AXIS Camera Station Pro - Leitfaden zur Systemhärtung

Einführung

Eine universell verwendbare, idiotensichere Funktion, die jedes Sicherheitssystem und jeden Standort zu 100% cybersicher machen kann. So verlockend diese Wörter auch sind, eine solche Funktion existiert nicht – oder wird wahrscheinlich nicht in Kürze existieren. Stattdessen müssen die Risiken geprüft werden, die durch bedrohungsgefährdete und Sicherheitslücken in ihrer Organisation vorhanden sind. Wenn das Risiko als nicht angemessen eingestuft wird, müssen diese Maßnahmen zur Minderung dieses Risikos umgesetzt werden. Gut definierte Richtlinien und Verfahren gewährleisten eine konsistente Kommunikation und Anwendung dieser Kontrollen innerhalb einer Organisation und auf Grundlage eines ausgereiften Cybersicherheitsprogramms.

Es wird empfohlen, standardisierte IT-Sicherheitsrahmen zum Risikomanagement zu verwenden, z. B. ISO 27001, NIST CSF oder anderen. Diese Aufgabe ist für kleinere Unternehmen zwar entmutigend, die Definition grundlegender Informationssicherheitsrichtlinien und Unterstützungsprozesse ist jedoch viel besser als gar nichts. Wenn Ihre Organisation gerade erst mit dem Aufbau eines Cyber-Sicherheitsprogramms beginnt und nur über begrenzte Ressourcen verfügt, empfehlen wir Ihnen, sich mit den „Critical Security Controls Version 8“ des Center for Internet Safety (CIS) vertraut zu machen. Das CIS stellt eine Liste mit 18 Sicherheitskontrollaktivitäten zur Verfügung, die in drei Gruppen zur Implementierung unterteilt sind, um Organisationen bei der Entwicklung und Verbesserung ihres Cybersicherheitsprogramms zu unterstützen.

Sicherheitsverletzungen treten in vielen Organisationen auf, da das Unternehmen keine klaren Richtlinien, Regeln und Verfahren festgelegt hat, die die Nutzung und die Zugangsrechte für ihre eigenen Mitarbeiter regeln. Arbeitet Ihre Organisation mit Richtlinien und Verfahren für den Videoverwaltungsbetrieb? Falls nicht, ist es an der Zeit, diese zu definieren.

Zweck

Dieses Dokument zeigt eine Reihe von Maßnahmen und Verfahren zur Cybersicherheit, die den sicheren Einsatz und die Wartung von AXIS Camera Station Pro Systemen unterstützen. Obwohl wir nicht direkt einem Cybersicherheitsrahmen zugeordnet sind, konzentrieren wir uns in erster Linie auf CIS Security Controls v8 mit einem besonderen Fokus auf den folgenden Steuerungsaktivitäten:

Im Mittelpunkt unserer Empfehlungen steht die Unterstützung von Installateuren, Integratoren und Endbenutzern, um gängige Risiken beim Einsatz und der Verwaltung von AXIS Camera Station Pro Systemen zu minimieren.

Voraussetzungen

Es wird davon angenommen, dass die im AXIS OS Härtungsleitfaden festgelegten und beschriebenen Empfehlungen und Verfahren verstanden und befolgt werden. Außerdem bezieht sich dieses Dokument auf mehrere gängige Benutzerrollen, die mit einem Videosystem interagieren. Ordnen Sie diese Benutzerrollen Ihren eigenen Benutzer- und Rollenklassifizierungen zu. Ein einzelner Benutzer kann je nach Organisation mehrere Rollen haben.

Definierte Rollen:

  • System Installer: Installation, Einrichtung, Reparatur, Aktualisierung und Rückstufung von Systemen

  • Network Administrator: Erhält die Netzwerk-Infrastruktur, die Konnektivität von Endknoten, Netzwerk-Server und Ressourcen sowie den Netzwerkschutz

  • Video System Administrator: Definiert und verwaltet das Videosystem, um die Nutzung, Leistung und Benutzerrechte des Videosystems zu gewährleisten.

