1

Seguridad cibernéticaProtegiendo dispositivos de videovigilancia para acabar con las vulnerabilidades de la red

2

Introducción

IntroducciónVivimos en un mundo cada vez más conectado, donde más y más dispositivos y sistemas están en red y son compartidos con otros sistemas. La comodidad es un conductor principal detrás de esta tendencia, ya que la gente ha llegado a esperar la capacidad de conectarse y controlar dispositivos y sistemas en cualquier lugar, en cualquier momento.

Sin embargo, hay un inconveniente para el nivel sin precedentes de comodidad proporcionada por el creciente número de dispositivos conectados en red, es decir, el mayor riesgo de seguridad. Ya que cada dispositivo es un punto final de las redes, introducen el potencial de convertirse en puntos de entrada para hackers y otras personas con malas intenciones. De hecho, en la mayoría de las fugas de datos de alto perfil que han ocurrido recientemente, los hackers han podido tener acceso a redes corporativas a través de POS, HVAC y otros sistemas en red que no ofrecen un nivel adecuado de seguridad para prevenir estos tipos de violaciones.

Mientras que la videovigilancia basada en IP y otras soluciones han crecido en popularidad hasta convertirse en el estándar aceptado para nuevos despliegues y actualizaciones, los sistemas de seguridad no son una excepción. Un hacker no discrimina entre dispositivos de red si este cumple una función crítica como la seguridad o no. Como tal, las cámaras de vigilancia de vídeo y otros dispositivos están entre la larga lista de posibles puntos de entrada de red que continuamente están siendo probados para encontrar vulnerabilidades que pueden ser explotadas. Por lo tanto, es esencial que las organizaciones adopten las medidas necesarias para garantizar el máximo nivel de seguridad para sus redes y cámaras IP, codificadores, NVRs y DVRs. Hay una serie de buenas prácticas que deben llevarse a cabo para reforzar la seguridad del dispositivo para evitar el acceso no autorizado y proteger los sistemas de vigilancia por vídeo de los usuarios finales, y su red global. Hanwha no sólo está consciente de estas mejores prácticas, pero ha construido una serie de tecnologías y capacidades en sus productos para facilitar a las organizaciones tomar estos pasos importantes hacia la mejora de la seguridad de la red. Estos elementos deben ser revisados por el propietario de los sistemas de seguridad, el personal de TI y los integradores de sistemas que instalan sistemas para determinar el nivel de seguridad necesario equilibrando la facilidad de uso, con un riesgo aceptable.

Esta guía mostrará instantáneas de cámaras de red donde sea aplicable. La mayoría de los ajustes se pueden configurar en lote para varias cámaras con el Software Administrador de Dispositivos Wisenet (Figura 1).

Figura I

3

Contraseñas

ContraseñasDesde la comprobación del correo electrónico al desbloqueo de smartphones o al inicio de sesión en las PCs, las contraseñas son una parte integral de nuestras vidas cotidianas. Parece suficientemente intuitivo que las personas reconozcan la importancia de crear contraseñas seguras para proteger sus dispositivos y redes, pero en realidad este no es siempre el caso. Estas mejores prácticas ayudarán a garantizar el más alto nivel de seguridad de la contraseña.

1. Cambiar los valores predeterminadosMuy a menudo, los instaladores y/o usuarios finales no lo hacen o se olvidan de tomar el simple paso de cambiar las contraseñas predeterminadas para los dispositivos IP, incluyendo cámaras, codificadores, NVRs y DVRs cuando estos son implementados. Esto es crítico porque las contraseñas predeterminadas pueden ser localizadas fácilmente en línea o en manuales de usuario, dejando a los dispositivos no seguros y altamente vulnerables a los hackers. Por lo tanto, cambiar los valores predeterminados es quizás el único y el más importante paso en la seguridad de los dispositivos.

Básico > Usuario >

Las contraseñas de Hanwha requieren un mínimo de 8 caracteres y 2/3 categorías de caracteres, dependiendo de la longitud. Además, 4 o más caracteres consecutivos o repetidos no están permitidos, y se permiten los caracteres especiales. Las contraseñas tienen una longitud máxima de 15 caracteres (Figura 2).

Figura 2

4

Evitar Errores Comunes

2. Evitar Errores ComunesSimplemente cambiar la contraseña no es suficiente. Como resultado de la aparentemente interminable serie de funciones que requieren autorización, hay dos errores que muchas personas cometen con las contraseñas en aras de la conveniencia, y demasiado a menudo la gente los comete al crear contraseñas.

