Post on 10-Jul-2020
transcript
Anleitung zur sicheren Verwendung
der Netzwerkkamera Januar 2018
I
Über dieses Dokument
Dieses Dokument enthält eine Anleitung zur sicheren Verwendung und Verwaltung des
Produkts.
Benutzerhandbuch
COPYRIGHT ©2018 Hangzhou Hikvision Digital Technology Co., Ltd.
ALLE RECHTE VORBEHALTEN.
Sämtliche Informationen, einschließlich Formulierungen, Bilder und Grafiken sind das Eigentum von
Hangzhou Hikvision Digital Technology Co., Ltd. oder seiner Tochtergesellschaften (im Folgenden
„Hikvision“). Eine Vervielfältigung, Veränderung, Übersetzung oder Verteilung dieses
Benutzerhandbuchs (im Folgenden „Handbuch“), in Teilen oder als Ganzes, auf irgendeine Weise, ist
ohne die vorherige schriftliche Zustimmung von Hikvision untersagt. Sofern nicht anderweitig
schriftlich vermerkt, übernimmt Hikvision keinerlei Garantien und macht keine Zusicherungen, weder
ausdrücklich noch stillschweigend, im Hinblick auf dieses Handbuch.
Über dieses Handbuch
Dieses Handbuch bezieht sich auf die iVMS-4200 Client Software.
Das Handbuch enthält eine Anleitung zur Verwendung und Verwaltung des Produkts. Die hierin
enthaltenen Bilder, Tabellen und Abbildungen sowie sämtliche weitere Informationen dienen lediglich
der Beschreibung und Erläuterung. Eine Änderung der in diesem Handbuch enthaltenen
Informationen aufgrund von Firmware-Aktualisierungen oder aus anderen Gründen ist ohne vorherige
Ankündigung möglich. Die aktuellste Version finden Sie auf der Webseite des Unternehmens
(http://overseas.hikvision.com/en/).
Bitte verwenden Sie dieses Benutzerhandbuch unter Anleitung von Experten.
Markenhinweis
sowie andere Marken und Logos von Hikvision sind in den jeweiligen
II
Gerichtsbarkeiten Eigentum des Unternehmens. Im Folgenden erwähnte andere Marken und Logos
sind Eigentum der jeweiligen Markeninhaber.
Kontakt
No.555 Qianmo Road, Binjiang District, Hangzhou 310052, China
Tel.: +86-571-8807-5998
Fax: +86-571-8993-5635
E-Mail: overseasbusiness@hikvision.com; sales@hikvision.com
Technischer Support: support@hikvision.com
HSRC (Hikvision Security Response Center) E-Mail: HSRC@hikvision.com
Haftungsausschluss SOWEIT GESETZLICH ZULÄSSIG WERDEN DAS BESCHRIEBENE PRODUKT UND SEINE HARDWARE,
SOFTWARE UND FIRMWARE MIT ALLEN EVENTUELL VORHANDENEN FEHLERN UND MÄNGELN OHNE
GEWÄHR ZUR VERFÜGUNG GESTELLT, UND HIKVISION ÜBERNIMMT KEINE HAFTUNG, WEDER
AUSDRÜCKLICH NOCH STILLSCHWEIGEND, INSBESONDERE IM HINBLICK AUF DIE MARKTGÄNGIGKEIT,
ZUFRIEDENSTELLENDE QUALITÄT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, UND
NICHTVERLETZUNG DER RECHTE DRITTER. UNTER KEINEN UMSTÄNDEN HAFTEN HIKVISION, SEINE
VORSTÄNDE, FÜHRUNGSKRÄFTE, MITARBEITER ODER VERTRETER FÜR INDIREKTE, NEBEN- ODER
FOLGESCHÄDEN, INSBESONDERE FÜR SCHÄDEN AUFGRUND VON ENTGANGENEM GEWINN,
UNTERBRECHUNG DES GESCHÄFTSBETRIEBS, DATENVERLUST ODER VERLUST VON DOKUMENTEN IN
ZUSAMMENHANG MIT DER VERWENDUNG DIESES PRODUKTS, SELBST, WENN HIKSIVION AUF DIE
MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
PRODUKTE MIT INTERNETZUGANG VERWENDET DER KUNDE AUF EIGENE GEFAHR. HIKVISION
III
ÜBERNIMMT KEINE VERANTWORTUNG FÜR ANOMALIEN IM BETRIEB, DIE ENTWENDUNG PRIVATER
DATEN ODER ANDERE SCHÄDEN AUFGRUND VON CYBERANGRIFFEN, HACKERANGRIFFEN,
VIRENBEFALL ODER ANDEREN BEDROHUNGEN AUS DEM INTERNET. FALLS ERFODERLICH, STELLT
HIKVISION JEDOCH ZEITNAH TECHNISCHE UNTERSTÜTZUNG ZUR VERFÜGUNG.
