====== Videoüberwachungsanlage für eine private Schule ====== {{:intern:ipa:mh2023:image1.png?604x274|Ubiquiti | UniFi | Simply Scalable Security}} **IPA 2023** 21.04.2023 - 09.05.2023 Kandidat: Marcus Hillmer Teil 1 – Umfeld und Ablauf ====== Projektorganisation und Aufgabenstellung ====== ===== Personen und Adressen ===== |**Kandidat\\ **Marcus Hillmer\\ \\ **Betrieb (=Durchführungsort)\\ **Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T 076 804 78 33\\ M marcushillmer@outlook.com| | |**Verantwortliche Fachkraft\\ **Egil Rüefli\\ Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T [[tel:078 767 84 04|078 767 84 04]]\\ \\ M e.ruefli@rafisa.ch |**Berufsbildner/Lehrfirma**\\ Ruedi Wegelin\\ Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T [[tel:0765550555|076 555 05 55]]\\ M r.wegelin@rafisa.ch| |**Hauptexperte\\ **Willy Egli\\ T [[tel:076 567 92 22|076 567 92 22]]\\ M |**Nebenexperte\\ **Rolf Ziegler\\ \\ T [[tel:+41792844056|079 284 40 56]]\\ \\ M | ===== Aufgabestellung ===== ===== 1. Ziel des zu realisierenden Systems ===== Zu Beginn des Projekts wurden Schulareale bestimmt, die insgesamt mit 16 Kameras überwacht werden sollen. Der Kandidat hat eine umfangreiche Foto-Dokumentation der entsprechenden Kamerastandorte erstellt. Die Dokumentation umfasst sowohl Bilder der Anbringungsorte als auch Bilder aus der Kameraperspektive. Aus dem Bestand der Schule stehen drei verschiedene Typen von Unifi-Kameras und ein Unifi-Netzwerk-Videorekorder (NVR) zur Verfügung. Das Ziel der vorliegenden Arbeit besteht darin, für den Hauptstandort Plattenstrasse 37/39 drei Kamerastandorte auszuwählen, an welchen jeweils einer der drei Kameratypen zum Einsatz kommt. In einer gemäss Firmenstandards der Schule aufgebauten Testumgebung sind die Kameras an den NVR anzubinden und abnahmefertig einzurichten. Bei der Einrichtung der Kameras sollen sowohl die Anforderungen der Schule an die Überwachungslösung als auch die gesetzlichen Grundlagen berücksichtigt werden. ===== 2. Anforderungen ===== ==== 2.1. Anforderungen an das Test-Netzwerk ==== In einer zur Verfügung gestellten Labor-Umgebung sollen die relevanten Aspekte des Standorts Plattenstrasse 37/39 abgebildet werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards der Schule orientieren. Die Standards werden dem Kandidaten in einem separaten Dossier ausgehändigt (vgl. Mittel und Methoden). Es sind alle VLAN gemäss Standards einzurichten, die Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren: * VLAN und Subnetz-Adressierung sind gemäss den Firmenstandards der Schule eingerichtet * Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet (Automatische Vergabe der IP-Adressen, Namensauflösung, Gateways) * Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert * Die Schnittstellen der Labor-Umgebung zur Systemumgebung sind bekannt und dokumentiert * Die Firewall ist gemäss Firmenstandards der Schule eingerichtet und verfügt über einen administrativen Zugang im Management-Netz, alle FW-Rules sind gemäss Standards eingerichtet * Der Switch ist gemäss Firmenstandards der Schule eingerichtet (Hostname, VLAN), Zeitserver sind konfiguriert, administrativer Zugang im Management-Netz ist eingerichtet * Das Netzwerk ist vor einer möglichen Kompromittierung des Kameraüberwachungssystems geschützt ==== 2.2. Anforderungen an das Kamerasystem ==== === Basisinstallation der NVR === Für den NVR ist eine Basisinstallation vorzunehmen. Diese soll folgenden Anforderungen genügen: * Hostname, IP-Adressierung und VLAN-Zuordnung gemäss Planung unter Berücksichtigung der Firmenstandards * Administrative Zugänge gemäss Planung eingerichtet: Welche Zugänge werden benötigt? Wer benötigt Zugang? Sicherheitsrelevante Aspekte der Zugänge? * Versorgung mit Sicherheitsupdates gemäss Planungskonzept eingerichtet * Plattenspeicher gemäss Planung eingerichtet: Sicherheitsrelevante Aspekte? === Einrichten der Unifi-Protect-App === Bei der Einrichtung der Unifi-Protect-App sind folgende Anforderungen zu berücksichtigen: * Alle drei Kameras sind fehlerfrei angebunden und lassen sich verwalten * Benutzer und Rollen sind gemäss Planung eingerichtet: Wer hat in welcher Form Zugriff auf die Video-Daten? * Den Benutzern stehen angepasste und übersichtliche Views mit informativen Overlays zur Verfügung, die ihnen einen raschen Überblick über die entsprechenden Kameras ermöglichen * Es ist ein Benachrichtigungssystem für Alarme eingerichtet. Der Admin wird mindestens über Kamera-Disconnects via Push-Meldung informiert * Die Retention-Time ist gemäss Planung unter Berücksichtigung von Kundenwünschen, gesetzlichen Vorschriften sowie Platzbedarf festgelegt und eingerichtet === Kameras === Bei der Einrichtung der Kameras sind bei der Planung und Realisierung folgende Anforderungen zu berücksichtigen: * Die Hostnames der Kameras sind gemäss Firmenstandards der Schule vergeben und können aufgelöst werden * Für jede Kamera steht ein verschlüsselter administrativer Zugang im entsprechenden VLAN zur Verfügung * Für jede Kamera ist der Anbringungsort übersichtlich dokumentiert, spezielle Anforderungen sind erwähnt * Jedes zu überwachende Areal ist beschrieben, spezielle Anforderungen sind erwähnt * Für jedes zu überwachende Areal ist abhängig von den Anforderungen der Kameratyp bestimmt * Für jede Kamera sind abhängig von den Anforderungen Aufnahmezeitpunkte, Auslösebedingungen, Aufnahmequalität, Motion Zones sowie Privacy Zones bestimmt und eingerichtet ===== 3. Verlangte Dokumentationen ===== * Inventar der unter Mittel und Methoden aufgeführten Hardware * Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Software und Services * Dokumentation der drei Anbringungsorte sowie der zu Überwachenden Areale inkl. spezieller Anforderungen * Zusammenfassung der zu berücksichtigenden gesetzlichen Grundlagen * Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa * Netzwerkdiagramm der Testumgebung * Abnahmeprotokoll ===== 4. Testing ====== Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren. ===== Mittel und Methoden ===== === Hardware === * Unifi NVR pro * 16 Unifi-Kameras, 3 verschiedene Typen mit unterschiedlichen Specs * Apu2-Plattform von PC Engines * Zyxel 28-Port Switch * Windows 10 Arbeitsplatzrechner für das Testing === Software und Services === * Unifi OS * Unifi Protect * pfSense Firewall-Suite * Labor-Netzwerk: VLAN54_LAB04, Gateway: 172.16.54.1/24, DHCP aktiviert * Firmenstandards: Dokument “Firmenstandards der ImmoRSS Zürich v1.2" * Gesetzliche Grundlagen: Videoüberwachung durch öffentliche Organe (ohne Strafverfolgungsbehörden). Leitfaden des Datenschutzbeauftragten des Kantons Zürich ===== Durchführungsblock ===== |**IPA-Block 10, KW16:**|17.04.2023 – 21.04.2023| |**IPA-Durchführung:** |21.04.2023 – 09.05.2023| |**Einreichung bis:** |17.03.2023 | ===== Vorkenntnisse ===== * Mitarbeit im Netzwerk-Team: Firewall, Switches, VLANs * Windows und Linux Server * Unifi NVR pro und Unifi-Kameras ===== Vorarbeiten ===== * Bestimmung der zu überwachenden Areale, Kamerastandorte + Fotodokumentation * Einrichten des Client PCs für Konfig und Testing * Anlegen IPA-Doku-Template ====== Projektaufbauorganisation ====== Der Chefexperte bildet zusammen mit der PkOrg19 den Auftraggeber. Im Lenkungsausschluss befinden sich die Prüfungsexperten und der Fachverantwortliche. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig. ===== Personen ===== Fachvorgesetzter: Egil Rüefli\\ Lernende: Marcus Hillmer ===== Rollen ===== Projektleiter: Marcus Hillmer\\ Auftraggeber: Prüfungskommission 19, Chefexperte\\ Lenkungsausschuss: Hauptexperte, Nebenexperte, Validexperte, Fachvorgesetzer ===== Aufgaben ===== Der Projektleiter ist für die komplette Realisierung und Dokumentation der IPA zuständig.\\ Der Auftraggeber gibt den Auftrag für die Durchführung des Projekts. Der Lenkungssauschuss ist für die Formulierung des Projektauftrags, Ressourcenzuteilung und die Überwachung des Projektes zuständig. ===== Verantwortung ===== Die Realisierung der IPA liegt allein in der Verantwortung der Lernenden. ===== Projektorganigramm ===== {{:intern:ipa:mh2023:image2.png?589x445|Text, letter Description automatically generated}} Abbildung 1: Projektorganigramm ===== Projektmethode IPERKA ===== In diesem Kapitel geht es um den Aufbau des Projekts. Das Projekt wurde gemäss der IPERKA-Methode strukturiert, um eine übersichtliche Struktur im Projektverlauf sicherzustellen. Hierfür sind sechs notwendige Schritte erforderlich, auch bekannt als "Phasen". **Informieren**: Zunächst wird der Auftrag und die Aufgabenstellung so klar wie möglich definiert. Die Informationen werden bewertet und sortiert, um wesentliche Punkte frühzeitig zu erkennen und mögliche Fragen zu klären. Dies ist wichtig, um den Zeitplan zu erstellen und ein Verständnis dafür zu entwickeln, was erwartet wird. **Planen**: Um einen reibungslosen und strukturierten Projektablauf zu garantieren, muss das Projekt präzise geplant werden. Wenn möglich, werden mehrere Lösungswege für komplexe Abläufe erstellt. **Entscheiden**: Die verschiedenen Lösungswege werden verglichen, um den bestmöglichen auszuwählen. Hierbei wird überlegt, ob die Ideen sinnvoll sind und ob sie wirklich umgesetzt werden können. Dabei werden ein Testkonzept und ein Realisierungskonzept erstellt. **Realisieren**: Erst wenn der Ablauf klar definiert ist und alle Entscheidungen getroffen wurden, wird mit der Realisierung begonnen. Die Arbeitsabläufe werden stetig protokolliert und die Ist-Werte werden in den Zeitplan eingetragen. **Kontrollieren**: Die Ergebnisse müssen gemäss dem Testkonzept getestet werden, jedoch erst, wenn die Entwicklung vollständig abgeschlossen ist. Fehlgeschlagene Tests werden direkt korrigiert und behoben oder als Fehler vermerkt und dokumentiert. **Auswerten**: Abschliessend erfolgt eine Reflexion über die Arbeit und die Erfahrungen, die gesammelt wurden. Dabei werden alle Schritte, die im Rahmen des Projekts durchgeführt wurden, durchgegangen und geprüft, was gut lief und wo Verbesserungen möglich sind. Das ist auch für die Umsetzung zukünftiger Projekte praktisch. ===== Organisation der Arbeitsergebnisse ===== Die Dokumentation und die Backups der Praktischen Arbeitsumgebung werden in OneDrive abgelegt. Jeder Ordner ist nach einem Arbeitstag benannt und enthält Versionen der Dokumentation und Backups der Arbeitsergebnisse, die am Ende des Tages in den entsprechenden Ordner kopiert werden. Es ist für die praktischen Arbeitsergebnisse ein Restore zu der vorherigen Konfiguration möglich. Die Restorefunktion wurde mit allen Geräten getestet. Der NVR braucht eine Konfig für den NVR selbst und eine separate für Unifi Protect. Der Switch und die Firewall haben ihre eigenen Konfigs. ==== Ordnerstruktur ==== {{:intern:ipa:mh2023:image3.png?602x482|Graphical user interface Description automatically generated}} Abbildung 2: Ordnerstruktur ===== Firmenstandards für das Netzwerk der Rudolf Steiner Schule ===== Im Laufe der Arbeit wird mehrfach auf die Firmenstandards verwiesen, die im Dokument "Firmenstandards für das ImmoRSS-Netzwerk in Zürich" [1] vorab festgelegt wurden. Diese Richtlinien decken die folgenden Bereiche ab: * Subnetz-Konzept * VLANs der ImmoRSS Zürich * Berechtigungsmatrix * IP-Zuteilung der Geräte der ImmoRSS Zürich * ImmoRSS Namenskonzept * Benutzer * Geräte * Physikalische Standorte * Kürzel für die Standorte * Kürzel für die internen Räume * Kürzel für Racks * AD-Struktur Das vollständige Dokument ist im Anhang zu finden. Die Firmenstandards der ImmoRSS Zürich hat der Kandidat von der Steiner Schule zur Verfügung gestellt bekommen, um das System gemäss deren Konfiguration aufzusetzen. Die Umsetzung der Firmenstandards für die Benennung und Einrichtung des Kamerasystems gewährleistet Konsistenz, Organisation und Benutzerfreundlichkeit im gesamten Überwachungsnetzwerk. Durch das Einhalten einer standardisierten Namenskonvention können zukünftige Administratoren spezifische Kameras schnell identifizieren. Dieser Ansatz vereinfacht auch die Wartung, Fehlerbehebung und Skalierung des Systems, falls der Bedarf am Kamerasystemen wächst. ====== Zeitplan ====== {{:intern:ipa:mh2023:image4.png?611x893}} ====== Arbeitsprotokoll ====== |**TAG 1** | | |**Datum** |Fr, 21.04.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Aufgabestellung analysiert\\ * Layer 3 Plan erstellt\\ * Hardware erfasst\\ * Gesetzliche Grundlagen der Kameraüberwachung an Schulen recherchiert & dokumentiert | |**Aufgetretene Probleme**|* OneDrive Dokument Auto-Save funktionierte nicht. Ich habe Angst, dass OneDrive mich über den Verlauf der IPA sabotieren könnte. | |**Problemlösung** |* Ich musste das Dokument später manuell auf OneDrive im Webbrowser hochgeladen. Ich habe den Helpdesk um Hilfe gebeten, und sie haben mir das OneDrive in den Ordnern selbst eingerichtet, indem sie meinen Arbeits-PC nochmals mit Hilfe der Authenticator-App an meine Rafisa-Email angemeldet haben. Sie meinten, dass es jetzt funktionieren sollte.| |**Reflexion** |Wenn etwas nicht direkt funktioniert, zuerst selbst probieren und wenn es dann immer noch nicht läuft, um Hilfe bitten. Trotzdem mache ich zur Sicherheit mal ein weiteres lokales Backup der Dokumentation. | |**Wissensbeschaffung** |*Unifi Protect Kameras https:%%//%%store.ui.com/collections/unifi-protect-cameras/\\ \\ *Gesetzliche Grundlagen [2] | |**Beanspruchte Hilfe** |Keine | |**Zeitplan eingehalten** |Ja, konnte schneller arbeiten | |**TAG 2** | | |**Datum** |Mo, 24.04.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Gesetzliche Grundlagen genauer erarbeitet\\ * Kamerastandorte & Positionen anfangen zu planen\\ * Unifi NVR Setup geplant\\ * Switch & Firewall Konfiguration geplant\\ * 1. Expertengespräch | |**Aufgetretene Probleme**|* Es war etwas schwer die gesetzlichen Grundlagen nachzuvollziehen. Das Lesen war sehr trocken und das genaue Evaluieren der Gesetze führte mich dazu zu denken, dass die Schreiber selbst manchmal nicht komplett drauskommen. Beim zweiten Lesen ergab alles aber meistens mehr Sinn.| |**Problemlösung** |* Genauer konzentrieren, um Unklarheiten zu lösen. Das die 24/7 Kamera-Überwachung nicht gestattet ist, hat mich zuerst verwundert, aber nach reichlicher Überlegung ergibt es für mich jetzt zum grössten Teil Sinn. | |**Reflexion** |Es ist interessant sich Lücken im Gesetz auszudenken. Zum Beispiel die Idee Kameras auf verschiedenen Recordingsschedules laufen zu lassen, um die 24/7 Überwachung technisch gesehen zu vermeiden. | |**Wissensbeschaffung** |Gesetzliche Grundlagen [2] | |**Beanspruchte Hilfe** |Keine | |**Zeitplan eingehalten** |Ja | |**TAG 3** | | |**Datum** |Di, 25.04.