La primera es utilizar la misma contraseña para todo. El peligro aquí es que si alguien puede descifrar la contraseña de, digamos, su cuenta de correo electrónico, entonces tienen acceso a todo lo que hayas protegido mediante contraseña, abriendo la posibilidad para el robo, el robo de identidad y mucho más. El segundo -y más arriesgado - error que comete la gente para recordar más fácilmente sus contraseñas es usar nombres, cumpleaños y/o palabras que se puedan encontrar en el diccionario.

La piratería se ha convertido en una práctica altamente organizada y sofisticada que emplea herramientas potentes, tales como las tecnologías que de forma rápida y automáticamente realizan un ciclo de posibles combinaciones de palabras para descifrar contraseñas. Estas herramientas han sido bastante exitosas con las contraseñas que son recordadas fácilmente y que son muy útiles para los usuarios. Además, con tanta información personal disponible online, las contraseñas que usan nombres, cumpleaños u otras fechas importantes también pueden ser fácilmente adivinadas.

Por lo tanto, es imperativo utilizar contraseñas fuertes que son mucho más difíciles de romper. Hay un número de mejores prácticas que deben seguirse para realizar esto mediante una combinación de letras, números y otros símbolos.

Por ejemplo, los dispositivos de Hanwha requieren contraseñas que tienen al menos ocho caracteres y debe contener al menos tres conjuntos de caracteres en mayúsculas, minúsculas, números y símbolos. Las contraseñas de más de 10 caracteres sólo requieren dos conjuntos de caracteres. Además, las contraseñas no se pueden repetir el mismo carácter más de tres veces o tener más de tres caracteres secuenciales.

3. Utilizar Credenciales MúltiplesAunque no es necesario, también es una buena práctica utilizar contraseñas diferentes para cada dispositivo o utilizar la misma contraseña sólo para algunos - no todos - de los dispositivos, los clientes y los sistemas en la red. Es altamente recomendado crear un nombre de usuario único en lugar de utilizar la cuenta de administrador para conectarse al VMS y a otros clientes. Para empezar, esto evita que la contraseña del administrador sea transmitida constantemente a través de la red en un esfuerzo para evitar que sea interceptada. Segundo, limitando la autorización asociada con esta cuenta única también limitará el acceso de un hacker. Por lo tanto, si una cuenta está comprometida, el impacto no va a afectar a toda la cámara, incluyendo su configuración. Por último, las credenciales únicas hacen que el análisis de registros sea mucho más fácil y más informativo.

Las cámaras y grabadoras de Hanwha permiten que se creen muchos usuarios/grupos de usuarios con diversos permisos y niveles de usuario, como se muestra en la figura 3.

Básico > Usuario >

Figura 3

5

Acceso como invitado

Figura 4

Acceso como invitadoLas cámaras de Hanwha ofrecen una función de inicio de sesión de invitado separada con el nombre de usuario y la contraseña del invitado. Esta cuenta tiene privilegios limitados y está desactivada por defecto, así que debe ser activada específicamente en el menú de configuración. Esto es ideal para los usos de acceso limitado, pero debe permanecer desactivada cuando no sea necesaria.

Básico > Usuario

Figura 5

6

Autenticación y cifrado

Principio del Privilegio MínimoOtra práctica recomendada es limitar a qué características tiene acceso un usuario, tales como audio, PTZ, E/S alarma. Utilice el principio del privilegio mínimo, proporcionando al usuario las características mínimas necesarias para llevar a cabo sus funciones necesarias. Si necesitan acceder al menú de configuración una vez al año, proporcione una alternativa de inicio de sesión de usuario a través de la interfaz web en lugar de permitir que su cuenta VMS tenga acceso total, o mejor aún, haga que un usuario de mayor nivel realice esta tarea no rutinaria. Esto ayudará a prevenir cambios de configuración innecesarios y mantendrá las credenciales de alto nivel fuera de la red tanto como sea posible. Las opciones de configuración se muestran en las capturas de pantalla de la cámara & grabador en la figura 4.

Autenticación y cifradoYa que la autenticación de usuario requiere el envío de nombres de usuario y contraseñas a través de la red, incluso las contraseñas más fuertes pueden ser robadas con facilidad durante la transferencia. Por lo tanto, es imperativo elegir los métodos de cifrado y de autenticación más seguros disponibles.

