Sicherheit im Videonetz

NETZWERKSICHERHEIT

Es gibt verschiedene Sicherheitsstufen für das Senden von Informationen über IP-Netzwerke. Die erste ist die Authentifizierung und Autorisierung. Der Benutzer oder das Gerät identifiziert sich selbst im Netzwerk und am entfernten Ende durch Eingabe eines Benutzernamens und eines Kennworts, die überprüft werden, bevor dem Gerät bzw. dem Benutzer der Zugriff auf das System gewährt wird.

Zusätzliche Sicherheit kann erreicht werden, indem Daten verschlüsselt werden, damit sie für Dritte nicht lesbar sind. Gängige Verschlüsselungsmethoden sind HTTPS (auch bekannt als SSL/TLS), VPN und WEP oder WPA in drahtlosen Netzwerken (WLANs). Die Verwendung von Verschlüsselung kann die Kommunikation verlangsamen. Dies hängt von der Art der Implementierung und der verwendeten Verschlüsselungsmethode ab.

Interessante Infos:

Artikel Axis Communications:

 Whitepaper Axis 802.1X 

Artikel von der TU Wien:

 802.1X Artikel TU Wien


Benutzernamen- und Kennwortauthentifizierung

Die Verwendung der Benutzernamen- und Kennwortauthentifizierung ist die grundlegendste Methode zum Schutz von Daten in einem IP-basierenden Netzwerk. Sie reicht vermutlich aus, wenn keine hohen Sicherheitsstufen erforderlich sind oder wenn das Videonetzwerk vom Hauptnetzwerk abgetrennt wurde und unbefugte Benutzer keinen Zugriff auf das Videonetzwerk haben.

Die Kennwörter können beim Senden verschlüsselt oder unverschlüsselt sein.

Mehr Sicherheit wird durch eine Verschlüsselung erzielt.


IP ADRESSENFILTERUNG

Netzwerk-Videoprodukte unterstützen IP-Adressfilterung, wodurch definierten IP-Adressen der Zugriff gewährt oder verweigert wird. In einer typischen Konfiguration lassen Netzwerk-Kameras nur den Zugriff der IP-Adresse des Servers zu, auf dem sich die Videoverwaltungssoftware für den Zugriff auf die Netzwerk-Videoprodukte befindet.

RFC 3580

IEEE 802.1X bietet portbasierte Sicherheit und umfasst einen Supplicant (z. B. eine Netzwerk-Kamera), einen Authenticator (z. B. einen Switch) und einen Authentifizierungsserver. Schritt 1: Netzwerkzugriff wird angefordert. Schritt 2: Anforderung wird an Authentifizierungsserver weitergeleitet. Schritt 3: Die Authentifizierung ist erfolgreich und der Switch wird angewiesen, der Netzwerk-Kamera das Senden von Nutzdaten über das Netzwerk zu erlauben.


RFC 3748

Das Extensible Authentication Protocol (EAP) ist ein von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungs-Protokoll, das unterschiedliche Authentisierungsverfahren unterstützt wie z. B. Username/Password (RADIUS), Digitales Zertifikat, SIM-Karte.EAP wurde entwickelt, um eine generische Unterstützung bei der Authentifikation, d. h. der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentisierung um die Infrastruktur kümmern und sie aktualisieren müsste.EAP ist heute weit verbreitet und wird von unterschiedlichen Transport-Protokollen, wie z. B. Point-to-Point Protocol (PPP), Remote Authentication Dial-In User Service (RADIUS) und Diameter unterstützt.

Der IEEE 802.1X Standard schlägt u.a. EAP als Authentifizierungsverfahren vor.

RFC 5216

Das EAP-Transport Layer Security Protocol ist eine Erweiterung und besteht aus einer Kombination von EAP mit SSL. Es verlangt eine gegenseitige zertifikatsbasierende Authentifizierung des Servers und des Clients auf der Transportschicht

 


 

HTTPS oder SSL/TLS

HTTPS (Hyper Text Transfer Protocol Secure) ist mit HTTP identisch, jedoch mit einem wesentlichen Unterschied: die übertragenen Daten werden mit Secure Socket Layer (SSL) oder Transport Layer Security (TLS) verschlüsselt. Diese Sicherheitsmethode wendet die Verschlüsselung auf die Daten selbst an.

VPN (Virtual Private Network)

Mit VPN kann ein sicherer „Tunnel“ zwischen zwei miteinander kommunizierenden Geräten erstellt werden, der eine sichere Kommunikation über das Internet ermöglicht. Bei einem VPN wird das Originalpaket einschließlich der Daten und der Kopfzeile, die Informationen wie die Quell- und Zieladresse, den Typ der gesendeten Informationen, die Paketnummer der Paketsequenz sowie die Paketlänge enthalten kann, verschlüsselt. Das verschlüsselte Paket wird dann in einem weiteren Paket gekapselt, das nur die IP-Adressen der beiden kommunizierenden Geräte (Router) zeigt. Diese Vorgehensweise schützt den Datenverkehr und seinen Inhalt vor unbefugtem Zugriff und nur Geräte mit dem richtigen „Schlüssel“ können im VPN arbeiten. Netzwerkgeräte zwischen dem Client und dem Server können weder auf die Daten zugreifen noch diese darstellen.

HTTPS and VPN encryption

 

Der Unterschied zwischen HTTPS (SSL/TLS) und VPN besteht darin, dass bei HTTPS nur die tatsächlichen Daten eines Pakets verschlüsselt werden. Bei VPN kann das gesamte Paket verschlüsselt und gekapselt werden, um einen sicheren „Tunnel“ zu bilden. Beide Technologien können parallel verwendet werden. Dies wird jedoch nicht empfohlen, da jede Technologie zusätzlichen Overhead erzeugt und die Leistung des Systems herabsetzen kann.

Quelle:http://www.axis.com/de/products/video/about_networkvideo/security.htm