Kameraüberwachung mit FortiCameras und FortiRecorder

Fortinet produziert neben ihren beliebten Fortigate Firewalls noch einige weitere Produkte für den Sicherheitsbereich. Unter anderem bietet Fortinet mit ihren FortiCameras und der FortiRecorder Basis ein Produkt zur Kameraüberwachung an. Wir möchten euch in diesem Blogbeitrag einen kurzen Überblick über die Produktpalette geben und auf die Features des Systems eingehen.

FortiCameras

FortiNet vertreibt unter dem Namen FortiCamera zur Zeit die folgenden Modelle:

  • CB50(5MP kompakte Bullet IP Kamera, IR/Nachtsicht, für Innen-/Außenbereiche, Gleitsicht Linse, IP66)
  • FB50  – (5MP Bullet IP Kamera, 30m IR LED, 2.8 – 12mm motorisierte Linse, 1x 10/100 Port mit 802.3af PoE, Audio, Shutter WDR, robust, für Innen-/Außenbereiche, IP66)
  • FD40(4MP fixed dome IP camera, IR/night vision, shutter WDR, indoor/outdoor, motorized zoom, AF)
  • FD50(5MP fixed dome IP camera, 30m IR LED, 2.8 – 12mm motorized lens, 1x 10/100 port with 802.3af PoE, audio, shutter WDR, vandal proof, für Innen-/Außenbereiche, IP66)
  • MB40(4MP fixed mini box IP camera, IR/night vision, shutter WDR, indoor, starre Linse)
  • MD50B(5 MP fixed mini dome IP camera, IR/night vision ,für Innen-/Außenbereiche, starre Linse, IP66)
  • SD20B(2MP speed dome PTZ IP camera, DIDO, 1x 10/100 port, 802.3at PoE, für Außenbereiche, IP66)

FortiNet FortiCameras      FortiNet FortiCameras

Das offizielle Datenblatt für FortiCamera findet ihr hier.

Die unterschiedlichen Modelle der FortiCamera eignen sich für fast alle Anwendungsbereiche und sind ohne weitere Lizenzgebühren erwerbbar. Fortinet bietet damit eine kostengünstige Komplettlösung für Videosicherheit an, welche sowohl von der Installation als auch von der Bedienung her nicht einfacher sein kann. Zudem unterstützen alle FortiCamera Modelle eine Stromversorgung über PoE.

FortiRecorder

Der FortiRecorder ist die Aufnahmestation für FortiCameras. Diese können zwar auch (je nach Modell) Videoaufnahmen auf einer Speicherkarte ablegen, für längere Videos oder größere Videoumgebungen mit mehreren Kameras ist das allerdings unpraktikabel. Des Weiteren bleiben im Standalone Betrieb der Kameras Features wie Objekt- oder Gesichtserkennung verwehrt. Der Anschluss an die Software FortiCentral, mit deren Hilfe der Nutzer unter anderem alle Kameras in einer übersichtlichen Oberfläche darstellen kann, erfordert ebenfalls den Einsatz von FortiRecorder. Dieser ist in Form einer Hardware-Appliance oder einer virtuellen Maschine erhältlich.

FortiRecorder GUI Dashboard FortiNet FortiCameras

 

Die Benutzeroberfläche von FortiRecorder ist im gleichen Stil gestaltet wie die Benutzeroberfläche der FortiGate Firewalls. Hier lassen sich nicht nur die Systemkonfigurationen tätigen, sondern auch Event Kategorien in Form von Objekt- oder Gesichtserkennung definieren. Weiterhin können von FortiRecorder aus auch alle dem Recorder zugeordneten Kameras provisioniert werden. Neu installierte Kameras erscheinen ohne weiteren Konfigurationsaufwand in der Benutzeroberfläche, wenn diese eine IP-Adresse aus dem gleichen Netzwerkbereich haben. Auf den FortiRecorder können Sie darüber hinaus auch bequem mit Apps für die Plattformen iOS und Android zugreifen.