DIE GESETZESLAGE IM HINBLICK AUF ÜBERWACHUNGSMASSNAHMEN VARIIERT JE NACH
GERICHTSBARKEIT. BITTE PRÜFEN SIE VOR VERWENDUNG DIESES PRODUKTS DIE RECHTSLAGE IN
IHRER GERICHTSBARKEIT, UM EINEN VERSTOSS GEGEN GELTENDE GESETZE ZU VERMEIDEN. HIKVISION
IST NICHT HAFTBAR BEI EINER VERWENDUNG DIESES PRODUKTS FÜR ILLEGALE ZWECKE.
IM FALLE VON WIDERSPRÜCHEN ZWISCHEN DIESEM HANDBUCH UND GELTENDEN GESETZEN HABEN
LETZTERE VORRANG.
iv
Inhalt
1 Kurzfassung ............................................................................................................. 1
2 Konfigurieren von Sicherheitsfunktionen ............................................................... 1
2.1 Identifizierung und Authentifizierung ..................................................... 1
2.1.1 Erstellen eines starken Passworts ............................................... 1
2.1.2 Aktivierung einer Kamera durch Festlegen eines starken
Passworts 2
2.1.3 Sperre wegen nicht autorisierter Anmeldeversuche ................. 6
2.1.4 Zurücksetzen des Passworts mit Sicherheitsabfrage .................. 6
2.1.5 Authentifizierung ........................................................................ 7
2.2 Berechtigungsverwaltung ......................................................................... 8
2.2.1 Benutzerverwaltung ................................................................... 8
2.3 Protokoll ..................................................................................................... 9
2.4 Verschlu sselung ....................................................................................... 10
2.4.1 HTTPS ........................................................................................ 10
2.5 Sicherheit von Anschlu ssen und Services .............................................. 12
2.5.1 SNMP ........................................................................................ 12
2.5.2 Deaktivieren von UPnP™ .......................................................... 13
2.5.3 Portweiterleitung ...................................................................... 13
2.5.4 QoS ........................................................................................... 14
2.5.5 Hik-Connect .............................................................................. 14
2.6 Sicherheitsmanagement .......................................................................... 15
2.6.1 IP-Adressfilter ........................................................................... 15
2.6.2 802.1x ....................................................................................... 16
2.6.3 Verschlüsselung von Geräteparametern für Export/Import .... 17
2.6.4 Werkseinstellungen .................................................................. 17
2.6.5 Zeitsynchronisierung ................................................................ 18
2.7 Firmware-Aktualisierung ........................................................................ 19
2.7.1 Überprüfen der aktuellen Firmware-Version ........................... 19
2.7.2 Aktualisierung auf die neueste Firmware ................................. 19
2.8 Verwaltung der Sicherheit ...................................................................... 20
3 Schlussfolgerung ...................................................... Error! Bookmark not defined.
1
1 Kurzfassung
Verschiedene Arten von Sicherheitsbedrohungen aus dem Internet haben sich zu
einer ernstzunehmenden Gefahr für Netzwerkgeräte und die Privatsphäre von
Benutzern entwickelt. In die Netzwerkkameras von Hikvision wurde eine Reihe
zuverlässiger Sicherheitsfunktionen integriert, die den Benutzer vor diesen
Bedrohungen schützen. So bemerkt er in der Regel nicht einmal, dass sein Gerät
angegriffen wurde. Hikvision hat mehrere Funktionen zur Verbesserung der
Cybersicherheit in seine Geräte integriert und zugleich viele Funktionen
standardmäßig deaktiviert. Auf diese Weise hat der Benutzer die Wahl, welche
Sicherheitsfunktionen er seinen Anforderungen entsprechend aktivieren möchte.
Anmerkung: Dieses Dokument bietet einen allgemeinen Überblick über
Sicherheitsfunktionen. Jeder Benutzer sollte die für seine tatsächliche Situation
geeigneten Sicherheitseinstellungen selbst auswählen.
2 Konfigurieren von Sicherheitsfunktionen
2.1 Identifizierung und Authentifizierung
Bei Benutzernamen und Passwörtern für Konten handelt es sich um wichtige Daten,
die der Identifizierung und Authentifizierung von Benutzern dienen.
Standardpasswörter stellen ebenso wie schwache Passwörter eine große Gefahr für
Benutzerkonten dar und sollten aus diesem Grund nicht verwendet werden.
2.1.1 Erstellen eines starken Passworts
Wie lässt sich ein starkes Passwort erstellen?