Autenticación Digest vs. Clear TextTradicionalmente, los nombres de usuario y las contraseñas se envían a través de las redes mediante la codificación clear text y base64, lo que ofrece un acceso abierto a estas credenciales a cualquier persona que esté supervisando la red para interceptar y ver el tráfico, lo que les permitirá acceder a un dispositivo.

La segunda táctica que es menos común es el uso de la autenticación de texto implícita para cifrar datos usando una función hash, que se compara con las credenciales hash en el dispositivo. Como resultado, la autenticación de texto implícita refuerza la seguridad al no enviar nombres de usuario y contraseñas reales a través de la red.

Aunque todos los productos Hanwha admiten las contraseñas de texto implícito, no puede decirse lo mismo para cada cliente que se conecta a un dispositivo. Por lo tanto, es importante determinar sus capacidades para asegurarse de que todos los clientes a) trabajen, y b) no reviertan para contraseñas de texto implícito o base64.

Cifrado SSLUn método excelente para asegurarse de que las credenciales y los datos del usuario son enviados a sus destinos y que son mantenidos seguros es utilizar el cifrado SSL. Este sencillo y rentable método mejora aún más la seguridad de un dispositivo.

Los certificados integrados permiten que el cifrado SSL sea configurado y esté funcionando en segundos. El certificado SSL puede también adquirirse de una Autoridad de certificados comercial o ser emitido por entidades corporativas para aumentar aún más la seguridad para evitar un mensaje de seguridad de certificado en el acceso. Mientras que la seguridad SSL es una gran manera de reforzar su canal de comunicaciones en una red o nube potencialmente insegura, determina los canales que deben ser cifrados y soportados. Esto incluye de la cámara para NVR/VM y de VMS para el cliente. El cifrado SSL debe utilizarse también cuando se envíen notificaciones por correo electrónico mediante el protocolo SMTP para evitar que se envíen las credenciales en clear text. Asegúrese de que su servidor SMTP admite SSL/TLS y compruebe qué puerto se utiliza.

Las opciones de configuración permiten la selección de certificados únicos (integrados) o públicos, y la instalación y la denominación de un archivo de clave y de un certificado. Cuando las opciones HTTPS cambian, la cámara se reiniciará y, a continuación, sólo permiten que tengan lugar comunicaciones HTTPS cifradas a través del puerto HTTPS (consulte la Figura 6).

7

Evite la Nube.

Red > HTTPS

Figura 6

Evite la Nube.Utilizando un servicio de nube para grabar o ver el sistema no sólo requiere grandes cantidades de ancho de banda, sino también puede presentar un problema de seguridad. Cuando la nube se conecta a un dispositivo, envía la información de inicio de sesión. Si esta información es capturada o es usado un ataque de un intermediario (MITM), las credenciales pueden ser descifradas o reproducidas, lo que permite un acceso no autorizado. Además, no todos los servicios en la nube admiten el cifrado SSL o incluso la autenticación implícita.

Instalación y configuración de la red

La segregación de la red físicaUna técnica común y eficaz para aumentar la seguridad de una red de seguridad es separar físicamente las cámaras y grabadores de la red corporativa. Esto evita que los intrusos obtengan acceso debido a la falta de acceso. Muchos NVR tienen varias interfaces de red, lo que les permite grabar desde una interfaz, y brindar acceso de estación de trabajo desde otra interfaz. Esta técnica reduce el número de dispositivos expuestos externamente, que necesitan mayores controles de seguridad (Figura 7).

8

VLANs

Figura 7

VLANSSe recomienda el uso de LANs virtuales (VLANs) para mantener una red de seguridad separada de la red corporativa cuando no es empleada una red separada. VLANs operan en los conmutadores de red y segregan el tráfico comúnmente basado en los puertos del conmutador. Esto permite a los firewalls proteger dispositivos de seguridad lejos de otros dispositivos en la red. Si es necesario acceder a dispositivos específicos, se pueden crear reglas de firewall o un dispositivo puede ser agregado a la VLAN.

Filtrado de IPEl filtrado de IP es un método para especificar de forma explícita a quien se le permite el acceso a un dispositivo de red o, a la inversa, a quien se le niega el acceso al dispositivo. Pueden ser especificados una dirección IP o un rango/subred. Esto puede asegurar que sólo las personas adecuadas, sobre la base de sus direcciones IP del PC tengan acceso al dispositivo, y a un intento de transmisión desde la red local o desde Internet se le negará el acceso. Los dispositivos de Hanwha permiten la entrada de direcciones IP y prefijos IPv4 e IPv6 para negar o permitir el acceso. El rango a ser filtrado se mostrará para validar la IP y el prefijo antes de confirmar y aplicar. Asegúrese de verificar esto antes de aplicarlo, de lo contrario, se te podría negar el acceso. Se pueden agregar hasta 10 entradas para cada IPv4 e IPv6 (Figura 8).