  • Video System Maintainer: überwacht, justiert und repariert Komponenten, um die Systemleistung im Namen des Videosystemadministrators zu gewährleisten.

  • Users: Personen, die den AXIS Camera Station Pro Client für den Zugriff auf Live-Video und aufgezeichnete Videos verwenden und in der Regel für den physischen Schutz einer Organisation verantwortlich sind.

Systemsicherheitsrichtlinien

Physische Sicherheit

Physische Schutzrichtlinie

Server, Geräte, Netzwerkausrüstung und Kabel sind physische Objekte, die beeinträchtigt, sabotiert oder gestohlen werden können. Wichtige Netzwerk basierte Geräte wie Router und Switches sowie der Host, auf dem die AXIS Camera Station Pro-Serversoftware ausgeführt wird, sollten in einer Umgebung mit eingeschränktem Zutritt installiert werden. Kameras und andere angeschlossene Geräte sollten an schwer zu erreichenden Orten angebracht werden und mit vandalismusgesicherten Modellen oder Gehäusen ausgestattet sein. Es sollte darauf achten, die Kabel in Wänden oder Kabelkanälen zu schützen, da diese das Risiko von Manipulation und Sabotage erhöhen.

Empfohlene Richtlinien und Verfahren
Definieren Sie eine Einzeleinheit oder eine Organisationsgruppe, die für den physischen Schutz von VMS-Servern, Netzwerkhardware, angeschlossenen Geräten und Verkabelung in definierten Intervallen verantwortlich ist. Es ist wichtig, ein genaues Inventar aller Server und Geräte einschließlich ihres Standorts zu erstellen.

Softwareverwaltung

Richtlinien für Drittanbieter-Anwendungssoftware

Da AXIS Camera Station Pro in einer Windows-Standardumgebung installiert ist, kann es verlockend sein, diese Umgebung für Softwareanwendungen zu nutzen, die nicht mit der Videoverwaltung in Verbindung stehen. Durch die Installation anderer Drittanbieter-Anwendungen kann Malware in die Umgebung eingeführt werden. Dies kann zu Systemausfällen führen oder einem Angreifer den Zutritt in das Netzwerk der Organisation ermöglichen.

Empfohlene Richtlinien und Verfahren
Zudem sollten Sie nur die AXIS Camera Station Pro-Server-Software und vertrauenswürdige Integrationen von Drittanbietern auf der Host-Hardware ausführen. Wenn die physische Hardware für andere Zwecke verwendet werden soll, wird empfohlen, mehrere virtuelle Serverinstanzen zu verwenden und die AXIS Camera Station Pro Serversoftware in einer virtuellen Maschine und die Software von Drittanbietern, die nicht zu VMS gehört, auf einer anderen virtuellen Maschine auszuführen. Informationen zum Ausführen von AXIS Camera Station Pro in einer virtuellen Umgebung finden Sie hier.

Außerdem sollte auf allen mit dem AXIS Camera Station Pro-Server verbundenen Servern und Computern eine Antiviren-Software installiert sein. Bei der Bereitstellung mobiler Geräte muss zudem sichergestellt werden, dass auf den Geräten die neuesten Betriebssysteme und Patches installiert sind (jedoch nicht direkt gegen Viren). Prüfen Sie beim Scannen von Viren keine Verzeichnisse und Unterverzeichnisse mit Aufzeichnungsdatenbanken. Das Scannen von Viren in diesen Verzeichnissen kann sich auf die Systemleistung auswirken.

Kontenverwaltung

Allgemeine Kontorichtlinien

Administratorenrechte werden gelegentlich normalen Benutzern gewährt. Dies ist ein Vorteil. In vielen Organisationen ist es unklar, wer die Kontoberechtigungen überprüft und den Zugang von Mitarbeitern zu Systemen überwacht.