Ein genereller Hinweis zur Erstellung starker Passwörter für Hikvision Geräte:
(1) Zulässige Anzahl von Zeichen [8-16].
(2) Sie können eine Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie
Sonderzeichen verwenden. Ihr Passwort sollte mindestens zwei dieser
Elemente enthalten.
Sogenannte „Passphrasen“ lassen sich leicht merken und sind nur schwer zu
knacken. Hier eine einfache Möglichkeit zur Erstellung einer „Passphrase“.
(1) Wählen Sie einen Satz, der eine Zahl enthält.
(2) Verwenden Sie jeweils nur den Anfangsbuchstaben des Worts.
(3) Behalten Sie hierbei die Groß- und Kleinschreibung der Buchstaben im
2
ursprünglichen Satz bei.
(4) Verwenden Sie Zahlen als Ersatz für Buchstaben, beispielsweise eine „3“ für
„e“ oder „4“ statt „für“.
(5) Behalten Sie die Zeichensetzung bei.
Im Folgenden finden Sie einen Beispielsatz:
„Mein Flug nach New York geht um drei Uhr am Nachmittag! “.
Daraus wird die Passphrase: „MFnNYgu3UaN! “.
Einige Tipps für ein starkes Passwort:
(1) Verwenden Sie keine im Alphabet aufeinanderfolgenden Buchstaben oder
Zahlenkombinationen wie „cdef“, „12345“.
(2) Speichern Sie keinesfalls Passwörter im Webbrowser, wenn Sie einen
öffentlichen Computer verwenden.
(3) Senden Sie niemals Ihre Passwörter per E-Mail an andere Personen.
(4) Erwägen Sie die Verwendung eines Passwortmanagers, damit Sie sich nicht alle
Passwörter merken müssen.
(5) Bei dem Passwort darf es sich nicht um einen Begriff aus dem Wörterbuch
handeln und Buchstaben dürfen nicht einfach nur durch Zahlen ersetzt werden.
2.1.2 Aktivierung einer Kamera durch Festlegen eines starken
Passworts
Vor der Verwendung der Kamera müssen Benutzer diese zuerst aktivieren, indem sie
ein starkes Passwort festlegen. Wir empfehlen dringend die Erstellung eines starken
Passworts Ihrer Wahl (mindestens acht Zeichen, darunter mindestens drei der
folgenden Kategorien: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen),
um die Sicherheit Ihres Produkts zu erhöhen und Ihre vertraulichen Informationen
oder Daten zu schützen.
Die Funktionen zur Aktivierung per Webbrowser, SADP und Client-Software werden
unterstützt.
Anmerkung: Für die Passwortstärke gelten folgende Regeln:
Starkes Passwort: enthält mindestens drei Zeichen aus den Kategorien
Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
Mäßig starkes Passwort: Besteht aus einer Kombination der folgenden Kategorien:
Zahlen und Symbole, Kleinbuchstaben und Symbole, Großbuchstaben und Symbole,
Kleinbuchstaben und Großbuchstaben.
Schwaches Passwort: Besteht aus einer Kombination von Zahlen und Kleinbuchstaben
oder Zahlen und Großbuchstaben.
Gefährliches Passwort:
3
Besteht aus weniger als acht Zeichen.
Enthält nur eine Kategorie von Zeichen.
Ist mit dem Benutzernamen identisch oder besteht aus dem rückwärts geschriebenen
Benutzernamen.
Zum Schutz Ihrer persönlichen Daten und um die Sicherheit Ihres Produkts zu erhöhen,
empfehlen wir dringend die Verwendung eines starken Passworts.
2.1.2.1 Aktivierung per SADP-Software
Die SADP-Software ermöglicht die Erkennung des verbundenen Geräts, die Aktivierung
der Kamera und das Zurücksetzen des Passworts.
Führen Sie die SADP-Software von der im Produkt enthaltenen Festplatte aus oder
laden Sie die Software von der offiziellen Webseite herunter und befolgen Sie bei der
Installation die Anweisungen am Display. Führen Sie die SADP-Software aus, um im
LAN nach Geräten zu suchen. In der Software können Gerätestatus, beispielsweise das
Gerätemodell, IP-Adresse, Sicherheitsstatus und Seriennummer, angezeigt werden
(Abb. 2-1).
Abb. 2-1 Benutzeroberfläche der SADP-Software
Wählen Sie das zu aktivierende Gerät mit einem Klick aus. Der Gerätestatus wird auf
der rechten Seite des Fensters angezeigt. Geben Sie das Passwort in das Feld
„Password“ (Passwort) ein und klicken Sie auf Activate (Aktivieren), um den Vorgang
zu starten.
