Im Dialog Webserver können Sie alle Einstellungen bearbeiten, die den Webserver der Kamera betreffen.
Weitere Informationen zum Arbeiten mit Zertifikaten finden Sie im Abschnitt Vorgehensweisen zur Verwendung und Erzeugung von X.509-Zertifikaten.
Parameter | Beschreibung | ||||
---|---|---|---|---|---|
Port bzw. Ports für den Webserver |
In der werkseitigen Voreinstellung ist die Kamera über Port 80 (Standard-Port für HTTP-Anfragen) des Webservers zu erreichen. Wenn es jedoch erforderlich ist, dass die Kamera über das lokale Netzwerk (Intranet) und das Internet erreichbar ist, kann der Webserver der Kamera aus Sicherheitsgründen über zwei Ports angesprochen werden, um Intranet und Internet sauber zu trennen. Beispiel: Im lokalen Netz soll die Kamera über Port 80 erreichbar sein und z. B. in eine Multiview-Seite integriert werden. Der Zugriff aus dem Internet erfolgt über einen Router, der Portmapping auf die Kamera ausführt. Da Port 80 bereits im Intranet verwendet wird, leitet der Router Zugriffe aus dem Internet auf einen anderen Port der Kamera (z. B. 8080). Für die Ports wären in einem solchen Fall die Werte 80 und 8080 einzutragen. Ändern Sie diese Einstellung nur, wenn Sie sich der daraus resultierenden Konsequenzen bewusst sind. Eine falsche Einstellung kann dazu führen, dass die Kamera nicht mehr erreichbar ist.
|
||||
HTTP aktivieren |
Wählen Sie diese Einstellung, um unverschlüsselte Verbindungen zum Webserver zu ermöglichen. Der Webserver öffnet in diesem Fall die unter Port bzw. Ports für den Webserver festgelegten Ports für HTTP-Anfragen. Hinweis: Stellen Sie sicher, dass immer wenigstens eine der Optionen HTTP aktivieren bzw. HTTPS aktivieren aktiviert ist, da der Webserver der Kamera sonst nicht mehr reagiert. |
Parameter | Beschreibung |
---|---|
HTTPS aktivieren |
Wählen Sie diese Einstellung, um verschlüsselte Verbindungen zum Webserver zu ermöglichen. Der Webserver öffnet in diesem Fall den unter SSL/TLS-Port für HTTPS-Server festgelegten Port für HTTPS-Anfragen. Hinweis: Stellen Sie sicher, dass immer wenigstens eine der Optionen HTTP aktivieren bzw. HTTPS aktivieren aktiviert ist, da der Webserver der Kamera sonst nicht mehr reagiert. |
SSL/TLS-Port für HTTPS-Server | Legen Sie den TCP-Port für SSL-Verbindungen hier fest. Es ist nur ein Port für HTTPS möglich. Ist das Feld leer und HTTPS aktivieren aktiviert, öffnet der Webserver Port 443 für HTTPS (Standard-Port). |
X.509-Zertifikat herunterladen | Dieser Button erscheint nur, wenn die Kamera über ein individuelles X.509-Zertifikat verfügt. Verwenden Sie diesen Button, um das derzeitig vom Webserver benutzte X.509-Zertifikat und den dazugehörigen privaten Schlüssel im PEM-Dateiformat auf den lokalen Rechner herunterzuladen. |
X.509-Zertifikat-Anfragedatei herunterladen | Dieser Button erscheint nur, wenn die Kamera zuvor eine Zertifikat-Anfrage (siehe Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen) generiert hat. Verwenden Sie diesen Button, um eine Zertifikat-Anfrage im PEM-Dateiformat auf den lokalen Rechner herunterzuladen, die zu dem selbst generierten privaten Schlüssel passt. Diese Zertifikat-Anfrage kann von einer externen Zertifikat-Autorität signiert und das resultierende X.509-Zertifikat in die Kamera hochgeladen werden (siehe Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen). |
In diesem Abschnitt werden die Daten des aktuell von der Kamera verwendeten Zertifikats angezeigt.