Empfohlene Richtlinien und Verfahren
Wir empfehlen, dass Unternehmen beim Definieren von Systemkonten das Prinzip der geringsten Rechte befolgen. Dies bedeutet, dass die Zugriffsrechte des Benutzers auf die Ressourcen beschränkt sind, die für die Durchführung ihrer spezifischen Aufgaben erforderlich sind. Außerdem ist es empfehlenswert, regelmäßig die Kontoberechtigungen der Systembenutzer zu prüfen, um diese vor Privilegien zu schützen.

AXIS Camera Station Pro Richtlinien für Administratorenkonten

Ein häufiger Fehler beim Bereitstellen von AXIS Camera Station Pro in einer Windows-Umgebung besteht in der Definition eines einzelnen Administratorkontos für den Windows-Host. Im Laufe der Zeit kann das Kennwort innerhalb der Organisation geteilt werden. Dabei besteht die Gefahr, dass unbefugte Personen Administratorrechte für die Windows-Umgebung erhalten. Dies kann leicht dazu führen, dass auf diesem Server zahlreiche unerwünschte Benutzer-Anwendungen oder Malware installiert werden.

Empfohlene Richtlinien und Verfahren
Der Windows-Computerhosting-Server AXIS Camera Station Pro sollte über mindestens ein Administratorkonto und ein Benutzerkonto verfügen. Beide Konten sollten nicht mit dem standardmäßigen Administratorkonto für Windows identisch sein. Das Standardkonto für den Administrator muss deaktiviert werden, nachdem der Administrator und die Benutzerkonten erstellt wurden. Nach der Bereitstellung sollte das Kennwort für das Administratorkonto nur den Netzwerkadministratoren bekannt sein und von ihnen verwendet werden. Das Benutzerkonto sollte vom Videosystemadministrator verwendet werden, wenn/sobald dieser sich am AXIS Camera Station Pro Server anmelden muss. Es ist darauf hinzuweisen, dass für Zwecke der Überprüfung weiterhin empfohlen wird, wenn die beiden oben genannten Rollen von derselben Person ausgeführt werden. Es wird empfohlen, separate Konten für Netzwerk- und Videosystemadministratoren einzurichten. Um andere, wie zuvor definierte, Rollen zu unterstützen, sollten für jeden einzelnen Benutzer, der sich am System anmelden wird, weitere, nicht privilegierte Benutzerkonten erstellt werden.

Wenn der Host, der AXIS Camera Station Pro ausführt, in einer Windows Active Directory-Domainumgebung platziert wird, können Administratoren- und Benutzerkonten im Kontext der Domain erstellt werden, oder das vorhandene Domainnkonto eines Mitarbeiters kann zum Authentifizieren beim AXIS Camera Station Pro Host verwendet werden. Dies vereinfacht die Kontoverwaltung, da keine zusätzlichen Konten erstellt und verwaltet werden müssen. Dies ermöglicht auch die Verwendung von Gruppenrichtlinienverwaltung, um die Kennwortkomplexität, die Zertifikatbereitstellung und andere Sicherheitsfunktionen in Domainnumgebungen zu erzwingen.

AXIS Camera Station Pro Benutzerkontenrichtlinien

Benutzerkonten werden in AXIS Camera Station Pro bestimmte Rollen zugewiesen, die wiederum die spezifischen Rechte für jeden Benutzer im System bestimmen, z. B. Ansichten und Videos, auf die er keinen Zugriff hat. Wenn mehrere Personen ein einzelnes Benutzerkonto teilen, besteht ein erhöhtes Risiko, dass ein Kennwort mit anderen Personen in der Organisation geteilt wird. Das Teilen von Konten macht die Überprüfung des Zugriffs auf die Kamera/das Video zu welcher Zeit praktisch unmöglich.

Empfohlene Richtlinien und Verfahren

Wir empfehlen Ihnen, mithilfe von KerberosAXIS Camera Station Pro Client-Benutzer zu authentifizieren. Siehe dazu .

Verwenden Sie nach Möglichkeit Microsoft Active Directory für eine einfache Benutzer- und Gruppenverwaltung. Es wird außerdem empfohlen, vor dem Einrichten des Systems zu überprüfen, ob die relevanten Sicherheitsgruppen für alle Benutzerrollen definiert wurden.