Red > Filtrado de IP

Figura 8

9

VPN

VPNLa mejor práctica para conectar ubicaciones remotas, como varias oficinas, o trabajadores remotos es usar una solución de VPN. Esto crea un canal seguro y cifrado eliminando la posibilidad de fuga de la información, como los nombres de usuario y contraseñas. Una solución VPN puede implicar hardware específico como un router VPN, y/o un software VPN que se ejecuta en un PC de un cliente.

Puertos y ServiciosEn el mundo conectado de hoy, muchos dispositivos están conectados a Internet (ya sea de forma intencionada o no), y hay numerosos servicios empleadas por los hackers para realizar rastreos, en busca de estos dispositivos.

Cambiar los Puertos PredeterminadosUna manera simple de ayudar a dificultar estos rastreos, así como script-kiddies, ataques casuales y acceso inadvertido es cambiar los puertos de los dispositivos conectados a la red desde sus conocidos valores predeterminados disponibles online a mayores números de puerto de su elección. Especialmente importante es el puerto web HTTP, que en la mayoría de los dispositivos tiene el valor predeterminado del puerto 80 para permitir el acceso a través de un navegador web. La modificación de este puerto para 8000, por ejemplo, requiere un paso adicional al introducir la dirección en un navegador web, a menudo protegiendo desde un simple rastreo o alguien escribiendo manualmente una dirección en un explorador web (Figura 9).

Básico > IP & Puerto > Puerto

Figura 9

Deshabilitar los puertos, servicios y protocolos no utilizados.Ya que muchos de los dispositivos de seguridad son verdaderas computadoras, que se ejecutan en sistemas operativos modernos, Hanwha ha adoptado el enfoque de usar sistemas operativos Linux personalizados y simplificados, donde cualquier servicio no utilizado se ha eliminado o está deshabilitado. Muchos otros fabricantes dejan estos servicios disponibles para depuración o debido a la falta de una sólida conciencia y/o postura de seguridad. Una serie de incidentes recientes en los que los dispositivos de otros fabricantes han sido hackeados involucraron a atacantes entrando a un dispositivo a través de telnet, el cual ofrece un completo acceso de línea de comandos a todos los archivos y servicios. Las plataformas de grabación basadas en Windows tienen una serie de servicios que se ejecutan, además de requerir constantes actualizaciones y parches de seguridad que requieren tiempo, seguimiento y acceso a Internet.

Los dispositivos de Hanwha utilizan una variedad de protocolos que proporcionan funciones útiles. Sin embargo, se recomienda que sean desactivados todos los servicios que no se necesitan para una aplicación. O sea multicast, DNS dinámico (DDNS), Calidad de servicio (QoS), Bonjour, Universal Plug and Play (UPnP), revelación y reenvío de puerto,

10

dirección local de enlace, protocolo de transferencia de archivos (FTP), almacenamiento conectado a la red (NAS) y las notificaciones de correo electrónico. Como se ha mencionado anteriormente, implementar credenciales únicas y limitar los privilegios para FTP, NAS y el correo electrónico son también excelentes maneras de mejorar aún más la seguridad. Los protocolos de configuración IP automática están habilitados de forma predeterminada, mientras que los otros servicios mencionados están todos desactivados (Figura 10).

Red > Configuración IP automática

Figura 10Red > DDNS

Figura 11

SNMPSNMP es una herramienta excelente para que la administración de red administre los dispositivos en su red. Dado el acceso que SNMP puede proporcionar a las redes, es importante cambiar las secuencias de comunidad predeterminadas, usando entradas alfanuméricas difíciles de adivinar y con mayúsculas y minúsculas. Lamentablemente, SNMP v1 y v2c envian las secuencias de comunidad en clear text, lo que podría permitir el acceso no autorizado. El Filtrado de IP puede ser aplicado para aumentar la seguridad. Si está activado el cifrado SSL, el protocolo SNMP v3 puede cifrar los datos, lo cual es altamente recomendado. Sin embargo, si no se utiliza SNMP para la administración de dispositivos, se recomienda deshabilitar el protocolo.

SNMP

11

SNMP

Un desafío que contribuye al riesgo de hackers es que normalmente SNMP v1 o v2 está siempre activado y no se puede desactivar a través del menú de la cámara. Los dispositivos de Hanwha admiten SNMP versiones 1, 2c y 3, sin embargo, no todas las versiones se pueden desactivar a través de la interfaz de usuario. Con el fin de deshabilitar SNMP en las cámaras de Hanwha, se utilizan los siguientes comandos:

http://IPADDRESS/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version1=False

http://IPADDRESS/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version2=False

SNMP v2c está habilitado de forma predeterminada en las cámaras IP de Hanwha, con una Comunidad de Lectura "pública" y una Comunidad de Escritura de "escritura". Trampas de SNMP pueden ser activadas para Error de Autenticación y Conexión de Red a una determinada Secuencia de comunidad y dirección IP. SNMP v3 requiere una contraseña (Figura 12).

Red > SNMP

Figura 12

12

Identificar y frustrar los ataques

RTSPMucho stream de vídeo VMS utiliza el protocolo RTSP. Las cámaras de Hanwha proporcionan una opción para permitir conexiones de vídeo RTSP sin requerir autenticación. Esto puede ser útil cuando se envían transmisiones a través de la Internet para fines de visualización pública para asegurarse de que las credenciales no sean expuestas o para integración con terceros cuando la autenticación no es compatible. Para las cámaras Hanwha, esta función puede ser activada desde dentro de la interfaz del usuario de la cámara durante la instalación si es necesario. Se recomienda solicitar autenticación para toda transmisión de vídeo. Si es necesaria la visualización pública, los servicios de terceros pueden recibir la transmisión autenticada y proporcionar acceso público a través de otro portal aislando la cámara del acceso público directo.

Básico > Usuario

Figura 13

Identificar y frustrar los ataquesDos de los métodos más comunes de ataques que utilizan los hackers son la Denegación de Servicio (DoS) y el desbordamiento de búfer. Cada uno de estos ha demostrado ser eficaz en ataques y por lo tanto deben ser abordados adecuadamente con el fin de proteger los dispositivos y las redes de accesos no autorizados. Las cámaras de Hanwha incluyen dos métodos que han demostrado ser muy eficaces en el logro de este objetivo.

Bloqueo de la cuenta de usuarioLos ataques de Denegación de Servicio (DoS) implica la inundación de un dispositivo con comandos más rápidamente de lo que este los puede procesar, abrumando al dispositivo hasta el punto donde ya no puede atender solicitudes válidas. Para protegerse contra ataques DoS, si una cámara de Hanwha recibe muchas solicitudes no autenticadas, estas conexiones son bloqueadas mientras que a las conexiones autenticadas se les permite continuar normalmente (figura 14).

Figura 14

Protección contra Desbordamiento de BúferOtro vector de ataque común es que los hackers pasan comandos cuidadosamente elaborados para un dispositivo en un intento de divulgar información o enviar comandos directamente a otros servicios subyacentes, tales como bases de datos o sistemas de ficheros. A menudo estos comandos explotar una debilidad en el analizador o base de datos o rompen la interfaz, permitiendo que los comandos se envíen directamente al servidor de la base de datos, sistema operativo o sistema de archivos. Los dispositivos de Hanwha filtran los comandos antes de pasarlos a un servidor web o base de datos, previniendo los ataques basados en desbordamientos de búfer y el hackeo directo, dejando inaccesibles para los hackers el conjunto básico de servicios.

Acceso físico a los dispositivosEl acceso físico a cualquier dispositivo de red o de seguridad es primordial. Con el acceso físico, la mayoría de los dispositivos se puede reiniciar, permitiendo que sean configurados nuevos ajustes potencialmente por personas no autorizadas. Según el modelo de seguridad de Defensa en Profundidad, es fundamental que los dispositivos de red sean instalados bajo llave y candado, preferiblemente con control de acceso y/o vídeo vigilancia de seguridad. Esto proporciona varias capas de seguridad, y no se depende de un único mecanismo.

13

Colocación del dispositivo

Colocación del dispositivoLas cámaras deben instalarse de manera que no puedan ser alcanzadas, desviadas o desenchufadas fácilmente, preferiblemente con un chasis adecuado, de manera que no pueda ser obtenido el acceso físico. El cableado de red y de alimentación se debe pasar a través de conductos o detrás/ a través de paredes y techos para que los cables no puedan ser desenchufados o interceptados. Considerar los modelos con domo antivandálico para una mejor seguridad física.

Garantizar la continuidad de la grabaciónDurante un allanamiento, el ladrón suele robar o destruir un grabador o servidor en un intento de destruir las pruebas de vídeo. Un método para combatir esto es utilizar tarjetas SD para grabación en cada una de tus cámaras. Aunque el periodo de retención de grabación será más corto, proporcionará capacidades de grabación redundantes. La grabación en tarjeta SD también puede ser utilizada en caso de fallo de NVR/VMS, y en caso de interrupción de la red intencional o accidental, permitiendo que la cámara continúe encendida.

Las opciones de configuración incluyen habilitar/deshabilitar las funciones de la tarjeta SD, grabación continua/de evento en Completo/Cuadro I/ninguno, duración de la grabación de pre- y post-evento, tipo de archivo de registro (AVI/STW), sobrescribir, auto borrado/duración, programación de grabación normal, y sistema de archivos de tarjeta SD. Cualquier perfil/códec puede ser seleccionado para grabación. Una tarjeta SD puede ser reformateada si es necesario, sin embargo, una tarjeta SD vacía que sea insertada será configurada automáticamente. Una NAS también puede ser configurada en lugar de una tarjeta SD, o como un dispositivo de grabación principal con una tarjeta SD como soporte de grabación opcional de seguridad en caso de fallo. La grabación NAS tiene las mismas opciones de configuración con la adición de una dirección IP, ID de usuario, contraseña y carpeta predeterminada (Figura 15).

Evento > Almacenamiento

Figura 15

14

Control de acceso basado en certificados 802.1x

Las cámaras de Hanwha pueden detectar una desconexión de la capa de red física y comenzar la grabación en el borde, si la alimentación todavía está disponible.

Evento > Detección de desconexión de red

Control de acceso basado en certificados 802.1xEn muchos edificios, las tomas de red pueden estar accesibles, o una cámara puede ser desconectada o un cable puede ser manipulado para acceder a la infraestructura de red Ethernet. El estándar 802.1x proporciona control de acceso a red basado en puerto que requiere que un certificado de identificación sea instalado en cada uno de los dispositivos conectados para acceder a la red protegida. Así, si un atacante conecta un dispositivo no autorizado en la red, se le negará el acceso.

El administrador de dispositivos Wisenet puede utilizarse para habilitar fácilmente 802.1x, así como implementar certificados desde una ubicación centralizada, sin necesidad de realizar configuraciones en la interfaz de cada cámara". Las opciones de configuración incluyen la selección del tipo de EAP, la versión de EAPOL, ID de usuario y contraseña y la instalación del certificado/clave (Figura 16).

Red > 802.1x

Figura 16

15

Detección de manipulación

Detección de manipulaciónUn método común para interrumpir el vídeo es bloquear físicamente u oscurecer la lente de una cámara, usando un bolso o un spray de pintura, o cambiando la dirección en la que la cámara box o bullet está apuntada. La Detección de manipulación genera una alerta cuando se produce un rápido cambio en el campo de visión para identificar posibles problemas, a menudo antes de que ocurra un incidente con una cámara que no está funcionando correctamente. Todas las cámaras IP de Hanwha incluyen la detección de manipulación, sin reducir la velocidad de los fotogramas. Además, pueden usarse configuraciones reconocibles (tales como nombre, SNMP) para ayudar a identificar si un dispositivo ha sido manipulado o comprometido para obtener acceso. En los casos en que los ajustes no pueden ser verificados, se debe restaurar para una configuración buena conocida o restablecer la configuración predeterminada. La configuración incluye el ajuste de la sensibilidad (Figura 17).

Evento > Detección de manipulación

Figura 17

AlimentaciónUna UPS garantiza que tus dispositivos de red permanezcan encendidos y previene daños de sobretensiones durante cortes de energía, apagones programados, caídas de voltaje y desconexión accidental o maliciosa. Si una UPS es conectada a la red para administración, asegúrese de que esté correctamente asegurada y que las actualizaciones de seguridad sean instaladas. Ha habido casos de atacantes obteniendo acceso a la red segura a través de dispositivos auxiliares como una UPS que estaba conectada a una LAN o a Internet para vigilancia. Muchas cámaras IP también pueden tener fuentes de alimentación dobles - PoE & 12VCC/24VCA de baja tensión según el modelo, alimentación redundante en caso de que el presupuesto de alimentación PoE sea superado. La mayoría de los conmutadores de red pueden tener una prioridad especificada para indicar qué tipo de dispositivo (teléfonos, cámaras, WAP, etc.), o qué puertos son más importantes durante una escasez de energía.

Administración de redMás allá de la implementación, existen una serie de tareas que los administradores de red deben realizar continuamente para garantizar la continua seguridad de sus cámaras y otros dispositivos. Entre las más críticas está revisar todos los cambios, desarrollar y asegurar configuraciones consistentes y homologadas, realizar actualizaciones de software y garantizar que el software cumple con los estándares de seguridad de la organización. Tal como se describe aquí, Hanwha reconoce el papel crítico de cada una de estas acciones en la creación de una fuerte estrategia global para bloquear los dispositivos y proteger las redes de los hackers.

16

Verificar los registros de dispositivos

Verificar los registros de dispositivosYa que las cámaras de Hanwha registran todos los cambios realizados a la configuración del dispositivo, es importante comprobar los registros para determinar qué cambios se han realizado y quién los hizo. Para facilitar la reversión, la mayoría de las entradas de registro incluyen tanto las configuraciones anteriores como las nuevas configuraciones, y los registros se conservarán durante un reestablecimiento de fábrica. El administrador de dispositivos Wisenet puede ser utilizado para descargar fácilmente registros de varios dispositivos a la vez (Figura 18).

Sistema > Registro

Figura 18

17

Configuraciones de backup

Si la configuración no puede ser verificada, puede ser necesario un reestablecimiento de fábrica para asegurarse de que la configuración correcta y conocida está en su lugar. Para las cámaras de Hanwha, esto puede hacerse simplemente manteniendo pulsado el botón Reestablecimiento de fábrica durante cinco segundos mientras la cámara está encendida. Después de reiniciar la cámara, es importante configurar la dirección IP y cambiar la contraseña de administrador predeterminada. Puede ser ejecutado un reestablecimiento de fábrica mientras se conserva toda la configuración del menú de "IP & Puerto" y "Red" (Figura 19 y 20).

Sistema > Actualizar / Reiniciar

Figura 19

Figura 20

Configuraciones de backupOtra importante tarea administrativa es realizar periódicamente copias de seguridad de todas las configuraciones que funcionan bien, lo que resulta beneficioso en caso de cambios inadvertidos y subversivos. La herramienta de administración de dispositivos Wisenet permite que las configuraciones de dispositivo sean rápidamente y fácilmente respaldadas y restauradas y también puede generar un informe que contenga información y configuración claves, junto con instantáneas de la cámara, que son ideales para los registros de finalización del trabajo. La copia de seguridad también pueden ser restaurada como una plantilla para cámaras recién instaladas del mismo modelo asegurando que todos los ajustes se apliquen de manera coherente para una fácil instalación (Figura 21).

Sistema > Actualizar / Reiniciar

Figura 21

18

Actualización periódica del firmware

Actualización periódica del firmwareLos hackers trabajan incansablemente para identificar y explotar las vulnerabilidades en el software, especialmente las versiones obsoletas que no han sido actualizadas para mejorar la seguridad. Una vez que se encuentra una vulnerabilidad, a menudo se difunde rápidamente online, abriendo la puerta para que varios individuos accedan fácilmente a cualquier dispositivo que ejecute las versiones anteriores del firmware - y por extensión a la propia red. Los proveedores de software reconocen esto y lanzan actualizaciones continuamente para proporcionar mejoras y/o modificaciones que cerrarán esas puertas y protegerán a los usuarios contra el acceso no autorizado.

El firmware de cada dispositivo Hanwha incluye un listado de las actualizaciones que los administradores pueden consultar a fin de asegurarse de que estén ejecutando la versión más reciente. Se recomienda que el firmware esté actualizado antes de la implementación del sistema, y que se actualice periódicamente en una base permanente. Muchos instaladores optan por actualizar el firmware, asignar direcciones IP y establecer contraseñas de administrador en el banco antes de la implementación.

La herramienta de administración de dispositivos Wisenet puede utilizarse para controlar fácilmente la versión de firmware y el estado de actualización de todos los dispositivos a la vez, y el firmware se puede descargar e instalar con unos pocos clics (Figura 22).

Sistema > Actualizar / Reiniciar

Figura 22

Formatos de vídeoLa mayoría de equipos de seguridad estándar de la industria, abren formatos de video, así como formatos de vídeo patentado. En la superficie, un formato de vídeo abierto puede parecer ideal porque los usuarios pueden simplemente abrir el video con su reproductor favorito. Sin embargo, las aplicaciones de seguridad demandan un formato que no puede ser editado, modificado o manipulado. Esto es esencial, determinando que cuando el vídeo es descargado, debe existir un mecanismo para autenticar el vídeo y asegurarse de que no ha sido manipulado- función que sencillamente no existe con formatos abiertos.