FortiCentral

FortiCentral ist der Video-Management-Client von Fortinet. Das Programm kann kostenlos von der Fortinet Webseite heruntergeladen werden. Mit FortiCentral lassen sich bequem und einfach Multiviews auf mehreren Monitoren erstellen, um alle wichtigen Bereiche immer im Auge zu behalten. Darüber hinaus lassen sich Sequenzen aufnehmen sowie die Steuerung der motorisierten Modelle bedienen. Dabei passiert das Ganze  bei einem geringen Bandbreitenbedarf durch adaptives Streaming.

Die Oberfläche ist aufgeräumt und benutzerfreundlich gestaltet, wie in der folgenden Abbildung zu sehen ist.

FortiCentral-Benutzeroberfläche

Besondere Features

Neben der reinen Videoanzeige und Videoaufnahme bietet FortiRecorder im Zusammenspiel mit den FortCameras eine Vielzahl von Objekterkennungsmöglichkeiten.

Erkennt FortiRecorder ein eingestelltes Objekt, erzeugt es ein Event, auf dessen Basis er entweder eine Warnung generiert und/oder einen Clip speichert, den Sie nachträglich analysieren können.
Wir haben als Versuch bei uns auf der Straße anhand einer Fahrzeugerkennung eine Heat-Map generiert. Die hierdurch farblich gekennzeichneten Bereiche sind die Bereiche, in denen Autos fahren.

Als besonderes Sicherheitsfeature kann FortiRecorder auch maskierte Personen und Waffen erkennen.

FortiNet bietet mit dem Videosystem bestehend aus FortiCameras und der FortRecorder Basis ein leicht zu bedienendes Gesamtprodukt an, mit einem sehr soliden Preis-Leistungs-Verhältnis. Die unterschiedlichen Kameramodelle bieten dabei eine Lösung für viele unterschiedliche Anforderungsszenarien.

Haben wir Sie mit unserer Produktvorstellung neugierig gemacht? Unser Vertrieb freut sich auf Ihren Anruf.

Sicherheitskritisches ArubaOS CX Firmwareupdate

Achtung dringendes ArubaOS CX Firmwareupdate!

ArubaOS-CX Switch 8325

ArubaOS-CX Switch 8325

Für alle Betreiber von ArubaOS CX Switches mit Firmware Version 10.04.3021 oder 10.04.1000 und älter empfiehlt sich dringend ein Firmwareupdate. Betroffen sind die Serien:

  • 8400
  • 8325
  • 8320
  • 6400
  • 6300
  • 6200

Bei den angegebenen Firmwareversionen wurden Memory Corruption Vulnarabilities gefunden. Gelingt es Angreifern diese auszunutzen, können sie dadurch Ausfälle der Protokolle LLDP (Link Layer Discovery Protocol) und CDP (Cisco Discovery Protocol) produzieren.

LLDP ist ein Protokoll, das es Netzwerkkomponenten erlaubt, Informationen übereinander auszutauschen. So können Sie beispielsweise die am Switch direkt verbundenen Access-Points und deren IP- und MAC-Adressen ermitteln. CDP ist ein von Cisco entwickeltes Protokoll, das ähnliche Funktionalität bietet wie LLDP.

Unter speziellen Umständen können die Angreifer sogar eine Remote Code Execution erwirken, sodass die Kontrolle über die angegriffenen Geräte übernommen werden kann. Grundsätzlich müssen sich die Angreifer dafür aber im gleichen Layer-2 Netzwerk befinden wie die Switches. Wer seine Netzwerk-Ports und seine SSIDs also abgesichert hat, kann in Ruhe die Updates planen und einspielen. Wenn Sie dies noch nicht getan haben und Unterstützung bei den Updates und/oder der Absicherung der Netzwerkinfrastruktur benötigen, können Sie sich gerne bei uns melden. Wir freuen uns schon auf Ihren Anruf.

