Übertragung VPN Client 3

Ist Ihre Kamera wirklich sicher? Die Konfiguration der Axis Camera erfolgt über ein Browserinterface, bei dem man sich mit Benutzername und Passwort anmelden muss. Wenn in der Browserzeile http://camera-ip//admin/admin.shtml (man beachte den Doppelslash) eingegeben wird, wird die Authentifizierung für den "admin" umgangen und der Eindringling bekommt direkten Zugfang zur Konfiguration. Unter Ausnutzung dieser Schwachstelle kann der,hacker das root-passwort zurücksetzen, dann den Telnet Server durch Modifikation der Konfigurationsfiles aktivieren, um interaktiven Zugriff auf ein Unix ähnliches Terminal zu erlangen, was ihm die Eingabe von willkürlichen Befehlen mit Root-Rechten ermöglicht. Axis Communications hat eine neue Firmware veröffentlicht, die diese Schwachstelle bei ihren Netzwerkkameras und Videoservern schließt. Quelle: www.coresecurity.com 4

Ist Ihre Kamera wirklich sicher? Mehrere Schwachstellen wurden bei der Hikvision IP camera DS-2CD7153-E (und höchstwahrscheinlich anderen Kameras mit gleicher Firmware) gefunden. Diese erlauben einem Hacker folgende Aktionen: Erlangen des Admin Passworts mit einem nicht-vertraulichen User Account. Umgehen der Authentifizierung für den Gastzugang unter Nutzung von fest einprogrammierten Zugangsdaten (selbst wenn der eingebaute Gastzugang explizit abgeschaltet ist). Ausführung von willkürlichem Code ohne Authentifizierung unter Ausnutzung eines Speicherüberlaufs im RTSP packet handler. Von Hikvision liegt diesbezüglich trotz mehreren Rückfragen keine Reaktion vor. Bitte kontaktieren Sie Ihren Lieferanten für weitere Informationen. Quelle: www.coresecurity.com 5

Ist Ihre Kamera wirklich sicher? Mehrere Schwachstellen wurden ebenfalls bei Vivotek IP Kameras (und höchstwahrscheinlich anderen Kameras mit gleicher Firmware) gefunden. Diese erlauben einem nicht-authentifizierten Hacker folgende Aktionen per Remote-Zugriff: Ausführen von GET requests, die sensible Informationen liefern. Ausführen von willkürlichen Befehlen Zugriff auf den Videostream per RTSP, Zugriff auf den Inhalt des Arbeitsspeichers und damit auf die Nutzer-Zugangsdaten Ausführen von willkürlichen Befehlen vom Admin-Browser-Interface (Vor- Authentifizierung mit Firmware 0300a and Nach-Authentifizierung mit Firmware 0400a). Bis jetzt liegt keine offizielle Stellungnahme von Vivotek trotz wiederholter Rückfragen vor. Quelle: coresecurity.com 6

Die Sicherheitsfeatures der Kameras 1. Zugriffssicherung User passwords get salted and hashed before being stored

Keine Hintertürchen ( Backdoors ) Dienste, die unsere Kameras nicht benötigen, sind auf ihnen auch nicht aktiviert. So werden potentielle Angriffe auf diesem Wege von vorneherein ausgeschlossen. Der Webserver der Kamera (Web GUI oder HTTP API) stellt die einzige Möglichkeit dar, auf die Kamera zuzugreifen und sie zu konfigurieren. NOTICE KEEP DOOR CLOSED AT ALL TIMES 8

Signierte Firmwaredatei Firmwaredateien werden grundsätzlich per Zertifikat signiert, um die Authentizität ihrer Herkunft zu gewährleisten. Unsere Kameras laden und verwenden nur von uns signierte Firmwaredateien. Die Kamera führt keinen Code von Drittanbietern aus 9

Benutzer & Gruppen Es können bis zu 100 Nutzer und 25 Gruppen erstellt werden. Vielfältige Möglichkeiten der Rechtezuweisung und starke Passwortverschlüsselung verhindern Hackingversuche. Ein Supervisor kann anderen Nutzern den Zugriff erlauben, verwehren oder per Zeitplan vergeben. Detaillierte Aufgliederung der Rechtezuweisung 10

Passwörter Kameras speichern Passwörter NIE im Klartext ab. Passwörter von Benutzern werden mit einem sehr sicheren One-Way- Hash (SHA-512) verschlüsselt, so dass selbst falls die Konfigurationsdatei in falsche Hände gerät, es fast unmöglich ist, diesen in Klartext zurückzurechnen. Password # usr=admin:admins:$6$7rai9o0jfyc1llys$7jecbtvfxstwleapm3lu2tc0m8ptmuqxnzyzyjodg1vssbn/ 3mGNBXn6DMgE13u7rolRQMTeVXW95nqugGauq.:7bb0990f3339dbe34be4a39bebad71e6 In der Web-GUI werden anstelle der Passwörter nur 3 Punkte A7 1 W 4 gp 0 Passwörter werden vor der Speicherung mit einem Salt und einem Hash versehen. 11