Los formatos de vídeo de Hanwha ofrecen estas importantes salvaguardias, así como una contraseña opcional y compleja que asegura que el video puede ser utilizado como evidencia. El reproductor requerido se incluye automáticamente con cualquier vídeo descargado o archivado sin necesidad de instalación. Los usuarios simplemente hacen doble clic en el archivo ejecutable para ver el archivo de vídeo. Las cámaras IP de Hanwha pueden almacenar vídeo en el formato de archivo STW. Los videos pueden ser exportados por el navegador web, o reproducidos con el reproductor independiente de la tarjeta SD. El vídeo exportado desde un grabador se puede guardar en el formato de archivo SEC con el reproductor portátil incluido (Figura 23).

Evento > Almacenamiento

Figura 23

19

Conclusión

Aplicaciones de Plataforma AbiertaMuchas cámaras Hanwha permiten la instalación de aplicaciones de terceros para mejorar sus funciones, tales como el reconocimiento de matrículas, inteligencia de negocio minorista, conteo de personas y mucho más. Cuando se ejecutan aplicaciones en cámaras, es importante saber cuáles están instaladas, así como el origen del paquete de software. Durante la instalación, las cámaras de Hanwha te informan sobre los permisos requeridos de una aplicación; asegúrese de leer cuidadosamente esta información y entender si los datos se enviarán a cualquier otra ubicación. Si una aplicación no puede ser verificada o si su propósito es desconocido, detenga inmediatamente la instalación, desinstale la aplicación y obténgala del socio de confianza que la proporciona. Las opciones de configuración incluyen la configuración de inicio automático, el nivel de prioridad, arranque/parada de aplicaciones, instalación/desinstalación de aplicaciones y ejecutar la página web de una aplicación (Figura 24).

Sistema > Abrir SDK

Figura 24

ResumenLa dura realidad en el mundo conectado de hoy es que los individuos y los grupos seguirán sus intentos de identificar y explotar vulnerabilidades para violar la seguridad de la red. Y mientras nos beneficiamos de la comodidad de un número creciente de dispositivos accesibles a través de las redes, la realidad es que estos dispositivos sólo aumentan la probabilidad de acceso no autorizado a la red. Por lo tanto, es de vital importancia que todos estos dispositivos estén protegidos para evitar que se conviertan en una puerta abierta para los piratas informáticos. Empleando estas mejores prácticas no sólo puede impedir que dispositivos y sistemas de vídeo en red sirvan como puntos de entrada, sino que también garantiza la integridad y el funcionamiento continuado de esta función crítica: garantizando la continua seguridad de personas y bienes. Además, muchas de estas medidas son también aplicables a otros dispositivos y sistemas. Por lo tanto, estas prácticas sirven como un requisito para las organizaciones que reconocen la importancia y se toman en serio la seguridad de sus redes.

Por lo tanto, estas prácticas sirven como un inicio de conversación para las organizaciones que reconocen la importancia y se toman en serio la seguridad de sus redes. El diálogo abierto e informado entre el usuario final, su departamento de TI, el instalador y el integrador de sistemas son la clave para encontrar la mejor solución que se adapte a las necesidades de seguridad de una organización concreta.

Región AndinaJhayr Gomez MorenoDirector de ventasT: 57 1 702 0137jgomez@hanwha-wisenet.com

BrasilJosé Carlos HollaenderGerente de distribución en BrasilT: 55 11 4440 1300j.hollaender@hanwha.com

MéxicoOmar MurilloDirector nacionalT: 52 55 5531 7119/20omurillo@hanwha-wisenet.com

Perú & BoliviaManuel CarlosDirector de ventasT: 511 224 1782mcarlos@hanwha-wisenet.com

Cono Sur y América LatinaJuan Pablo ReedDirector de ventasT: 56 224 196 124juanpablo.reed@hanwha-wisenet.com

www.HanwhaSecurity.com

© 2018 Hanwha Techwin Co., Ltd. Todos los derechos reservados.

DISEÑOS Y ESPECIFICACIONES ESTÁN SUJETOS A CAMBIOS SIN PREVIO AVISO.En ningún caso este documento podrá ser reproducido, distribuido o modificado, parcial o totalmente, sin autorización formal de Hanwha Techwin Co., LTD. I.H-1607.