Parameter | Beschreibung |
---|---|
Herausgeber |
Listet die Informationen der zertifizierenden Stelle auf. Die Kodierung der Angaben entspricht den Feldern im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen. |
Betreff |
Listet die Informationen der zertifizierten Stelle auf. Die Kodierung der Angaben entspricht den Feldern im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen. |
Gültigkeit | Zeigt die Gültigkeitsdauer des verwendeten Zertifikats an. |
Parameter | Beschreibung |
---|---|
X.509-Zertifikat löschen | Löscht das aktuell verwendete X.509-Zertifikat und den dazugehörigen privaten Schlüssel. Nach einem Neustart der Kamera verwendet diese wieder das selbstsignierte X.509-Zertifikat der Kamera (Auslieferungszustand). |
X.509-Zertifikat und privaten Schlüssel hochladen | Ersetzt das derzeit verwendete X.509-Zertifikat und den dazugehörigen privaten Schlüssel. Dieses X.509-Zertifikat und der dazugehörige private Schlüssel müssen von einer externen Zertifikat-Autorität erzeugt und signiert sein. |
X.509-Zertifikat hochladen | Ersetzt das derzeit verwendete X.509-Zertifikat und behält den derzeitig verwendeten privaten Schlüssel bei. Verwenden Sie diese Funktion, um ein X.509-Zertifikat hochzuladen, das aus einer zuvor von dieser Kamera erzeugten Zertifikat-Anfrage generiert wurde (siehe Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen). |
Generieren | Erzeugt aus den im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen Daten ein neues, selbstsigniertes X.509-Zertifikat, den dazu passenden privaten Schlüssel und eine Zertifikat-Anfrage. |
Datei mit X.509-Zertifikat hochladen | Um ein X.509-Zertifikat hochzuladen, geben Sie hier den Dateinamen der Zertifikatdatei im PEM-Dateiformat auf ihrem lokalen Rechner an. Falls Sie ein X.509-Zertifikat und den dazu passenden privaten Schlüssel hochladen möchten und beide in der selben Datei gespeichert sind, geben Sie diese Datei hier an. |
Datei mit X.509-Privatschlüssel hochladen | Um einen zu obigem X.509-Zertifikat passenden privaten Schlüssel hochzuladen, geben Sie hier den Dateinamen der Datei im PEM-Dateiformat auf ihrem lokalen Rechner an. Falls Sie ein X.509-Zertifikat und den dazu passenden privaten Schlüssel hochladen möchten und beide in der selben Datei gespeichert sind, geben Sie diese Datei hier an. |
Passphrase | Wenn der private Schlüssel mit einer Passphrase gesichert ist, geben Sie dieses bitte hier an. |
Die Datenfelder der Eingabemaske entsprechen den Datenfeldern eines X.509-Zertifikats.
Parameter | Beschreibung |
---|---|
Allgemeiner Name |
Abkürzung: CN. Dies ist die einzige unbedingt notwendige Angabe in diesem Abschnitt des Dialogs. Geben Sie den vollständigen DNS-Namen (Fully Qualified Domain Name) der Kamera an. Es ist auch möglich, eine IP-Adresse anzugeben, dies wird jedoch nicht empfohlen. Achten Sie darauf, dass die Angabe in diesem Feld mit dem DNS-Namen übereinstimmt, unter dem Sie die Kamera in einem Webbrowser ansprechen, da das Zertifikat ansonsten ungültig ist. |
Land |
Abkürzung: C. Nationalität des Zertifikatbesitzers (optional). |
Bundesland oder Provinz |
Abkürzung: ST. Bundesstaat bzw. Bundesland des Zertifikatbesitzers (optional). |
Ort |
Abkürzung: L. Wohnort bzw. Standort des Zertifikatbesitzers (optional). |
Organisation |
Abkürzung: O. Firma, Organisation, etc. des Zertifikatbesitzers (optional). |
Organisationseinheit |
Abkürzung: OU. Abteilung bzw. Arbeitsgruppe des Zertifikatbesitzers (optional). |
E-Mail-Adresse |
E-Mail-Adresse des Zertifikatbesitzers (in CN enthalten, optional). |
Hinweis: Soll eine mit dieser Funktion erzeugte Zertifikat-Anfrage von einer externen Zertifikat-Autorität signiert werden, sind die Richtlinien für optionale und notwendige Datenfelder dieser Zertifikat-Autorität maßgeblich, nicht die Vorgaben dieser Eingabemaske. Das selbstsignierte X.509-Zertifikat hat eine Laufzeit von 10 Jahren. Das Schlüsselpaar hat eine Länge von 2048 Bit.
Die in diesem Dialog verwendeten X.509-Zertifikate haben keinerlei Auswirkungen auf andere Bereiche der Kamera und werden ignoriert, wenn HTTPS mit SSL/TLS nicht aktiviert ist.
Sobald HTTPS aktiviert und die Kamera neu gestartet wurde, ist HTTPS verfügbar. Die Kamera nutzt dabei ein werkseitig vorgegebenes, selbstsigniertes X.509-Zertifikat, das bei allen MOBOTIX-Kameras identisch ist. Dieses Zertifikat sichert die Datenübertragung nur grob und kann die Authentizität der Kamera nicht garantieren. Daher ist es für einen Angreifer möglich, den Datenstrom zu manipulieren, auch wenn ein hochwertiges Verschlüsselungsverfahren zum Einsatz kommt ("Man in the middle"-Angriff).
Klicken Sie hierzu im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen auf Generieren und füllen Sie die Datenfelder im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen aus. Klicken Sie anschließend auf Setzen. Die Kamera erstellt jetzt ein für diese Kamera individuelles, selbstsigniertes X.509-Zertifikat (dieser Vorgang dauert einige Zeit). Die gleichzeitig erzeugte Zertifikat-Anfrage wird nicht weiter benötigt. Nach dem nächsten Neustart nutzt die Kamera das neu erstellte X.509-Zertifikat.
Hinweis: Stellen Sie sicher, dass Sie die Konfiguration vor Neustart der Kamera sichern (Setzen, dann Schließen klicken und Bestätigung der Abfrage).
Beim ersten Zugriff auf die Kamera nach dem Neustart wird Ihr Webbrowser Ihnen mitteilen, dass er das Zertifikat nicht verifizieren kann und Sie fragen, ob Sie dieses Zertifikat dennoch akzeptieren möchten. Dieser Schritt ist sicherheitsrelevant: Akzeptieren Sie das Zertifikat nur, wenn Sie durch andere Maßnahmen garantieren können, dass Sie wirklich mit der gewünschten Kamera verbunden sind (z. B. direkte Verbindung Rechner - Kamera über Crossover-Kabel). Dieser Vorgang des Akzeptierens ist für jede Kamera erneut durchzuführen. Dieses Zertifikat sichert die Datenübertragung ausreichend, aber noch nicht optimal. Die Authentizität der Kamera kann nur verifiziert werden, wenn das Zertifikat der Kamera bereits im Vorhinein bekannt ist.
Variante 1: Sie können ein X.509-Zertifikat und den privaten Schlüssel in die Kamera hochladen. Nutzen Sie dazu die Funktion X.509-Zertifikat und privaten Schlüssel hochladen im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen. Sie können X.509-Zertifikat und privaten Schlüssel bei einer externen Zertifikat-Autorität kaufen oder Sie können eine eigene private Zertifikat-Autorität betreiben, z. B. auf Basis von OpenSSL. In diesem Fall ist es nicht nötig, vorher eine Zertifikat-Anfrage zu generieren. Eine eventuell in der Kamera vorhandene Zertifikat-Anfrage wird beim Ausführen dieser Funktion gelöscht. Jede Kamera benötigt ein individuelles Zertifikat von der Zertifikat-Autorität.
Variante 2: Sie erzeugen mit der Kamera eine Zertifikat-Anfrage. Die Zertifikat-Anfrage wird gemeinsam mit dem selbstsignierten X.509-Zertifikat erstellt (siehe HTTPS mit individuellem, selbstsigniertem X.509-Zertifikat). Sobald die Zertifikat-Anfrage erzeugt wurde, können Sie diese herunterladen, indem Sie im Abschnitt Webserver hinter X.509-Zertifikat-Anfragedatei herunterladen auf den Button Herunterladen klicken. Senden Sie diese Zertifikat-Anfrage zur Signierung an ihre Zertifikat-Autorität. Bis Sie das X.509-Zertifikat von der Zertifikat-Autorität erhalten, nutzt die Kamera ihr selbstsigniertes X.509-Zertifikat.
Laden Sie das von der Zertifikat-Autorität ausgestellte X.509-Zertifikat mit der Funktion Datei mit X.509-Zertifikat hochladen im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen in die gewünschte Kamera. Diese Variante hat den Vorteil, dass der private Schlüssel die Kamera nicht verlässt, was dessen Vertrauenswürdigkeit erhöht. Jede Kamera benötigt ein individuelles Zertifikat von der Zertifikat-Autorität. Zertifikat-Anfrage, Zertifikat und der private Schlüssel bilden eine Einheit. Es ist nicht möglich, ein Zertifikat in eine Kamera zu laden, das aus der Zertifikat-Anfrage einer anderen Kamera generiert wurde.
Ein solches Zertifikat sichert die Datenübertragung optimal, da die Authentizität der Kamera anhand des Root-Zertifikats der Zertifikat-Autorität verifiziert werden kann; "Man in the middle"-Angriffe sind nicht mehr möglich. Es ist darüber hinaus auch nicht nötig, dem Browser jede Kamera einzeln bekannt zu machen, wie bei der Verwendung eines selbstsignierten X.509-Zertifikats. Es muss lediglich einmal das Root-Zertifikat der Zertifikat-Autorität in den Browser geladen werden. Die Root-Zertifikate kommerzieller Zertifikat-Autoritäten sind i.d.R. schon fest in die Browser eingebaut.
