Los dispositivos como las cámaras IP no están exentos de riesgos de agentes maliciosos diseñados para comprometer equipos con una seguridad débil y así llevar a cabo Ataques de Denegación de Servicio (DDoS) a gran escala, entre otros perjuicios.
Vivimos en un mundo interconectado, lo que representa una gran oportunidad para compartir información a cualquier distancia a través de la red, pero así mismo una amenaza de que esta pueda ser capturada por agentes maliciosos en cualquier parte. Debido a que cada dispositivo es un punto final para las redes, estos se convierten a su vez en puntos de entrada potenciales para uno o más hackers.
Uno de esos dispositivos son las cámaras de video vigilancia, las cuales no estás exentas de ese riesgo latente, por el cual el propietario de los sistemas de seguridad, integradores y personal de las Tecnologías de la Información (TI) deben tomar las medidas necesarias. No obstante, hay una serie de prácticas que cada uno puede ejercer para evitar toda intrusión en su red, sea corporativa o personal.
Contraseñas
Un primer elemento que deben considerar los usuarios es el cambio de las contraseñas generadas por defecto, pues estas pueden encontrarse fácilmente en línea o en los manuales. Un error común es crear una misma para todo, además de ignorar que estas han de ser difíciles de descifrar.
El hacking es una práctica cada vez más organizada y sofisticada que utiliza herramientas de gran alcance para probar diferentes combinaciones posibles de palabras, fuera de disponer de datos personales disponibles en la web como fechas de cumpleaños, entre otros, a los que diversos usuarios recurren para formular sus contraseñas.
Los dispositivos de Hanwha, por ejemplo, requieren contraseñas de al menos ocho caracteres de longitud, que contengan por lo menos tres tipos (entre mayúsculas, minúsculas, números y símbolos). De otra parte, los grabadores y cámaras de la compañía permiten la creación de muchos usuarios o grupos de usuario con diferentes permisos y niveles.
Autentificación y cifrado
La autenticación de usuario requiere enviar los nombres de usuario y contraseñas a través de la red, las cuales pueden ser robadas durante esa transferencia. Tradicionalmente se hace a partir de la codificación de texto no cifrado y base64, los cuales proporcionan acceso libre a quienes monitorean esta red para ver el tráfico, lo cual les permite acceder a un dispositivo.
Una táctica menos recurrente es el uso de la autenticación Digest, el cual es un método utilizado para confirmar la identidad de un usuario antes de brindar información sensible. Esta aplica una función criptográfica hash, que no es más que un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija.
De esta manera, se crea una cadena alfanumérica única para garantizar que el archivo no haya sido modificado. Esta compara las credenciales hash en el dispositivo, sin necesidad de enviar los nombres de usuario y contraseñas reales sobre la red. Todos los productos de Hanwha soportan contraseñas Digest.
Configuración de red
De otro lado, una técnica común y eficaz para blindar aún más una red de seguridad es la separación física de las cámaras y los grabadores de la red corporativa, lo que evita ataques de intrusiones por deficiencias en el acceso. Para ello es recomendable el uso de redes de área local virtual (VLANs), las cuales funcionan en los switches de red y segmentan el tráfico basándose comúnmente en los puertos de este, lo que permite la protección por parte de firewalls (cortafuegos) para bloquear el acceso de otros dispositivos en la red.
En ese sentido, el filtrado de la dirección IP (Internet Protocol) es un método para especificar explícitamente quién puede acceder a un dispositivo de red o, por el contrario, denegarle el acceso al mismo.
No obstante, la mejor práctica para conectar ubicaciones remotas, tales como múltiples oficinas o trabajadores remotos, es la utilización de una red privada virtual (VPN). Esto crea un canal seguro, encriptado, lo que elimina la posibilidad de fuga de información como nombres de usuario y contraseñas.
Prevención de ataques
En muchos edificios, los tomas de conectores de red pueden estar accesibles, o una cámara podría ser desconectada o un cable alterado para tener acceso a la infraestructura de red Ethernet. El estándar 802.1X proporciona control de acceso de red basado en puertos, lo cual requiere un certificado de identificación que se instala en cada dispositivo conectado para tener acceso a la red protegida. De ahí que, cuando un atacante inserte un dispositivo no autorizado en la red, se le deniegue el acceso.
Hay una serie de tareas que los administradores de red bien realizan de forma continua para garantizar la seguridad continua de sus cámaras y otros dispositivos. Una de las más cruciales es la revisión de todos los cambios al desarrollar, asegurar y aprobar las configuraciones, hacer constantes actualizaciones de software y garantizar que este cumpla con los estándares de seguridad organizacionales.
Al emplear estas mejores prácticas, se puede evitar que los sistemas y dispositivos de todo tipo se conviertan en una puerta abierta para los hackers. Pero, aún más, asegura la integridad y continuidad de la función crítica de algunos de ellos: garantizar la protección de personas y bienes.
1 comentario en «Prácticas para una red segura»
Comentarios cerrados.