Z WLan Verschlüsselung Nikon Z50II und Z6III

[oldgreyman]

Hallo, weiß jemand, ob es möglich ist WLan Zertifikate in der Nikon Z50II und/oder Z6III zu hinterlegen, so dass eine EAP-TLS (gerätebasiertes Zertifikat für Authentifikation) oder EAP-TTLS (User/Pass mit Prüfung der radius-Zertifikate) möglich ist.

Die Kameras sollen in ein geschütztes Firmen WLan per WPA2/WPA3-Enterprise eingebunden werden.

Danke und Grüße ( Bräuchte wahrheitsgemäße und fachlich korrekte Angaben bitte )

 

[edefauler]

Moin,
kenne Nikon nicht, aber wie bei den meisten IOT Geräten wirst du keine Auswahl von Zertifikaten bekommen.
Schon gar nicht das du eines aufspielen kannst.
Wenn dot1x würde wohl nur MAB gehen.
Mich würde mal interessieren wie der Usecase aussieht, das sowas in ein Firmennetzwerk soll.

Gruss

Norbert

 

[oldgreyman]

Hi, die Kameras sollen in einem Krankenhaus Patientenbilder sicher per WLan ins Netzwerk übertragen und die Datenablagen als Bildspeicher dann nutzen. Um eine sicher Übertragung der Bilddaten zu gewährleisten wäre das EAP-TLS Protokoll von nöten, um eine Authentifikation mittels Radius-Zertifikaten zu zulassen. Die implementierte WLan Direktverbindung per Kamera-Accesspoint ist nicht mit dem Datenschutz zu vereinbaren.

 

[blaubaer_65]

Die Kameras sollen in ein geschütztes Firmen WLan per WPA2/WPA3-Enterprise eingebunden werden

Sprich mal mit Deiner IT Abteilung. In einem Zertifikatsgesicherten WLAN will man eigentlich nur als sicher betrachtete Endgeräte, die z.B. durch zentrales Patchmanagement und andere Massnahmen sicher sind.
Eine Kamera gehört eher in ein separates WLAN, ggf. mit einer Lösung zum Transfer der Bilder in den sicheren Teil des Netzes.
Verschlüsselung könnte alternativ per sFTP stattfinden.
Im Klinikkontext gibts evtl. schon andere Lösungen, an die man sich anlehnen kann. Medizingeräte sind ein ähnlicher integrativer Albtraum.

 

[oldgreyman]

Die Informationen oben sind von unseren Netzwerkern. Sie baten mich diese Frage der Zertifikatsnutzung mal ins Forum zu schreiben

 

[blaubaer_65]

Dann bleibt vermutlich nur der Umweg über sFTP und Zertifikat.
Wie soll das denn ablaufen, irgendwo müssen die Bilder ja einem Patienten zugeordnet werden.
Führt der Fotografierende einen PC mit oder soll das im Nachgang erfolgen?
Die Verbindung zu dem PC müsste dann aber vermutlich trotzdem per Kabel erfolgen, da der PC nicht zeitgleich mit Firmen- und Kamera WLAN verbunden sein darf.

 

[edefauler]

Hallo,

ein IOT Gerät ist kein Windows, das heisst du kannst kein Zertifikat direkt auf das Gerät bringen.
Das zertifikat wird direkt im Verzeichnisbaum an bestimmter Stelle hinterlegt
Sowas wird im PC(Windows/Linux/MAC) Bereich gemacht wird, damit die Anmeldung über einen Zertifikatsserver genehmigt wird (dot1x Authentifizierung)
Der PC meldet sich am Netzwerk an, dann wird per Radius Authentifizierung (MAC Adresse) abgefragt ob der überhaupt ins Netzwerk darf und dann wird abgefragt ob er ein gültiges Zertifikat hat.

Es ist auch nicht möglich über eine TLS Anmeldung (Benutzername/Passwort) sich am WPA2/3 Enterprise Netzwerk sich anzumelden (die Variante gibt es auch), da die Kamera gar keine Auswahl bei der Anmeldung hat um einen Zertifikatstyp auszuwählen, womit dann das Zertifikat akzeptiert wird.


