Die grundlegende Aufgabe des Überwachungssystems ist es, uns Sicherheit zu gewährleisten, unter Einhaltung der grundlegenden Prinzipien der Privatsphäre oder auch Geheimnisse der Firma, des überwachten Objekts. Ein gut entworfenes und konfiguriertes System wird nur dann seine grundlegende Aufgabe erfüllen, wenn es selbst ebenfalls richtig geschützt und gesichert wird, also entsprechend für die Arbeit konfiguriert wird, vor allem wenn es um die Arbeit im Netzwerk mit Internetzugang geht.
In letzter Zeit beobachten wir eine Verstärkung von Hacker-Angriffen auf autonome Geräte von Sicherheitsgeräten, wie IP-Kameras, Recorder (DVR, NVR), die im Netz arbeiten. Sehr viele Geräte fallen Angriffen zum Opfer, da die mit der Konfiiguration ihrer Sicherheitsvorrichtungen für die Arbeit im Netz verbundenen Sicherheitsfragen vernachlässigt oder nicht ernst genommen werden. Nicht ohne Bedeutung ist auch die Konfiguration der Zugangsgeräte (z. B. des Routers) am Ausgang des lokalen Netzwerks mit angeschlossenem Überwachungssystem, das den Zugang zu diesem System aus dem ausgedehnten Internet ermöglicht.
Abb. 1. Hacker-Software wartet nur, um eine Luke in Ihrem System zu nutzen...
In vielen Fällen ist die Ursache für die Beherrschung des Geräts durch den Hacker kein Fehler oder eine Luke in den Sicherheitsvorrichtungen der Firmware, sondern die Hinterlassung „offener Türen” für den Einbrecher in Form der Standardkonfiguration der Sicherheitsvorrichtungen oder auch prinzipiell deren Mangel.
Im Fall einer an das Internet angeschlossenen IP-Kamera (die konfiguriert wurde, um im Internet sichtbar zu sein), erlangt eine unbefugte Person in dieser Situation Zugang zum Stream des Kamerabilds sowie ihrer Konfiguration. Ein Beispiel, das eine Warnung für alle sein kann, ist die Seite www.insecam.org, deren Gründer nicht einmal in Geräte einbrechen mussten.
Abb. 2. Sie haben Ihre Kamera nicht geschützt – die ganze Welt kann Ihnen zusehen!
Es reichte, ein Skript zu schreiben, das im Internet Adressen von Webkameras sucht, und danach zu überprüfen, ob der Zugang zu diesen mittels Standard-Benutzername und Passwort des Herstellers möglich ist (die standardmäßig nach dem Kauf des Geräts eingestellt sind). Im positiven Fall, wird das Bild von dieser Kamera auf deren Seite veröffentlicht, ohne Wissen des Besitzers. Es stellt sich heraus, dass es tausende ungeschützte Überwachungskameras weltweit gibt, in Firmen, Lagern, Geschäften und auch in privaten Häusern. Es hätte gereicht, nach dem kauf der Kamera im Laufe ihrer Konfiguration nur das Standard-Passwort vor der Teilung im Internet zu ändern, und das Kamerabild wäre nicht auf dieser Seite veröffentlicht worden (zum Glück lässt die Änderung der Konfiguration und Einstellung des Passworts die Kamera von dieser Seite verschwinden).
Immer mehr Hacker-Angriffe finden auch auf CCTV-Recorder statt, die in Überwachungssystemen arbeiten. Die Angriffe verursachen häufig das Auftreten eines Mangels, der auf dem Löschen oder Beschädigen des Gerätespeichers beruht. Das Hochladen von bösartiger Software (Malware) kann diese in einen Roboter verwandeln, der Angriffe auf andere Computersysteme ausführt, oder eine einem bestimmten Ziel zugeordnete Maschine (z. B. Bitcoin-Bagger). Jeder Recorder ist schließlich ein auf die Speicherung von Videomaterial spezialisierter, Einzelsystem-Computer, somit ist das Gerät eine potenzielle Hardware-Ressource, die vom Netzwerk als „Zombie” zu unterschiedlichen Zwecken eingesetzt werden kann.
Abb. 3. Recorderplatte. Der Recorder ist ein voll funktionstüchtiger Einzelsystem-Computer, der für ein bestimmtes Ziel dediziert ist.