Wenn Sie uns kontaktieren möchten finden Sie nähere Informationen hier: https://www.ingentive.net/kontakt/kontaktformular/

Falls Ihre Systeme im VSX-Cluster laufen, können Sie ein ArubaOS CX Firmwareupdate ohne Ausfall ihrer Switches durchführen. Mehr Informationen zum VSX-Software-Upgrade finden Sie unter: https://www.ingentive.net/blog/beitraege/arubaos-cx-vsx-software-upgrade/

Originaler Aruba Beitrag: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-009.txt

Aruba 2930M PoE Switch

ArubaOS: Optimierung der PoE-Leistung mit Hilfe von LLDP

Device-Profile

Wer LLDP-fähige Access Points an einem Aruba switch betreibt, weiß wie sehr die LLDP-Informationen im Arbeitsalltag weiterhelfen können. So liefern sie beispielsweise die Information über Hostnamen, Mac Adresse,IP-Adresse und PoE-Leistung des LLDP-Gerätes pro Switchport. Neben der reinen Informationsübermittlung sind ArubaOS Switches auch in der Lage auf Basis der LLDP-Informationen Portkonfigurationen eigenständig auszuführen. Dazu muss lediglich ein so genanntes „Device Profile“ erstellt werden, unter welchem Sie beispielsweise VLAN-Zuweisungen konfigurieren können. Wird dann ein Access Point an einen Switchport angeschlossen, so erhält der Port automatisch diese VLAN-Konfiguration, solange der Access Point an dem Port angeschlossen bleibt.

Device Profile ArubaOS LLDP PoE-Leistung

Konfiguration einens Device Profiles

PoE – benötigte Leistung

Neben den Netzwerkinformationen liefert LLDP für PoE- und PoE+-Geräte auch Informationen zu der benötigten elektrischen Leistung und der PoE-Klasse. Dabei wird zwischen dem aktuellen Verbrauch und der maximal benötigten Leistung unterschieden. Letztere ist ausschlaggebend für die Berechnung der gesamten benötigten elektrischen Leistung und somit auch für die maximale Anzahl an Access Points, welche am Switch angeschlossen werden können. Dabei kann sich die maximale Leistung von dem eigentlichen Verbrauch drastische unterscheiden. Sind bei einem Access Point gewissen Features, wie zum Beispiel Bluetooth, ausgeschaltet, weil diese nicht benötigt werden, kann der eigentliche Verbrauch auch nur halb so groß sein wie der maximale Verbrauch. Das Resultat wäre die doppelte Anzahl an möglichen Access Points, die mit einem Switch betrieben werden können.

Ein von Aruba häufig verwendeter Access Switch ist der Aruba 2530 J9853A. Dieser stellt auf 48 Ports insgesamt eine PoE-Leistung von 382W zur Verfügung. Damit können bei einem durchschnittlichen Verbrauch von 13W (Durschnitt von einem Aruba AP 515 Access Point mit deaktiviertem Bluetooth und Zigbee) 29 Access Points betrieben werden. Allerdings liefert die LLDP-Information der Access Points eine Maximale Leistung von 25W. Damit sinkt die Anzahl der maximalen Access Points, welche mit demselben Switch betrieben werden können, auf gerade mal 15.

Workaround für ältere Firmwareversionen

Unter den letzten Firmwareversionen von ArubaOS, konnte die Berechnung der gesamten Leistung für PoE+-Geräte, auf Basis des maximalen Verbrauchs nur verändert werden, wenn LLDP deaktiviert worden ist. Danach konnte die gesamte Leistung aus dem tatsächlichen Verbrauch errechnet werden und somit die maximale Anzahl der möglichen Access Points erhöht werden. Diese Prozedur barg leider den Nachteil, dass man auf die sonst so hilfreichen LLDP-Informationen verzichten musste.

Admin Status ArubaOS LLDP PoE-Leistung

Befehl LLDP admin-status

poe-allocated-by ArubaOS LLDP PoE-Leistung

Befehl poe-allocated-by

ArubaOS Firmware Version 16.10.001

Seit dem letzten Firmwareupdate von Aruba auf die Version 16.10.0000, kann der Verbrauch nun auch trotz LLDP-Informationen aus dem tatsächlichen Verbrauch berechnet werden. Dies geschieht, genau so wie bisher für PoE-Geräte, mit dem „poe-allocate-by usage“ Befehl. Dieser kann nun auch innerhalb eines Geräteprofils gesetzt werden, sodass er nicht händisch auf alle Interfaces konfiguriert werden muss.