Active Directory bietet außerdem:

  • Eine Kennwortrichtlinie, die Benutzer dazu verpflichtet, regelmäßig ihr Kennwort zu ändern.

  • Brute-Force-Schutz, sodass das Windows AD-Konto nach mehreren fehlgeschlagenen Authentifizierungsversuchen im Einklang mit der Kennwortrichtlinien der Organisation gesperrt ist

  • Rollenbasierte Berechtigungen, sodass die Zutrittskontrollen in der gesamten Domain angewendet werden können

Wenn lokale Windows-Konten verwendet werden müssen, wird empfohlen, für jeden Benutzer des Systems ein eindeutiges Konto zu erstellen und nur auf die Einheiten im System zuzugreifen, die zur Wahrnehmung seiner Verantwortlichkeiten erforderlich sind. Durch die Verwendung von Gruppen für Benutzer kann die Zuweisung von Berechtigungen vereinfacht werden, wenn mehrere Benutzer identische Berechtigungen besitzen.

Authentifizierung mit Hilfe von Kerberos

AXIS Camera Station Pro verwendet die integrierte Windows-Authentifizierung, um die Benutzer des AXIS Camera Station Pro Client zu authentifizieren. AXIS Camera Station Pro verwendet das Microsoft Negotiate protocol (SPNEGO), d. h., bei Kerberos handelt es sich um das bevorzugte und standardmäßige Authentifizierungsprotokoll. Das Negotiate-Protokoll versucht, Kerberos zu verwenden und NTLM als Notlösung.

Um Kerberos zu verwenden, müssen Sie Service Principal Names (SPN) mit folgendem Befehl in Active Directory registrieren:

setspn -s ACSService/{HOST} {ACCOUNT_NAME}
HOST
Der Host-Name des Servers, auf dem AXIS Camera Station Pro Server ausgeführt wird.
ACCOUNT_NAME
Der Name des Computers (Computerkonto), auf dem der AXIS Camera Station Pro Server ausgeführt wird.

Damit Kerberos ordnungsgemäß funktioniert, wird empfohlen, sowohl den kurzen Host-Namen als auch den FQDN für den AXIS Camera Station Pro Zielserver zu registrieren.

Beispiel

setspn -s ACSService/CompanyServer CompanyServerAccount setspn -s ACSService/CompanyServer.domain.local CompanyServerAccount

Weitere Informationen finden Sie unter Setspn auf microsoft.com.

Gerätekontorichtlinien

Die Konten von Axis Geräten sind in erster Linie Computer-/Clientkonten. Benutzer sollten niemals direkt auf das Gerät zugreifen dürfen. Der einzige Client, der während des normalen Betriebs auf Geräte zugreifen soll, ist der AXIS Camera Station Pro Server. Eine gängige Strategie ist, dass alle Geräte über dasselbe Kennwort verfügen. Dies führt zu zusätzlichen Risiken, kann jedoch auch das Kennwortmanagement vereinfachen, sodass die eigene Risikoverträglichkeit einzuschätzen ist. AXIS Camera Station Pro unterstützt das Zuweisen eindeutiger Kennwörter für jedes Gerät über die Verwaltungsschnittstelle.

Ein häufiger Fehler ist, dass Geräte zu einem einzelnen AXIS Camera Station Pro Konto hinzugefügt werden, das von mehreren Rollen geteilt wird. Wenn bei einer Videosystem-Wartung ein Browser verwenden werden muss, um etwas anzupassen, wird das Root-Kennwort des Geräts mitgeteilt. Innerhalb von Monaten kennen die meisten Menschen in der Organisation das Kennwort für alle Geräte und haben Administratorrechte für das System.

Empfohlene Richtlinien und Verfahren
Das Gerät sollte über mindestens zwei Administratorkonten verfügen: ein einmaliges Konto, das für die Verwaltung des Geräts erstellt wird, und das Standard-Root-Konto zum Hinzufügen von Geräten zum AXIS Camera Station Pro Server. Ein vorübergehender Zugriff, z. B. wenn bei einer Videosystem-Wartung über einen Web-Browser auf ein Gerät zugegriffen wird, sollte mithilfe von temporären Konten verwaltet werden.