Intrusion Detection Mit Hilfe der Intrusion Detection werden nicht autorisierte Zugriffe und Brute-Force- Attacken erkannt und die IP-Adressen der Angreifer geblockt; zusätzlich können bei mehrfach fehlgeschlagenen Loginversuchen Benachrichtigungen verschickt werden. Benachrichtung bei fehlgeschlagenen Loginversuchen 12

Webserver- Logdatei Die Webserver- Logdatei ermöglicht IT-Admins die Protokollierung der Zugriffe auf eine Kamera. Die Logdatei kann automatisch per E-Mail verschickt werden 13

Zugriffsbeschränkung Bei aktivierter Zugriffsbeschränkung können Zugriffe nur von bestimmten Hosts oder Hostgruppen erlaubt werden. Die sicherste Kamera auf dem Markt 14

Schutz vor Web-Robots Aktiviert der Nutzer die Einschränkungen für Web-Robots, wird diesen sog. Spidern (auch Searchbots oder Robots genannt) von Suchmaschinen nicht erlaubt, die Webseiten der Kamera zu indexieren. So können Nutzer von Suchmaschinen Kameras, die mit dem Internet verbunden sind, nicht mehr finden. Nie wieder in den Suchergebnissen von Google auftauchen! 15

Die Sicherheitsfeatures der Kameras 2. Kommunikationsprotokolle User passwords get salted and hashed before being stored

IEEE 802.1X Kameras unterstützen die sichere Anmeldung an einem RADIUS-Server auf Layer 2 (Sicherungsschicht). 17

Digest Authentifizierung für HTTP- Verbindungen Bei der Digest - Authentifizierungsmethode werden die Nutzerdaten zwischen einem Webserver (z.b. einer - Kamera) und einem Webclient (z.b. Webbrowser) abgeglichen. Benutzername und Passwort werden, bevor sie über das Netzwerk verschickt werden, gehasht. Bei der Basic - Authentifizierungsmethode wird anstelle einer Verschlüsselung das einfach zurückrechenbare Base64- Encoding verwendet, welches an sich unsicher ist, falls nicht gleichzeitig SSL verwendet wird. ****** Anm.: Nur Benutzername und Passwort werden verschlüsselt übertragen, die restliche Kommunikation wird in Klartext übertragen. Verwenden Sie also für wirklich sichere Verbindungen immer HTTPS (SSL/TLS). Verschlüsselte Authentifizierung auch bei HTTP-Verbindungen 18

Sichere HTTPS- Verbindungen Sichere Verbindungen von überall via HTTPS. Der X.509- Standard stellt die höchste Sicherheitsstufe durch Zertifikate sicher. Selbst erstellte Zertifikate und solche von Drittanbietern können in die Kamera geladen werden. SSL/TLS HTTPS bietet Verschlüsselung, Authentifizierung und Datenintegrität OpenSSL- Bibliotheken sind immer up-to-date, um Sicherheitslücken zu schliessen und die höchste Verschlüsselungsstufe zu gewährleisten 19

OpenVPN Der in der Kamera integrierte OpenVPN- Client ermöglicht es, über das Internet einen verschlüsselten VPN- Tunnel aufzubauen, der eine private und vertrauliche Ende-zu- Ende-Verbindung darstellt. Dank OpenVPN ist die Kamera im Internet nicht zu finden 20

MxMessageSystem Das MxMessageSystem ist ein revolutionäres Kommunikationssystem, das auf Multicast-/ Broadcast- Nachrichten basiert und bei dem jeder Teilnehmer verschlüsselte Nachrichten per IP-Netzwerk oder MxBus senden und empfangen kann. Schnell, zuverlässig, sicher! Multicast: Versand von einem an viele Broadcast: Versand von einem an alle Verschlüsselte Nachrichten via Netzwerk (AES 128bit) 21

Die Sicherheitsfeatures der Kameras 3. Aufgezeichnete Daten User passwords get salted and hashed before being stored

Verschlüsselte Aufzeichnungen auf Dateiserver & microsd- Karte MxFFS Archive, das neue Archivierungssystem von, speichert die Aufzeichnungen sowohl auf der micro-sd- Karte als auch auf dem Dateiserver verschlüsselt ab. MxMC liest verschlüsselte Aufzeichnungen Kamera speichert verschlüsselte Aufzeichnungen 23

Vielen Dank Intelligent IP Video Solutions Kaiserstrasse D-67722 Langmeil Tel.: +49 6302 9816-0 Fax: +49 6302 9816-190 info@mobotix.com www.mobotix.com, the Logo, MxControlCenter, MxEasy, MxPEG, MxDisplay and MxActivitySensor are trademarks of AG registered in the European Union, the U.S.A. and in other countries Subject to change without notice do not assume any liability for technical or editorial errors or omissions contained herein All rights reserved AG

Thank You Intelligent IP Video Solutions Kaiserstrasse D-67722 Langmeil Tel.: +49 6302 9816-0 Fax: +49 6302 9816-190 info@mobotix.com www.mobotix.com, the Logo, MxControlCenter, MxEasy, MxPEG, MxDisplay and MxActivitySensor are trademarks of AG registered in the European Union, the U.S.A. and in other countries Subject to change without notice do not assume any liability for technical or editorial errors or omissions contained herein All rights reserved AG

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback