Inhaltsverzeichnis   MOBOTIX Online-Hilfe

Webserver

Im Dialog Webserver können Sie alle Einstellungen bearbeiten, die den Webserver der Kamera betreffen.

Weitere Informationen zum Arbeiten mit Zertifikaten finden Sie im Abschnitt Vorgehensweisen zur Verwendung und Erzeugung von X.509-Zertifikaten.

Allgemeine Konfiguration

Parameter Beschreibung
Port bzw. Ports für den Webserver

In der werkseitigen Voreinstellung ist die Kamera über Port 80 (Standard-Port für HTTP-Anfragen) des Webservers zu erreichen.

Wenn es jedoch erforderlich ist, dass die Kamera über das lokale Netzwerk (Intranet) und das Internet erreichbar ist, kann der Webserver der Kamera aus Sicherheitsgründen über zwei Ports angesprochen werden, um Intranet und Internet sauber zu trennen.

Beispiel:

Im lokalen Netz soll die Kamera über Port 80 erreichbar sein und z. B. in eine Multiview-Seite integriert werden. Der Zugriff aus dem Internet erfolgt über einen Router, der Portmapping auf die Kamera ausführt. Da Port 80 bereits im Intranet verwendet wird, leitet der Router Zugriffe aus dem Internet auf einen anderen Port der Kamera (z. B. 8080).

Für die Ports wären in einem solchen Fall die Werte 80 und 8080 einzutragen.

Ändern Sie diese Einstellung nur, wenn Sie sich der daraus resultierenden Konsequenzen bewusst sind. Eine falsche Einstellung kann dazu führen, dass die Kamera nicht mehr erreichbar ist.

Hinweise: Eine Änderung dieser Einstellung wird erst nach einem Neustart wirksam.
  Werden keine Ports festgelegt, ist die Kamera auf dem Standard-Port 80 im Webbrowser erreichbar.
HTTP aktivieren

Wählen Sie diese Einstellung, um unverschlüsselte Verbindungen zum Webserver zu ermöglichen. Der Webserver öffnet in diesem Fall die unter Port bzw. Ports für den Webserver festgelegten Ports für HTTP-Anfragen.

Hinweis: Stellen Sie sicher, dass immer wenigstens eine der Optionen HTTP aktivieren bzw. HTTPS aktivieren aktiviert ist, da der Webserver der Kamera sonst nicht mehr reagiert.
HTTPS aktivieren

Wählen Sie diese Einstellung, um verschlüsselte Verbindungen zum Webserver zu ermöglichen. Der Webserver öffnet in diesem Fall den unter SSL/TLS-Port für HTTPS-Server festgelegten Port für HTTPS-Anfragen.

Hinweis: Stellen Sie sicher, dass immer wenigstens eine der Optionen HTTP aktivieren bzw. HTTPS aktivieren aktiviert ist, da der Webserver der Kamera sonst nicht mehr reagiert.
SSL/TLS-Port für HTTPS-Server Legen Sie den TCP-Port für SSL-Verbindungen hier fest. Es ist nur ein Port für HTTPS möglich. Ist das Feld leer und HTTPS aktivieren aktiviert, öffnet der Webserver Port 443 für HTTPS (Standard-Port).
X.509-Zertifikat herunterladen Dieser Button erscheint nur, wenn die Kamera über ein individuelles X.509-Zertifikat verfügt. Verwenden Sie diesen Button, um das derzeitig vom Webserver benutzte X.509-Zertifikat und den dazugehörigen privaten Schlüssel im PEM-Dateiformat auf den lokalen Rechner herunterzuladen.
X.509-Zertifikat-Anfragedatei herunterladen Dieser Button erscheint nur, wenn die Kamera zuvor eine Zertifikat-Anfrage (siehe Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen) generiert hat. Verwenden Sie diesen Button, um eine Zertifikat-Anfrage im PEM-Dateiformat auf den lokalen Rechner herunterzuladen, die zu dem selbst generierten privaten Schlüssel passt. Diese Zertifikat-Anfrage kann von einer externen Zertifikat-Autorität signiert und das resultierende X.509-Zertifikat in die Kamera hochgeladen werden (siehe Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen).