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Kamerapositionen & Problemzonen geplant\\ * NVR Setup geplant\\ * Quellenverzeichnis & Referenzen ergänzt\\ * Setup der Unifi Protect App geplant | |**Aufgetretene Probleme**|* Format des Quellenverzeichnis funktionierte nicht. Beim Bearbeiten des Quellenverzeichnisses in Word traten Formatierungsprobleme auf. Musste dort mit viel Trial & Error Komplikationen in Word lösen.| |**Problemlösung** |* Mit Egil das Format nochmal erarbeitet | |**Reflexion** |Es ergibt Sinn nach Hilfe zu fragen, wenn man feststeckt. Besser als stundenlang an einem Problem zu hängen. | |**Wissensbeschaffung** |https://eu.store.ui.com/collections/unifi-protect?gclid=EAIaIQobChMIuIGdvNDl_gIVz_dRCh3fvQRVEAAYASAAEgL3GPD_BwE\\ \\ https://dl.ui.com/qig/nvr-pro | |**Beanspruchte Hilfe** |Mein Fachvorgesetzter, Egil Rüefli, hat mir mit dem Format geholfen. | |**Zeitplan eingehalten** |Ja | |**TAG 4** | | |**Datum** |Do, 27.04.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Konzept des Netzwerks\\ * Konzept NVR-Einrichtung\\ * Konzept des Kamerasystems | |**Aufgetretene Probleme**|* Beim Netzwerkkonzept war ich mir unsicher, ob Management Zugriff auf VLAN 50 haben darf. | |**Problemlösung** |* Mit meinem Arbeitskollegen, Tim de Vries, abgesprochen. Er meinte ja, weil das Managementnetz zur effizienten generellen Konfiguration Berechtigungen braucht.| |**Reflexion** |Ich konnte effizient arbeiten. Hätte mehr machen können, bin aber gut im Zeitplan geblieben. | |**Wissensbeschaffung** |Netzwerkstandards der ImmoRSS\\ \\ Unifi Protect Kameras | |**Beanspruchte Hilfe** |Mein Arbeitskollege, Tim de Vries, hat mir mit dem Netzwerkkonzept bei meiner Frage geholfen. | |**Zeitplan eingehalten** |Ja | |**TAG 5** | | |**Datum** |Fr, 28.04.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* NVR und Kamera mit Switch verbunden, dann switch per Firewall mit Rafisa Netzwerk verbunden.\\ * Firewall mithilfe von Rufus, putty und Serial Port konfiguriert.\\ * Switch aufgesetzt, VLANs erstellt| |**Aufgetretene Probleme**|* Ich kann nicht mehr per direct Access auf Kameras zugreifen | |**Problemlösung** |* Einen Unifi Protect Konfiguration Reset & Restore ausgeführt. Dann Kameras neu konfiguriert. | |**Reflexion** |Da ich in der Projektumgebung alles sofort angeschlossen habe, den Fokus nicht verloren habe und die Konfiguration schnell umsetzte, konnte ich beim Realisieren viel schneller als erwartet arbeiten. | |**Wissensbeschaffung** |https://www.zyxelguard.com/GS2220-28HP.asp\\ \\ https://www.youtube.com/watch?v=DcNP43NkEcY&ab_channel=CrosstalkSolutions | |**Beanspruchte Hilfe** |Keine | |**Zeitplan eingehalten** |Nein, schneller als erwartet. | |**TAG 6** | | |**Datum** |Di, 02.05.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Firewall Rules und Aliases umgesetzt\\ * NVR Konfiguration dokumentiert\\ * Switch Konfiguration dokumentiert\\ * Firewall Konfiguration dokumentiert | |**Aufgetretene Probleme**|* NVR und Switch wollten sich nicht mehr verbinden | |**Problemlösung** |* Bei den Leased Clients des Switches die NVR Adresse rausfinden, und dann mit dieser verbinden. | |**Reflexion** |Wenn man zu schnell arbeitet, kann man Kleinigkeiten übersehen und sich selbst so Probleme machen.\\ \\ Trotz sorgfältiger Planung und harter Arbeit konnten einige Aufgaben nicht innerhalb des vorgegebenen Zeitrahmens abgeschlossen werden.| |**Wissensbeschaffung** |https://docs.netgate.com/pfsense/en/latest/firewall/aliases.html | |**Beanspruchte Hilfe** |Mein Arbeitskollege, Tim De Vries, hat mir beim Verstehen von Firewall Aliases sehr geholfen. | |**Zeitplan eingehalten** |Nein | |**TAG 7** | | |**Datum** |Do, 04.05.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Firewall Rules fertig umgesetzt\\ * NVR Aufnahmezeiten definiert, Alerts konfiguriert\\ * Kameras genauer konfiguriert\\ * Motion Zonen definiert und dokumentiert\\ * Privacy Zonen definiert und dokumentiert | |**Aufgetretene Probleme**|* Konnte nicht mit allen geplanten Arbeiten fertig werden | |**Problemlösung** |* Prioritäten neu gesetzt und zusätzliche Zeit eingeplant | |**Reflexion** |Das ich jetzt nicht mehr im Zeitplan liege, obwohl es an den vorherigen Tagen so gut lief, frustriert mich sehr. Ich habe Bedenken, ob ich alles zeitgemäss fertigbekomme. Ich probiere morgen mit frischen Fokus weiterhin mein Bestes.| |**Wissensbeschaffung** |[4]https://help.ui.com/hc/en-us/articles/360056987954-UniFi-Protect-Manage-Camera-Zones | |**Beanspruchte Hilfe** |Keine | |**Zeitplan eingehalten** |Nein | |**TAG 8** | | |**Datum** |Fr, 05.05.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Motion Zonen Dokumentieren\\ * Privacy Zonen Dokumentieren\\ * Overlays definieren & dokumentieren\\ * Live views definieren & dokumentieren\\ * Testszenerio erstellen\\ * Randbedingungen, Drehbuch, Mittel definieren| |**Aufgetretene Probleme**|Das Eintragen von Motion und Privacy Zones war sehr mühsam und viel zeitaufwendiger als ursprünglich erwartet. | |**Problemlösung** |Ich musste ein eigenes Stativ für die Kameras basteln. Konnte etwas mit einem 3D Drucker zusammenbasteln | |**Reflexion** |Ich konnte gestern meinen Meilenstein “Realisieren” nicht einhalten. Dies hat mich sehr ausser Fassung gebracht. Trotzdem konnte ich heute gut durcharbeiten, und das meiste aufholen. | |**Wissensbeschaffung** |Keine zusätzlichen Informationen benötigt | |**Beanspruchte Hilfe** |Mein Arbeitskollege, Silvan Dux, half mir das Stativ zu bauen mit dem bereitstellen eines 3D Druckers. | |**Zeitplan eingehalten** |Nein | |**TAG 9** | | |**Datum** |Mo, 08.05.2023 | |**Arbeitszeit** |09:00-18:00 | |**Ausgeführte Aufgaben** |* Testfälle durchführen\\ * Testszenario erstellen\\ * Auswerten/Dokumentation der Ergebnisse\\ * Expertengespräch gehalten | |**Aufgetretene Probleme**|* Konnte nicht mit allen Tests fertig werden.\\ * Formate meiner Layer-3-Pläne waren nicht korrekt. | |**Problemlösung** |* Länger bleiben, Meine Pläne nochmal mit Draw.io bearbeiten. | |**Reflexion** |Heute verlief der Tag reibungslos, und ich konnte fast alle geplanten Aufgaben erfolgreich abschliessen. Dies gibt mir Zuversicht, dass ich wieder auf Kurs bin, um meine Ziele termingerecht zu erreichen. Ich konnte meinen «Kontrollieren» Meilenstein leider nicht genau einhalten, bin dort aber ebenfalls auf gutem Wege.| |**Wissensbeschaffung** |Keine zusätzlichen Informationen benötigt | |**Beanspruchte Hilfe** |Mein Fachvorgesetzter, Egil Rüefli hat mich auf die Kriterien bei den Tests hingewiesen, Willy Egli hat mich auf die Formatprobleme bei meinen Draw.io Diagrammen hingewiesen. | |**Zeitplan eingehalten** |Nein, bin eine Stunde länger geblieben. Konnte den Meilenstein “Kontrollieren” nicht einhalten. | |**TAG 10** | | |**Datum** |Di, 09.05.2023 | |**Arbeitszeit** |09:00 – 18:00 | |**Ausgeführte Aufgaben** |* Tests fertig durchgeführt\\ * Testszenario ausgewertet\\ * Abnahmeprotokoll fertig geworden\\ * Auswerten der Dokumentation/Ergebnisse\\ * Dokumentation vollendet\\ * Reflexion | |**Aufgetretene Probleme**|* Rechtschreibung war schlecht. Hermes Protokoll war mir unbekannt. | |**Problemlösung** |* Habe von meinem Fachvorgesetzten und einen Arbeitskollegen Hilfe geholt. | |**Reflexion** |Es war ein anstrengender Tag, aber ich konnte letztendlich gut abschliessen. | |**Wissensbeschaffung** |https://www.hermes.admin.ch/de/projektmanagement/verstehen/ergebnisse/abnahmeprotokoll.html | |**Beanspruchte Hilfe** |Mein Fachvorgesetzter, Egil Rüefli, hat mich auf das Hermes Protokoll hingewiesen und half mir dabei das genau zu verstehen. Mein Arbeitskollege, Silvan Dux, hat mir mit der Rechtschreibung bei der Dokumentation geholfen.| |**Zeitplan eingehalten** |Ja, bin trotzdem eine Stunde länger geblieben. | Teil 2 – Projekt ====== Kurzfassung IPA-Bericht ====== Im Rahmen eines Praktikums an einer privaten Schule wurde der Kandidat in das Projekt “Videoüberwachung des Schulareals” miteinbezogen. Da es auf dem Areal in letzter Zeit vermehrt zu Vandalismus gekommen war, hatte die Schule nach reiflicher Überlegung beschlossen, gewisse Bereiche mit Videokameras zu überwachen. In der vorliegenden Arbeit sollen die normativen und technischen Grundlagen für diese Überwachung erarbeitet werden. Für diese Aufgabe wurden 3 verschiedene Unifi-Kameramodelle, einen Unifi NVR Pro, eine Firewall und ein Switch verwendet werden. Mit diesen wurde die Netzwerkinfrastruktur der Steiner Schule simuliert, um zu sehen, wie eine Unifi-basierte Videoüberwachungslösung implementiert werden kann. Auf der Firewall wurden VLANs, blocklisten und Aliases erstellt, die wie in der Realität der Schule Funktionieren. In den Kameras wurden ebenfalls Privacy und Motion Zonen nach Bildern der Schule konstruiert, und es wurden sinnvolle Rollen und Admins aufgesetzt. Ebenfalls wurde ein Verhältnismässigkeitskonzept eingesetzt, welches eine verhältnismässige und angemessene Videoüberwachung gewährleistet. Beim Testing wurde festgestellt, dass die aufgesetzten Systeme der Firewall, des Switches, des NVR Pros und der Kameras zusammen mit passenden Konfigurationen der Zonen und einhalten der Richtlinien und des Verhältnismässigkeitskonzepts zusammen zu einem funktionstauglichem System eingerichtet werden konnten. ====== Informieren ====== ===== Erfassung der zur Verfügung gestellten Hardware ===== Um das Kamerasystem zu realisieren, wurde dem Kandidaten ein Network Video Recorder, ein Switch, eine Firewall und verschiedene Kameras zu Verfügung gestellt. Diese werden folgend beschrieben. ==== Hardware PC und Laptop ==== Die Hardwarespezifikationen unter Windows wurden mit Hilfe der «Systeminformationen» ausgelesen. |**Gerät** |**Modellbezeichnung**|**CPU** |**Memory**|**NW-Adapter** | |**Arbeitsplatzrechner**|HP p6-2310ez |i5-3470 3.20GHz |8 GB |Realtek PCIe GBE Family Controller | |**Persönlicher Laptop**|Asus ZenBook |i7-8565U 1.80GHz|16 GB |ASIX AX88179 USB 3.0 to Gigabit Ethernet Adapter| Tabelle 1: Hardware PC und Laptop ==== Hardware Switch ==== Es handelt sich um einen Managed Switch, welcher über Webinterface und CLI konfiguriert werden kann. Die Informationen zu dem Switch wurden auf der Herstellerwebpage [5] gefunden. |**Gerät** |**Modellbezeichnung**|**Übertragungsrate**|**Anzahl Ports**| |**Switch**|Zyxel GS2220-28HP |1000 Mbps |28 | Tabelle 2: Hardware Switch ==== Hardware Firewall ==== Da auf dem Gehäuse der Firewall keine Herstellerbezeichnungen angegeben ist, wurde in der Konsole der Firewall der Befehl «dmidecode» ausgeführt. Mit Hilfe dieses Befehls wurde der Hersteller gefunden, es handelt sich hierbei um «PC Engines». Danach konnte das richtige Modell auf der Webseite des Herstellers [6] identifiziert werden. |**Gerät** |**Modellbezeichnung**|**CPU** |**Memory** |**Festplatte**|**NW-Interfaces** |**Übertragungsrate**| |**Firewall**|apu4d2 |GX-412TC|2GB DDR3-1333 DRAM|12 GB |igb0\\ \\ igb1\\ \\ igb2\\ \\ igb3|1000 Mbps | Tabelle 3: Hardware Firewall ==== Hardware Kameras ==== Nach der IPA werde ich an der Steiner Schule 16 Kameras in Betrieb nehmen. Im Rahmen dieser IPA selbst beschränkt sich der Umfang auf ein Exemplar pro Modell, insgesamt also 3 Stück. Als erstes die G4 Pro [7] von Ubiquiti. Dieses Gerät verfügt über eine 4K-Auflösung, die Fähigkeit zur Nachtsicht und eine Zoomfunktion, wodurch sie sich für die Überwachung von Orten in grösserer Entfernung anbietet. Als zweites Gerät steht die Unifi G4 Dome [8] zur Verfügung. Da es sich hierbei um eine Weitwinkelkamera handelt, soll dieses Gerät benutzt werden, um den Schulhof zu beobachten. Abschliessend die Unifi AI 360 [9], welche eine bewegliche Linse und daraus resultierend ein Sichtfeld von 360° verfügt. |**Gerät** |**Modellbezeichnung**|**Auflösung**|**Winkel** |**Framerate**|**Nachtsicht**|**Audio**|**Anzahl**| |**Kamera**|G4 Pro |4k |Wide: H 110°, V 60°, D 128°\\ Zoom: H 40°, V 20°, D 40°|50fps max. |Ja |Ja |4 | |**Kamera**|G4 Dome |2688 x 1512 |H:102.4°, V:71.4°, D:134.3° |24fps max. |Nein |Ja |12 | |**Kamera**|AI 360 |1920 x 1920 |360° |30fps max. |Nein |Ja |4 | Tabelle 4: Hardware Kameras ==== Hardware Network Video Recorder Pro ==== Als Speicherort der Videodateien werde ein Unifi NVR Pro [3] von Ubiquiti benutzt. Durch das Einbeziehen dieses dezidierten Geräts in die Umgebung, wird die Installation der Kameraanlage um einiges erleichtert. Das NVR wird mit 7 x 8 TB Festplatten von Toshiba bestückt, welche gesamthaft theoretisch 56 TB Speicher bereitstellen. Da jedoch eine Konfiguration von RAID verwendet werden soll, reduziert sich die reale Speicherkapazität entsprechend der gewählten Methode. Hierbei stehen RAID 1 (Kapazität: 8 TB, Ausfalltoleranz: 6 Festplatten, Spare: 0), RAID 5 (Kapazität: 48 TB, Ausfalltoleranz: 1 Festplatte, Spare: 0) und RAID 10 (Kapazität: 24 TB, Ausfalltoleranz: min 1 Festplatte, Spare: 1) zur Auswahl. |**Gerät** |**Modellbezeichnung**|**Speicherkapazität**| |**Network Video Recorder**|UNVR-Pro |56 TB | Tabelle 5: Hardware Network Video Recorder ===== Erfassung der einzusetzenden Software und Services ===== ==== Unifi Protect ==== Unifi Protect ist ein von Ubiquiti Networks, Inc. entwickeltes Videoüberwachungssystem, mit dem Benutzer Videomaterial von IP-Kameras überwachen und aufzeichnen können. Es bietet hochwertige Video-Streaming- und Aufzeichnungsfunktionen sowie erweiterte Funktionen, unter anderem Bewegungserkennung und -analyse, Fernzugriff und Warnmeldungen. Unifi Protect kann mithilfe einer benutzerfreundlichen Oberfläche, erreichbar über eine App oder den Browser, bedient werden. Das System ist skalierbar ausgelegt und kann einfach erweitert werden, indem zusätzliche Kameras zum Netzwerk hinzugefügt werden. In unserem Anwendungsfall lässt sich mit Unifi Protect ein umfassendes Videoüberwachungssystem für das Schulgelände aufbauen. ==== PfSense Firewall ==== PfSense [10] ist eine Open Source-Firewall- und Router-Software, basierend auf FreeBSD. PfSense wurde entwickelt, um kleinen und mittelständischen Unternehmen sowie Privatanwendern erweiterte Netzwerk- und Sicherheitsfunktionen bereitzustellen. PfSense bietet eine benutzerfreundliche Weboberfläche und unterstützt eine breite Palette von Netzwerkprotokollen und Diensten, darunter DNS, DHCP, NAT und Load Balancing. Die Software bietet erweiterte Sicherheitsfunktionen wie zustandsorientierte Überprüfung der Datenpakete, Einbruchserkennung und Verhinderung, wie auch die Unterstützung für virtuelle private Netzwerke (VPN). PfSense kann auf einem dedizierten Hardwaregerät oder auf einer virtuellen Maschine installiert und zur Verwaltung und Sicherung eines Netzwerks jeglicher Grösse verwendet werden. ==== Putty ==== Putty [11] ist ein beliebter Open-Source-Terminalemulator und Netzwerkdateiübertragungsanwendung für Windows, Linux und