2.1.2.2 Aktivierung per Client-Software
Führen Sie die Client-Software von der im Produkt integrierten Festplatte aus oder
laden Sie die Software von der offiziellen Webseite herunter und befolgen Sie bei der
Select inactive device.
Input and confirm password.
4
Installation die Anweisungen am Display. Führen Sie die Client-Software aus, um über
den Dialog Device Management (Geräteverwaltung) im LAN nach Geräten zu suchen.
In der Software können Gerätestatus, beispielsweise das Gerätemodell, IP-Adresse,
Sicherheitsstatus und Seriennummer angezeigt werden.
Abb. 2-2 Geräteverwaltung
Wählen Sie ein nicht aktives Gerät aus und klicken Sie auf die Schaltfläche Activate
(Aktivieren), um den Dialog „Activation“ (Aktivierung) aufzurufen. Erstellen Sie ein
Passwort und geben Sie dieses in das Passwortfeld ein. Bestätigen Sie das Passwort
durch erneute Eingabe. Klicken Sie auf die Schaltfläche OK, um die Aktivierung zu
starten. Nach erfolgter Aktivierung ändert sich der Sicherheitsstatus des Geräts zu
Active (Aktiv).
5
Abb. 2-3 Aktivierung per Client-Software
2.1.2.3 Aktivierung per Webbrowser
Vergeben Sie für den PC und die Netzwerkkamera eine IP-Adresse, sodass sich beide
im gleichen Subnetz befinden. Geben Sie die IP-Adresse der Netzwerkkamera in die
Adresszeile des Webbrowsers ein und drücken Sie die Eingabetaste, um die
Schnittstelle „Activation“ (Aktivierung) aufzurufen (Abb. 2-6).
Abb. 2-4 Aktivierung per Webbrowser
Falls zwei oder mehr Geräte mit dem Netzwerk verbunden sind, müssen die IP-
Adressen der Geräte konfiguriert werden, um einen IP-Adressenkonflikt zu
vermeiden.
6
2.1.3 Sperre wegen nicht autorisierter Anmeldeversuche
Mithilfe der Sperre wegen nicht autorisierter Anmeldeversuche kann die Anzahl der
Anmeldeversuche eines Benutzers begrenzt werden. Falls ein Benutzer siebenmal bei
dem Versuch scheitert, sich mit einem Benutzernamen/Passwort als Admin (fünfmal
im Falle eines Bedieners/Benutzers) anzumelden, werden die Anmeldeversuche von
dieser IP-Adresse für einen Zeitraum von 30 Minuten gesperrt. Bei einer
Zurückweisung der IP-Adresse durch die Kamera erfolgt eine entsprechende
Benachrichtigung. Die Sperre wegen nicht autorisierter Anmeldeversuche bietet
Schutz vor Brute-Force-Attacken auf Passwörter. Eine Aktivierung dieser Funktion wird
dringend empfohlen. (Abb. 2-5).
Abb. 2-5 Aktivierung der Sperre wegen nicht autorisierter Anmeldeversuche
2.1.4 Zurücksetzen des Passworts mit Sicherheitsabfrage
Mithilfe der Sicherheitsabfrage kann das Admin-Passwort über die Client-Software
oder einen Webbrowser zurückgesetzt werden.
Im Menü User Management (Benutzerverwaltung) kann der Benutzer eine Liste mit
Security Questions (Sicherheitsfragen) definieren.
7
Abb. 2-6 Sicherheitsabfrage
Wenn Sie im Anmeldebildschirm auf die Option Forget Password (Passwort vergessen)
klicken und alle drei Sicherheitsfragen beantworten, können Sie das Passwort
zurücksetzen.
Abb. 2-7 Passwort vergessen
Anmerkung: 1. Der für das Zurücksetzen des Passworts verwendete PC und die Kamera
sollten im gleichen IP-Adressenbereich eines LANs angemeldet sein.
2. Nur der Administrator ist in der Lage, ein Passwort zurückzusetzen.
2.1.5 Authentifizierung
RTSP-Authentifizierung und WEB-Authentifizierung unterstützen die
Authentifizierungsmodi „Digest“ und „Digest/Basic“. Es wird die Auswahl des Modus
„Digest“ empfohlen, falls keine Kompatibilitätsanforderungen für eine
Authentifizierung im Modus „Basic“ vorliegen.
8
Abb. 2-8 Authentifizierungsmodi
2.2 Berechtigungsverwaltung
2.2.1 Benutzerverwaltung
Das System unterstützt drei verschiedene Arten von Benutzerrollen: Administrator
(admin), Bediener und Benutzer. Der Administrator kann Benutzerkonten hinzufügen,
löschen oder sie ändern und ihnen unterschiedliche Berechtigungen zuweisen.