Hacker-Software, oder ein das Gerät angreifender Virus können nicht nur die allgemeine Bekanntheit von Standard-Paswörtern nutzen, sondern auch versuchen, durch sog. schwache Passwörter in das Gerät zu gelangen, wenn wir etwa das Standardpasswort „admin” zu „admin1” ändern, steigert dies in Wahrheit nicht wirklich unsere Sicherheit, weil dies eine vom Angreifer vorhergesehene Situation ist. Eine andere Sache sind Service-Passwörter, die von den Herstellern für die kritische Entsperrung des Geräts geschaffen werden, wenn der Benutzer etwa sein Passwort vergisst. Diese Passwörter stellen, wenn sie in unbefugte Hände geraten oder, was noch schlimmer ist, auf irgendeine Weise generiert werden können, eine Gefahr dar, die der Angreifer nutzen kann (sog. „Hintertür” aus dem Englischen „backdoor”).
Deshalb ist neben der Konfiguration des Recorders selbst, die Erschaffung eines dedizierten Netzwerks sehr wichtig, in dem dieser arbeitet, eine von sicherheitstechnischer Seite richtige Konfiguration der Zugangsgeräte zu diesem Netzwerk (fehlende Verwendung der DMZ-Funktion - demilitarisierte Zone - die Zugang ohne Einschränkungen zum Gerät bietet, Änderung der Standard-Kommunikationsports, Einschaltung der Adress-Filter) sowie Installation der neuesten Gerätesoftware in Geräten, die gemeldete Fehler abdichtet und das Sicherheitsniveau der Geräte steigert.
Wichtig ist somit die Einhaltung der nachstehenden Richtlinien:
Stellen Sie das Standard-Passwort auf ein stärkeres ein / ändern Sie dieses (es werden keine Passwörter wie „admin1”, „111111”, „123456” etc. empfohlen).
Das Passwort sollte schwer zu erraten sein, unterschiedliche Zeichen und Ziffern enthalten. Zugang zum Passwort sollten nur berechtigte Benutzer haben. In diesem Moment ist auch die Möglichkeit der regelmäßigen Passwortänderung in Erwägung zu ziehen, was einen zusätzlichen Schutz vor deren Erraten bietet (Änderung eines befugten Mitarbeiters am Standort, Preisgabe vertraulicher Daten). Es lohnt sich auch, auf die Onvif Berechtigungen zu achten. In manchen Kamera-Modellen ist trotz Änderung der Systempasswörter gesondert das Passwort für das Onvif Konto zu ändern.
Verwenden Sie die DMZ Funktion nicht im Router – wenn Sie müssen – leiten Sie nur jene Ports um, die für die korrekte Zusammenstellung der Verbindung erforderlich sind.
DMZ ist die sogenannte demilitarisierte Zone, wenn wir unser Gerät in dieser Router-Zone anbringen, bieten wir Zugang vom externen Netzwerk aus auf alle Ports, die in der Standardkonfiguration unseres Geräts geöffnet sind (das Gerät befindet sich außerhalb der Firewall des Routers). Dies ist sehr gefährlich, da der Großteil der Konfigurationen einen standardmäßig geöffneten TELNET Port hat, der für Angriffe auf das Gerät verwendet wird. Auf dem Router sind nur die für die Kommunikation mit dem Gerät erforderlichen Ports umzuleiten (HTTP, TCP). Es sollten auch keine breiten Port-Bereiche umgeleitet werden, sondern nur die konkret für die Umsetzung der jeweiligen Funktionen erforderlichen. Man sollte auch darauf hinweisen, dass - wenn die Netzwerkkameras am Recorder angeschlossen sind - wir für die korrekte Kommunikation mit dem Überwachungssystem deren Ports nicht umleiten müssen, es reicht, nur die Ports des Recorders umzuleiten.
Ändern Sie die Standard-Ports HTTP, TCP, UDP (Bereich der verfügbaren Ports 10000-65535).
Der von Hackern am häufigsten attackierte ist der Standard-Port 80. Die Änderung der Nummern der Standard-Ports erschwert deren Ansehen durch Dritte.
IP / MAC Filter einschalten falls möglich.
Die Betätigung dieser Option im Router erlaubt die Angabe konkreter Adressen (Netzwerk-IP oder physischer MAC Adressen) vertrauter Geräte, denen wir die Fernverbindung mit unserem Gerät erlauben.
Nutzen Sie eine CLOUD.
Eine sichere Cloud garantiert sichern Schutz der darin arbeitenden Geräte.
Verwalten Sie Konten rational – verwenden Sie nicht dieselben Einstellungen / Passwörter für alle Installationen.