Der AXIS Device Manager sollte als das primäre Tool zum Verwalten von Gerätekonten und Kennwörtern verwendet werden. Eine Version des AXIS Device Manager ist direkt in AXIS Camera Station Pro integriert und befindet sich in der Registerkarte Verwaltung. Das Root-Kennwort des Geräts sollte nur vom AXIS Device Manager und AXIS Camera Station Pro verwendet werden und sollte nur denjenigen bekannt sein, die den AXIS Device Manager oder AXIS Camera Station Pro als Tool zum Verwalten von Geräten verwenden.

Verwenden Sie AXIS Camera Station Pro, um ein befristetes Konto zu erstellen, wenn eine Wartungsfunktion einen Webbrowser verwenden muss, um auf Geräte zur Fehlerbehebung oder Wartung zu zugreifen. Wählen Sie die Geräte aus und erstellen Sie ein neues Konto, vorzugsweise mit Bedienerrechten, das der Servicetechniker verwenden darf. Entfernen Sie das temporäre Konto, sobald die Aufgabe abgeschlossen ist.

Systemwartung

AXIS Camera Station Pro Windows-Host-Patching-Richtlinie

AXIS Camera Station Pro Server und Clients werden in einer Windows-Umgebung ausgeführt. Es ist wichtig, dass diese Systeme auf dem neuesten Stand sind, um sicherzustellen, dass die Hosting-Software von AXIS Camera Station Pro des Systems keine offenen Sicherheitslücken aufweist, die ausgenutzt werden können, um unbefugten Zugriff auf das Video Management System zu erhalten.

Empfohlene Richtlinien und Verfahren
Für alle AXIS Camera Station Pro Systeme, die mit Axis NVR oder benutzerdefinierter Hardware ausgeführt werden, wird empfohlen, die automatische Aktualisierung zu deaktivieren. Windows-Aktualisierungen haben in der Vergangenheit zu Instabilität des zugrundeliegenden Windows-Betriebssystems geführt. Daher wird empfohlen, die verfügbaren Aktualisierungen auf ausgewählten Geräten zu testen, um die Stabilität des Systems zu gewährleisten, bevor alle ausgeführten Host-Systeme mit AXIS Camera Station Pro aktualisiert werden. Es muss jedoch ein Balance zwischen Sicherheit und Stabilität erreicht werden, da ein zu langes Verlassen des Windows-Systems eine Gefahr für die allgemeine Umwelt darstellen kann. Je nachdem, wie stark das System des Kunden externen Bedrohungen ausgesetzt ist, sollte in der Patching-Richtlinie ein Zeitrahmen festgelegt werden, in dem sichergestellt wird, dass die Systeme die neuesten Updates erhalten.

AXIS Camera Station Pro Richtlinien für Softwareaktualisierungen

In den meisten Fällen wird durch die Verwendung der neuesten Software-Versionen für AXIS Camera Station Pro sichergestellt, dass Sie Sicherheits-Patches für alle neu entdeckten Sicherheitslücken verwenden. Wenn das System über einen längeren Zeitraum ungepatcht bleibt, wird das Risiko erhöht, dass ein Angreifer die Sicherheitslücken ausnutzt und möglicherweise das System kompromittiert.

Empfohlene Richtlinien und Verfahren
Es ist wichtig, eine Patching-Richtlinie mit regelmäßigen Ausbesserungen bereitgestellter Softwareversionen zu definieren, um sicherzustellen, dass AXIS Camera Station Pro auf dem neuesten Stand ist. Mit der Patching-Richtlinie sollte auch identifiziert werden, wer für die Verwaltung der mit der Aktualisierung der Server- und Clientsoftware verbundenen Arbeit verantwortlich ist. Die aktuelle Version von AXIS Camera Station Pro ist auf www.axis.com zu finden. AXIS Camera Station Pro erfordert die neuesten .NET-Bibliotheken, daher muss darauf geachtet werden, die Windows-Patching-Richtlinie an der Richtlinie für AXIS Camera Station Pro auszurichten.

