miércoles, 2 de mayo de 2018

5 prácticas poderosas para fortalecer la seguridad informática en la videovigilancia IP

Escrito por  Fernando A. Chang, ingeniero de soporte de Hanwha Techwin para América Latina.
El mundo cada día se conecta más. Los sistemas y dispositivos conectados a la red y con la capacidad de compartirse entre sí son cada vez más comunes; y las personas, por su lado, esperan tener cada vez mayor capacidad de conectarse y controlar dispositivos o sistemas desde cualquier lugar y en cualquier momento.
Sin embargo, hay un punto sin precedentes por ese creciente número de redes y dispositivos, a saber es el mayor riesgo en materia de seguridad. Como cada dispositivo es un punto final en las redes, todos tienen el potencial de convertirse en puntos de entrada para los piratas informáticos (hackers) y personas con intenciones maliciosas. De hecho, en muchas de las violaciones de datos más importantes que han ocurrido recientemente, los hackers han accedido a las redes corporativas a través de POS, HVAC, televisores inteligentes, tabletas, celulares y otros sistemas con conectividad a Internet que no proporcionaron un grado adecuado de seguridad.
Como es sabido, la videovigilancia basada en IP ha crecido en popularidad para convertirse en un estándar aceptado para nuevas implementaciones o actualizaciones; los otros sistemas de seguridad no han sido una excepción. En tal sentido, las cámaras de videovigilancia y otros dispositivos se encuentran entre la larga lista de posibles puntos de entrada a la red que continuamente son probados para detectar si son vulnerables.
Por lo tanto, es esencial que las organizaciones tomen medidas para garantizar el más alto nivel de seguridad en sus redes y cámaras IP, codificadores, NVR y DVR. Existe una serie de ‘mejores prácticas’ que deben emprenderse para fortalecer la seguridad de los dispositivos y así evitar el acceso no autorizado a los sistemas de videovigilancia de los usuarios finales y su red en general. Estos elementos deben ser revisados por el personal de los sistemas de seguridad, el personal de TI y los integradores de sistemas que instalan sistemas con el fin de determinar el nivel de seguridad necesario, al tiempo que se equilibra la facilidad de uso, con riesgos aceptables.

Algunas prácticas para mejorar la seguridad en la videovigilancia IP:

1. Contraseñas

Desde consultar el correo electrónico hasta desbloquear teléfonos inteligentes o iniciar sesión en computadoras, las contraseñas son una parte integral de nuestra vida cotidiana. Por lo tanto, la gente debe reconocer la importancia de crear contraseñas seguras para proteger sus dispositivos y redes.
Cambie los valores predeterminados. Con demasiada frecuencia, los instaladores y/o usuarios finales fallan u olvidan cambiar las contraseñas predeterminadas para dispositivos IP, incluyendo cámaras, codificadores, NVR y DVR cuando se instalan.
Pero cambiar la contraseña no es suficiente; es imperativo usar contraseñas seguras que son mucho más difíciles de descifrar. Hay mejores prácticas que se deben seguir para lograr esto, usando una combinación de letras, números y otros símbolos.
Utilizar múltiples credenciales. Aunque no es obligatorio, también se recomienda usar contraseñas diferentes para cada dispositivo o usar la misma contraseña solo para algunos, no todos, los dispositivos, clientes y sistemas en la red.

2. Principio de privilegio mínimo

Otra práctica recomendada es limitar las funciones al cual tiene acceso un usuario, tales como: audio, PTZ, alarma de E/S. Utilice el principio de privilegio mínimo, proporcionando al usuario las funciones mínimas necesarias.

3. Autenticación y encriptación

Debido a que la autenticación del usuario requiere el envío de nombres de usuario y contraseñas a través de la red, incluso las contraseñas más fuertes pueden ser fácilmente sustraídas durante esa transferencia. Por lo tanto, es imperativo elegir los métodos de autenticación y encriptación más seguros disponibles.
  • Encriptación SSL: un método excelente para garantizar que las credenciales de los usuarios y los datos se envíen a sus destinos previstos y que se mantengan seguros es emplear el cifrado SSL.
  • Evitar el uso de la nube (Cloud): el uso de un servicio en la nube para grabar o ver su sistema no solo requiere grandes cantidades de ancho de banda, sino que también puede presentar un problema de seguridad.

4. Segregación de red física

Una técnica común y efectiva para aumentar la seguridad de una red de seguridad es separar físicamente las cámaras y grabadoras de la red corporativa. Muchos NVR tienen múltiples interfaces de red, lo que les permite grabar desde uno y proporcionar acceso a la estación de trabajo por el otro. Esta técnica reduce el número de dispositivos expuestos externamente, que necesitan mayores controles de seguridad.