Von der Kamera verwendetes X.509-Zertifikat und privater Schlüssel

In diesem Abschnitt werden die Daten des aktuell von der Kamera verwendeten Zertifikats angezeigt.

Parameter Beschreibung
Herausgeber

Listet die Informationen der zertifizierenden Stelle auf. Die Kodierung der Angaben entspricht den Feldern im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen.

Betreff

Listet die Informationen der zertifizierten Stelle auf. Die Kodierung der Angaben entspricht den Feldern im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen.

Gültigkeit Zeigt die Gültigkeitsdauer des verwendeten Zertifikats an.

Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen

Parameter Beschreibung
X.509-Zertifikat löschen Löscht das aktuell verwendete X.509-Zertifikat und den dazugehörigen privaten Schlüssel. Nach einem Neustart der Kamera verwendet diese wieder das selbstsignierte X.509-Zertifikat der Kamera (Auslieferungszustand).
X.509-Zertifikat und privaten Schlüssel hochladen Ersetzt das derzeit verwendete X.509-Zertifikat und den dazugehörigen privaten Schlüssel. Dieses X.509-Zertifikat und der dazugehörige private Schlüssel müssen von einer externen Zertifikat-Autorität erzeugt und signiert sein.
X.509-Zertifikat hochladen Ersetzt das derzeit verwendete X.509-Zertifikat und behält den derzeitig verwendeten privaten Schlüssel bei. Verwenden Sie diese Funktion, um ein X.509-Zertifikat hochzuladen, das aus einer zuvor von dieser Kamera erzeugten Zertifikat-Anfrage generiert wurde (siehe Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen).
Generieren Erzeugt aus den im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen Daten ein neues, selbstsigniertes X.509-Zertifikat, den dazu passenden privaten Schlüssel und eine Zertifikat-Anfrage.
Datei mit X.509-Zertifikat hochladen Um ein X.509-Zertifikat hochzuladen, geben Sie hier den Dateinamen der Zertifikatdatei im PEM-Dateiformat auf ihrem lokalen Rechner an. Falls Sie ein X.509-Zertifikat und den dazu passenden privaten Schlüssel hochladen möchten und beide in der selben Datei gespeichert sind, geben Sie diese Datei hier an.
Datei mit X.509-Privatschlüssel hochladen Um einen zu obigem X.509-Zertifikat passenden privaten Schlüssel hochzuladen, geben Sie hier den Dateinamen der Datei im PEM-Dateiformat auf ihrem lokalen Rechner an. Falls Sie ein X.509-Zertifikat und den dazu passenden privaten Schlüssel hochladen möchten und beide in der selben Datei gespeichert sind, geben Sie diese Datei hier an.
Passphrase Wenn der private Schlüssel mit einer Passphrase gesichert ist, geben Sie dieses bitte hier an.

Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen

Die Datenfelder der Eingabemaske entsprechen den Datenfeldern eines X.509-Zertifikats.

Parameter Beschreibung
Allgemeiner Name

Abkürzung: CN. Dies ist die einzige unbedingt notwendige Angabe in diesem Abschnitt des Dialogs. Geben Sie den vollständigen DNS-Namen (Fully Qualified Domain Name) der Kamera an. Es ist auch möglich, eine IP-Adresse anzugeben, dies wird jedoch nicht empfohlen. Achten Sie darauf, dass die Angabe in diesem Feld mit dem DNS-Namen übereinstimmt, unter dem Sie die Kamera in einem Webbrowser ansprechen, da das Zertifikat ansonsten ungültig ist.

Land

Abkürzung: C. Nationalität des Zertifikatbesitzers (optional).

Bundesland oder Provinz

Abkürzung: ST. Bundesstaat bzw. Bundesland des Zertifikatbesitzers (optional).

Ort

Abkürzung: L. Wohnort bzw. Standort des Zertifikatbesitzers (optional).

Organisation

Abkürzung: O. Firma, Organisation, etc. des Zertifikatbesitzers (optional).