Parameter | Beschreibung | ||
---|---|---|---|
Intrusion Detection aktivieren | Diese Einstellung ermöglicht die Abwehr von unerwünschten Angreifern. Für den Fall, dass ein Angreifer versuchen sollte, Benutzernamen und Kennwörter der Kamera mit "Brute Force"-Methoden zu erraten, kann die Kamera nach einer gewissen Anzahl von Fehlversuchen eine Alarmierung auslösen und ggf. den Zugriff auf die Kamera automatisch sperren. | ||
Benachrichtigungsschwelle |
Die Benachrichtigungsschwelle legt die Anzahl zulässiger Fehlversuche bei der Anmeldung fest (Mindestwert
ist 5). Eine Alarmierung erfolgt, sobald diese Zahl überschritten wird.
|
||
Zeitüberschreitung |
Aufeinanderfolgende Zugriffe eines Benutzers auf eine URL werden zusammengefasst und intern als ein einzelner
Eintrag in der Webserver-Logdatei gespeichert. In diesem
Eintrag wird nur gespeichert, wann der erste sowie der letzte Zugriff erfolgte und wieviele Zugriffe dieses
Benutzers insgesamt in dieser Zeitspanne aufgezeichnet wurden. Erfolgt ein erneuter Zugriff eines Benutzers
innerhalb der Zeitspanne Zeitüberschreitung nach dem letzten Zugriff, wird dieser erneute Zugriff zu dem
schon vorhandenen Eintrag in der Webserver-Logdatei hinzugefügt (Zugriffszähler um eins erhöhen, Datum und
Uhrzeit des letzten Zugriffs aktualisieren). Erfolgt der erneute Zugriff des Benutzers nach Ablauf der Zeitüberschreitung, erzeugt dieser Zugriff einen neuen, separaten Eintrag in der Webserver-Logdatei. Dies gilt für berechtigte und unberechtige Zugriffe. Eine Zeitüberschreitung von wenigen Minuten trennt die einzelnen Zugriffsversuche deutlicher voneinander. Dies erhöht allerdings auch die Gefahr von Fehlalarmen, da ein erfolgreicher Zugriff nicht mehr einem vorangegangenen Fehlversuch zugeordnet werden kann. Der Standardwert ist 60 Minuten und stellt einen guten Kompromiss dar. |
||
Totzeit | Die Totzeit ist die Mindestzeit zwischen zwei Alarmierungen. Nach erfolgter Benachrichtigung erfolgt eine erneute Alarmierung erst, wenn diese Zeit abgelaufen ist und wieder die Anzahl vergeblicher Anmeldeversuche überschritten wurde. Der Standardwert ist 60 Minuten. Ein Wert von 0 verursacht eine Alarmierung bei jedem fehlgeschlagenen Anmeldeversuch. | ||
IP-Adresse blockieren |
Wurde die IP-basierte Zugriffsbeschränkung
aktiviert, kann die Funktion IP-Adresse blockieren verwendet werden, um die IP-Adresse, von der aus die
fehlgeschlagenen Anmeldeversuche unternommen wurden, automatisch zu sperren. Die Sperrung ist temporär bis zum
nächsten Neustart der Kamera und erfolgt bei Erreichen der Benachrichtigungsschwelle.
|
||
Benachrichtigung per E-Mail |
Sendet eine E-Mail anhand der im jeweiligen E-Mail-Profil festgelegten Adress- und Anmeldeinformationen.
|
||
Telefonanruf | Setzt einen Anruf anhand der im jeweiligen Telefonprofil festgelegten Optionen ab. | ||
Netzwerkmeldung | Sendet eine Netzwerknachricht anhand der im jeweiligen Profil für Netzwerkmeldungen festgelegten Adress- und Anmeldeinformationen. |
Anmerkung: | Die Alarmierung der Intrusion Detection ist unabhängig von den anderen Alarmierungsmechanismen und der
Ereignisspeicherung der Kamera. Soll eine Alarmierung durch Intrusion Detection in der Ereignisspeicherung
für Bilder der Kamera erscheinen, gehen Sie wie folgt vor:
Konfiguration sichernKlicken Sie auf Setzen, um die Einstellungen zu aktivieren und bis zum nächsten Neustart der Kamera zu sichern. Klicken Sie auf Voreinstellung, um diesen Dialog auf die werkseitigen Voreinstellungen zurückzusetzen (dieser Button wird nicht in allen Dialogen angezeigt). Klicken Sie auf Zurückholen, um alle Änderungen seit dem letzten permanenten Speichern der Konfiguration zu verwerfen. Beenden Sie den Dialog durch Klick auf Schließen. Hierbei wird geprüft, ob Änderungen der Gesamtkonfiguration vorliegen. Ist dies der Fall, werden Sie gefragt, ob die Gesamtkonfiguration dauerhaft gesichert werden soll. Zum Aktivieren der neuen Einstellungen speichern Sie die Konfiguration und führen einen Neustart der Kamera durch!
© 2001-2024 MOBOTIX AG, Germany · http://www.mobotix.com/ |
---|