Rufen Sie den Dialog für die Benutzerverwaltung auf: Configuration (Konfiguration) >
System > User Management (Benutzerverwaltung)
Abb. 2-9 Benutzerverwaltung
In Abbildung 2-12 wird der Dialog für das Hinzufügen eines Benutzerkontos gezeigt.
9
Der Administrator kann die Berechtigungen eines neuen Benutzers aktivieren oder
deaktivieren.
Abb. 2-10 Hinzufügen eines Benutzerkontos
2.3 Protokoll
Die Protokolldateien werden auf einer SD-Karte gespeichert. Zu den im Protokoll
gespeicherten Informationen zählen Nummer, Zeit, Haupttyp, Untertyp, Kanalnummer,
Lokaler/Remote-Benutzer und Remote Host-IP. Benutzer können verschiedene
Suchparameter abfragen, darunter Haupttyp, Untertyp, Startzeit und Endzeit. Die
Protokolldateien lassen sich im Text- oder Excel-Format exportieren. Das Protokoll wird
fortlaufend im Binärdateiformat gespeichert. Ist der Speicherplatz für die
Protokolldateien vollständig belegt, wird die älteste Protokolldatei von der neuen
überschrieben. Protokolle können nicht geändert oder gelöscht werden.
10
Abb. 2-11 Protokoll
2.4 Verschlüsselung
2.4.1 HTTPS
Bei HTTPS handelt es sich um ein Protokoll zur verschlüsselten Datenübertragung, das
auf SSL/TLS und HTTP basiert. Es bietet eine höhere Sicherheit für den Webzugriff. Falls
bereits ein Zertifikat installiert ist, werden die Details des Zertifikates angezeigt.
Aktivieren Sie die Funktion „Enable“ (Aktivieren), um HTTPS (Abb. 2-14) zu aktivieren.
Abb. 2-12 Aktivieren von HTTPS
Für die Installation stehen drei Optionen zur Verfügung: „Selbstsigniertes Zertifikat
erstellen“, „Signiertes Zertifikat vorhanden, Installation direkt starten“ und „Zuerst
Zertifikatsanforderung erstellen und mit Installation fortfahren“.
Selbstsigniertes Zertifikat erstellen: Wählen Sie die Installationsmethode
„Selbstsigniertes Zertifikat erstellen“ und klicken Sie auf die Schaltfläche „Erstellen“,
11
um den Dialog für die Zertifikatserstellung aufzurufen. Geben Sie anschließend die
benötigten Daten wie Land, Host-Namen/IP, Gültigkeit und weitere Informationen ein.
Klicken Sie auf „OK“, um die Einstellungen zu speichern.
Installieren eines signierten Zertifikats: Wählen Sie „Signiertes Zertifikat vorhanden,
Installation direkt starten“ als Installationsmethode aus und klicken Sie auf
„Browse“ (Suchen), um ein signiertes Zertifikat auszuwählen. Klicken Sie auf
„Install“ (Installieren) und anschließend auf „Save“ (Speichern).
Erstellen Sie das autorisierte Zertifikat: Wählen Sie die Installationsmethode „Zuerst
Zertifikatsanforderung erstellen und mit Installation fortfahren“ aus. Klicken Sie auf die
Schaltfläche „Create“ (Erstellen), um die Zertifikatsanforderung zu generieren. Geben
Sie im angezeigten Dialogfeld die erforderlichen Informationen ein. Laden Sie die
Zertifikatsanforderung herunter und senden Sie diese zur Zertifizierung an eine
vertrauenswürdige Zertifizierungsstelle. Nach Erhalt eines signierten und gültigen
Zertifikats können Sie das Zertifikat in das Gerät importieren.
Sobald das Zertifikat installiert ist, werden die Informationen zum Zertifikat wie in Abb.
2-15 angezeigt.
Abb. 2-13 Installiertes Zertifikat
Anmerkung:
1. Greift ein Benutzer mit einem installierten, selbstsignierten Zertifikat über HTTPS
auf ein Gerät zu, wird im Browser ein Sicherheitshinweis (Abb. 2-16) angezeigt. Grund
hierfür ist das Fehlen einer Zertifizierung durch eine vertrauenswürdige
Zertifizierungsstelle (CA).
Abb. 2-14 Sicherheitshinweis bei selbstsigniertem Zertifikat
2. Um einen sicheren Zugriff auf das Internet zu gewährleisten, wird die Installation
von Zertifikaten empfohlen, die von einer vertrauenswürdigen Zertifizierungsstelle
12
(CA) signiert wurden. In der Regel ist die Ausgabe eines digitalen Zertifikats durch
eine Zertifizierungsstelle kostenpflichtig.
2.5 Sicherheit von Anschlüssen und Services
Standardmäßig sind nur benötigte Services und Anschlüsse aktiviert, um Angreifern
möglichst wenig Ansatzpunkte zu bieten und die Gefahr durch
Sicherheitsbedrohungen zu verringern. Die unterstützten Dienste und Protokolle wie
ONVIF, CGI, UPnP, QoS, Multicast, Platform Access und SNMP sind ab Werk deaktiviert.
Benutzer sollten nur die für ihre Umgebung tatsächlich benötigten Services und
Protokolle aktivieren.
2.5.1 SNMP
Das Gerät unterstützt SNMP v1, SNMP v2 und SNMP. Mithilfe der SNMP-Funktion
lassen sich Kamerastatus, Parameter und Alarminformationen abrufen. Darüber
hinaus ermöglicht die Funktion eine Verwaltung der Kamera aus der Ferne, falls diese
mit dem Netzwerk verbunden ist. SNMP ist standardmäßig deaktiviert. Falls SNMP
nicht benötigt wird, sollten Sie diese Funktion nicht aktivieren. Es wird dringend
empfohlen, SNMP v3 statt SNMP v1 oder SNMP v2 zu verwenden.
Abb. 2-15 SNMP-Konfiguration
13
2.5.2 Deaktivieren von UPnP™
Bei Universal Plug and Play (UPnP™) handelt es sich um ein Netzwerkprotokoll, das die
Kompatibilität von Netzwerkgeräten, Software und anderer Hardware gewährleistet.
UPnP™ ist standardmäßig deaktiviert. Falls das Gerät nicht für gehostete Video-
Anwendungen verwendet wird, sollten Sie UPnP™ nicht aktivieren.
Abb. 2-16 UPnP-Konfiguration
2.5.3 Portweiterleitung
Falls sich ein Gerät hinter einer Firewall befindet und Zugang zum Internet benötigt,
kann hierfür eine Portweiterleitung konfiguriert werden. Beachten Sie die folgenden
bewährten Vorgehensweisen zur Gewährleistung der Sicherheit, um die Gefahr von
Cyberangriffen auf Ihr mit dem Internet verbundenes Gerät zu minimieren.
1. Minimieren Sie die Anzahl der Ports, die einen Zugriff auf das Gerät über das
Internet erlauben. Konfigurieren Sie nur dann eine Portweiterleitung, wenn sie
wirklich benötigt wird. Beispielsweise eine Weiterleitung über Port 443, falls
verschlüsselte Webdienste benötigt werden.
2. Stellen Sie sicher, dass alle Konten durch sehr starke Passwörter geschützt sind.
Dies ist besonders wichtig, wenn ein Gerät mit dem Internet verbunden ist.
3. Vermeiden Sie die Verwendung allgemein üblicher Ports und definieren Sie
stattdessen eigene Ports. So wird beispielsweise Port 80 normalerweise für HTTP
verwendet. Es wird empfohlen, die Ports für einen bestimmten Service selbst
14
festzulegen. Die Definition eines benutzerdefinierten Ports muss gemäß der
TCP/IP-Port-Definition (1-65535) erfolgen.
2.5.4 QoS
QoS (Quality of Service) ist ein Mechanismus zur Priorisierung des Netzwerkverkehrs
bestimmter Anwendungen. Durch Konfiguration der Priorität von
Datenübertragungen kann dieser Mechanismus dazu beitragen, Verzögerungen oder
Überlastungen im Netzwerk zu vermeiden. Normalerweise wird QoS in einem nicht
zeitbezogenen Anwendungssystem nicht benötigt. Falls QoS durch die
Netzwerkinfrastruktur nicht unterstützt wird, müssen Sie für die Einstellungen
„Video/Audio DSCP“, „Event/Alar DSCP“ und „Management DSCP“ den Wert
„0“ festlegen.
Abb. 2-17 QoS-Konfiguration
2.5.5 Hik-Connect
Abb. 2-18 Deaktivieren von Hik-Connect
15
„Platform Access“ bietet Ihnen eine Möglichkeit zur Verwaltung von Geräten über die
Plattform „Hik-Connect“. Hik-Connect ist standardmäßig deaktiviert. Falls Hik-Connect
nicht benötigt wird, sollten Sie diese Funktion nicht aktivieren.
Wenn ein Benutzer „Platform Access“ aktiviert und den Modus „Hik-
Connect“ auswählt, wird ein Bestätigungscode erstellt oder ein für die Kamera
vorhandener Bestätigungscode geändert. Der Bestätigungscode sollte mehr als 8 (am
besten mehr als 12) Zeichen umfassen und Großbuchstaben, Kleinbuchstaben, Zahlen
und Sonderzeichen enthalten.
Abb. 2-19 Erstellen eines Bestätigungscodes für Hik-Connect
Der Videostream ist während der Übertragung standardmäßig verschlüsselt.
2.6 Sicherheitsmanagement
2.6.1 IP-Adressfilter
Der IP-Adressfilter verhindert den Zugriff nicht autorisierter Clients auf ein Gerät.
Klicken Sie auf das Kontrollkästchen Enable IP Address Filter (IP-Adressfilter
aktivieren), um diese Funktion zu aktivieren.
Wählen Sie in der Auswahlliste die Art des IP-Adressfilters aus: Forbidden (Verboten)
oder Allowed (Erlaubt)
Im Modus Allowed (Erlaubt) dürfen nur die in der Liste des IP-Adressfilters
enthaltenen IP-Adressen auf das Gerät zugreifen. Dieser Liste können maximal 48
IP-Adressen hinzugefügt werden.
Im Modus Forbidden (Verboten) wird ein Zugriffsversuch von allen auf der Liste
des IP-Adressfilters enthaltenen IP-Adressen blockiert. Dieser Liste können
maximal 48 IP-Adressen hinzugefügt werden.
16
Abb. 2-20 IP-Adressfilter
2.6.2 802.1x
Der IEEE 802.1X-Standard wird von den Netzwerkkameras unterstützt. Ist diese
Funktion aktiviert, muss sich der Benutzer bei der Anmeldung der Kamera an einem
mit IEEE 802.1X geschützten Netzwerk authentifizieren. Ein Benutzer kann die 802.1X-
Einstellungen, darunter Protokoll, EAPOL-Version, Benutzername, Passwort und
Bestätigung konfigurieren.
Abb. 2-21 802.1x-Konfiguration
17
2.6.3 Verschlüsselung von Geräteparametern für
Export/Import
Die Geräteparameter können durch Eingabe eines Passworts exportiert werden, das
von einem Benutzer während des Exports der Datei mit den Geräteparametern erstellt
wurde. Die Datei enthält keine Angaben zum Admin-Passwort. Möchte ein Benutzer
die Datei mit den Geräteparametern in ein Gerät importieren, muss er zuerst das
Passwort eingeben.
Abb. 2-22 Exportieren der Geräteparameter
Es wird empfohlen, für die Datei ein starkes Passwort zu vergeben und die Datei an
einem sicheren Speicherort abzulegen.
2.6.4 Werkseinstellungen
Falls Sie sich im Hinblick auf die Konfiguration eines Geräts nicht sicher sind, können
Sie das Gerät wiederherstellen, indem Sie es auf einen bekannten Status zurücksetzen.
Für das Zurücksetzen eines Geräts gibt es zwei Möglichkeiten: Restore
(Wiederherstellen) und Default (Werkseinstellungen).
Wiederherstellen: Mithilfe dieser Funktion lassen sich die Standardeinstellungen
für alle Parameter mit Ausnahme der IP-Parameter und Benutzerinformationen
wiederherstellen.
Werkseinstellungen: Setzt alle Parameter auf die Werkseinstellungen zurück.
Rufen Sie die Wartungsschnittstelle auf: Configuration (Konfiguration) > System >
Maintenance (Wartung) > Upgrade & Maintenance (Aktualisierung & Wartung). (Abb.
2-27)
18
Abb. 2-23 Werkseinstellungen
2.6.5 Zeitsynchronisierung
Neben der Konfiguration der Zeitzone werden zwei Verfahren zur Zeitsynchronisierung
unterstützt.
1) Manual Time Sync. (Manuelle Zeitsynchronisierung) oder Sync. with computer
time (Synchronisierung mit Computerzeit).
2) Zeitsynchronisierung mit NTP-Server. NTP-Serveradresse, Port und Intervall lassen
sich konfigurieren.
Abb. 2-24 Zeiteinstellungen
19
2.7 Firmware-Aktualisierung
Es wird dringend empfohlen, dass der Benutzer regelmäßig eine Aktualisierung der
Firmware durchführt, um die Installation neuer Sicherheitsupdates und
Fehlerbehebungen sicherzustellen.
2.7.1 Überprüfen der aktuellen Firmware-Version
Rufen Sie die Systemeinstellungen auf und überprüfen Sie die Angaben zur Firmware-
Version: Configuration (Konfiguration) > System > System Settings
(Systemeinstellungen) > Basic Information (Grundlegende Informationen). (Abb. 2-
29)
Abb. 2-25 Firmware-Version
2.7.2 Aktualisierung auf die neueste Firmware
Führen Sie folgende Schritte aus, um das System auf die neueste Firmware-Version zu
aktualisieren:
1) Laden Sie die Firmware auf einen Computer herunter, der sich im gleichen
Netzwerk wie die Kamera befindet.