Im Fall von Client-Anwendungen sollten Sie keine automatische Login-Funktion nutzen, vor allem wenn mehrere Personen den Computer benutzen. Benutzername und Passwort sollten ebenfalls einzigartig sein. Die Anwendung derselben Passwörter für unterschiedliche Dienste, auf unterschiedlichen Konten, schafft immer eine Gefahr im Fall der Preisgabe oder des Diebstahls von privaten Daten auf einem davon. Dies sind weitere Schritte zur Steigerung der Sicherheit und Erschwerung des Zugangs für Unbefugte. Im Fall der Bedienung des Systems durch viele Benutzer, stellen Sie sicher, ob jeder von ihnen seinen Aufgaben entsprechende Berechtigungen besitzt (nicht mehr als erforderlich).
Schaffen Sie dedizierte Netzwerke für CCTV-Installationen.
Die Geräte des Überwachungssystems sollten sich in einem gesonderten Netzwerk befinden, in dem es keine anderen Geräte gibt, mit freiem Zugriff zu und vom Internet. Dies ist ein Element, das vor nicht-autorisiertem Zugruff geschützt wird. Wenn es keine Möglichkeit gibt, physisch ein gesondertes Netzwerk zu schaffen, schaffen Sie ein Unter-Netzwerk mit einem anderen Topf an IP-Adressen als aktuell in der Installation (z. B. 10.10.10.xxx und engen Sie die Maske des Unter-Netzwerks auf z. B. 255.255.255.0 ein). Den Zugang zu einem auf diese Weise ausgesonderten Unter-Netzwerk bietet ein zusätzlicher Router, der die Verbindungen zwischen den Netzwerken weiterleitet.
Installieren Sie die neueste Software.
Man sollte immer die Versionen und Aktualisierungsmöglichkeiten der Firmware überprüfen. Neueste Software steigert das Sicherheitsniveau des Geräts infolge der Beseitigung eventueller in vorherigen Versionen gefundener Mängel.
Viele Kameras und Netzwerk-Recorder besitzen auch eine eingebaute Option der HTTPS-Kommunikation mittels SSl. Ihr Einschalten ermöglicht die Verschlüsselung der Kommunikation zwischen den Geräten, und macht zum Beispiel das Belauschen des Passworts in der Verbindung unmöglich.
Man sollte sich immer mit der Gerätedokumentation vertraut machen. Dies erlaubt uns, uns zu orientieren, über welche Funktionen es verfügt, welche Funktionen standardmäßig eingeschaltet sind. Am besten wenden Sie die Herangehensweise an, die auf dem Abschalten aller Funktionen beruht, deren Verwendung wir unsicher sind. Wenn wir sollche Protokolle wie z. B. UPnP, SNMP, MULTICAST nicht verwenden, sollten wir diese ausschalten.
Im Fall des Bestehens des Verdachts, dass ein nicht-autorisierter Zugang zu unserem System stattgefunden hat, können sich System-Logs als hilfreich erweisen, die die Bestimmung gewisser Informationen ermöglichen (Login-Datum, IP-Adresse, betätigte Funktionen).
Zum Schluss sollte man erwähnen, dass der Recorder selbst sich ebenfalls an einem Ort, in einem geschützten Raum befinden sollte, der Unbefugten den physischen Zugriff unmöglich macht (Kisten, Rack-Kästen, Serverräume).
Die Einhaltung der obigen Sicherheitsrichtilinien durch Installateure von Überwachungssystemen erlaubt mit Sicherheit die Erschaffung eines sicheren Systems, und in den Augen eine sichere und problemlose Arbeit des Systems, was ddie beste Empfehlung für den Installateur als wahren Experten ist.
Netto:
0.00
EUR
Brutto:
0.00
EUR
Gewicht:
0.00
kg
Dieses Portal verwendet Cookies. Mehr Informationen über die von uns verwendeten Cookiedateien, ihre Anwendung und Art der Änderung der Akzeptanz von Cookiedateien finden Sie durch Klicken von
link
Deutsch
Български
Český
Dansk
Eesti
Ελληνικά
English
Español
Français
Italiano
Latviešu 
Lietuvių 
Magyar
Nederlands
Polski
Português
Pусский
Română
Slovenski
Slovenský
Suomi
Svenska
EUR
AUD
CAD
CHF
CZK
DKK
GBP
HUF
NOK
PLN
SEK
USD
Home
Kontakt
Neue Produkte
.