MacOS. Putty bietet eine umfassende Suite von Tools zur Verwaltung von Remote-Verbindungen über Protokolle wie SSH, Telnet und Serial. Die benutzerfreundliche Oberfläche und die erweiterten Funktionen machen es zur bevorzugten Wahl für Systemadministratoren, Netzwerktechniker und Entwickler, um sicher auf entfernte Systeme und Geräte zuzugreifen. Im Falle dieser IPA wird das Programm verwendet, um über die zuvor erwähnte Seriennummer eine Verbindung zu unserer Firewall herzustellen, was bei der Konfiguration der PfSense-Firewall hilfreich ist. ==== Rufus ==== Rufus [12] ist eine Open Source-Software-Utility, welche das Erstellen von bootfähigen USB-Laufwerken vereinfacht. Es ist kompatibel mit verschiedenen Betriebssystemen, einschliesslich Windows, Linux und FreeBSD. Im Falle dieser IP wird Rufus verwendet, um ein bootfähiges PfSense-Abbild auf einem USB-Stick zu palzieren. Dieses wird es für die Konfiguration der Firewall verwenden werden. ==== UnifiOS ==== UnifiOS [13] ist ein vielseitiges und benutzerfreundliches Betriebssystem, das entwickelt wurde, um verschiedene Geräte und Plattformen unter einer einzigen, nahtlosen Oberfläche zu vereinen. Es zielt darauf ab, eine konsistente und flüssige Benutzererfahrung auf Smartphones, Tablets, Computern und IoT-Geräten zu bieten. UnifiOS vereinfacht die Geräteverwaltung, optimiert die gemeinsame Nutzung von Daten und unterstützt eine breite Palette von Anwendungen, was es zu einer attraktiven Wahl für unseren Anwendungsfall macht. Mit seinem Fokus auf Interoperabilität, Sicherheit und Anpassungsfähigkeit ist UnifiOS ein zukunftsorientiertes Betriebssystem, das Komfort und die Produktivität fördert. ===== Erfassung und Beschreibung spezieller Technologien oder Normen ===== ==== Unifi G4 Kameras ==== Diese Kameras sind speziell für die Verwendung mit dem Unifi-Kamerasystem konzipiert. Es handelt sich um hochauflösende Kameras, die sowohl bei Tageslicht als auch bei schlechten Lichtverhältnissen klare Bilder aufnehmen können. Die wichtigsten Merkmale dieser Kameras sind ihre hohe Auflösung, die Nachtsichtfähigkeit und die einfache Integration in das Unifi-Kamerasystem. ==== Privacy Zones ==== Privacy Zones sind benutzerdefinierte Bereiche im Sichtfeld der Kamera, die maskiert oder verdunkelt werden, um sensible oder private Bereiche vor Überwachung oder Aufzeichnung zu schützen. Diese Funktion trägt dazu bei, die Privatsphäre von Schülern, Mitarbeitern und Besuchern zu wahren und gleichzeitig sicherzustellen, dass das Überwachungssystem nur Bereiche abdeckt, in denen dies aus Sicherheitsgründen erforderlich ist. ==== Motion Zones (Bewegungserkennung) ==== Das Unifi-Kamerasystem kann so konfiguriert werden, dass es Bewegungen im Sichtfeld der Kamera erkennt. Wenn eine Bewegung erkannt wird, kann die Kamera einen Alarm an den Unifi NVR Pro senden, dass die Kamera mit der Aufnahme von Bildern beginnen soll. Damit können Ressourcen gespart und das Finden von Vorfällen vereinfacht werden. ===== Die Gesetzlichen Grundlagen der Kameraüberwachung in Schulen ===== In den folgenden Ausführungen bezieht diese Dokumentation sich auf den Leitfaden “Videoüberwachung durch öffentliche Organe (ohne Strafverfolgungsbehörden)”. Ich habe telefonisch beim MBA (Mittelschul- und Berufsbildungsamt) abgeklärt, dass die Steiner Schule, als Privatschule unter die Klassifikation “öffentliches Organ” fällt. Dadurch fällt die Steiner Schule unter das Gesetz über die Information und den Datenschutz (IDG) [14]. Die Schule kann in Fällen von Vandalismus und Diebstahl eine datenschutzkonforme [2] Videoüberwachung einrichten, um den Schulbetrieb und die Sicherheit zu gewährleisten. Dies sollte lediglich als Massnahme in Betracht gezogen werden, wenn andere weniger invasive Methoden nicht ausreichend sind. ==== Ausmass und Zeiträume ==== Die Videoüberwachung muss auf das absolut Notwendige beschränkt sein, sowohl in Bezug auf den Umfang als auch auf die Dauer der Überwachung. Räumlich darf die Überwachung nur in Bereichen stattfinden, in denen ein erhöhtes Risiko besteht, während sie zeitlich auf Zeiträume beschränkt werden muss, in denen Vandalismus und Diebstahl wahrscheinlicher sind. Hinweisschilder sollten auf die Videoüberwachung aufmerksam machen, um Transparenz zu gewährleisten. ==== Aufbewahrungsfrist ==== Die Aufbewahrungsfrist muss verhältnismässig und die Löschung garantiert sein. Die Aufbewahrungsdauer muss möglichst kurz sein, das heisst die Daten sind unverzüglich zu löschen, wenn der Zweck erreicht ist. Aufbewahrungsfristen können je nach Zweck der Überwachung von 24 Stunden bis zu 100 Tagen reichen. ==== Empfohlene Vorgehensweise der Schule ==== Die Schule selbst darf keine Bagatelldelikte ahnden, da dies nicht im Sinne der Videoüberwachung ist und generell unangemessen ist. Stattdessen sollten Straftaten von den zuständigen Strafverfolgungsbehörden geahndet werden. Im Falle eines Verdachts auf eine Straftat können die Aufnahmen von bestimmten Schulmitarbeitenden gesichtet und den Behörden zur Verfügung gestellt werden, damit diese entsprechenden Massnahmen ergreifen können. ==== Datensicherheit ==== Die Steiner Schule ist verpflichtet, Informationen durch organisatorische und technische Massnahmen zu schützen. So muss die Vertraulichkeit (Verhinderung unrechtmässiger Kenntnisnahme von Informationen), die Integrität (Gewährleistung der Richtigkeit und Vollständigkeit) und die Authentizität (Zurechenbarkeit der Informationsbearbeitungen) der Daten gewährleistet werden. Die Personendaten müssen also vor dem Zugriff Unberechtigter mit physischen und technischen Massnahmen geschützt sein, daraus ergibt sich, dass die Videodateien sicher aufbewahrt werden müssen und der Zugriff beschränkt und protokolliert werden muss. ==== Verhältnismässigkeit ==== Das Verhältnismässigkeitsprinzip besagt grundlegend, dass Eingriffe in die Rechte und Freiheiten von Privatpersonen nur in dem Umfang zulässig sind, wie sie für den Schutz eines legitimen öffentlichen Interesses notwendig sind. Dabei ist die Abwägung zwischen den Sicherheitsinteressen der Öffentlichkeit und dem Schutz der Privatsphäre der betroffenen Personen von zentraler Bedeutung. ==== Transparenz ==== In diesem Fall hat die Steiner Schule schon selbst Massnahmen ergriffen, indem sie überall Tafeln aufgestellt hat, die auf die Videoüberwachung hinweisen. Diese Transparenz gewährleistet, dass alle Beteiligten über die Überwachungsmassnahmen informiert sind und somit in der Lage sind, ihre persönlichen Datenschutzrechte wahrzunehmen und zu schützen. Durch die offene Kommunikation über die Videoüberwachung und die damit verbundenen Sicherheitsziele können potenzielle Bedenken bezüglich der Privatsphäre ausgeräumt werden. ===== L3-Plan: IST-Zustand des Projektumfeld ===== In dieser Abbildung wird die Integration der Testumgebung in das Rafisa-Netzwerk dargestellt. Die Tabelle bietet eine Übersicht, welche es ermöglicht, potenzielle Probleme im System zu erkennen. So können bei Problemfällen die zuständigen Teams informiert werden, um eine schnelle Behebung zu gewährleisten. {{:intern:ipa:mh2023:image5.png?604x733|Graphical user interface Description automatically generated}} Abbildung 3: Layer 3-Plan des Projektumfelds |**FQDN** |**IP- Adresse**|**OS** |**Service** |**Service Team** |**Owner**| |**Server ** |  | \\   |  |  |  | |**prox-zh-ruga-01.zh.rafisa.ipa **|172.16.1.21  |Proxmox VE  |Virtualisierungsplattform  |Team Server Services  |RS  | |**prox-zh-ruga-02.zh.rafisa.ipa **|172.16.1.22  |Proxmox VE  |Virtualisierungsplattform \\ \\   |Team Server Services  |RS  | |**prox-zh-ruga-04.zh.rafisa.ipa **|172.16.1.24  |Proxmox VE  |Virtualisierungsplattform \\ \\   |Team Server Services  |RS  | |**uni-zh-01.zh.rafisa.ipa ** |172.16.1.30  |Ubuntu 20.04 LTS  |Ubiquiti WLAN Controller  |Team Network Services |ER  | |**ap-zh-01-05.zh.rafisa.ipa ** |172.16.1.31-35 |AirOS  |AP, WPA-Enterprise Radius Auth  |Team Network Services |ER  | |**bkp-zh-r02b-01.zh.rafisa.ipa ** |172.16.1.100  |Ubuntu 20.04 LTS  |Fileserver Learners  |Team Network Services |ER  | |**dc-zh-01.zh.rafisa.ipa ** |172.16.10.31  |Windows Server 2019 |DC/AD, DNS  |Team Network Services |ER  | |**dc-zh-02.zh.rafisa.ipa ** |172.16.10.32  |Windows Server 2019 |DC/AD, DNS  |Team Network Services |ER  | |**fs-zh-01.zh.rafisa.ipa ** |172.16.14.41  |Windows Server 2019 |Fileserver Learners  |Team Server Services  |RS  | |**fs-zh-02.zh.rafisa.ipa ** |172.16.13.41  |Windows Server 2019 |Fileserver Learners  |Team Server Services  |RS  | |**db-zh-01.zh.rafisa.ipa ** |172.16.14.5  |Debian 11  |Datenbankserver  |Team Network Services |ER  | |**prts-zh-01.zh.rafisa.ipa ** |172.16.40.11  |Windows Server 2019 |Printserver  |Team Network Services |ER  | |**Firewall ** |  |  |  |  |  | |**fw-zh-ruga-01.zh.rafisa.ipa ** |172.16.1.1  |Pfsense (BSD)  |VLAN-Routing, Filtering, VPN Concentrator, DHCP |Team Network Services |ER  | Tabelle 6: Produktive Systeme im Projektumfeld ====== Planen ====== ===== Planen Netzwerk ===== ==== Planen der VLANs ==== Da das Netzwerk der Steiner Schule so gut wie irgend möglich replizieren werden soll, sind folgend die verschiedenen existierenden VLANs aufgelistet. Sämtliche VLANs werden gemäss den Firmenstandards der ImmoRSS [1] repliziert. |**VLAN Name** |**VLAN ID**|**Netz-IP** | |**Management** |001 |172.(16/17/18/19/20).1.0/24 | |**Server** |002 |172.(16/17/18/19/20).2.0/24 | |**IMMORSS** |010 |172.(16/17/18/19/20).10.0/24 | |**Soundsystem** |020 |172.(16/17/18/19/20).20.0/24 | |**Leitung RSSZ**|031 |172.(16/17/18/19/20).31.0/24 | |**Lehrer RSSZ** |032 |172.(16/17/18/19/20).32.0/24 | |**Schuler RSSZ**|033 |172.(16/17/18/19/20).33.0/24 | |**Drucker** |040 |172.(16/17/18/19/20).40.0/24 | |**Guest** |100 |172.(16/17/18/19/20).100.0/24| |**Door** |150 |172.(16/17/18/19/20).150.0/24| |**Phone** |200 |172.(16/17/18/19/20).200.0/24| Tabelle 7: VLANs der ImmoRSS Zürich ==== Planen der Netzwerkdienste ==== Bei der Planung von Netzwerkdiensten gibt es verschiedene Möglichkeiten zur Realisierung der Namensauflösung für der beteiligten Systeme. Die folgenden Optionen werden in Betracht gezogen: **DNS-Resolver** Ein DNS-Resolver ist ein Client-seitiges Tool, das Anfragen an DNS-Server sendet, um die zu einem Domain-Namen korrespondierende IP-Adresse zu erhalten. Es handelt sich hierbei eine gängige Methode zur Namensauflösung in Netzwerken. Die meisten Betriebssysteme verfügen über integrierte DNS-Resolver, die automatisch mit dem Netzwerk-Setup konfiguriert werden. **Anpassen des lokalen Host-Files** Eine alternative Methode zur Namensauflösung ist das manuelle Hinzufügen von Einträgen in das lokale Host-File. Dies ist eine einfache, aber weniger flexible Methode, da alle Änderungen manuell vorgenommen werden müssen. Bei kleinen Netzwerken kann dies jedoch eine praktikable Lösung sein. **Installation eines DNS-Servers** Für grössere Netzwerke oder solche, die eine zentralisierte Verwaltung der Namensauflösung erfordern, kann ein eigener DNS-Server installiert werden. Dieser Server kann sowohl interne als auch externe Anfragen bearbeiten, was die Verwaltung und Skalierbarkeit des Netzwerks erleichtert. Es gibt verschiedene DNS-Server-Softwarelösungen, wie BIND, Microsoft DNS oder Unbound, die je nach Bedarf und Komplexität des Netzwerks gewählt werden können. **DNS-Forwarder** Ein DNS-Forwarder ist eine Zwischenlösung, bei der ein lokaler DNS-Server verwendet wird, um Anfragen von Clients entgegenzunehmen und an einen externen DNS-Server weiterzuleiten. Diese Methode kann nützlich sein, um die Leistung der Namensauflösung zu verbessern und den internen Netzwerkverkehr zu reduzieren. Die Wahl der Realisierungsmethode hängt von den Anforderungen und der Grösse des Netzwerks ab. In kleineren Netzwerken können Anpassungen des lokalen Host-Files oder DNS-Resolver ausreichend sein, während in grösseren Netzwerken die Installation eines DNS-Servers oder die Verwendung von DNS-Forwardern sinnvoll sein kann. |**System** |**DHCP** |**DNS** |**Gateway** | |**pfSense Firewall** |Möglich |Möglich |Möglich | |**Unifi NVR Pro** |Nicht möglich |Nicht möglich|Nicht möglich| |**ZyXel GS2220-28HP**|Nicht möglich (nur L2)|Nicht möglich|Nicht möglich| Tabelle 8: Netzwerkdienste im System Wie man in dieser Tabelle sehen kann, werden sinnvollerweise alle kritischen Netzwerkdienste auf der pfSense Firewall eingerichtet. ===== Planen Kamerasystem ===== ==== Geplante Kamerastandorte ==== Ich habe zusammen mit der Schulleitung einen Rundgang in der Steiner Schule gemacht, um die besten Kamerastandorte auszuwählen (Siehe folgende Abbildungen). Gemeinsam hat man sich für 16 Kamerapositionen entschieden. Die folgend aufgeführten Standorte und ihre jeweilig ausgesuchten Kameras werden anschliessend im Kapitel «Kameras planen» genauer analysiert: PS37-1-CAM01: Eine G4 Dome Kamera, welche den Basketballplatz überschaut PS39-2-CAM02: Eine G4 Pro Kamera, welche den Innenhof der Rudolf Steiner Schule aufzeichnet PS39-EG-CAM03: Und eine AI 360° Kamera, welche einen erweiterten blick auf den geteilten Pausenplatz zwischen 37 und 39 leistet. {{:intern:ipa:mh2023:image6.png?390x260|A picture containing timeline Description automatically generated}} Abbildung 4: Kamerastandorte 37/39/52 {{:intern:ipa:mh2023:image7.png?340x294}} Abbildung 5: Kamerastandorte 77 Die Namen wurden anhand der Richtlinien der Firmenstandards gewählt. Jedoch konnte ein Teil nicht komplett eingehalten werden, da die Gerätenamen gemäss Firmenstandards die Zimmer, in welchen sie sich befinden, beinhalten und die Kameras ausserhalb dieser platziert werden. Deswegen orientiert sich die Namensvergabe der Kameras an einem leicht anderen Konzept, genauer gesagt wird auf eine genauere Ortsbeschreibung verzichtet. Die Namen sind wie folgt aufgebaut: PS37-1-CAM01 steht für PS37 = Haus 37, 1 = 1. Stockwerk, CAM01 = erste Kamera. ==== Problemzonen ==== {{:intern:ipa:mh2023:image8.png?604x397}} Abbildung 6: Problemzonen **Spielplatz (1)** Privatsphäre: Schülerinnen und Schüler sollten sich während der Pause frei und unbeschwert bewegen können, ohne das Gefühl ständiger Überwachung. Eine Kameraüberwachung könnte ihre Privatsphäre beeinträchtigen. Eltern: Einige Eltern könnten Bedenken bezüglich der Überwachung ihrer Kinder haben und deren Privatsphäre schützen wollen. **Strasse (2)** Öffentlicher Raum: Die Überwachung öffentlicher Strassen ist nicht gestattet, da sie nicht direkt zum Schulgelände gehören. Datenschutz: In öffentlichen Bereichen sind viele verschiedene Personen unterwegs. Die Überwachung dieser Personen verstösst gegen Schweizer Datenschutzgesetze. **Parkplatz (3)** Datenschutz: Das Filmen von Autokennzeichen kann zu datenschutzrechtlichen Problemen führen, da sie als persönliche Daten gelten. **Apartments (4)** Privatsphäre: Die Überwachung der Apartments, obwohl sie der ImmoRSS gehören, ist nicht gestattet, da sie nicht zum Schulgelände gehören. ==== Aufnahmezeiten: ==== Gemäss den schweizerischen Gesetzen [2] müssen die Aufnahmezeiten der Überwachungskameras bestimmten Vorgaben folgen, um die Privatsphäre und Persönlichkeitsrechte der Schüler zu gewährleisten. Eine kontinuierliche Überwachung (24/7) ist nicht erlaubt. Daher müssen die Aufnahmezeiten nach einem festgelegten Rhythmus erfolgen, der den gesetzlichen Anforderungen entspricht und die Privatsphäre der betroffenen Personen schützt. Im Rahmen dieser IPA wird nur ein Beispielrythmus implementiert werden, damit die Schulleitung selbst den sinnvollsten Rhythmus unter Berücksichtigung von Schultagen und Unterrichtsstruktur implementieren kann. ==== Risiken des Kamerasystems ==== Sicherheitsrisiken eines Kamerasystems: **Vor Ort:** Demontage der Kameras und Anschliessen eines Notebooks Sollte sich jemand physischen Zugang zu einer Unifi-Kamera verschaffen und sich mit der RJ45-Verbindung der Kamera verbinden, könnte er möglicherweise auf den Videostream der Kamera zugreifen, dessen Konfiguration ändern oder die Netzwerkverbindung als Einstiegspunkt in das Netzwerk verwenden, um weitere Angriffe zu starten. Dies ist als physisches Sicherheitsrisiko bekannt. Einige spezifische Risiken in diesem Szenario sind: -Unberechtigter Zugriff auf den Videostream: Wenn ein Angreifer Zugang zur RJ45-Verbindung der Kamera erhält, könnte er den Videostream möglicherweise abfangen und das Filmmaterial ohne Genehmigung ansehen oder aufzeichnen. -Netzwerkeinbruch: Wenn die Kamera mit einem Netzwerk verbunden ist, könnte ein Angreifer, der Zugang zur RJ45-Verbindung der Kamera erhält, sie möglicherweise als Einstiegspunkt in das Netzwerk verwenden und weitere Angriffe auf andere Geräte oder Systeme starten **Online:** Hackerangriff auf das Kamerasystem durch Unifi.ui.com. Ein eigenes VLAN hält Hacker davon ab vom Kamerasystem aus auf andere VLANs zuzugreifen. Da das NVR und die jeweiligen User Accounts jeweils mit Two Factor Authentication und einem starken Passwort abgesichert sind, sollte die Sicherheit der Daten weitgehend gewährleistet sein. Nicht einmal Direct Access auf eine Kamera wäre für einen Hacker von grossem Nutzen, da diese durch ein starkes, generiertes Passwort vom NVR geschützt sind, und nur einen Live-feed, jedoch auf keine gespeicherten Aufnahmen, zugegriffen werden kann. **Technische Risiken**: Im Unifi-Kamerasystem können technische Probleme auftreten, wie beispielsweise Netzwerkverbindungsprobleme, Kamerastörungen oder NVR-Ausfälle. Diese Probleme könnten zu Ausfallzeiten oder dem Verlust von Filmmaterial führen. **Wartungsrisiken**: Das Unifi-Kamerasystem erfordert eine kontinuierliche Wartung, wie Software-Updates, Kamerareinigung und NVR-Wartung. Eine mangelnde Wartung des Systems kann zu einer verringerten Leistung oder sogar zu einem Systemausfall führen. Es ist auch festzuhalten, dass ein fehlerhaftes oder falsch ausgeführtes Software-Updates das System lahmlegen könnte, jedoch ist die zusätzliche Sicherheit, die mit automatischen Updates gewährleistet sein sollte, ist nicht zu unterschätzen. ==== Planen der rechtlichen- und ethischen Aspekte ==== Die Platzierung der Kameras entspricht allen relevanten Schweizer Gesetzen und Richtlinien, einschliesslich der Datenschutzgesetzen [2] und Vorschriften zur Verwendung von Überwachungsgeräten. Dazu gehört, die Auswirkungen auf die Privatsphäre zu berücksichtigen, Transparenz über Zweck und Umfang der Überwachung zu wahren und sicherzustellen, dass die gesammelten Daten sicher gespeichert und verantwortungsbewusst verwendet werden. ==== Ethische Überlegungen zu den Problemzonen ==== Die Platzierung der Kameras erfolgt ausschliesslich aus sicherheitsrelevanten Gründen. Respektierung der Privacy Zonen ist von grösster Bedeutung, um das Vertrauen und das Wohlbefinden aller Beteiligten zu gewährleisten. Im Spielplatzbereich ist es entscheidend, die Privatsphäre der Schülerinnen und Schüler zu schützen, damit sie sich frei und unbeschwert bewegen können. Ebenso ist es wichtig, die Bedenken der Eltern bezüglich der Überwachung ihrer Kinder zu berücksichtigen. In der Strasse ist es erforderlich, den öffentlichen Raum und den Datenschutz der zahlreichen Personen, die diesen Bereich nutzen, zu respektieren, um nicht gegen Schweizer Datenschutzgesetze zu verstossen. Schliesslich ist es auf dem Parkplatz unerlässlich, datenschutzrechtliche Probleme im Zusammenhang mit der Erfassung von Autokennzeichen zu vermeiden, da diese als persönliche Daten gelten. Deswegen ist es wichtig, dass alle Problemzonen in Unifi OS als "Privacy Zonen" markiert werden, um die Privatsphäre und den Datenschutz aller Beteiligten zu gewährleisten. Durch diese Markierung wird sichergestellt, dass keine sichtbaren Aufzeichnungen dieser Bereiche gespeichert werden. Dies ist notwendig, um datenschutzrechtliche Verstösse zu vermeiden und ein sicheres Umfeld für Schülerinnen und Schüler, Eltern sowie die breite Öffentlichkeit zu schaffen. Indem diese Privacy Zonen in Unifi OS respektiert werden und keine sichtbaren Aufzeichnungen gespeichert werden, setzen wir uns für verantwortungsbewusstes und ethisches Handeln ein. ==== Möglichkeiten für eine verhältnismässige Kameraüberwachung ==== Im Leitfaden des Datenschutzbeauftragten werden einige Möglichkeiten aufgezeigt, wie eine Videoüberwachung verhältnismässig umgesetzt werden kann [2]: * Einsatz eines Privacy-Filters (Personen werden mittels Filter unkenntlich gemacht und können nachträglich durch Zugriffsberechtigte wieder erkennbar gemacht werden) * Beschränktes Erfassen und/oder Aufnehmen von Bildern durch die Installation von Bewegungsmeldern * Verschlüsselung vor der Speicherung des Bildmaterials * Einschränkung der Auswertung (zum Beispiel auf Ereignisfälle beschränkt) * Kurze Aufbewahrungsdauer * Echtzeit-Überwachung ohne Speicherung der Aufnahmen * Räumliche Beschränkung des Aufnahmebereichs der Videokamera (Erfassen nur der für den verfolgten Zweck notwendigen Bilder) * Zeitliche Beschränkung der Überwachung (keine 24-Stunden-Überwachung) ===== Planen NVR-Einrichtung ===== |**Konfigurationsdetails**| | |**Hostname** |PS39-2-NVR01 | |**VLAN** |50 | |**IP Adresse** |172.16.50.100/24| Tabelle 9: Planen NVR Einrichtung Bei oben aufgelisteten Konfigurationsdetails handelt es sich um Einrichtungsdetails des Netzwerkvideorekorders (NVR) innerhalb des Überwachungssystems. Der Hostname, VLAN und die IP-Adresse sind für die korrekte Identifizierung und Kommunikation innerhalb des Netzwerks erforderlich. ==== Zugänge & Updates ==== Für den Zugriff auf den UniFi NVR Pro sollten HTTPS, SSH und Cloud-Zugang verwendet werden. HTTPS bietet den Vorteil der Verschlüsselung und der Notwendigkeit einer Authentifizierung. SSH ermöglicht sichere Verwaltung und kann bei Problemen wie fehlerhaften Updates helfen. Der Cloud-Zugang erlaubt Fernverwaltung, birgt jedoch Sicherheitsrisiken. Um die Sicherheit zu gewährleisten, wird auf starke Passwörter, Two-Factor Authentication und regelmässige Updates gesetzt. ==== Speichermöglichkeiten ==== Bei der Einrichtung des RAID-Systems (Redundant Array of Independent Disks) habe ich 7 Festplatten mit jeweils 8 TB zur Verfügung. Das NVR bietet Optionen für RAID 1, RAID 5 und RAID 10. RAID 1 bietet 24 TB Kapazität, hohe Redundanz, aber keine Kapazitätserweiterung. RAID 5 bietet 48 TB Kapazität, eine gute Kombination aus Kapazität, Redundanz und Leistung. RAID 10 bietet 24 TB Kapazität, hohe Leistung und Redundanz, jedoch weniger Kapazität als RAID 5. ==== Aufbewahrung ==== Die Aufnahmen werden für eine bestimmte Zeit lang aufbewahrt und danach automatisch überschrieben oder gelöscht, um die Einhaltung der Schweizer Datenschutzbestimmungen sicherzustellen. Im Falle eines Sicherheitsvorfalls oder einer laufenden Untersuchung können relevante Filmaufnahmen jedoch für einen längeren Zeitraum aufbewahrt werden, bis die Angelegenheit geklärt ist oder bis der Bedarf der Behörden nicht mehr gegeben ist. [2] ===== Planen der Unifi-Protect-App ===== ==== Benutzer und Rollen ==== Es sollten verschiedene Benutzerrollen eingerichtet werden. Administratoren sollten Vollzugriff auf die App haben und in der Lage sein, Benutzer, Kameras und Einstellungen zu verwalten. Benutzer hingegen sollten lediglich eingeschränkten Zugriff auf die App haben und nur bestimmte Kameras und Funktionen nutzen können. ==== Views und Overlays ==== Die Benutzeroberfläche von Unifi Protect bietet übersichtliche Ansichten und Overlays. Dazu gehören ein Live-View, der Live-Streams von allen Kameras anzeigt, eine Aufnahmen-Ansicht, die aufgezeichnete Clips und Ereignisse präsentiert, sowie eine Zeitachse, die zeitlich geordnete Ereignisse zeigt und das Durchsuchen von Aufnahmen ermöglicht. Anpassbare Overlays, wie Kameraname, IP und Status sollten ebenfalls integriert werden. ==== Notifications ==== Ein effektives Benachrichtigungssystem für Alarme sollte es ebenfalls geben. Benutzer sollten bei Ereignissen wie Kamera-Disconnects oder Systemproblemen über E-Mail-Benachrichtigungen informiert werden. ==== Update Konzept ==== Das Projekt wird automatische Updates beinhalten, um Unifi Protect stets auf dem neuesten Stand zu halten und Sicherheitslücken zu schliessen. Diese Updates sollten idealerweise ausserhalb der Hauptnutzungszeiten geplant werden, um mögliche Unterbrechungen zu minimieren. Benutzer werden über bevorstehende Updates informiert und werden die Möglichkeit haben, diese zu verschieben oder manuell zu installieren. Im Falle von Problemen mit einem Update wird es möglich sein, durch Zugriff via SSH zu einer vorherigen Softwareversion zurückzukehren. ===== Hermes Abnahmeprotokoll ===== Am 27. April wurde mit dem Auftraggeber der Termin für die Abnahme festgelegt: {{:intern:ipa:mh2023:image9.png?323x147|Graphical user interface, text Description automatically generated}} Für das Abnahmeprotokoll wurde eine Vorlage von Hermes [15] verwendet. Hermes ist ein Projektmanagementsystem, das von der Schweizerischen Bundesverwaltung entwickelt wurde. Es dient als Leitfaden für die Durchführung von Projekten und soll eine einheitliche Vorgehensweise in allen Bundesämtern gewährleisten. HERMES besteht aus einer Sammlung von Prozessmodellen, Methoden, Techniken und Dokumentvorlagen, die in verschiedenen Phasen eines Projekts angewendet werden können. Dabei sollen insbesondere eine klare Strukturierung, Transparenz und Verbindlichkeit im Projektmanagement gewährleistet werden. HERMES ist jedoch nicht nur auf die Bundesverwaltung beschränkt, sondern wird auch in anderen Organisationen und Unternehmen erfolgreich eingesetzt. Das Abnahmeprotokoll findet sich im Anhang. ====== Entscheiden ====== ===== Konzept des Netzwerks ===== ==== VLAN ==== Ich habe beschlossen, alle VLANs der Steiner Schule zu replizieren. In der folgenden Tabelle sind die zu realisierenden VLANs dargestellt. Die IP-Ranges der Subnetze wurden konform zu den Firmenstandards vergeben. ==== IP-Zuteilung ==== Die Hostnamen aller benötigten Systeme werden gemäss der Namenskonvention der ImmoRSS festgelegt [1]: |**VLAN** |**Kürzel/Hostname**|**IP-Adresse** |**Funktion** | |**VLAN Management**| | | | |**VLAN1** |Management |172.16.1.0/24 |Management | | |PS39-2-SW01 |172.16.1.1 |Firewall | | |PS39-2-FW01 |172.16.1.5 |Switch | |**VLAN Kameras** | | | | |**VLAN50** |Kameras |172.16.50.0/24 | | | |PS39-2-NVR01 |172.16.50.100/24|Unifi NVR Pro| | |PS37-1-CAM01 |172.16.50.101 |Kamera | | |PS39-2-CAM02 |172.16.50.102 |Kamera | | |PS37-EG-CAM03 |172.16.50.103 |Kamera | Tabelle 10: IP-Zuteilung ==== Zugriffsmatrix ==== Gemäss den Firmenstandards [1] soll die Zugriffsmatrix für die verschiedenen VLANs definiert werden. Das Kameranetzwerk kommt in sein eigenes “VLAN 50”. |**VLAN**|**01**|**02**|**10**|**20**|**31**|**32**|**33**|**40**|**50**|**100**|**150**|**200**|**WAN**| |**01** |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ |✔️ | |**02** |❌ |✔️ |❌ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ |❌ |❌ |✔️ | |**10** |❌ |✔️ |✔️ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ |✔️ |❌ |✔️ | |**20** |❌ |❌ |❌ |✔️ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |✔️ | |**31** |❌ |✔️ |❌ |❌ |✔️ |❌ |❌ |✔️ |❌ |❌ |❌ |❌ |✔️ | |**32** |❌ |✔️ |❌ |❌ |❌ |✔️ |✔️ |✔️ |❌ |❌ |❌ |❌ |✔️ | |**33** |❌ |❌ |❌ |❌ |❌ |❌ |✔️ |✔️ |❌ |❌ |❌ |❌ |✔️ | |**40** |❌ |✔️ |❌ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ |❌ |❌ |❌ | |**50** |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ |❌ |✔️ | |**100** |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ |✔️ | |**150** |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ | |**200** |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |❌ |✔️ |✔️ | |**WAN** |❌ |✔️ |❌ |❌ |❌ |❌ |❌ |❌ |✔️ |❌ |❌ |❌ |✔️ | Tabelle 11: Zugriffsmatrix ==== Ports Konfiguration der Switch und Firewall ==== In der Tabelle sind die beabsichtigten Konfigurationen der Ports für die Switches und Firewalls aufgeführt. |**Port** |**Zustand**| | |**Firewall**| | | |**igb0** |Access | | |**igb1** |Reserve | | |**igb2** |Reserve | | |**igb3** |Tagged | | |**Switch** |**VLAN01** |**VLAN 50**| |**1** |Fixed |Forbidden | |**2** |Fixed |Forbidden | |**3** |Forbidden |Fixed | |**4** |Forbidden |Fixed | |**5** |Forbidden |Fixed | |**6** |Forbidden |Fixed | |**7** |Forbidden |Fixed | |**8** |Forbidden |Fixed | |**9** |Forbidden |Fixed | |**10** |Forbidden |Fixed | |**11** |Forbidden |Fixed | |**12** |Forbidden |Fixed | |**13** |Forbidden |Fixed | |**14** |Forbidden |Fixed | |**15** |Forbidden |Fixed | |**16** |Forbidden |Fixed | |**17** |Forbidden |Fixed | |**18** |Forbidden |Fixed | |**19** |Forbidden |Fixed | |**20** |Forbidden |Fixed | |**21** |Forbidden |Fixed | |**22** |Forbidden |Fixed | |**23** |Forbidden |Fixed | |**24** |Forbidden |Fixed | |**25** |Tagged |Tagged | |**26** |Tagged |Tagged | |**27** |Tagged |Tagged | |**28** |Tagged |Tagged | Tabelle 12: Portkonfigurationstabelle ===== Konzept Einrichten des NVR ===== ==== Speicherkonfiguration ==== Die Gewichtungen wurden vorgängig mit der Steiner Schule abgeklärt. Die Bewertung der jeweiligen Kriterien wurde vom Kandidaten mit einer Skala von 1 (minimaler Erfüllungsgrad) bis 10 (maximaler Erfüllungsgrad) durchgeführt. |**Kriterium** |**Gewichtung**|**RAID 1**|**RAID 5**|**RAID 10**|**Total RAID 1**|**Total RAID 5**|**Total Raid 10**| |**Datensicherheit** |40% |10 |8 |9 |400 |320 |360 | |**Performance** |25% |3 |7 |8 |75 |175 |200 | |**Storage Efficiency**|20% |4 |9 |7 |80 |180 |140 | |**Kosten** |15% |6 |8 |6 |90 |120 |90 | |**Score** | | | | |645 |**795** |790 | Tabelle 13: RAID Entscheidungsmatrix **RAID 1:** * Datensicherheit: 10. RAID 1 bietet die höchste Datensicherheit, da alle Daten auf einer zusätzlichen Festplatte gespiegelt werden. * Performance: 3. RAID 1 ist aufgrund der Datenspiegelung auf eine andere Festplatte weniger leistungsstark im Vergleich zu RAID 0. * Speichereffizienz: 4. RAID 1 eignet sich nicht um den Speicherplatz effizient zu nutzen, da nur ein Bruchteil des gesamten Speicherplatzes verwendet werden kann. * Kosten: 6. RAID 1 ist oftmals teurer als andere RAID-Konfigurationen, dies aufgrund der zusätzlich benötigten Laufwerke, auf denen jeweils die Daten gespiegelt werden. > __Gesamte Punktezahl: 645__ **RAID 5:** * Datensicherheit: 8. RAID 5 bietet guten Datenschutz, indem Paritätsdaten auf alle Laufwerke im Array verteilt werden, sodass ein Laufwerk ohne Datenverlust ausfallen kann. * Performance: 7. RAID 5 bietet hohe Lese- und Schreibgeschwindigkeit, welche es für Überwachsungssysteme geeignet macht. * Speichereffizienz: 9. RAID 5 ist eine effiziente Nutzung des Speicherplatzes, da Paritätsdaten zum Schutz vor Datenverlust verwendet werden. * Kosten: 8. RAID 5 ist sehr kosteneffizient, da diese Konfiguration weniger Laufwerke als andere benötigt. __Gesamte Punktezahl: 795__ **RAID 10:** * Datensicherheit: 9. RAID 10 bietet guten Datenschutz, da Daten gespiegelt und über mehrere Festplattenpaare verteilt werden. * Performance: 8. RAID 10 bietet hohe Lese- und Schreibgeschwindigkeiten aufgrund der Verteilung von Daten über mehrere Festplatten. * Speichereffizient: 7. RAID 10 ist in Bezug auf den Speicherplatz weniger effizient, da nur die Hälfte der gesamten Speicherkapazität für die Datenspeicherung verwendet wird. * Kosten: 6. RAID 10 kann aufgrund der Notwendigkeit zusätzlicher Laufwerke teurer sein als andere RAID-Konfigurationen. __Gesamte Punktezahl: 790__ Gemäss dem aus dieser Analyse hervorgehenden Ergebnis, handelt es sich bei RAID 5, aufgrund des Gleichgewichts zwischen Leistung, Datensicherheit und Kosteneffizienz, um die, für den Einsatz auf dem Unifi NVR Pro, zu bevorzugende RAID-Konfiguration. ==== Aufnahmeaufbewahrung ==== Ausfolgenden Gründen sollte die Aufnahme Aufbewahrung der Steiner Schule nur 42 Tage betragen: **Datenschutzbedenken:** Es ist wichtig, die Privatsphäre von Schülern, Mitarbeitern und Besuchern zu schützen. Eine Speicherung von Aufnahmen über 42 Tage hinaus könnte ihre Privatsphäre gefährden. **Storage:** Überwachungskameras zeichnen täglich eine erhebliche Menge an Material auf und das Speichern dieser Aufnahmen über einen längeren Zeitraum beansprucht viel Speicherplatz. Das Speichern von Aufnahmen für mehr als 42 Tage kann zu einer unüberschaubaren und teuren Datenmenge führen. **Effizienz:** Das Speichern von Aufnahmen für mehr als 42 Tage ist möglicherweise nicht effizient für Sicherheitszwecke. Die meisten Vorfälle und Sicherheitsverstösse werden sofort gemeldet, und falls ein Vorfall nicht innerhalb von 42 Tagen gemeldet wird, ist es unwahrscheinlich, dass das Überprüfen von Aufnahmen über diesen Zeitraum hinaus von erheblich grösserem Nutzen sein wird. Es ist auch erwähnenswert, dass die längsten Schulferien genau 5 Wochen dauern, sodass eine Aufbewahrungsfrist von 6 Wochen dem Schulpersonal Zeit gibt, etwaige Verbrechen, die während dieser Ferienzeit aufgetreten sind, zu erfassen und zu melden. ==== Benutzer und Rollen ==== Für die Benutzerrollen im NVR wurde folgende Berechtigungsmatrix für die Benutzerrollen zusammengestellt: |**Rolle** |**Benutzer**\\ \\ **Verwaltung**|**Kameraeinstellungen**|**Livestream**|**Aufzeichnungen**|**Systemeinstellungen**| |**Administrator** |✔️ |✔️ |✔️ |✔️ |✔️ | |**Kamera-Manager** |❌ |✔️ |✔️ |✔️ |❌ | |**View Only (Benutzer)**|❌ |✔️ |✔️ |❌ |❌ | |**Gast** |❌ |❌ |✔️ |❌ |❌ | Tabelle 14: Rollenmatrix Das umzusetzende System hat vier Arten von Benutzern: Administrator, Kamera-Manager, Standardbenutzer und Gast. Der Administrator ist eine Rolle, welche an den Unifi Protect-Account gebunden ist. Sie hat uneingeschränkten Zugriff auf alle Funktionen der App und kann Benutzer, Kameras und Einstellungen verwalten. Ebenfalls kann der Administrator durch Unifi.ui.com aus der Distanz auf das System zugreifen. Der Kamera-Manager ist eine lokale Rolle. Sie hat eingeschränkten Zugriff auf die App, hauptsächlich zur Verwaltung von Kameras und zum Ansehen von Aufzeichnungen und Live-Streams der zugewiesenen Kameras. Der Standardbenutzer “View Only” ist eine lokale Rolle, die an einen Unifi Protect Account gebunden ist. Die Rolle hat begrenzten Zugriff und kann nur Live-Streams und Aufzeichnungen zugewiesener Kameras anzeigen und grundlegende Funktionen wie Pan-Tilt-Zoom (PTZ) verwenden. Der Gast ist eine lokale Rolle. Die Rolle hat sehr eingeschränkten Zugriff und kann nur Live-Streams zugewiesener Kameras anzeigen, ohne Zugriff auf Aufzeichnungen oder Verwaltungsfunktionen der App. ===== Konzept Kamerasystem ===== ==== Standort 1: PS37-EG-CAM03 ==== Anbringungsort: Äussere Fassade der Steiner Schule, Richtung Strassenseite. {{:intern:ipa:mh2023:image10.jpeg?363x438}} Abbildung 7: Anbringungsort PS37-EG-CAM03 Kamerasicht: {{:intern:ipa:mh2023:image11.jpeg?603x452}} Abbildung 8: Kamerasicht PS37_EG_CAM03 **Kamera:** Unifi 360° AI **Art der Kamera und Funktionen:** Die Kamera wird eine Unifi 360° AI-Kamera mit einer Auflösung von 4000 x 3000 Pixeln sein. Sie wird ein 360-Grad-Sichtfeld haben, das den Grossteil des geteilten Hofbereichs von 37 und 39 abdeckt. Sie verfügt ausserdem über erweiterte Funktionen wie Bewegungserkennung und Nachtsicht. **Position der Kamera:** Schulhof von 37, Strassenseite **Begründung für die Wahl dieser Position:** Der Schulhof ist ein gemeinsamer Bereich für Schüler und Personal, und es gab Vorfälle von Vandalismus und unbefugtem Zutritt an ähnlichen Orten der Schule. Durch die Platzierung einer Kamera an diesem Ort wird der Bereich überwacht und potenzielle Eindringlinge abgeschreckt. **Problemzonen:** Strasse, Spielplatz. **Beschreibung der Sicherheitsrisiken und Schwachstellen in der Umgebung:** Der Schulhof ist anfällig für unbefugten Zutritt, Vandalismus und andere kriminelle Aktivitäten. **Wie die Kameraposition diese Risiken und Schwachstellen angeht:** Die Kameraposition bietet eine visuelle Abschreckung für potenzielle Eindringlinge und kann Aufnahmen von verdächtigen Aktivitäten oder Vorfällen im Schulhofbereich machen. **Mögliche Auswirkungen auf die Privatsphäre:** Die Kameraposition kann Aufnahmen von Personen im Schulhof machen, was ihre Privatsphäre beeinträchtigen könnte. Die Strasse muss als Privacy Zone definiert werden ==== Standort 2: PS37-1-CAM01 ==== Anbringungsort: Über dem Osteingang von Gebäude 37. {{:intern:ipa:mh2023:image12.jpeg?590x411|A building with a sign on it Description automatically generated with low confidence}} Abbildung 9: Anbringungsort PS37-1-CAM01 Kamerasicht: {{:intern:ipa:mh2023:image13.jpeg?603x340}} Abbildung 10: Kamerasicht PS37-1-CAM01 Kamera: Unifi G4 Dome **Art der Kamera und Funktionen:** Die Kamera wird eine Unifi G4 Dome Kamera sein, da dieses Modell durch ihr unauffälliges Design in die Umgebung passt und gleichzeitig einen grossen Bereich mit ihrem Weitwinkel-Objektiv abdeckt. Die Robustheit und der integrierte Schutz vor Vandalismus des Gehäuses gewährleisten Langlebigkeit und zuverlässigen Betrieb, während die Nachtsichtfähigkeit eine durchgehende Überwachung ermöglicht. **Position der Kamera:** 37 Ost, Sportplatz **Begründung für die Wahl dieser Position:** Sie deckt einen Grossteil der Ostseite der Steiner Schule ab und wird als Abschreckung gegen Sachbeschädigung, Diebstahl und andere Straftaten, welche auf dem Sportplatz begangen werden könnten, dienen. **Problemzonen:** Basketballsportplatz **Beschreibung der Sicherheitsrisiken und Schwachstellen in der Umgebung:** Die Kameraposition bietet eine visuelle Abschreckung für potenzielle Eindringlinge und kann Aufnahmen von verdächtigen Aktivitäten oder Vorfällen am Sportplatz machen. **Wie die Kameraposition diese Risiken und Schwachstellen angeht:** Die Kameraposition bietet eine visuelle Abschreckung für potenzielle Eindringlinge und kann Aufnahmen von verdächtigen Aktivitäten oder Vorfällen im Schuleingang machen. **Mögliche Auswirkungen auf die Privatsphäre:** Sportler und andere werden sich bei ihren Aktivitäten vielleicht überwacht fühlen. ==== Standort 3: PS39-2-CAM02 ==== Anbringungsort: Im Büro von Thomas Eder.\\ {{:intern:ipa:mh2023:image14.jpeg?454x434|A building with a sign on it Description automatically generated with low confidence}} Abbildung 11: Anbringungsort PS39-2-CAM02 Kamerasicht: {{:intern:ipa:mh2023:image15.jpeg?603x340}} Abbildung 12: Kamerasicht PS39-2-CAM02 Kamera: Unifi G4 Pro **Art der Kamera und Funktionen:** Die Kamera wird eine Unifi G4 Pro Kamera sein, da dieses Modell eine hohe Auflösung und Nachtsichtfähigkeiten bietet. Sie ermöglicht eine detaillierte Überwachung der Umgebung, um Sachbeschädigung, Diebstahl und andere Straftaten zu verhindern. Gegebenenfalls können nicht zu überwachende Bereiche durch Kameraeinstellungen oder physische Barrieren abgeschirmt werden. **Position der Kamera:** Büro der Schulleitung (Thomas Eder) **Begründung für die Wahl dieser Position:** Die Kameraposition ist notwendig, um Sicherheitsrisiken und Schwachstellen im Schulhofbereich und am Haupteingang von 37 zu adressieren und eine sicherere Umgebung für Schüler und Personal zu schaffen. Wenn man eine Kamera mit Blickwinkel auf den Schulhof platziert, kann man die Sicherheit und Überwachung der Schule erhöhen. **Problemzonen:** Es gibt kaum Problemzonen, da die Kamera einen Bereich erfasst, der vollständig im Besitz von der Rudolf-Steiner-Schule und ImmoRSS ist. Die Apartments sollten zur Sicherheit trotzdem als Privacy Zone konfiguriert werden. **Beschreibung der Sicherheitsrisiken und Schwachstellen in der Umgebung:** Der Schulhof ist anfällig für unbefugten Zutritt, Vandalismus und andere kriminelle Aktivitäten. **Wie die Kameraposition diese Risiken und Schwachstellen angeht:** Da die Kamera sich im Büro der Schulleitung befindet, bietet sie leider keine visuelle Abschreckung für potenzielle Eindringlinge. Dafür ist sie sicher vor Vandalismus, welcher in diesem Areal zu einem Problem wurde. Ebenfalls kann sie trotzdem Aufnahmen von verdächtigen Aktivitäten oder kriminellen Vorfällen im Schuleingang machen. **Mögliche Auswirkungen auf die Privatsphäre:** Da die Kamera im Büro versteckt ist, könnten Schüler möglicherweise denken, dass weitere Kameras in Fenstern versteckt sind, was zu Paranoia führen könnte. Es gibt jedoch bereits einige solcher Attrappen-Einrichtungen, sodass sich praktisch gesehen nicht viel ändern würde. ==== Konzept für die Verhältnismässigkeit ==== |**Vorschlag** |**Realisation**|**Begründung** | |**Privacy Filter** |Ja |Durch den Einsatz von Privacy Filtern können Bereiche ausgeblendet werden, die nicht überwacht werden sollen, um die Privatsphäre zu schützen. In Unifi sind Privacy Filter als “Privacy Zones” designiert. | |**Bewegungsmelder** |Ja |Bewegungsmelder ermöglichen es, die Überwachung nur dann zu aktivieren, wenn Bewegungen erkannt werden, wodurch unnötige Aufnahmen vermieden und Ressourcen geschont werden. In Unifi sind Bewegungsmelder als “Motion Zones” designiert.| |**Verschlüsselung** |Ja |Verschlüsselung gewährleistet die Sicherheit der gespeicherten Daten und verhindert den unbefugten Zugriff durch Dritte. | |**Einschränkung der Auswertung** |Ja |Durch die Einschränkung der Auswertung auf bestimmte Anwendungsfälle kann der Datenschutz gewahrt und das Risiko von Missbrauch reduziert werden. | |**Kurze Aufbewahrungsdauer** |Ja |Eine kurze Aufbewahrungsdauer der Daten verringert das Risiko von Datenmissbrauch und hilft, die Privatsphäre der betroffenen Personen zu schützen. | |**Echtzeitüberwachung ohne Speicherung**|Nein |Die Aufnahmen werden gespeichert, jedoch werden wir aufgrund der Motion Zones keine Echtzeitüberwachung haben. | |**Räumliche Beschränkung** |Ja |Durch räumliche Beschränkungen kann die Überwachung auf bestimmte Bereiche begrenzt werden, um die Privatsphäre und den Datenschutz zu gewährleisten. | |**Zeitliche Beschränkung** |Ja |Die zeitliche Beschränkung der Überwachung auf bestimmte Zeiträume reduziert die Menge der gesammelten Daten und erhöht den Datenschutz. | Im Kapitel Planen “Möglichkeiten für eine Verhältnismässige Kameraüberwachung” wurde das Verhältnismässigkeitsprinzip angesprochen. Es wurden Vorschläge für einen Verhältnismässigen Einsatz eines Kamerasystems gemacht. Folgend sollen entschieden werden, welche Vorschläge umgesetzt werden sollen. ===== Testkonzept ===== ==== Zu testendes System und dessen Umgebung ==== {{:intern:ipa:mh2023:image16.png?604x257|A picture containing screenshot, text, font, design Description automatically generated}} Abbildung 13: Projektumgebung |**Gerätename** |**FQDN** |**IP** | |**ZyXel GS2220-28HP Switch**|PS39-2-SW01 |172.16.1.5/24 | |**pfSense Firewall** |PS39-2-FW01 |172.16.1.1/24 / DHCP| |**Unifi NVR Pro** |PS39-2-NVR01 |172.16.50.100/24 | |**Unifi Protect G4 Dome** |PS37-1-CAM01 |172.16.50.101/24 | |**Unifi Protect G4 Pro** |PS39-2-CAM02 |172.16.50.102/24 | |**Unifi AI 360°** |PS37-EG-CAM03|172.16.50.103/24 | Tabelle 16: Projektumgebung ==== Relevante Testfälle und zu erwartende Ergebnisse ==== |Test-Nr. |Name |Beschreibung |Erwartetes Resultat | |Kameras | | | | |**#1** |Installation und Verbindung überprüfen |Überprüfen, ob die Kameras ordnungsgemäss installiert und mit dem NVR verbunden sind. |Die Kameras sind ordnungsgemäss installiert und mit dem NVR verbunden. | |**#2** |Audioqualität Testen |Überprüfen, ob die Kameras in der Lage sind, klares Audio aufzunehmen. |Die Kameras nehmen gut verständliches Audio auf. | |**#3** |Aufnahmen bei schlechten Lichtverhältnissen überprüfen|Überprüfen, ob die Kameras in der Lage sind, klare Bilder bei schlechten Lichtverhältnissen aufzunehmen (Test Infrarot -Licht / automatisches Umschalten auf Nachtsicht). |Die Kameras sind in der Lage, klare Bilder bei schlechten Lichtverhältnissen aufzunehmen und schalten automatisch das Infrarot-Licht an. | |**#4** |Bewegungserkennungsfunktion testen |Testen der Bewegungserkennungsfunktion, indem man vor die Kameras geht. |Die Bewegungserkennungsfunktion funktioniert ordnungsgemäss. | |NVR | | | | |**#5** |Überprüfen der Kamera Alerts |Testen der Alarmfunktion, indem eine Kamera aus dem System genommen wird und überprüft wird, ob der NVR eine Benachrichtigung sendet. |Alert für ein Kamera-Disconnect wird an die E-Mail-Adresse des Unifi Protect Admin Account geschickt. | |Unifi Protect| | | | |**#6** |Fernzugriffsfunktion testen |Testen der Fernzugriffsfunktion, indem man sich von einem entfernten Standort aus beim Kamerasystem anmelden und Live-Feeds sowie aufgezeichnetes Filmmaterial über Unifi.ui.com anzeigen lässt.|Die Fernzugriffsfunktion funktioniert ordnungsgemäss, und Live-Feeds sowie aufgezeichnetes Filmmaterial können über Unifi.ui.com angezeigt werden. | |Netzwerk | | | | |**#7** |Firewall Rules |Überprüfen, ob die Firewall Regeln korrekt konfiguriert sind, um den Datenverkehr zwischen verschiedenen VLANs zuzulassen oder zu blockieren. |Das erwartete Ergebnis ist, dass der Datenverkehr gemäss den festgelegten Firewall Regeln für die VLANs zugelassen oder blockiert wird. | |**#8** |Verschlüsselte Webumgebung |Per Client PC über Webbrowser auf das NVR, den Switch und der Firewall per HTTPS verbinden |Man kommt nur über HTTPS auf die Webumgebung. | |**#9** |DNS-Resolver Hostname-Auflösung |Prüfen, ob die Namensauflösung funktioniert. |Die Domainnamen werden erfolgreich in ihre entsprechenden IP-Adressen umwandelt, sodass Geräte mit den Zielservern oder -diensten kommunizieren können.| Tabelle 17: Relevante Testfälle ==== Abdeckung der Testfälle -> Was wird nicht getestet ==== |Test-Nr. |Name |Was wird nicht getestet | |Kameras | | | |**#1** |Installation und Verbindung überprüfen |Konfiguration und Anpassung der Kameraeinstellungen | |**#2** |Audioqualität Testen |Audioqualität in verschiedenen Umgebungen und Hintergrundgeräuschen | |**#3** |Aufnahmen bei schlechten Lichtverhältnissen überprüfen|Aufnahmen bei unterschiedlichen Lichtverhältnissen (z.B. direktes Sonnenlicht, stockdunkle Nacht) | |**#4** |Bewegungserkennungsfunktion testen |Falschpositive und Falschnegative bei der Bewegungserkennung | |NVR | | | |**#5** |Überprüfen der Kamera Alerts |Personalisierung und Verwaltung von Benachrichtigungen | |Unifi Protect| | | |**#6** |Fernzugriffsfunktion testen |Kompatibilität und Benutzerfreundlichkeit auf verschiedenen Geräten und Betriebssystemen | |Netzwerk | | | |**#7** |Firewall Rules |Die Überprüfung von Firewall-Regeln in Isolation berücksichtigt nicht andere Faktoren, die die Netzwerksicherheit beeinträchtigen könnten, wie fehlerhaft konfigurierte Geräte oder nicht geschlossene Schwachstellen. | |**#8** |Verschlüsselte Webumgebung |Testfälle können die Leistung oder Skalierbarkeit von Verschlüsselungsalgorithmen nicht vollständig testen, da hierfür realer Datenverkehr und Benutzerverhalten erforderlich wären. | |**#9** |Hostname-Auflösung |Der Test kann nicht vollständig die Auswirkungen von Netzwerklatenz auf DNS-Auflösung testen. Der Testfall kann keine realen Netzwerkbedingungen simulieren und möglicherweise die Latenz, die Benutzer erleben würden, nicht genau darstellen.| Tabelle 18: was wird nicht getestet ==== Relevante Testmittel und Testmethoden (Hardware, Software) ==== Beschreibung der zum Einsatz kommenden Testmittel und Testmethoden, z.B. Komponententest, Integrationstest, Systemtest. |Test-Nr. |Name |Testmittel |Testmethoden | |Kameras | | | | |**#1** |Installation und Verbindung überprüfen |NVR Pro\\ \\ G4 Dome\\ \\ G4 Pro\\ \\ AI 360|Integrationstest | |**#2** |Audioqualität Testen |NVR Pro\\ \\ G4 Dome\\ \\ G4 Pro\\ \\ AI 360|Hardwaretest | |**#3** |Aufnahmen bei schlechten Lichtverhältnissen überprüfen|NVR Pro\\ \\ G4 Dome\\ \\ G4 Pro |Funktionstest, Hardwaretest| |**#4** |Bewegungserkennungsfunktion testen |NVR Pro\\ \\ G4 Dome\\ \\ G4 Pro\\ \\ AI 360|Funktionstest | |NVR | | | | |**#5** |Überprüfen der Kamera Alerts |NVR Pro\\ \\ G4 Dome |Systemtest | |Unifi Protect| | | | |**#6** |Fernzugriffsfunktion testen |NVR Pro |Systemtest | |Netzwerk | | | | |**#7** |Firewall Rules |PfSense Firewall\\ \\ Switch |Sicherheitstest | |**#8** |Verschlüsselte Webumgebung |PfSense Firewall\\ \\ Switch |Sicherheitstest | |**#9** |Hostname-Auflösung |PfSense Firewall\\ \\ Switch |Funktionstest | Tabelle 19: Testmittel und Testmethoden ===== Arbeitspakete ===== Die Arbeitspakete, die während der Realisierungsphase umgesetzt werden sollen, sind in der Liste unten aufgeführt. - Switch einrichten - Basiseinrichtung - VLANs im Switch einrichten - Firewall einrichten - PfSense konfigurieren - Basiseinrichtung - Interfaces konfigurieren - Rules erstellen - VLANs konfigurieren (DHCP) - DNS einrichten - Verschlüsselung einrichten - NVR einrichten - NVR konfigurieren - Time-based Recording Deletion - SSH einschalten - Aufnahmezeiten definieren - Benutzer und Rollen konfigurieren - Kameras Konfigurieren - Kameras in NVR einbinden - Statische IP einrichten - Alerts für Disconnects einrichten - Motion Zonen definieren - Privacy Zonen definieren ====== Realisieren ====== ===== Konfiguration des Switches ===== ==== Reset/Erster Login ==== Um den Switch zurückzusetzen, muss die "Reset"-Taste 10 Sekunden lang gedrückt werden und dann die "Restore"-Taste für 10 Sekunden. Anschliessend kann man mit der ersten Einrichtung fortfahren. Standardmässig verwendet der Zyxel-Switch die IP-Adresse 192.168.1.1. Um eine Verbindung mit dem Switch herzustellen, ist es notwendig, sich im selben Subnetz zu befinden. Sobald man verbunden ist, kann man sich über die Weboberfläche mit den Standard-Login-Daten von Zyxel anmelden. ==== Switch Konfiguration ==== Es wird aus Sicherheitsgründen empfohlen, das Passwort zu ändern. Dies kann unter "Management -> Access Control -> Logins" erfolgen. Um weiterhin auf den Switch zugreifen zu können, ist es wichtig, die IP-Adresse des Switches entsprechend der ursprünglichen Planung, also auf 172.16.1.5, zu ändern. Dies kann unter "Basic Settings -> IP Setup" durchgeführt werden. {{:intern:ipa:mh2023:image17.png?577x271}} Abbildung 14: Switch Konfiguration ==== VLANs Konfiguration ==== Die VLAN-Konfiguration wird unter "Advanced Application -> VLAN -> VLAN Configuration -> Static VLAN Setup" vorgenommen. Hier werden alle ausgewählten VLANs mit den entsprechenden Portkonfigurationen hinzugefügt, die während der Entscheidungsphase festgelegt wurden. Die Konfiguration beinhaltet die Verwendung von zwei VLANs: VLAN 1 und VLAN 50. {{:intern:ipa:mh2023:image18.png?604x699|Table Description automatically generated}} Abbildung 15: VLAN Port setup VLAN 1 ist für die Trunk Ports 25 bis 28 vorgesehen, welche eine effiziente und sichere Kommunikation zwischen den verschiedenen Netzwerkbereichen und der Firewall ermöglichen. Dies trägt dazu bei, die Netzwerksicherheit innerhalb der Schule aufrechtzuerhalten. Um eine gute Skalierbarkeit des Kamerasystems zu gewährleisten, wird VLAN 50 die Ports 1 bis 24 zugewiesen. {{:intern:ipa:mh2023:image19.png?604x182|Table Description automatically generated}} Abbildung 16: Realisierte VLANs switch Wie in der Aufgabenstellung erwähnt wurden alles alle VLANs der Steiner Schule auf dem Switch erstellt. ===== Konfiguration der Firewall ===== ==== Serial Connection ==== Zuerst muss man mit Rufus pfSense auf einen Kompatiblen USB stick laden. Standardmässig weist pfSense der eignen IP-Adresse den Standardwert 192.168.1.1 zu. Um diesen Wert zu modifizieren, greift man per Putty auf einen seriellen Adapter zu, der es ermöglicht, die LAN-Schnittstelle auf angemessene Weise zu konfigurieren. Sobald die IP-Adresse der betreffenden LAN-Schnittstelle angepasst ist, kann man eine Verbindung zum Web-Interface herstellen. Damit wird der Zugang zum Setup-Assistenten ermöglicht, welcher weitere, differenzierte Konfigurationsmöglichkeiten zur Verfügung stellt. Es wurde folgende Konfiguration eingetragen: |**Hostname** |**PS39-2-FW01** | |**Domain** |ImmoRSS.ipa | |**DNS** |172.16.50.1 | |**Time Server / Zone**|Europe/Zurich | |**WAN Interface** |172.16.54.100 | |**Admin Password** |%%**%%%%**%%%%**%%%%**%%%%**%%%%**%%%%**%%%%**%%%%**%%%%**%%%%**%%*| Tabelle 20: Firewall Konfiguration ==== VLAN Konfiguration ==== Um ein VLAN einzurichten, muss zuerst eine dedizierte Schnittstelle geschaffen werden. Hierfür wird eine optionale Schnittstelle an Port igb1 erstellt. Sie erhält keine zugewiesene IP, da sie als Grundlage für VLANs dient. Der nächste Schritt ist die Konfiguration der VLANs (Schnittstellen -> VLANs). Durch Klicken auf die Schaltfläche "Hinzufügen" öffnet sich das Konfigurationsfenster. Es sind folgende Optionen verfügbar: * Parent Interface * VLAN Tag * VLAN Priority * Description Für alle VLANs wird unter "Parent Interface" die neu erstellte opt1 VLAN-Schnittstelle verwendet. Als VLAN-Tag wird einer, der in der Entscheidungsphase festgelegten VLANs verwendet, nämlich 01, 02, 20, 31, 32 und 33, 40, 50, 100, 150 oder 200. In der Beschreibung wird der Name des VLANs eingetragen. {{:intern:ipa:mh2023:image20.png?604x259|A screenshot of a computer Description automatically generated with medium confidence}} Abbildung 17: Firewall Interfaces Nun können die VLANs unter "Interfaces" betrachtet und konfiguriert werden. Hier wird die statische IPv4-Adresse entsprechend der VLANs eingerichtet. ==== DHCP ==== Unter Services -> DHCP-Server können die DHCP-Dienste für sämtliche VLANs eingerichtet werden. Als Subnetz-Bereich für die Hosts wurden IP-Adressen im Bereich von 100 bis 150 ausgewählt. {{:intern:ipa:mh2023:image21.png?604x354}} Abbildung 18: DHCP ==== DNS Resolver einrichten ==== {{:intern:ipa:mh2023:image22.png?604x108|A picture containing text, screenshot, font Description automatically generated}} Abbildung 19: DNS Resolver Für die Namensauflösung muss der DNS Resolver unter “General Settings” aktiviert werden. {{:intern:ipa:mh2023:image23.png?605x190}} Abbildung 20: Host Overrides Alle Geräte werden dann in die Host Overrides eingetragen. Dort Verlinkt man die IPs mit den Hostnamen, e.g. “PS37-1-CAM01.ImmoRSS.ipa” mit “172.16.50.101”. ==== Aliase erstellen ==== Um die VLANs am effizientesten nach Schema zu erstellen, werden noch Aliase für die Blocklisten der VLANs benötigt. {{:intern:ipa:mh2023:image24.png?604x451}} Abbildung 21: Firewall Aliases Diese Aliase helfen dabei, allen VLANs ihre eigene Blockgruppe zuzuweisen. Es gibt pro VLAN ein Alias, und dann noch einen „All_VLANS“ Alias für alle VLANs, damit sie auf das WAN zugreifen können. ==== Rules ==== Für die neuen Schnittstellen können jetzt Regeln definiert werden. Diese befinden sich unter Firewall -> Rules. Die Regeln werden in der Reihenfolge von oben nach unten gelesen, wobei die erste passende Regel angewendet wird. Das bedeutet, dass die obersten Regeln Vorrang haben. Zuerst kommen die "Block"-Regeln, die den Zugang verhindern, gefolgt von einer abschliessenden "any to any"-Regel. Die "any to any"-Regel ist erforderlich, um den Zugriff auf das WAN oder das Upstream-Gateway zu gewährleisten. {{:intern:ipa:mh2023:image25.png?604x215|Graphical user interface, text, application, Word Description automatically generated}} Abbildung 22: Firewall rules Die Firewall-Regeln wurden gemäss der Infrastruktur der Steiner Schule und entsprechend der Zugriffsmatrix im Abschnitt "Entscheiden" erstellt. ==== Verschlüsselung ==== Im Menü System -> Advanced -> Admin Access wird für das Webinterface die HTTPS-Option aktiviert. {{:intern:ipa:mh2023:image26.png?604x141}} Abbildung 23: HTTPS ===== Konfiguration des NVR ===== ==== NVR Einrichten ==== Um einen Unifi NVR Pro einzurichten, schaltet man zunächst das Gerät ein und wartet, bis es hochgefahren ist. Anschliessend öffnet man einen Webbrowser und navigiert zur IP-Adresse des NVR Pro. Diese findet man, indem man den DHCP-Server überprüft oder die Unifi Network-App verwendet. Die Standard-IP-Adresse für den NVR Pro lautet 192.168.1.55. Nachdem man auf den NVR Pro zugegriffen hat, meldet man sich mit den Unifi-Anmeldedaten an und folgt dem Einrichtungsassistenten, um die Einstellungen zu konfigurieren. Hierzu gehören der Gerätename (PS37-2-NVR01, die Zeitzone, die Netzwerkeinstellungen und das RAID 5-Setup, welches, während der "Entscheiden"-Phase ausgewählt worden ist.) Sobald der Einrichtungsassistent fertig ist, aktualisiert man gegebenenfalls die Firmware des NVR Pro auf die neueste Version, um Leistung und Sicherheit zu gewährleisten. ==== Automatische Updates konfigurieren ==== Um Sicherheit durch neuste Softwareversionen zu gewährleisten, müssen im NVR Pro für Unifi OS und deren Applikationen die geplanten Automatischen Updates aktiviert werden. Die Aktivierung dieser ist sehr benutzerfreundlich. Alles, was man machen muss, ist sich im NVR anzumelden und auf dem ersten Bildschirm unter “Auto Update” den gewünschten Zeitrahmen einzutragen. Ich kam zum Entschluss, dass 24:00 Uhr nachts am Sonntag sinnvoll ist, jedoch sollte die Schule ihren eigenen Plan anhand der Schul- und Ferienzeiten gestalten. {{:intern:ipa:mh2023:image27.png?604x280}} Abbildung 24: Automatic Updates ==== Time-based Recording Deletion ==== Wie im Kapitel „Konzept NVR-Einrichtung“ unter “Aufnahmeaufbewahrung” entschieden wurde, muss das NVR Aufnahmen, welche älter als 42 Tage sind, löschen. {{:intern:ipa:mh2023:image28.png?320x105|Graphical user interface, application Description automatically generated}} Abbildung 25: Time-based Recording Deletion ==== SSH Verbindung ermöglichen ==== Das NVR sollte ebenfalls über SSH zu erreichen sein, dies für den Fall, dass Updates die Benutzeroberfläche lahmlegen. Um dies zu gewährleisten, muss man bei Unifi OS unter “Console Settings” bei “Advanced” SSH eine Checkbox anwählen und anschliessend ein Passwort definieren. {{:intern:ipa:mh2023:image29.png?605x331}} Abbildung 26: SSH Einschalten ==== Verbindung über die cloud ==== Um über die Cloud auf den NVR zuzugreifen, kann "unifi.ui.com" in einem Webbrowser aufgerufen werden. Nach dem Anmelden mit den UniFi-Konto-Anmeldeinformationen kann auf den NVR zugegriffen werden, um Live-Feeds und aufgezeichnete Aufnahmen von Sicherheitskameras anzusehen. Von überall mit einer Internetverbindung kann der NVR und die Kameras verwaltet, Einstellungen angepasst und Benachrichtigungen empfangen werden. Es ist jedoch zu beachten, dass der Zugriff auf den NVR über die Cloud langsamer sein kann als der lokale Zugriff, abhängig von der Geschwindigkeit der Internetverbindung. Dadurch kann es Auswirkungen auf die Stabilität der Live-Ansichten geben. {{:intern:ipa:mh2023:image30.png?324x78|A close-up of a computer screen Description automatically generated with low confidence}} Abbildung 27: Cloud Access ==== Aufnahmezeiten ==== Wegen Schweizer Datenschutzgesetzen [2] dürfen die Kameras nicht 24/7 laufen. Deswegen wurden zu Demonstrationszwecken zwei Zeitfenster für Aufnahmen erstellt, “School-Hours” und “Non-school-hours”. Die Kameras von Gebäude 37 sind an “School-Hours” gebunden, und die von 39 an “Non-school-Hours”. {{:intern:ipa:mh2023:image31.png?577x140|A picture containing text, screenshot, font, number Description