2) Melden Sie sich über den Computer an der Verwaltungsschnittstelle der Kamera
an und wählen Sie die Option Firmware oder Firmware directory (Firmware-
Verzeichnis) aus, um die Aktualisierungsdatei auswählen zu können.
20
3) Klicken Sie auf Upgrade, um die Aktualisierung zu starten. Falls das Firmware-
Verzeichnis ausgewählt wurde, wird die korrekte Firmware im Verzeichnis
automatisch erkannt und die Aktualisierung gestartet.
Anmerkung: Der Aktualisierungsprozess dauert bis zu 10 Minuten. Während dieses
Vorgangs dürfen Sie die Kamera nicht von der Stromversorgung trennen. Nach
erfolgter Aktualisierung startet die Kamera automatisch neu.
Abb. 2-26 Firmware-Aktualisierung
2.8 Verwaltung der Sicherheit
Einer der wichtigsten Faktoren für die Produktsicherheit ist die Verwaltung der
Sicherheit. Ein System lässt sich mithilfe von technischen Einstellungen und
Konfigurationen für Cybersicherheit nur schwer schützen, wenn sich die Benutzer
nicht an bewährte Vorgehensweisen zur Gewährleistung der Sicherheit halten. Im
Folgenden finden Sie einige allgemeine Hinweise zur Verwaltung der Sicherheit:
(1) Entwickeln Sie entsprechende Systeme, Prozesse, Pläne, Bedienungshinweise
und Formulare für die Produktsicherheit. Dokumentieren Sie alle Prozesse und führen
Sie Simulationen oder Übungen durch, damit sich im Ernstfall alle Benutzer der Abläufe
bewusst sind.
(2) Verwenden Sie Tools für Sicherheitsscans, Konfigurationsverifizierung und
Penetrationstests, um die Sicherheit von Netzwerken und Geräten zu bewerten.
Identifizieren Sie anschließend mögliche Sicherheitsrisiken, bewerten Sie das Risiko
und erstellen Sie einen Plan zu deren Behebung.
(3) Entwerfen Sie auf Basis der Ergebnisse Ihrer Produktsicherheitsbewertung
einen entsprechenden Vorschlag zur Optimierung und einen Handlungsleitfaden.
Führen Sie anschließend die Optimierung durch und überprüfen Sie deren Effizienz.
21
(4) Überwachen Sie rund um die Uhr die Sicherheit aller Netzwerke und Geräte.
Diese Überwachung sollte unter anderem die Verfügbarkeit von Systemen und
Netzwerken, die Erkennung bösartiger Software und Intrusion Detection umfassen.
(5) Überprüfen Sie in regelmäßigen Abständen die Cybersicherheit Ihres
Netzwerks sowie Ihrer Anwendungen. Passen Sie anhand der Ergebnisse die Firewall
von Plattform, Server und anderen Netzwerkgeräten für die Videoüberwachung
ebenso an wie die Sicherheitsrichtlinien des Host-Systems, um die Produktsicherheit
weiter zu verbessern.
(6) Richten Sie sich nach den in der Internetbranche üblichen Mechanismen für
Reaktionen im Notfall und kombinieren Sie diese mit eigenen Notfallmaßnahmen, um
das Videoüberwachungssystem für den Ernstfall zu wappnen.
(7) Sensibilisieren Sie das Sicherheitsbewusstsein der Mitarbeiter in den
unterschiedlichen Bereichen der Videoüberwachung und führen Sie Schulungen zur
Verwaltung der Systemsicherheit durch.
(8) Die Einstellungen der Produktsicherheit richten sich nach den grundlegenden
Prinzipien der Sicherheit von Datensystemen: dem Prinzip der minimalen Rechte, dem
Prinzip der Dezentralisierung und Ausgewogenheit, dem Prinzip der
Sicherheitsisolation usw.
3 Fazit
Dieser Sicherheitsleitfaden wird regelmäßig aktualisiert, um Ihnen bewährte
Vorgehensweisen zum aktuellen Stand der Netzwerksicherheit aufzuzeigen.
Hikvision engagiert sich bereits seit vielen Jahren für die Weiterentwicklung der
Netzwerksicherheit und stellt Benutzern branchenweit führende Technologie zum
Thema Cybersicherheit zur Verfügung.
Unter http://www.hikvision.com/cn/support_list_591.html finden Sie weitere
Informationen zum Thema Cybersicherheit. Bei Fragen zur Cybersicherheit können Sie
uns per E-Mail kontaktieren unter HSRC@hikvision.com.