Organisationseinheit

Abkürzung: OU. Abteilung bzw. Arbeitsgruppe des Zertifikatbesitzers (optional).

E-Mail-Adresse

E-Mail-Adresse des Zertifikatbesitzers (in CN enthalten, optional).


Hinweis: Soll eine mit dieser Funktion erzeugte Zertifikat-Anfrage von einer externen Zertifikat-Autorität signiert werden, sind die Richtlinien für optionale und notwendige Datenfelder dieser Zertifikat-Autorität maßgeblich, nicht die Vorgaben dieser Eingabemaske. Das selbstsignierte X.509-Zertifikat hat eine Laufzeit von 10 Jahren. Das Schlüsselpaar hat eine Länge von 2048 Bit.

Vorgehensweisen zur Verwendung und Erzeugung von X.509-Zertifikaten

HTTPS mit SSL/TLS wird nicht verwendet

Die in diesem Dialog verwendeten X.509-Zertifikate haben keinerlei Auswirkungen auf andere Bereiche der Kamera und werden ignoriert, wenn HTTPS mit SSL/TLS nicht aktiviert ist.

HTTPS mit dem werkseitigen X.509-Zertifikat

Sobald HTTPS aktiviert und die Kamera neu gestartet wurde, ist HTTPS verfügbar. Die Kamera nutzt dabei ein werkseitig vorgegebenes, selbstsigniertes X.509-Zertifikat, das bei allen MOBOTIX-Kameras identisch ist. Dieses Zertifikat sichert die Datenübertragung nur grob und kann die Authentizität der Kamera nicht garantieren. Daher ist es für einen Angreifer möglich, den Datenstrom zu manipulieren, auch wenn ein hochwertiges Verschlüsselungsverfahren zum Einsatz kommt ("Man in the middle"-Angriff).

HTTPS mit individuellem, selbstsigniertem X.509-Zertifikat

Klicken Sie hierzu im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen auf Generieren und füllen Sie die Datenfelder im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen aus. Klicken Sie anschließend auf Setzen. Die Kamera erstellt jetzt ein für diese Kamera individuelles, selbstsigniertes X.509-Zertifikat (dieser Vorgang dauert einige Zeit). Die gleichzeitig erzeugte Zertifikat-Anfrage wird nicht weiter benötigt. Nach dem nächsten Neustart nutzt die Kamera das neu erstellte X.509-Zertifikat.

Hinweis: Stellen Sie sicher, dass Sie die Konfiguration vor Neustart der Kamera sichern (Setzen, dann Schließen klicken und Bestätigung der Abfrage).

Beim ersten Zugriff auf die Kamera nach dem Neustart wird Ihr Webbrowser Ihnen mitteilen, dass er das Zertifikat nicht verifizieren kann und Sie fragen, ob Sie dieses Zertifikat dennoch akzeptieren möchten. Dieser Schritt ist sicherheitsrelevant: Akzeptieren Sie das Zertifikat nur, wenn Sie durch andere Maßnahmen garantieren können, dass Sie wirklich mit der gewünschten Kamera verbunden sind (z. B. direkte Verbindung Rechner - Kamera über Crossover-Kabel). Dieser Vorgang des Akzeptierens ist für jede Kamera erneut durchzuführen. Dieses Zertifikat sichert die Datenübertragung ausreichend, aber noch nicht optimal. Die Authentizität der Kamera kann nur verifiziert werden, wenn das Zertifikat der Kamera bereits im Vorhinein bekannt ist.

HTTPS mit individuellem, extern signiertem X.509-Zertifikat

Variante 1: Sie können ein X.509-Zertifikat und den privaten Schlüssel in die Kamera hochladen. Nutzen Sie dazu die Funktion X.509-Zertifikat und privaten Schlüssel hochladen im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen. Sie können X.509-Zertifikat und privaten Schlüssel bei einer externen Zertifikat-Autorität kaufen oder Sie können eine eigene private Zertifikat-Autorität betreiben, z. B. auf Basis von OpenSSL. In diesem Fall ist es nicht nötig, vorher eine Zertifikat-Anfrage zu generieren. Eine eventuell in der Kamera vorhandene Zertifikat-Anfrage wird beim Ausführen dieser Funktion gelöscht. Jede Kamera benötigt ein individuelles Zertifikat von der Zertifikat-Autorität.