5. Adopte recursos comunes de protección informática

VLAN

Se recomienda el uso de LAN virtuales (VLAN) para mantener una red de video seguridad separada de la red corporativa cuando no se emplea una red separada. Las VLAN operan en los switches de red y segregan el tráfico comúnmente basado en los puertos del switch. Esto permite que los firewalls protejan los dispositivos de seguridad de otros dispositivos en la red

Filtrado de IP.

El filtrado de IP es un método para especificar explícitamente quién puede acceder a un dispositivo de red o, a la inversa, a quién se le niega el acceso al dispositivo. Se puede especificar una dirección IP o rango/subred.

VPN

La mejor práctica para conectar ubicaciones remotas, como oficinas múltiples o trabajadores remotos, es usar una solución VPN (Virtual Private Network o redes virtuales privadas). Esto crea un canal seguro y encriptado que elimina la posibilidad de filtración de información como nombres de usuario y contraseñas.

Puertos y servicios

Actualmente muchos dispositivos están conectados a Internet (ya sea de forma intencionada o no) y hay numerosos servicios empleados por los piratas informáticos para realizar escaneos en busca de estos dispositivos. Una forma sencilla de ayudar a dificultar estos escáneres es cambiar los puertos de los dispositivos en red de sus valores predeterminados.

Deshabilite puertos, servicios y protocolos no utilizados

Debido a que muchos dispositivos de seguridad son computadoras integrales, que se ejecutan en sistemas operativos modernos, se recomienda que se deshabiliten los servicios no necesarios para una aplicación. Esto podría incluir multidifusión, DNS dinámico (DDNS), Quality of Service (QoS), Bonjour, Universal Plug and Play (UPnP), detección y reenvío de puertos, dirección local de enlace, File Transfer Protocol (FTP), Network Attached Storage (NAS) y notificaciones de correo electrónico.

SNMP

SNMP es una excelente herramienta para que un administrador de red administre los dispositivos en esta. Dado el acceso que SNMP puede proporcionar a las redes, es importante cambiar las cadenas de comunidad predeterminadas usando entradas alfanuméricas difíciles de adivinar. Desafortunadamente, SNMP v1 y v2c envían las cadenas de la comunidad en texto sin cifrar, lo que podría permitir el acceso no autorizado. El filtrado de IP se puede aplicar para aumentar la seguridad. Si el cifrado SSL está habilitado, SNMP v3 puede cifrar los datos, lo cual es muy recomendable.

RTSP

Algunas cámaras ofrecen la opción de permitir conexiones de video RTSP sin requerir autenticación. Esto puede ser útil al enviar secuencias a través de Internet para su visualización pública, para garantizar que las credenciales no estén expuestas o para la integración de terceros cuando no se admite la autenticación. Se recomienda requerir autenticación para todas las transmisiones de video.

Bloqueo de cuenta de usuario

Los ataques de denegación de servicio (DoS) implican inundar un dispositivo con comandos más rápidamente de lo que puede procesarlos, abrumando al dispositivo hasta el punto en que ya no puede atender solicitudes válidas.

Control de acceso basado en certificados 802.1x

En muchos edificios, las tomas de red pueden ser accesibles, una cámara puede desconectarse o un cable alterado para obtener acceso a la infraestructura de la red Ethernet. El estándar 802.1x proporciona control de acceso a la red basado en puertos que requiere la instalación de un certificado de identificación en cada dispositivo conectado para obtener acceso a la red protegida.

Actualice el firmware regularmente

Los hackers trabajan incansablemente para identificar y explotar las vulnerabilidades en el software, en particular las versiones obsoletas que no se han actualizado para mejorar la seguridad.


Conclusiones

La dura realidad en el mundo conectado de hoy es que los individuos y grupos continuarán sus intentos de identificar y explotar vulnerabilidades para violar la seguridad de la red. Y si bien nos beneficiamos de la comodidad de un número creciente de dispositivos accesibles a través de las redes, la realidad es que estos dispositivos solo aumentan la probabilidad de acceso no autorizado a la red. Por eso, es vital que todos estos dispositivos estén protegidos para evitar que se conviertan en una puerta abierta para los piratas informáticos.
Por lo tanto, estas mejores prácticas sirven como un requisito para las organizaciones que reconocen la importancia y se toman en serio la seguridad de sus redes. El diálogo abierto e informado entre el usuario final, su departamento de TI, el instalador y el integrador de sistemas es la clave para encontrar la mejor solución que se adapte a las necesidades de seguridad de una organización individual.

No hay comentarios: