Los modernos sistemas de videoseguridad son más seguros que nunca. Atrás quedaron los días en que las cámaras y grabadoras de vídeo en red eran accesibles mediante credenciales predeterminadas de fábrica (como una contraseña 12345), que los atacantes usaban para movilizar miles de dispositivos mediante un botnet.
Muchas veces, la seguridad es más simple de lo que puede parecer. Con un simple requisito obligando a cambiar las contraseñas de inicio de sesión en su primer uso reduce drásticamente el número de sistemas de seguridad comprometidos. Pero que sea simple no significa que siempre sea fácil. Los atacantes se adaptan y los profesionales de la seguridad deben estar continuamente cambiando, aprendiendo y adaptándose para ir siempre por delante.
Lo que caracteriza a los sistemas de seguridad más avanzados es que están preparados para ser ágiles con las decisiones de configuración adicionales y así facilitar las tareas a los profesionales de la seguridad.
Un pequeño sistema de seguridad puede disponer de varias cámaras IP conectadas a grabadoras de vídeo en red (NVR). Aunque normalmente y por sentido común, las configuraciones de estas cámaras IP las colocan en una subred para bloquear el acceso desde internet y evitar que las transmisiones de estas cámaras coincidan con otro tráfico, no pasa lo mismo con las grabadoras NVR, cuyo acceso desde fuera de la red está expuesto a internet y podría poner en peligro su sistema.
Cualquier dispositivo IP al que se pueda acceder de forma remota desde Internet está potencialmente en riesgo. Muchas veces el dispositivo es accesible desde una red que tiene una dirección IP y un puerto fijo. Si es así, eso es fácilmente detectable desde cualquier parte del mundo mediante el escaneo de puertos (el escaneo de puertos es una técnica estándar que se usa para determinar en qué puertos puede estar escuchando un sistema de destino). Esto también puede ayudar a los atacantes a determinar qué servicios pueden estar ejecutándose en el sistema, ya que ciertos puertos suelen estar asociados con servicios particulares. Si el dispositivo es un NVR, por ejemplo, es probable que tenga el puerto 80 abierto, por lo que el usuario legítimo puede acceder a la interfaz web del NVR. Pero para el pirata informático, un puerto 80 abierto es una gran pista de que el dispositivo tiene un servidor web ejecutándose. El escaneo de puertos es esencialmente una forma de «chequear» el sistema operativo remoto para comprender qué servicios y versiones de software se están ejecutando en el objetivo. Esto representa un problema de seguridad ya que algún atacante podría detectar que su dispositivo no está actualizado con los parches necesarios para alguna vulnerabilidad conocida de la versión de su sistema operativo o servicios particulares.
Para minimizar este riesgo existen varias formas de hacerlo. La mayoría de los NVR disponen de una aplicación móvil que se puede conectar a través de Peer-to-Peer (P2P). Esta configuración utiliza un servidor intermediario para consultar el NVR y solicitar que se abra un puerto. Una vez que eso ocurre, la aplicación móvil se conecta al NVR. Cuando la conexión está cerrada, el puerto está cerrado. La gran ventaja de este enfoque es que el puerto está abierto solo durante la sesión. En cualquier otro momento, un escaneo de puertos no revelará gran cosa a un posible atacante.
Otra forma de minimizar la exposición es utilizar el bloqueo de direcciones IP. En muchos firewalls también se conoce como función de geolocalización y nos permite bloquear el acceso al sistema desde un rango de direcciones IP. Algunos firewalls permiten bloquear el acceso desde direcciones IP de países específicos.
Realizar un bloqueo de direcciones IP, es considerado por la mayoría de expertos en seguridad como un método demasiado contundente y se preguntan si vale la pena. Veamos un ejemplo ficticio para entenderlo mejor:
Un administrador que revisaba periódicamente los registros para tener una mayor perspectiva de las cosas que no funcionaban correctamente, detectó un número poco normal de intentos de inicio de sesión de administrador desde una dirección IP específica en pocas horas. Tras una breve investigación, descubre que se trata de una dirección IP localizada en una zona geográfica donde la comunidad de profesionales de la seguridad sabe que existe una granja de trolls y sospecha que está involucrada en operaciones de influencia online creada para defender los intereses comerciales y políticos de un país en particular. Dado que el sitio web del administrador solo atiende a usuarios de su zona geográfica, decidió bloquear todo el dominio de las direcciones IP provenientes de esta área geográfica. Este bloqueo no evita que quien lo intentó una vez no vuelva a intentar un ataque de fuerza bruta, aunque lo minimiza.
Pero si lo quisiera poner más difícil al posible atacante, y dado que el acceso al NVR de la mayoría de las empresas está autorizado a un pequeño número de personas, posiblemente bastaría con cambiar el valor predeterminado y configurar una lista de IP permitidas, que bloquee todos los intentos de acceso que no procedan de las direcciones IP especificadas.
Contacta con alguno de nuestros expertos en seguridad si necesitas asesoramiento sobre cómo mejorar tus sistemas de videovigilancia y proteger al máximo sus activos y usuarios. En Lanaccess trabajamos para optimizar la gestión de las empresa, de forma que puedan dar un mejor servicio a sus clientes y hacer crecer su negocio.
Contacto
1 comentario en «Ciberseguridad: cómo proteger tu sistema de videovigilancia en red»