Richtlinie zur Aktualisierung der Gerätefirmware

Durch das Ausführen der aktuellen Firmware-Versionen auf den Geräten werden häufige Risiken verringert, da die aktuellen Firmware-Versionen Patches für bekannte Sicherheitslücken bieten, die Angreifer ausnutzen könnten. Axis bietet eine Langzeit-Support (LTS)-Version für Geräte-Firmware, die Sicherheits-Patches und Bugfixes enthält, aber deren Funktionen begrenzt sind, um die langfristige Stabilität der Plattform zu gewährleisten. Weitere Informationen zur Strategie von Axis zur Firmware-Entwicklung finden Sie im Whitepaper zur Firmwareverwaltung von Axis.

Empfohlene Richtlinien und Verfahren
Die Firmware für Hardwaregeräte muss auf dem neuesten Stand sein. Prozesse können mit der integrierten Firmware-Update-Funktion in AXIS Camera Station Pro oder AXIS Device Manager Extend verwenden, um zu ermitteln, ob neue Firmware-Versionen für Axis Geräte verfügbar sind. Es sollte ein Zeitplan festgelegt werden, in der Regel außerhalb der Geschäftszeiten, um alle Firmware-Aktualisierungen für alle Kameras bereitzustellen. AXIS Camera Station Pro / AXIS Device Manager Extend kann auch überprüfen, ob die Firmware-Aktualisierungen angenommen wurden. Wenn das System über spezifische Integrationen verfügt, die von der Aktualisierung betroffen sein könnten, sollten Sie eine LTS-Firmware-Verfolgung standardisieren.

Netzwerksicherheit

Richtlinien für Fernzugriff

Geräte und Dienste, die dem Internet ausgesetzt sind, erhöhen das Risiko, dass externe Gegenspieler bekannte Sicherheitslücken überprüfen oder ausnutzen. Kameras, die dem Internet ausgesetzt sind, z. B. von kleinen Organisationen, die einen Fernzugriff auf Video benötigen, werden leicht attackiert, wenn schwache Kennwörter verwendet oder eine neue kritische Schwachstelle entdeckt wird. Der Fernzugriff auf die Windows-Umgebung sollte nach Möglichkeit streng gesteuert oder verhindert werden. In der Windows-Umgebung ist möglicherweise eine Internetverbindung erforderlich, um Systeme zu aktualisieren. Die Remotedesktopdienste wie Windows Remote Desktop, TeamViewer und AnyDesk führen jedoch zu Pfaden, mit denen sie Zugriff auf Ihr System erhalten, wenn sie nicht ordnungsgemäß verwaltet werden.

Empfohlene Richtlinien und Verfahren
Legen Sie niemals die IP-Adresse/den Port einer Kamera so offen, dass direkt über das Internet darauf zugegriffen werden kann. Falls ein Fernzugriff auf Video erforderlich ist, verwenden Sie Axis Secure Remote Access. AXIS Camera Station Pro verwendet einen cloudbasierten Fernzugriffsserver, der den verschlüsselten Fernzugriff auf das System über den AXIS Camera Station Pro Client oder die AXIS Camera Station ermöglicht. Der Fernzugriffsserver ist nicht nur für die Verbindungsverwaltung für Remote-Benutzer und Mobilgeräte zuständig, sondern spielt auch beim Schutz der Integrität bei der Verwendung durch Remote-Benutzer eine wichtige Rolle. Weitere Informationen zu Axis Secure Remote Access finden Sie hier. Axis bietet offiziell gebrandete mobile Anwendungen für Android und Apple iOS an. Die mobile App AXIS Camera Station sollte nur von offiziellen Quellen, dem Google Play Store bzw. dem Apple App Store, heruntergeladen werden.