Die Release-Notes zu ArubaOS Version 16.10.0001 finden Sie unter: https://support.hpe.com/hpesc/public/docDisplay?docId=a00090303en_us

Schulungen zum Thema ArubaOS finden Sie unter: https://www.ingentive.net/schulungen/alle-schulungen/aruba-switches

Blogbild Sicherer Zugang Laptop

Sicherer VPN Zugang zum Firmennetzwerk für das Heimbüro

Auf vielfachen Wunsch haben wir Ihnen die von uns angebotenen Lösungen für den sicheren VPN Zugang zum Firmennetzwerk für das Heimbüro einmal zusammengestellt:

VPN Client

Mit Hilfe eines softwarebasierten Clients kann ein Heimarbeits-PC einen gesicherten VPN Tunnel zum Unternehmensnetzwerk aufbauen. Die zentrale Komponente bildet dabei das VPN Gateway, welches sich innerhalb des Unternehmensnetzwerks befindet und eine vom Internet erreichbare IP Adresse besitzt. Zu dieser IP Adresse verbindet sich der Mitarbeiter im Heimbüro. Mit Hilfe einer Software baut der Mitarbeiter dann die VPN Verbindung auf.

Client VPN Firmennetzwerk Heimbüro

Zur Authentifzierung stehen mehere Methoden zur Verfügung. Im einfachsten Fall in Form eines Benutzernamens und eines Passworts. Hier kann man die Firewall mit dem Active-Directory koppeln und gruppenbasiert den Zugriff freischalten.

User Passwort Anmeldung VPN Firmennetzwerk Heimbüro

Eine Alternative wäre noch die Authentifizierung mit einem Zertifikat. Hierzu muss eine Zertifikatsinfrastruktur (PKI) vorhanden sein. Ein Zertifikat für einen Benutzer kann wie folgt aussehen:

Zertifikatsbasierte Anmeldung VPN Firmennetzwerk Heimbüro

Mehr Sicherheit bietet eine 2-Faktor Authentifizierung, bei der die Anmeldung über zwei Faktoren erfolgt: Ein Teil der Anmeldung muss der Benutzer wissen (z.B. ein Kennwort) und den zweiten Teil der Anmeldung muss der Benutzer besitzen (z.B. ein Tokenkarte). Beispielsweise kann mit Hilfe eines FortiTokens ein Einmalpasswort erzeugt werden, welches im Anmeldeprozess mit eingegeben werden muss:

Zwei-Faktor-Authentisierung Fortinet

Die Firma Fortinet bietet hier ein umfangreiches Portfolio für alle Unternehmensgrößen an:

Fortigate

Clientloses VPN

Um eine lokale Installation auf jedem Heimarbeitsplatz zu vermeiden, kann auch ein sog. Clientloses VPN verwendet werden. Hier erfolgt die Anmeldung direkt auf dem VPN Gateway in der Firma und dort wird der Zugriff auf lokale Server (meist per RDP) zur Verfügung gestellt.

Schaubild clientloses VPN Firmennetzwerk Heimbüro

Remote Access-Point

Eine weitere einfache Möglichkeit besteht in der Bereitstellung eines Remote-Access-Points, der die SSIDs des Unternehmens abstrahlt. Hier kann sich der Heimarbeitsrechner am WLAN mit den gleichen Zugangsdaten wie im Unternehmen verbinden. Der Access Point baut hier automatisch den VPN Tunnel auf, so dass keine manueller Eingriff erforderlich ist.

Schaubild RAP VPN Firmennetzwerk Heimbüro

In der Firmenzentrale befindet sich ein Controller, der den VPN Tunnel terminiert. Dies kann ein bereits vorhandener WLAN Controller von Aruba sein oder ein dediziertes Gerät, welches man in der DMZ platziert. Die Controller sind in allen Größenordnungen verfügbar – angefangen von einem Aruba 7005 für 16 Access-Points bis zu einem Aruba 7280 Controller für bis zu 2000 Access-Points.

Bei den Access-Points bietet Aruba auch ein umfangreiches Portfolio, z.B. die dafür eigens ausgelegten Aruba RAP-303HR:

RAPs für VPN Firmennetzwerk zu Heimbüro

Die Remote-Access-Points bieten auch Gigabit-Anschlüsse mit PoE Speisung, so dass auch z.B. die Anbindung eines Telefons oder Druckers kein Problem darstellt.

Passende Produkte finden Sie bei uns im Shop. Gerne wenden Sie sie sich an unseren Vertrieb unter 0211-545711-0.