Diese Zertifikate haben nichts mit der sicheren Übetragung von (Nutz)Daten zu tun, die sind nur für die sichere Anmeldung.
Entweder für die gesicherte Anmeldung per Zertifikat oder zur Verschlüsselung der Anmeldung ( das sind 2 verschiedene Zertifikate).
Die Daten laufen bei Enterprise WLAN Systemen immer in einem Tunnel durch das Netzwerk von AccessPoint zum WLAN Controller.
achtun für Nerds : Bei Cisco läuft alles über einen CAPWAP Tunnel, bei Aruba über GRE Tunnel

Selbst wenn du jetzt eine WPA2 Anmeldung per Passwort machen könntest, dann hast du das Problem das du keinen Dateibrowser hast, wo du ein Netzlaufwerk auswählen kannst, wohin die Daten dann geschoben werden können und auch kein Script hinterlegen kannst, was sowas automatisch macht.

Das kann man aber umgehen wenn es eine Software für den PC gibt, er in der gleichen SSID (WLANname) hängt, dannn könntest du per Software auf die Kamera zugreifen.

"ungesicherte" Netze, wo nur eine Anmeldung per WPA2 erfolgt ( nur Passwort) gibt es auch in Firmen, meistens für Gäste oder Spezialfälle, aber dann darf der PC da nicht rein oder er darf nur in diesem Netz sein und hat keine Verbindung zum restlichen Netzwerk, bringt dich also auch nicht wirklich weiter

Die einfachste Lösung wird also sein die Karte in einen Kartenlese zu stecken.
USB Freigaben können in den meisten Firmen User/PC bezogen erstellt werden, da bleibt aber wieder ein Restrisiko das auch andere Karten reingesteckt werden

Gruss

Norbert


PS es geht noch ausführlicher

Die Informationen oben sind von unseren Netzwerkern. Sie baten mich diese Frage der Zertifikatsnutzung mal ins Forum zu schreiben

der Netzwerker soll mich mal anrufen

 

[twostone]

Die gewünschte Anwendung wäre nur über Tethering (Fernbedienung über direktverbindung mit Rechner/tablet/Smartphone mit direkter Übertragung aufgenommener Bilder auf das angeschlossene Gerät) zu erreichen. Inwieweit der Rechner dann jedoch in KIS1- oder KIS2-Netze noch integriert werden darf, kann Dir letztlich nur die verantwortliche Abteilung verraten.

 

[blaubaer_65]

der Netzwerker soll mich mal anrufen

Hm …. bei Cisco gibts auch Flexconnet, selbstverständlich kann mann mit einem Gerätezertifikat verschlüsseln (MACSEC, Win 10 als unrühmliche Ausnahme) und IOT Geräte unterstützen teilweise ebenfalls 802.1X .

 

[twostone]

Krankenhaus-Netze und ihre verschiedenen Ebenen haben auch verschiedene Anforderungen, die teils nicht nur mit der Anmeldung am Netzwerk einhergehen. Ja nachdem in welches Segment die Kamera eingebunden werden soll, kann das auch nur über den Umweg mittels Tether erfolgen, da ggf. auch eine Smartcard oder Anderes erforderlich ist für Zugriffe auf Freigaben/Netzlaufwerke/Datenbanken. Da es sich ja vorgeblich um Patientendaten handelt, wird es sich schon um restriktivere, zugangsbeschränkte Strukturen/Netzsegmente handeln, die zusätzliche Authentifizierung benötigen, die über eine "normale" Anmeldung am WLAN (auch mittels Zertifikat) hinaus gehen.

Das kann keine mir bekannte Kamera leisten, ergo: Tethering.

 

[edefauler]

Cisco gibts auch Flexconnet

Flexconnect ist eine Technologie um Datenverkehr lokal auszubridgen, die Management Informationen und nicht lokaler Datenverkehr werden trotzdem zum Controller über den Capwap Tunnel übertragen

selbstverständlich kann mann mit einem Gerätezertifikat verschlüsseln

das habe ich nicht in Abrede gestellt!
Ich habe geschrieben das mit dem Zertifikat die Anmeldung am AccessPoint verschlüsselt wird, aber nicht die Daten.

Gruss

Norbert

 

[ThePumisher]

der Netzwerker soll mich mal anrufen

Ob es den überhaupt gibt? Mir kommt das ganze recht komisch vor, ohne irgendwem nahe treten zu wollen.

 

[twostone]

Mir kommt das ganze recht komisch vor

Na ja, kann schon legitim sein. Die Aussage der Fachabteilung auf die Anfrage, ob man Kameras in ein geschütztes Netzsegment bringen könnte, war wahrscheinlich nur: "Wenn die Kamera das kann...", was sich auch übersetzen ließe mit "vergiß es". So ungefähr könnte es abgelaufen und dann mißdeutet worden sein.

 

[oldgreyman]

Hi, die Informationen und Frage sind natürlich ernstgemeint und entsprechen der Wahrheit. ich bin Informatiker und Bereichsadministrator des Centrum3 für Zahnmedizin in der Charité Berlin. Hier sollen Nikon DSLR´s angeschafft werden und die Bildübertragung wenn möglich per WLan erfolgen. Der Datenschutz hat dazu seine Bedenken geäußert und die Netzwerker würde nur "grünes Licht " geben, wenn eine Authentifizierung gegen dem Radius möglich wäre. Da ich mich nicht mit DSLR´s auskenne und nicht weiß, welche WLan Kommunikationsmöglichkeiten es gäbe, baten mich die Netzwerker eine solche Frage doch mal in einem Forum zu schreiben, vielleicht weiß jemand was möglich ist. So kam es dazu, dass ich hier fragte und danke alle Beteiligten für die bisherigen Antworten.

 

[oldgreyman]

Diese Antwort erhielt ich dazu vom Nikon Kundensupport:

Anfrage #: 06323342 Betreff: WLan Verschlüsselung Nikon Z50II und Z6III Sehr geehrter Herr Pauly, Vielen Dank, dass Sie sich an den Nikon Kunden-Support gewendet haben. Ich freue mich, Sie bei Ihrem Anliegen unterstützen zu dürfen. Leider unterstützen die Z50II und die Z6III keine EAP-TLS- oder EAP-TTLS-Authentifizierung. Folgende Standarts gelten für die Nikon Z50II und Z6III IEEE 802.11b/g/n/a/ac (Afrika, Asien, Europa, Ozeanien, USA, Kanada und Mexiko) Maximale Sendeleistung (EIRP): 2,4-GHz-Band: 4,6 dBm 5-GHz-Band: 5,3 dBm Beide Kameras unterstützen offene Systeme (WPA2-PSK und WPA3-SAE). https://onlinemanual.nikonimglib.com/z50II/de/15-08.html https://onlinemanual.nikonimglib.com/z6III/de/specifications_387.html Wenn Sie es wünschen, könnte ich ein Verbesserungsvorschlag intern weiterleiten, um dieses durch ein Firmwareupdate auszugleichen. Mit freundlichen Grüßen, Nikon-Kundensupport Deutschland: 0211 – 9414600 Schweiz: 0848 277 000 Österreich: 01 – 3691300 Verfügbar: montags bis freitags, 9:00 bis 17:00 Uhr www.europe-nikon.com/support

 

[twostone]

[OT] Offensichtlich kennt mittlerweile kaum noch jemand den Unterschied zwischen Standard und Standart. [/OT]

Bevor jetzt die Frage aufkommen sollte: Mit Sony, Pentax, Fujifilm (zumindest GFX) und Leica ist eine Authentifizierung nach IEEE802.1x nicht möglich, also auch nicht über einen RADIUS-Server. Ich wage auch mal zu behaupten, daß auch Canon das nicht in ihren regulären Produkten anbietet. Aber, wie gesagt, wäre das über Tethering möglich. Damit sollte man zumindest schonmal Daten in die unteren, weniger sensiblen Ebenen kriegen können.