automatically generated}} Abbildung 28: Recording Schedules “Non-school-hours” deckt die Zeit von 18:00 – 06:00 ab, während “School-hours” von 06:00 – 18:00 aktiv ist. ==== Statische IP designieren ==== Um dem NVR eine statische IP-Adresse zuzuweisen, klickt man auf den Unifi NVR Pro. Anschliessend navigiert man zu "Console Settings" und dann zum Tab "Ethernet Network". Hier ändert man die IP-Konfiguration von "DHCP" auf "Static" und gibt die zugewiesene statische IP-Adresse des NVR, die Subnetzmaske und das Standard-Gateway des VLAN ein. Nachdem die erforderlichen Informationen eingegeben wurden, klickt man auf "Apply Changes", um die Einstellungen anzuwenden. Danach startet man den NVR Pro neu, um sicherzustellen, dass die neue IP-Adresse korrekt zugewiesen ist. {{:intern:ipa:mh2023:image32.png?387x255}} Abbildung 29: NVR IP Konfiguration ==== Benutzer und Rollen Konfigurieren ==== Für die Einrichtung eines neuen Admin-Users, muss man zur "Admins"-Registerkarte navigieren und auf die "+ Add New Admin"-Schaltfläche klicken, um einen neuen Admin-User zu erstellen. Dann muss man die erforderlichen Informationen ausfüllen, wie Name, E-Mail-Adresse und Password. Nachdem die erforderlichen Informationen ausgefüllt wurden, muss man dem User die entsprechende Rolle zuweisen. {{:intern:ipa:mh2023:image33.png?640x99}} Abbildung 30: Benutzer und Rollen Die Standardauswahlmöglichkeiten sind Administrator (Full Management) oder Viewer. Eine Full Management-Rolle bietet vollen Zugriff auf alle Settings und Kamera Feeds, während eine Viewer-Rolle dem User nur das Ansehen der Kamera Feeds ermöglicht, ohne Editing Capabilities. Nachdem die entsprechende Rolle zugewiesen wurde, auf "Save" klicken, um den neuen User zum System hinzuzufügen. Diese Schritte sind für jeden User, der dem System hinzugefügt werden soll, zu wiederholen. Es gibt zwei weitere Rollen namens "Gast" und "Kamera-Manager". Der "Gast"-Rolle würde für temporäre oder eingeschränkte Zugriffsbenutzer verwendet werden, die Kamerabilder anzeigen dürfen, aber keine Bearbeitungsfunktionen benötigen. Diese Rolle hätte dieselben Berechtigungen wie die "Viewer"-Rolle, die schon erwähnt wurde. "Kamera-Manager" ist eine Rolle, die über zusätzliche Berechtigungen verfügt, welche auch in der "Full Management"-Rolle enthalten sind. Diese zusätzlichen Berechtigungen beziehen sich speziell auf die Verwaltung und Konfiguration des Kamerasystems. Diese Rolle ist normalerweise für Systemadministratoren oder andere autorisierte Personen reserviert, die Änderungen an der Konfiguration und Einstellungen des Kamerasystems vornehmen müssen. Die Schule sollte die "Kamera-Manager"-Rolle als Standardkonto für die Überwachung des Kamerasystems benutzen. ===== Konfiguration der Kameras ===== ==== Kameras in NVR einbinden ==== Die Kameras sollten eingeschaltet und mit demselben Netzwerk wie der NVR Pro verbunden werden. Eine Anmeldung bei Unifi Protect kann über die IP-Adresse des NVR oder den Protect-Reiter im Unifi Controller erfolgen. Automatisch sollten die Kameras als "Pending Adoption" im Reiter "Devices" erscheinen. Um sie mit dem NVR Pro zu integrieren, kann auf jede Kamera geklickt und "Adopt" ausgewählt werden. {{:intern:ipa:mh2023:image34.png?589x84}} Abbildung 31: Dome Kamera einbinden ==== Statische IPs designieren ==== Die Kameras können direkt erreicht werden, indem man ihre IP-Adresse in den Browser eingibt. Die Zugangsdaten sind «Ubnt» + das Recovery-Passwort des NVRs (im NVR geht man zu Settings > General und scrollt nach unten zu "Recovery Code" um dieses zu finden). {{:intern:ipa:mh2023:image35.png?544x407}} Abbildung 32: Kamera IPs Statisch designieren Anschliessend navigiert man zum Tab "Network" und stellt den Konfigurationsmodus auf statisch ein. Danach gibt man die in "Entscheiden" festgelegte IP-Adresse und das Gateway ein. {{:intern:ipa:mh2023:image36.png?607x100}} Abbildung 33: Konfigurierte Kameras Dies muss für alle Kameras gemacht werden, damit die Konfiguration stimmt. ==== Alerts einrichten ==== In Unifi Protect sollte zum Bereich "Settings" in der unteren linken Ecke navigiert werden. Nach einem Klick auf den Reiter "Custom" unter "Protect Notifications" wird die Benachrichtigung "Device Connection Changes" durch Betätigen der Schaltfläche aktiviert werden. Die Einstellungen der Benachrichtigung können nach persönlichen Wünschen angepasst werden, beispielsweise für E-Mail-Benachrichtigungen oder Push-Nachrichten für die Unifi Protect App auf dem Handy. Die E-Mail, an welche die Notifications geschickt werden, ist standardmässig diejenige, mit welcher der Unifi Protect Account erstellt wurde. Sie kann ebenfalls für jeden Admin mit einem eigenen Unifi Account genauer eingerichtet werden. Um die Einstellungen zu übernehmen, muss auf "Save" geklickt werden. {{:intern:ipa:mh2023:image37.png?589x168}} Abbildung 34: Alerts einstellen ==== Privacy Zonen definieren ==== Um eine Privacy Zone zu definieren, muss man folgende Schritte ausführen: Im Tab "Unifi Devices" wird auf die Kamera geklickt, die konfiguriert werden soll. Anschliessend navigiert man zum Tab "Recording Mode" innerhalb des Geräteeigenschaften-Panels. Dort klickt man auf "Detection & Privacy Zones" und anschliessend auf "Edit Privacy Zone". Im Fenster Privacy Zones muss man dann eine neue Zone definieren. Die Bildschirmwerkzeuge werden verwendet, um die Privacy Zone in der Live-Ansicht der Kamera zu zeichnen. Um die Privacy Zone anzuwenden, klickt man auf "Save". Die Privacy Zonen werden so nah wie möglich an den Gegebenheiten in der Steiner Schule ausgezeichnet. Wenn das Kamerasystem praktisch aufgesetzt wird, müssen diese Zonen gemäss den tatsächlichen Aufzeichnungsbereichen- und Winkeln nachkonfiguriert werden. {{:intern:ipa:mh2023:image38.png?388x234}} Abbildung 35: Privacy Zone von PS37-1-CAM01 {{:intern:ipa:mh2023:image39.png?403x229}} Abbildung 36: Privacy Zone von PS39-2-CAM02 ==== Motion Zonen definieren ==== Im Tab "Unifi Devices" wird auf die Kamera geklickt, die konfiguriert werden soll. Anschliessend navigiert man zum Tab "Recording Mode" innerhalb des Geräteeigenschaften-Panels. Dort klickt man auf "Detection & Privacy Zones" und anschliessend auf "Edit Motion Zone". Im Fenster Motion Zones muss man dann eine neue Zone definieren. Die Bildschirmwerkzeuge werden verwendet, um die Motion Zone in der Live-Ansicht der Kamera zu zeichnen. Um die Motion Zone anzuwenden, klickt man auf "Save". {{:intern:ipa:mh2023:image40.png?399x249}} Abbildung 37: Motion Zone von PS37-1- CAM01 {{:intern:ipa:mh2023:image41.png?420x240|A picture containing text Description automatically generated}} Abbildung 38: Motion Zone von PS39-2-CAM02 ==== Overlays für die Kameras einrichten ==== In den Kameraeinstellungen muss man auf den Tab "Überlagerungsinformationen" klicken, um auf die Konfigurationsoptionen für Overlays zuzugreifen. Hier kann man folgende Overlay Optionen ein- oder ausschalten: {{:intern:ipa:mh2023:image42.png?604x299}} Abbildung 39: Overlay PS39-1-CAM01 **Camera Name**: Mit der Checkbox kann man den Kameranamen im Layout ein oder ausschalten. **Time**: Mit dieser Checkbox kann man das Datum und die Sekundengenaue Zeit im Overlay einblenden. **UniFi Logo**: Diese Checkbox zeigt das Unifi Logo im Overlay an. **Nerd Mode**: Nerd Mode blendet viele technische Daten, welche nicht für den Use Case relevant sind, ein. Die Optionen “Time” und “Camera Name” bieten wichtige Informationen, weswegen sie ins Overlay integriert wurden. ==== Views in Unifi Protect erstellen ==== In Unifi Protect muss man zuerst auf den "Live View"-Tab im linken Menü klicken. Eine neue Ansicht erstellen: Im Live View-Tab auf das Monitorsymbol unten am Bildschirm klicken, um die verschiedenen vorhandenen Ansichten aufzulisten. Um eine neue Ansicht zu erstellen, auf "Add Live View" klicken. {{:intern:ipa:mh2023:image43.png?604x340|Graphical user interface, application Description automatically generated}} Abbildung 40: Live Views Folgend muss man der neuen Ansicht einen Namen geben. Um die Funktionen zu demonstrieren, wurden "Gebäude 37", "Gebäude 39" und "Sportplatz Overlap" erstellt. Im selben "New View"-Fenster wird ein Layout für die Ansicht ausgewählt. Es können von verschiedenen Rasteroptionen, wie zum Beispiel 2x2, 3x3 und andere, vordefinierte Schemata gewählt werden. Das Layout bestimmt, wie viele Kameras gleichzeitig in der Ansicht gesehen werden können. {{:intern:ipa:mh2023:image44.png?396x546|Graphical user interface, application Description automatically generated}} Abbildung 41: Konfigurieren der Live Views Nachdem ein Layout ausgewählt wurde, erscheinen die Kameras aus der Liste der verfügbaren Kameras auf der rechten Seite des "New View"-Fensters. Diese können dann in die Rasterfelder auf der linken Seite gezogen werden. Man kann die Kameras im Raster anschliessend falls nötig neu anordnen, indem man sie anklickt und an verschiedene Positionen zieht. Wenn alle gewünschten Kameras zur Ansicht hinzugefügt wurden, kann auf die "Save"-Schaltfläche in der unteren rechten Ecke des "New View"-Fensters geklickt werden, um die benutzerdefinierte Ansicht zu speichern. Um auf die neu erstellte benutzerdefinierte Ansicht zuzugreifen muss man einfach zum Live View-Tab navigieren und auf den Namen der Ansicht in der Liste auf der linken Seite des Bildschirms anwählen. Die Live-Feeds der in dieser Ansicht enthaltenen Kameras werden nun im gewählten Rasterlayout angezeigt. ====== Kontrollieren ====== ===== Durchführung und Auswertung der Tests ===== In diesem Kapitel sind die Testprotokolle der Testfälle zu finden. ==== Testprotokolle ==== === Test #1: Installation und Verbindung überprüfen === |Testfall Nr. |**#1** | |Testperson |Marcus Hillmer | |Testzeitpunkt |04.05.2023 10:30 | |Beschreibung |Überprüfen, ob die Kameras ordnungsgemäss installiert und mit dem NVR verbunden sind | |Vorgehen |Sicherstellen, dass alle Kameras ordnungsgemäss installiert sind und an die Stromversorgung angeschlossen sind. NVR einschalten und mit dem Netzwerk verbinden. Verbinden mit der Benutzeroberfläche des NVRs über einen Webbrowser. Prüfen, ob alle Kameras in der Benutzeroberfläche des NVRs aufgelistet sind und als "online" gekennzeichnet sind.| |Voraussetzung / Umfeld |Kameras und NVR sind installiert und an die Stromversorgung angeschlossen. Netzwerkverbindung ist verfügbar. Zugriff auf die Benutzeroberfläche des NVRs ist möglich. | |Erwartetes Resultat |Alle Kameras sind ordnungsgemäss installiert und mit dem NVR verbunden.\\ \\ Keine Verbindungsprobleme oder Fehlermeldungen werden angezeigt. Verbindung der Kamera wird als “Excellent” angezeigt. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine, die Installation und Verbindung der Kameras mit dem NVR wurde erfolgreich überprüft. | |{{:intern:ipa:mh2023:image45.png?591x73}}| | === Test #2: Audioqualität Testen === |Testfall Nr. |**#2** | |Testperson |Marcus Hillmer | |Testzeitpunkt |07.05.2023 11:00 | |Beschreibung |Überprüfen, ob die Kamera in der Lage sind, klares Audio aufzunehmen. | |Vorgehen |Überprüfen der Einstellungen der Kamera, dass Audioaufnahmen aktiviert sind.\\ \\ In Kamera reinsprechen\\ \\ Audioaufnahmen in Unifi Protect zurückspielen| |Voraussetzung / Umfeld |Kamera und NVR sind installiert und an die Stromversorgung angeschlossen. | |Erwartetes Resultat |Die Audioaufnahme ist für die Kamera aktiviert.\\ \\ Die aufgenommenen Audiospuren sind klar und ohne signifikante Störungen oder Hintergrundgeräusche. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|Keine Fehler aufgetreten.\\ \\ Die Audioqualität der Kameras wurde erfolgreich getestet und ist zufriedenstellend. | === Test #3: Aufnahmen bei schlechten Lichtverhältnissen überprüfen === |Testfall Nr. |**#3** | |Testperson |Marcus Hillmer | |Testzeitpunkt |08.05.2023 17:10 | |Beschreibung |Überprüfen der Aufnahmen bei schlechten Lichtverhältnissen durch Abdecken der Kamera mit einer Box | |Vorgehen |Halten einer Box oder einen lichtundurchlässigen Behälter über die Unifi G4 Pro Kamera, um die Lichtverhältnisse zu simulieren, bis die Infrarot-Nachtsicht aktiviert wird. | |Voraussetzung / Umfeld |Kamera und NVR sind installiert und an die Stromversorgung angeschlossen.\\ \\ Eine Box oder ein lichtundurchlässiger Behälter ist verfügbar. | |Erwartetes Resultat |Die Bildqualität der Aufnahmen bei schlechten Lichtverhältnissen ist zufriedenstellend. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine Fehler aufgetreten.\\ \\ Die Aufnahmen bei schlechten Lichtverhältnissen wurden erfolgreich getestet und sind zufriedenstellend, die Infrarot-Nachtsicht wurde aktiviert.| |{{:intern:ipa:mh2023:image46.png?561x362}}| | === Test #4: Bewegungserkennungsfunktion testen === |Testfall Nr. |**#4** | |Testperson |Marcus Hillmer | |Testzeitpunkt |08.05.2023 15:40 | |Beschreibung |Überprüfen der Motion Zones der Kamera | |Vorgehen |Bewegung in dem Areal der Motion Zone machen, um Motion Detection in der Dome Kamera auslösen. | |Voraussetzung / Umfeld |Kameras und NVR sind installiert und an die Stromversorgung angeschlossen. | |Erwartetes Resultat |Die Kameras erkennen Bewegungen im festgelegten Bereich und reagieren entsprechend (durch Starten von Aufzeichnungen). | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine Fehler aufgetreten.\\ \\ Die Bewegungserkennungsfunktion wurde erfolgreich getestet und funktioniert wie erwartet.| |{{:intern:ipa:mh2023:image47.png?250x293}}| | === Test #5: Überprüfen der Kamera Alerts === |Testfall Nr. |**#5** | |Testperson |Marcus Hillmer | |Testzeitpunkt |08.05.2023 11:10 | |Beschreibung |Überprüfen der Kamera Alerts bei Disconnects | |Vorgehen |Ein Auge auf E-Mail-Account behalten, Unifi G4 Dome Kamera ausstecken, schauen, ob ein Disconnect Alert auftaucht. | |Voraussetzung / Umfeld |Kameras und NVR sind installiert und an die Stromversorgung angeschlossen.\\ \\ Netzwerkverbindung ist verfügbar.\\ \\ Disconnect Alert ist konfiguriert| |Erwartetes Resultat |Die Kamera-Alerts werden erfolgreich ausgelöst | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine Fehler aufgetreten.\\ \\ Die Kamera-Alerts und Benachrichtigungsfunktionen wurden erfolgreich getestet und funktionieren wie erwartet. | |{{:intern:ipa:mh2023:image48.png?292x345}}| | === Test #6: Fernzugriffsfunktion testen === |Testfall Nr. |**#6** | |Testperson |Marcus Hillmer | |Testzeitpunkt |08.05.2023 17:20 | |Beschreibung |Überprüfen der Fernzugriffsfunktion des NVR-Systems | |Vorgehen |Verbinden auf das NVR per Unifi.ui.com und schauen, ob alles läuft (kann man das Live View flüssig anschauen?) | |Voraussetzung / Umfeld |NVR ist für den Fernzugriff konfiguriert.