Swipe to the left

Einfach sicher – Teil3

Einfach sicher – Teil3

„Wie schützt man sich am besten davor, falls eine Kamera im Außenbereich getrennt wird und sich jemand über diesen Weg Zugriff zum (Video-)Netzwerk verschafft?“


In unserer Service-Rubrik halten wir Sie über aktuelle IT-Sicherheitsthemen auf dem Laufenden. Heute geht es um nachhaltigen Netzwerkschutz, präsentiert von Thorsten Reichegger, Leiter Consulting bei VIDEOR.


Wie schützt man sich am besten davor, falls eine Kamera im Außenbereich getrennt wird und sich jemand über diesen Weg Zugriff zum (Video-)Netzwerk verschafft? Ohne zusätzliche Sicherungsvorkehrungen gelangt ein Angreifer so auf weitere Kameras oder den NVR bzw. Server. Je nach Sicherheitsmaßnahmen (Firewall, Virenscanner, Systemhärtung) sind diese natürlich angreifbar. Selbst bei einer Netzwerktrennung mit zwei Netzwerkkarten besteht noch die Möglichkeit, Schadsoftware auf dem Server laufen zu lassen und eventuell Zugriff auf andere Netzwerkbereiche zu erhalten.


Wie lassen sich Angriff sversuche unterbinden?


Ein MAC-Filter selbst ist kein wirklicher Schutz – die MAC-Adresse findet man auf dem Gerät oder lässt sich schnell auslesen. Da sich eine MAC-Adresse recht einfach klonen lässt, bemerkt der Switch hier zunächst nichts vom Angriff – der Server oder NVR nur, dass kein Livebild der Kamera mehr verfügbar ist. Daher benötigt man schon eine größere Hürde, die den Angreifer abhalten sollte. Das Ziel ist, dass der Netzwerkszugang beschränkt bzw. LAN Ports am Switch nur für zugelassene Geräte mit Legitimierung gewährt werden. Eine Möglichkeit hierzu ist eine sogenannte RADIUS-Authentifikation über einen RADIUS-Server. Hier werden statt einer einfachen MAC-Adresse z. B. weitere individuelle Zugangsdaten bzw. eine Legitimation (engl.Credentials) wie eine Benutzername-Passwort-Kombination oder besser noch Zertifikate abgefragt. Das Zauberwort heißt 802.1X. Dahinter verbirgt sich der IEEE-Standard für z. B. eine Port basierte Zugriffskontrolle. 802.1X oder RADIUS ist ein sicheres Authentifizierungsverfahren für Geräte in einem Netzwerk und findet im WLAN und LAN Verwendung. Die Authentifizierung eines Teilnehmers (Supplicant, dt. Antragsteller) wird durch einen Authenticator (dt. Beglaubiger) mittels eines Authentifizierungsservers (RADIUS-Server) anhand der übermittelten Authentifizierungsinformationen geprüft; entsprechend wird der Zugriff durch den Authenticator zugelassen oder verweigert. Supplicants sind alle Teilnehmer, die sich am Netzwerk authentifizieren müssen, bevor dem Endgerät der Zugriff auf Ressourcen des Netzwerks erlaubt wird, hierzu zählen z. B. Kameras und Clients. Windows-PCs verfügen ab Windows XP SP2 über Bordmittel; diverse Kamerahersteller bieten ebenfalls eine entsprechende Funktion an.


Authenticator und Authentication Server


Zwischen Supplicant und dem zu schützenden Netzwerk steht der Authenticator. Seine Aufgabe ist, die Authentizität des Supplicants zu überprüfen. Kann sich der Supplicant gegenüber dem Authenticator erfolgreich mit den erforderlichen Credentials authentifizieren, erhält er Zugriff auf das Netzwerk. Die Aufgabe des Authenticators übernehmen IEEE 802.1X-fähige Switches oder Router. Wichtig ist, welche Art von 802.1X-Authentifizierung unterstützt wird, da wie gesagt eine auf MAC-Adressen basierte Zugriffskontrolle nicht den erwünschten Schutz bietet. Der Authentication Server steht in der Regel in einem geschützten Netzwerk und braucht sich nicht zu authentifizieren. Häufig kommt hier FreeRADIUS zum Einsatz, diesen finden Sie für Linux, Windows sowie auch für Synology. In einer Windows-Server-Umgebung können Sie auf den Internet Authentication Server (IAS) zurückgreifen.


Eine Vertiefung zu diesem Thema sowie die praktische Einrichtung eines solchen Systems sind Bestandteile unserer Cyber-Security-Trainings.


10. April 2018 | Kategorien: Security