Variante 2: Sie erzeugen mit der Kamera eine Zertifikat-Anfrage. Die Zertifikat-Anfrage wird gemeinsam mit dem selbstsignierten X.509-Zertifikat erstellt (siehe HTTPS mit individuellem, selbstsigniertem X.509-Zertifikat). Sobald die Zertifikat-Anfrage erzeugt wurde, können Sie diese herunterladen, indem Sie im Abschnitt Webserver hinter X.509-Zertifikat-Anfragedatei herunterladen auf den Button Herunterladen klicken. Senden Sie diese Zertifikat-Anfrage zur Signierung an ihre Zertifikat-Autorität. Bis Sie das X.509-Zertifikat von der Zertifikat-Autorität erhalten, nutzt die Kamera ihr selbstsigniertes X.509-Zertifikat.

Laden Sie das von der Zertifikat-Autorität ausgestellte X.509-Zertifikat mit der Funktion Datei mit X.509-Zertifikat hochladen im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen in die gewünschte Kamera. Diese Variante hat den Vorteil, dass der private Schlüssel die Kamera nicht verlässt, was dessen Vertrauenswürdigkeit erhöht. Jede Kamera benötigt ein individuelles Zertifikat von der Zertifikat-Autorität. Zertifikat-Anfrage, Zertifikat und der private Schlüssel bilden eine Einheit. Es ist nicht möglich, ein Zertifikat in eine Kamera zu laden, das aus der Zertifikat-Anfrage einer anderen Kamera generiert wurde.

Ein solches Zertifikat sichert die Datenübertragung optimal, da die Authentizität der Kamera anhand des Root-Zertifikats der Zertifikat-Autorität verifiziert werden kann; "Man in the middle"-Angriffe sind nicht mehr möglich. Es ist darüber hinaus auch nicht nötig, dem Browser jede Kamera einzeln bekannt zu machen, wie bei der Verwendung eines selbstsignierten X.509-Zertifikats. Es muss lediglich einmal das Root-Zertifikat der Zertifikat-Autorität in den Browser geladen werden. Die Root-Zertifikate kommerzieller Zertifikat-Autoritäten sind i.d.R. schon fest in die Browser eingebaut.

Intrusion Detection-Einstellungen

Die Parameter im Abschnitt Intrusion Detection ermöglichen die Abwehr von unerwünschten Angreifern. Für den Fall, dass ein Angreifer versuchen sollte, Benutzernamen und Kennwörter der Kamera mit "Brute Force"-Methoden zu erraten, kann die Kamera nach einer gewissen Anzahl von Fehlversuchen eine Alarmierung auslösen und ggf. den Zugriff auf die Kamera automatisch sperren.

Wann wird eine Alarmierung ausgelöst?

Die Benachrichtigungsschwelle legt die Anzahl zulässiger Fehlversuche bei der Anmeldung fest (Mindestwert ist 5). Eine Alarmierung erfolgt, sobald diese Zahl überschritten wird.

Achtung: Auch wenn ein berechtigter Benutzer erstmalig auf eine Kamera zugreift, verursacht dies einen fehlgeschlagenen Anmeldeversuch. Durch diesen ersten Versuch erfährt der Browser des Benutzers erst, dass eine Anmeldung stattfindet und der Benutzer nach Benutzername und Kennwort gefragt werden muss. Dies ist eine prinzipielle Schwäche des HTTP-Protokolls und daher unvermeidbar.

