Network technologies

Netzwerksicherheit

Es gibt verschiedene Sicherheitsstufen für das Senden von Informationen über IP-Netzwerke. Die erste ist die Authentifizierung und Autorisierung. Der Benutzer oder das Gerät identifiziert sich selbst im Netzwerk und am entfernten Ende durch Eingabe eines Benutzernamens und eines Kennworts, die überprüft werden, bevor dem Gerät bzw. dem Benutzer der Zugriff auf das System gewährt wird. Zusätzliche Sicherheit kann erreicht werden, indem Daten verschlüsselt werden, damit sie für Dritte nicht lesbar sind. Gängige Verschlüsselungsmethoden sind HTTPS (auch bekannt als SSL/TLS), VPN und WEP oder WPA in drahtlosen Netzwerken (WLANs). Die Verwendung von Verschlüsselung kann die Kommunikation verlangsamen. Dies hängt von der Art der Implementierung und der verwendeten Verschlüsselungsmethode ab.

Benutzernamen- und Kennwortauthentifizierung

Die Verwendung der Benutzernamen- und Kennwortauthentifizierung ist die grundlegendste Methode zum Schutz von Daten in einem IP-basierenden Netzwerk. Sie reicht vermutlich aus, wenn keine hohen Sicherheitsstufen erforderlich sind oder wenn das Videonetzwerk vom Hauptnetzwerk abgetrennt wurde und unbefugte Benutzer keinen Zugriff auf das Videonetzwerk haben. Die Kennwörter können beim Senden verschlüsselt oder unverschlüsselt sein. Mehr Sicherheit wird durch eine Verschlüsselung erzielt. Netzwerk-Videoprodukte von Axis bieten einen mehrstufigen Kennwortschutz. Es stehen drei Stufen zur Verfügung: Administrator (Vollzugriff auf alle Funktionen), Bediener (Zugriff auf alle Funktionen außer die Konfigurationsseiten), Betrachter (Zugriff nur auf Live-Video).

IP-Adressfilterung

Netzwerk-Videoprodukte von Axis bieten IP-Adressfilterung, wodurch definierten IP-Adressen der Zugriff gewährt oder verweigert wird. In einer typischen Konfiguration lassen Netzwerk-Kameras nur den Zugriff der IP-Adresse des Servers zu, auf dem sich die Videoverwaltungssoftware für den Zugriff auf die Netzwerk-Videoprodukte befindet.

IEEE 802.1X bietet portbasierte Sicherheit und umfasst einen Supplicant (z. B. eine Netzwerk-Kamera), einen Authenticator (z. B. einen Switch) und einen Authentifizierungsserver.

IEEE 802.1X

Viele Axis-Netzwerk-Videoprodukte unterstützen IEEE 802.1X, das die Authentifizierung von Geräten ermöglicht, die an einen LAN-Port angeschlossen sind. IEEE 802.1X stellt eine Punkt-zu-Punkt-Verbindung her oder verhindert den Zugriff vom LAN-Port, wenn die Authentifizierung fehlschlägt. IEEE 802.1X verhindert das so genannte „Port-Hijacking“, d. h. den Zugriff eines unbefugten Computers auf ein Netzwerk durch Zugriff auf eine Netzwerkbuchse innerhalb oder außerhalb eines Gebäudes. IEEE 802.1X ist bei Netzwerk-Videoanwendungen hilfreich, da sich Netzwerk-Kameras oftmals in öffentlichen Bereichen befinden und eine frei zugängliche Netzwerkbuchse gegebenenfalls ein Sicherheitsrisiko darstellen kann. In heutigen Unternehmensnetzwerken ist IEEE 802.1X eine grundlegende Anforderung für alle Geräte, die mit dem Netzwerk verbunden werden.

In einem Netzwerk-Videosystem kann IEEE 802.1X wie folgt funktionieren: 

  1. Eine Netzwerk-Kamera sendet eine Netzwerkzugriffsanforderung an einen Switch oder Zugriffspunkt.
  2. Der Switch oder Zugriffspunkt leitet die Anforderung an einen Authentifizierungsserver weiter, z. B. einen RADIUS-Server (Remote Authentication Dial-In User Service) wie den Microsoft Internet Authentication Service-Server.
  3. Wenn die Authentifizierung erfolgreich ist, weist der Server den Switch oder Zugriffspunkt an, den Port zu öffnen, damit die Nutzdaten der Netzwerk-Kamera den Switch passieren und über das Netzwerk gesendet werden können.

HTTPS oder SSL/TLS

HTTPS (Hyper Text Transfer Protocol Secure) ist mit HTTP identisch, jedoch mit einem wesentlichen Unterschied: die übertragenen Daten werden mit Secure Socket Layer (SSL) oder Transport Layer Security (TLS) verschlüsselt. Diese Sicherheitsmethode wendet die Verschlüsselung auf die Daten selbst an. Viele Netzwerk-Videoprodukte von Axis bieten Unterstützung für HTTPS, wodurch es möglich ist, Videobilder sicher über ein Netzwerk zu übertragen und einen Webbrowser anzuzeigen.

Speziell und ohne Einschränkung auf diese enthalten bestimmte Axis-Produkte Software, die vom OpenSSL Project für das OpenSSL Toolkit entwickelt wurde (http://www.openssl.org/), sowie kryptographische Software von Eric Young (eay@cryptsoft.com). 

VPN (Virtual Private Network)

Mit VPN kann ein sicherer „Tunnel“ zwischen zwei miteinander kommunizierenden Geräten erstellt werden, der eine sichere Kommunikation über das Internet ermöglicht. Bei einem VPN wird das Originalpaket einschließlich der Daten und der Kopfzeile, die Informationen wie die Quell- und Zieladresse, den Typ der gesendeten Informationen, die Paketnummer der Paketsequenz sowie die Paketlänge enthalten kann, verschlüsselt. Das verschlüsselte Paket wird dann in einem weiteren Paket gekapselt, das nur die IP-Adressen der beiden kommunizierenden Geräte (Router) zeigt. Diese Vorgehensweise schützt den Datenverkehr und seinen Inhalt vor unbefugtem Zugriff und nur Geräte mit dem richtigen „Schlüssel“ können im VPN arbeiten. Netzwerkgeräte zwischen dem Client und dem Server können weder auf die Daten zugreifen noch diese darstellen.

Der Unterschied zwischen HTTPS (SSL/TLS) und VPN besteht darin, dass bei HTTPS nur die tatsächlichen Daten eines Pakets verschlüsselt werden. Bei VPN kann das gesamte Paket verschlüsselt und gekapselt werden, um einen sicheren „Tunnel“ zu bilden. Beide Technologien können parallel verwendet werden. Dies wird jedoch nicht empfohlen, da jede Technologie zusätzlichen Overhead erzeugt und die Leistung des Systems herabsetzen kann.

Lesen Sie weiter: Drahtlose Netzwerktechnologien