Wenn es um den Fernzugriff auf Desktops in der Windows-Umgebung geht, wird davon abgeraten, diesen Zugang zu einem System zu ermöglichen, auf dem AXIS Camera Station Pro ausgeführt wird. Wenn dies erforderlich ist, muss jedoch mit äußerster Sorgfalt sichergestellt werden, dass die Desktop-Anwendung Ihrer Wahl sicher ist und nur den Personen zugänglich ist, die sie benötigen. Es wird empfohlen, zusätzliche Ebenen von Steuerelementen wie die Multi-Authentifizierung (MFA) zu implementieren. Es wird dringend empfohlen, die Personen und zu welchen Zeitpunkten der Fernzugriff auf die Windows-Umgebung erfolgt, nachzuverfolgen und zu kontrollieren.

Richtlinie zur lokalen Sichtbarkeit im Netzwerk

Eine Verringerung der lokalen Sichtbarkeit im Netzwerk kann dazu beitragen, viele gängige Bedrohungen durch Reduzierung der Angriffsfläche zu verringern. Es gibt viele Möglichkeiten, die Sichtbarkeit im Netzwerk zu reduzieren, einschließlich physischer Netzwerksegmentierung (separate Netzwerkhardware und Kabel), logische Netzwerksegmentierung über virtuelle LANs (VLANs) und IP-Filterung. Die Kameras von Axis unterstützen einen IP-Filter (IP-Tabellen), sodass das Gerät nur auf Verbindungsanfragen von zulässigen IP-Adressen reagiert.

Empfohlene Richtlinien und Verfahren
AXIS Camera Station S22 NVRs sind Hardwareserver mit dualen Netzwerkports. Einer der Ports erstellt ein segmentiertes Netzwerk für Kameras, der andere verbindet sich mit dem primären Netzwerk (Domain), um Videoclients zu bedienen. Der Server fungiert als Brücke und Firewall zum Kamera-Netzwerk und verhindert, dass Clients direkt auf Kameras zugreifen können. Dies verringert die Bedrohung durch Kontrahenten im primären Netzwerk.

Wenn sich AXIS Camera Station Pro Server und Kameras alle im primären Netzwerk befinden, wird empfohlen, den IP-Filter der Kamera zu konfigurieren, um den Zugriff nur auf die AXIS Camera Station Pro Server, den AXIS Device Manager und weitere Wartungsclients zu begrenzen.

Richtlinie zur Netzwerkverschlüsselung

Netzwerk-Datenverkehr, der über unsichere Netzwerke übertragen wird, sollte stets verschlüsselt werden. Das Internet wird als unsicheres Netzwerk eingestuft. Ein lokales Netzwerk kann auch als ungesichert eingestuft werden. Daher sollte auch der Netzwerkverkehr verschlüsselt werden. Welche Richtlinien für den Videoverkehr im Netzwerk gelten, hängt von der Einstufung des Videos und dem Risiko eines Netzwerkzugriffs auf das Videosystem ab. Es wird empfohlen, davon auszugehen, dass das Netzwerk bereits gefährdet ist. Größere Organisationen verfügen normalerweise über eine Richtlinie, die definiert, wie das Netzwerk klassifiziert wird.

Empfohlene Richtlinien und Verfahren

Der Datenverkehr zwischen Videoclient und AXIS Camera Station Pro Server muss verschlüsselt werden. Der Datenverkehr zwischen AXIS Camera Station Pro Server und Kameras sollte je nach Infrastruktur verschlüsselt werden. Axis Kameras sind mit einem eigensigniertem Zertifikat und HTTPS in der Standardeinstellung aktiviert. Wenn die Gefahr einer Netzwerk-Vortäuschung besteht, z. B. wenn ein böswilliger Computer die Identität einer Kamera vortäuscht, sollte eine private Schlüsselinfrastruktur (PKI) mit CA-signierten Zertifikaten verwendet werden. AXIS Camera Station Pro verfügt über eine integrierte lokale Zertifizierungsstelle (CA), die das Signieren und Verteilen von Serverzertifikaten für Axis Geräte kostengünstig verwalten kann.

TLS-Version:

Wir empfehlen, die TLS-Versionen 1.1 und 1.0 zu deaktivieren. Das Installationsprogramm der AXIS Camera Station bietet Unterstützung bei der Installation oder Verbesserung.