Zeitüberschreitung und Totzeit

Aufeinanderfolgende Zugriffe eines Benutzers auf eine URL werden zusammengefasst und intern als ein einzelner Eintrag in der Webserver-Logdatei gespeichert. In diesem Eintrag wird nur gespeichert, wann der erste sowie der letzte Zugriff erfolgte und wieviele Zugriffe dieses Benutzers insgesamt in dieser Zeitspanne aufgezeichnet wurden. Erfolgt ein erneuter Zugriff eines Benutzers innerhalb der Zeitspanne Zeitüberschreitung nach dem letzten Zugriff, wird dieser erneute Zugriff zu dem schon vorhandenen Eintrag in der Webserver-Logdatei hinzugefügt (Zugriffszähler um eins erhöhen, Datum und Uhrzeit des letzten Zugriffs aktualisieren).

Erfolgt der erneute Zugriff des Benutzers nach Ablauf der Zeitüberschreitung, erzeugt dieser Zugriff einen neuen, separaten Eintrag in der Webserver-Logdatei. Dies gilt für berechtigte und unberechtige Zugriffe. Intrusion Detection verwendet die Daten der Webserver-Logdatei und wird daher von der Zeitüberschreitung beeinflusst.
Eine Zeitüberschreitung von wenigen Minuten trennt die einzelnen Zugriffsversuche deutlicher voneinander. Dies erhöht allerdings auch die Gefahr von Fehlalarmen, da ein erfolgreicher Zugriff nicht mehr einem vorangegangenen Fehlversuch zugeordnet werden kann. Der Standardwert ist 60 Minuten und stellt einen guten Kompromiss dar.

Die Totzeit ist die Mindestzeit zwischen zwei Alarmierungen. Nach erfolgter Benachrichtigung erfolgt eine erneute Alarmierung erst, wenn diese Zeit abgelaufen ist und wieder die Anzahl vergeblicher Anmeldeversuche überschritten wurde. Der Standardwert ist 60 Minuten. Ein Wert von 0 verursacht eine Alarmierung bei jedem fehlgeschlagenen Anmeldeversuch.

Benachrichtigungswege

Wird eine Alarmierung ausgelöst, stehen Ihnen folgende Benachrichtigungswege zur Verfügung:

Hinweis: Bei einer Alarmierung per E-Mail wird als Anhang immer die Webserver-Logdatei mitgeschickt, unabhängig davon, was als Anhang im verwendeten E-Mail-Profil konfiguriert wurde.

Die Alarmierung der Intrusion Detection ist unabhängig von den anderen Alarmierungsmechanismen und der Ereignisspeicherung der Kamera. Soll eine Alarmierung durch Intrusion Detection in der Ereignisspeicherung für Bilder der Kamera erscheinen, gehen Sie wie folgt vor:

Automatische Sperrung einer IP-Adresse

Wurde die IP-basierte Zugriffsbeschränkung aktiviert, kann die Funktion IP-Adresse blockieren verwendet werden, um die IP-Adresse, von der aus die fehlgeschlagenen Anmeldeversuche unternommen wurden, automatisch zu sperren. Die Sperrung ist temporär bis zum nächsten Neustart der Kamera und erfolgt bei Erreichen der Benachrichtigungsschwelle.

Hinweis: Wird einer IP-Adresse im Dialog IP-basierte Zugriffsbeschränkung Zugriff auf die Kamera gewährt, dann kann diese IP-Adresse nicht automatisch gesperrt werden. Möchten Sie die automatische Sperrung für beliebige IP-Adressen aktivieren, sollten Sie im Dialog IP-basierte Zugriffsbeschränkung alle Zugriffsregeln für Gewähren löschen.

Konfiguration sichern

Klicken Sie auf Setzen, um die Einstellungen zu aktivieren und bis zum nächsten Neustart der Kamera zu sichern.

Beenden Sie den Dialog durch Klick auf Schließen. Hierbei wird geprüft, ob Änderungen der Gesamtkonfiguration vorliegen. Ist dies der Fall, werden Sie gefragt, ob die Gesamtkonfiguration dauerhaft gesichert werden soll.

 Zum Aktivieren der neuen Einstellungen speichern Sie die Konfiguration und führen einen Neustart der Kamera durch!

de, en

© 2001-2024 MOBOTIX AG, Germany · http://www.mobotix.com/