\\ \\ Mobiles Gerät oder Computer mit Internetverbindung ausserhalb des lokalen Netzwerks. | |Erwartetes Resultat |Die Benutzeroberfläche des NVRs ist über das Internet zugänglich.\\ \\ Live-Video-Streams der Kameras sind über den Fernzugriff sichtbar.| |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine Fehler aufgetreten.\\ \\ Die Fernzugriffsfunktion wurde erfolgreich getestet und funktioniert wie erwartet. | |{{:intern:ipa:mh2023:image49.png?604x244}}| | === Test #7: Firewall Rules === |Testfall Nr. |**#7** | |Testperson |Marcus Hillmer | |Testzeitpunkt |09.05.2023 11:50 | |Beschreibung |Überprüfen, ob die Firewall Regeln korrekt konfiguriert sind, um den Datenverkehr zwischen verschiedenen VLANs zuzulassen oder zu blockieren. | |Vorgehen |Test für Test jedes VLAN auf Port 2 im switch konfigurieren. Mit dem VLAN alle anderen VLANs anpingen, und so prüfen das die Berechtigungen stimmen.| |Voraussetzung / Umfeld |Switch und Firewall sind verbunden und an die Stromversorgung angeschlossen. | |Erwartetes Resultat |Das erwartete Ergebnis ist, dass der Datenverkehr gemäss den festgelegten Firewallregeln für die VLANs zugelassen oder blockiert wird. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine\\ \\ Die VLAN Konfiguration und Rules wurden erfolgreich getestet und funktioniert wie erwartet. | |{{:intern:ipa:mh2023:image50.png?299x55}}\\ \\ {{:intern:ipa:mh2023:image51.png?292x55}}\\ \\ {{:intern:ipa:mh2023:image52.png?292x56}}\\ \\ {{:intern:ipa:mh2023:image53.png?292x56}}\\ \\ {{:intern:ipa:mh2023:image54.png?298x56}}\\ \\ {{:intern:ipa:mh2023:image55.png?301x55}}\\ \\ {{:intern:ipa:mh2023:image56.png?298x48}}\\ \\ {{:intern:ipa:mh2023:image57.png?302x48}}\\ \\ {{:intern:ipa:mh2023:image58.png?298x55}}\\ \\ {{:intern:ipa:mh2023:image59.png?300x54}}\\ \\ {{:intern:ipa:mh2023:image60.png?298x56}}\\ \\ {{:intern:ipa:mh2023:image61.png?298x53}}| | === Test #8: Verschlüsselte Webumgebung === |Testfall Nr. |**#8** | |Testperson |Marcus Hillmer | |Testzeitpunkt |09.05.2023 12:30 | |Beschreibung |Überprüfen der Verschlüsselung in der Webumgebung des NVR-Systems, des Switches und der Firewall. | |Vorgehen |Sicherstellen, dass eine sichere Verbindung (HTTPS) verwendet wird. | |Voraussetzung / Umfeld |NVR, Switch und Firewall sind installiert und an die Stromversorgung angeschlossen.\\ \\ Netzwerkverbindung ist verfügbar.| |Erwartetes Resultat |Die Webumgebung des NVR-Systems, des Switches und der Firewall verwendet eine sichere, verschlüsselte Verbindung (HTTPS). | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine Fehler aufgetreten.\\ \\ Die verschlüsselte Webumgebung wurde erfolgreich getestet und funktioniert wie erwartet. | |{{:intern:ipa:mh2023:image62.png?251x32}}\\ \\ {{:intern:ipa:mh2023:image63.png?311x34}}{{:intern:ipa:mh2023:image64.png?338x30}}| | === Test #9: Hostname Auflösung === |Testfall Nr. |**#9** | |Testperson |Marcus Hillmer | |Testzeitpunkt |09.05.2023 12:40 | |Beschreibung |Überprüfen der Hostname-Auflösung für das NVR-System | |Vorgehen |Sicherstellen, dass ein statischer DNS-Eintrag für das NVR-System, die Kameras, dem Switch und der Firewall eingerichtet ist.| |Voraussetzung / Umfeld |NVR, die Kameras, der Switch und die Firewall ist an der Stromversorgung angeschlossen, und haben statische DNS eintrage. | |Erwartetes Resultat |Der Hostname wird korrekt auf die IP-Adressen der Geräte aufgelöst. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen |Keine Fehler aufgetreten.\\ \\ Die Hostname-Auflösung wurde erfolgreich getestet und funktioniert wie erwartet. | |{{:intern:ipa:mh2023:image65.png?555x49}}\\ \\ {{:intern:ipa:mh2023:image66.png?553x48}}\\ \\ {{:intern:ipa:mh2023:image67.png?554x46}}\\ \\ {{:intern:ipa:mh2023:image68.png?556x47}}\\ \\ {{:intern:ipa:mh2023:image69.png?554x48}}| | ====== Auswerten ====== ==== Auswertung zur Funktionstüchtigskeit des Systems ==== |Test-Nr. |Name |Resultat | |Kameras | | | |**#1** |Installation und Verbindung überprüfen |OK | |**#2** |Audioqualität Testen |OK | |**#3** |Aufnahmen bei schlechten Lichtverhältnissen überprüfen|OK | |**#4** |Bewegungserkennungsfunktion testen |OK | |NVR | | | |**#5** |Überprüfen der Kamera Alerts |OK | |Unifi Protect| | | |**#6** |Fernzugriffsfunktion testen |OK | |Netzwerk | | | |**#7** |Firewall Rules |OK | |**#8** |Verschlüsselte Webumgebung |OK (mit Vorbehalt)| |**#9** |DNS-Resolver Hostname-Auflösung |OK | Tabelle 21: Auswerten zur Funktionstüchtigkeit des Systems Das Gesamtsystem wurde getestet. Wie man der Tabelle entnehmen kann, sind die meisten Tests gut abgelaufen. Bei der Abnahme des Systems wurde ein belangloser Mangel festgestellt. Dieser wird nach der IPA noch behoben. ==== Reflexionen zum Zeitplan ==== Der Zeitplan konnte mehrheitlich eingehalten werden. Für die ersten 5 Tage lief alles perfekt, jedoch habe ich mir durch eifriges Handeln und Stress einige Probleme gebaut. Ich musste einige Teile des Systems wie das NVR und dem Switch während des Projekts resetten, um eine frische Benutzer Umgebung zu bekommen. Dadurch konnte ich mich dann wieder orientieren, und zeitplangetreu mit einer konsistenten Abweichung von einen Tag trotzdem das Projekt gut abschliessen. Des Weiteren konnte ich mich gut an die Probleme anpassen. Um die Tests gut abzuschliessen, bin ich länger geblieben, wodurch ich mich dann wieder zeitlich fangen konnte. ==== Reflexionen zum Kamerasystem ==== Die angeforderte Simulation des Kamerasystems für die Schule konnte innerhalb der vorgegebenen Zeit und mit allen Anforderungen implementiert, dokumentiert und getestet werden. Das System enthält die Funktionalität, Kameras nach Zeitplan laufen zu lassen, Aufnahmen nach einen bestimmten Zeitpunkt zu löschen und Privacy und Motion Zonen, welche nach der Realität abgebildet worden sind, zu benutzen. Zusätzlich wird jeder Zugriff auf die Applikation überwacht und kann so auf den User zurückverfolgt werden, was heisst, dass Leute nicht spurlos mit den Daten rumspielen können. Wenn das System für den Kunden befriedigend ist, kann das System mithilfe von Arbeit von Elektrikern und Technikern in die Produktionsumgebung eingebaut werden. Voraussetzung dafür ist, dass der Kunde keine Änderungswünsche mehr anbringt. ==== Reflexionen zum Arbeitsprozess ==== Der Arbeitsprozess ist im Grossen und Ganzen gut verlaufen. Der Dokumentationsteil ging gut, obwohl ich manchmal sehr erschöpft wurde. Meine Diagramme waren deswegen am Anfang eher schief und fast unlesbar, jedoch habe ich diese nach Tipp vom Experten reevaluiert und verbessert. Das Entwickeln der Konzepte und Analysieren der rechtlichen Dokumente fiel mir gut, da ich oft spass am Lesen und Analysieren des gelesenen aus Eigeninteresse hatte. ==== Hauptfindungen ==== Das Kamerasystem muss sich an viele Gesetze halten, und Straftaten in Form von dem Brechen des Datenschutzgesetzes werden begangen, wenn diese ignoriert werden. Das System ist gut skalierbar und kann vom Speicher her viel mehr Kameras betreuen als geplant. Die 16 Kameras werden kein Problem sein, vor allem mit dem Benutzen von Bewegungserkennung und der Aufnahmestruktur der Kameras nach Zeitplänen. ====== Schlusswort und Bilanz ====== Das Projekt war für mich ehrlich gesagt eine ziemlich grosse Herausforderung. Ich habe noch nie an etwas in diesem Massstab gearbeitet. Die Grösse und all die Vorbereitungsarbeit, die ich an der Steiner Schule gemacht habe, sowie die Arbeit, die ich noch mit Ingenieuren und Elektrikern erledigen muss, wirken immer noch erstaunlich, selbst wenn ich zurückblicke. Trotzdem war meine Zeit an der Steiner Schule gut investiert, auch wenn es manchmal schwierig war wegen unruhigen Schüler und seltsamen Tendenzen der Lehrpersonen. Es hat mir Spass gemacht, mögliche Angriffsvektoren zu überlegen, die Sichtweisen und Winkel der Kameras zu planen. Sogar die Bilder mit meiner GoPro, die ich extra für dieses Projekt gekauft habe, zu machen, war unterhaltsam. Dieses Projekt hat meine Sichtweise auf Videoüberwachung komplett verändert. Früher war ich paranoid, wenn ich in SBB-Züge oder andere überwachte Bereiche ging, da ich dachte, ein schlecht bezahlter Sicherheitsbeamter welcher wahrscheinlich eh schon mit seiner dritten Kaffeepause beschäftigt ist, würde sich für meinen Handybildschirm interessieren. Jetzt ist meine Perspektive anders: Statt mich beobachtet zu fühlen, interessiere ich mich für die Kameramodelle in den Zügen, die Objektive, oder wie die Kuppelform den Blickwinkel verändert. Zudem hat das Projekt mir geholfen, etwas über mich selbst auf einer tieferen Ebene zu entdecken, insbesondere meine Gefühle bezüglich der Form meines Körpers. Ich hatte oft eine unangenehme Reaktion, wenn ich mich in einem Spiegel oder in der Reflexion meines Handys sah. Der praktische Einsatz von Kameras hat mich jedoch gezwungen, diese Dinge in einem neuen Licht zu sehen. In Zukunft kann ich mir vorstellen, mich häufiger aufzunehmen, um mich mit diesen Gefühlen auseinanderzusetzen. ====== Quellenverzeichnis ====== |[1] |I. Zürich, «Firmenstandards ImmoRSS v1.2,» 27 03 2023. [Online]. Available: https:%%//%%wiki.rafisa.net/doku.php?id=team:marcus-hillmer:firmenstandards_rsszh. [Zugriff am 22 04 2023]. | |[2] |D. d. K. Zürich, «Videoüberwachung durch öffentliche Organe (ohne Strafverfolgungsbehörden),» [Online]. Available: https:%%//%%docs.datenschutz.ch/u/d/publikationen/leitfaeden/leitfaden_videoueberwachung_durch_oeffentliche_organe.pdf. [Zugriff am 24 04 2023].| |[3] |Ubiquiti, «Unifi NVR Pro,» [Online]. Available: https:%%//%%store.ui.com/collections/unifi-protect-nvr/products/unvr-pro. [Zugriff am 21 04 2023]. | |[4] |Unifi, «Unifi Protect Manage Camera Zones,» [Online]. Available: https:%%//%%help.ui.com/hc/en-us/articles/360056987954-UniFi-Protect-Manage-Camera-Zones. [Zugriff am 04 05 2023]. | |[5] |ZyXel, «28-Port-GbE-Switch, Layer 2 managed, 24x GbE PoE 802.3at RJ-45 Ports, 4x GbE Combo-Port,» ZyXel, [Online]. Available: https:%%//%%www.studerus.ch/de/products/zyxel-gs2220-28hp/. [Zugriff am 24 04 2023]. | |[6] |«apu4d2,» PC Engines, [Online]. Available: https:%%//%%www.apu-board.de/produkte/apu4d2.html. [Zugriff am 21 04 2023]. | |[7] |«Unifi G4 Pro,» Ubiquiti, [Online]. Available: https:%%//%%eu.store.ui.com/collections/unifi-protect-cameras/products/unifi-protect-g4-pro-camera. [Zugriff am 24 04 2023]. | |[8] |«Unifi G4 Dome,» Ubiquiti, [Online]. Available: https:%%//%%eu.store.ui.com/collections/unifi-protect-cameras/products/unifi-protect-g4-dome-camera. [Zugriff am 24 04 2023]. | |[9] |«Unifi AI 360,» [Online]. Available: https:%%//%%store.ui.com/collections/unifi-protect-cameras/products/unifi-protect-ai-360. [Zugriff am 24 04 2023]. | |[10]|«pfSense,» [Online]. Available: https:%%//%%www.pfsense.org/. [Zugriff am 21 04 2023]. | |[11]|«Putty,» [Online]. Available: https:%%//%%www.putty.org/. [Zugriff am 24 04 2023]. | |[12]|«Rufus,» [Online]. Available: https:%%//%%rufus.ie/en/. [Zugriff am 24 04 2023]. | |[13]|Comms-express, «Unifi OS,» [Online]. Available: https:%%//%%www.comms-express.com/blog/introducing-ubiquitis-unifi-experience/. [Zugriff am 02 05 2023]. | |[14]|K. Zürich, «Gesetz über die Information und den Datenschutz (IDG),» [Online]. Available: http:%%//%%www2.zhlex.zh.ch/appl/zhlex_r.nsf/WebView/E8DBD53582C9856EC125856E0024020B/$File/170.4_12.2.07_109.pdf. [Zugriff am 24 04 2023]. | |[15]|Hermes, «Hermes abnahmeprotokoll,» [Online]. Available: https:%%//%%www.hermes.admin.ch/de/projektmanagement/verstehen/ergebnisse/abnahmeprotokoll.html. [Zugriff am 09 05 2023]. | Teil 3 – Anhang ====== Glossar ====== |**Begriff** |**Definition** | |Cloud Access |Eine Funktion, die es ermöglicht, auf UniFi Video und Kamera-Material über eine Web-Schnittstelle von überall auf der Welt zugreifen zu können. | |Event Recording |Eine Funktion, die es ermöglicht, Videomaterial in Reaktion auf ein bestimmtes Ereignis, wie z.B. Bewegungserkennung, aufzuzeichnen. | |Optical zoom |Mit dieser Funktion ist es möglich, Filmaufnahmen in einem ausgewählten Bereich ohne Qualitätsverlust zu vergrössern. | |pfSense |pfSense ist eine auf FreeBSD basierende Firewall-Distribution. Das pf im Namen kommt vom Paketfilter-Tool pf. | |PoE (Power Over Ethernet)|Eine Technology jene es uns erlaubt, Daten und Strom über ein einzelnes Ethernet Kabel zu transportieren. UniFi Kameras können mit der PoE Technologie verwendet werden. | |Privacy Zone |Diese Funktion erlaubt es uns gewisse Bereiche der Kamera aufgrund von Privatsphäre auszublenden. | |PTZ (Pan-Tilt-Zoom) |Pan-Tilt-Zoom (PTZ) bezieht sich auf die Fähigkeit einer Kamera, horizontal (Pan), vertikal (Tilt) zu schwenken und zu zoomen. Diese Funktionen werden normalerweise ferngesteuert, um einen breiteren Bereich von Kamerawinkeln und Perspektiven zu ermöglichen, ohne dass die Kamera selbst physisch bewegt werden muss.| |Retention Policy |Eine Funktion jene Filmaufnahmen für eine bestimmte Zeit speichert. Sobald die Zeit abgelaufen ist, werden Aufnahmen automatisch von der Festplatte gelöscht. | |Smart Alerts |Diese Funktion wird dazu verwendet, dass Kamera Benachrichtigungen basierend auf Events, wie Disconnects und Zugriffe an den Benutzer gesendet werden. | |UniFi NVR Pro |Ein Network Video Recorder (NVR), der die zentralisierte Verwaltung und Aufzeichnung von UniFi Kameras in einem Netzwerk ermöglicht. | |VLAN |Ein virtuelles Netzwerk, das die Segmentierung eines physischen Netzwerks in mehrere logische Netzwerke mit jeweils eigenen Sicherheitsregeln ermöglicht. | |WDR (Wide Dynamic Range) |Eine Funktion die es Kameras erlaubt, klare Aufnahmen selbst in Hoch-kontrastigen Situationen wie helles Sonnenlicht oder dunkle Schatten aufzunehmen. | ====== Weitere Materialien ====== ===== Firmenstandards für das Netzwerk der ImmoRSS Zürich ===== {{:intern:ipa:mh2023:image70.png?606x878|Table Description automatically generated}} {{:intern:ipa:mh2023:image71.png?623x861|Text Description automatically generated}} {{:intern:ipa:mh2023:image72.png?637x894|Graphical user interface, table Description automatically generated}} {{:intern:ipa:mh2023:image73.png?623x341|Graphical user interface, text, application, email Description automatically generated}} ===== Hermes Abnahmeprotokoll ===== {{:intern:ipa:mh2023:image74.png?592x866|Graphical user interface, table Description automatically generated with medium confidence}} {{:intern:ipa:mh2023:image75.png?620x740|Table Description automatically generated}} {{:intern:ipa:mh2023:image76.png?569x473|Graphical user interface, text, application Description automatically generated}}{{:intern:ipa:mh2023:image77.png?557x967}} {{:intern:ipa:mh2023:image78.png?597x792|Table Description automatically generated}} {{:intern:ipa:mh2023:image79.png?600x695|Table Description automatically generated}}