HTTPS-Verschlüsselungen

AXIS Camera Station Pro unterstützt und verwendet TLS-Verschlüsselungssuites, um HTTPS-Verbindungen sicher zu verschlüsseln. Die spezifische Verschlüsselungssuite hängt vom Client ab, der mit AXIS Camera Station Pro verbunden ist oder dem kontaktierten Dienst, und erfolgt via AXIS Camera Station Pro gemäß dem TLS-Protokoll. Wir empfehlen, Windows so zu konfigurieren, dass die in RFC 7540 aufgeführten TLS 1.2-Verschlüsselungssammlungen nicht verwendet werden. Die Möglichkeit, eine Verschlüsselungssammlung zu deaktivieren, hängt von den Geräten und Kameras ab, die zusammen mit AXIS Camera Station Proverwendet werden. Wenn ein Gerät oder eine Kamera eine bestimmte Verschlüsselungssuite erfordert, ist es möglicherweise nicht möglich, die schwache Verschlüsselungssuite zu deaktivieren.

Datenverwaltung

Installation

AXIS Camera Station Pro ermöglicht die Installation in einem Ordner außerhalb des Standardverzeichnisses für Programmdateien. Dies kann jedoch zu weniger strengen Zugriffskontrollen führen, was potenzielle Sicherheitsrisiken birgt. Wir empfehlen, den Standard-Installationspfad zu verwenden oder die Zugriffsrechte des gewählten Ordners zu überprüfen.

Hinweis

Wenn Sie den Standort für Datenbanksicherungen ändern, verwenden Sie einen sicheren Ort mit begrenztem Zugriff. Eine Netzfreigabe mit breitem Zugriff ist weniger sicher.

Videoklassifizierung

Live-Video und aufgezeichnetes Video sollte klassifiziert werden. Video kann als öffentlich, privat, eingeschränkt oder als beliebige andere, durch eine Richtlinie der Organisation definierte Klasse klassifiziert werden. In vielen Fällen sind Videoaufnahmen gesetzlichen und regionalen Vorschriften sowie internen IT-Richtlinien unterliegen. Es obliegt daher der Verantwortung des Systembetreibers, sich der Gesetze und Bestimmungen für die Videodaten bewusst zu sein.

Empfohlene Richtlinien und Verfahren
Klassifizieren von Live-Video, aufgezeichnetem Video und Audio in Übereinstimmung mit Datenklassifizierungsrichtlinien. Konfigurieren Sie die Benutzerzugriffsrechte und das Härten des Systems entsprechend der Empfindlichkeit der Video- und Audiodaten. Falls nicht erforderlich, kann Audio auf Geräteebene deaktiviert werden.

Zusätzliche Sicherheitskontrollen

Je nach Ausgereiftheitsgrad und Risikobereitschaft Ihrer Organisation werden von CIS Controls v8 mehrere zusätzliche Sicherheitskontrollen genannt, die wir zur Verringerung von Cybersicherheitsrisiken im täglichen Betrieb empfehlen.

Zusätzliche CIS-Steuerelemente:

Control 8: Verwaltung der Prüfprotokolle
Erfassen, Alarmieren, Überprüfen und Speichern der Prüfprotokolle von Ereignissen, die das Erkennen, Verstehen und die Erholung von Angriffen unterstützen.

Control 14: Implementierung eines Programms zur Sensibilisierung und Schulung für Sicherheitsfragen
Verstehen Sie die Fähigkeiten und Verhaltensweisen Ihrer Mitarbeiter. Die Mitarbeiter schulen, wie unterschiedliche Formen von Angriffen identifiziert werden können.

Control 17: Reaktion auf und Verwaltung von Ereignissen
Verwendung von schriftlichen Plänen für die Reaktion auf Vorfälle mit klar definierten Phasen für die Behandlung/Verwaltung von Vorfällen und die Rolle des Personals sowie für die Meldung eines Sicherheitsvorfalls an die zuständigen Behörden und Dritte.