Configuración de Cookies

Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas estas cookies pulsando el botón ACEPTAR o configurarlas o rechazar su uso clicando en el apartado CONFIGURACIÓN DE COOKIES.

Si quieres más información, consulta la Política de Cookies y Lista de Cookies de nuestra página web.

Sus preferencias





Cómo escoger un videograbador ciberseguro por diseño

Ciberseguridad Lanaccess
Antonio Marco

Antonio Marco
IT & Cybersecurity Manager
13 de marzo, 2023

Comparte

Cualquier dispositivo que permita el acceso de forma remota está expuesto a un ciberataque

Los sistemas de videovigilancia no son una excepción. Para minimizar el riesgo y el impacto de un ciberataque, los dispositivos de videovigilancia deben ser capaces de prevenir y responder a las amenazas de forma ágil y contundente. En este artículo, compartimos los aspectos funcionales de un videograbador ciberseguro por diseño.

Índice de contenido

1. Videograbadores con sistema operativo que no sea Windows

Microsoft Windows es el sistema operativo más popular del mundo y es ampliamente utilizado en dispositivos NVR como arquitectura base del sistema. El sistema operativo del gigante tecnológico también es el objetivo principal de los desarrolladores de malware debido a su amplia base de usuarios.

Los videograbadores que no están basados en este popular SO:

– Están protegidos frente a los ataques más comunes y dañinos.

– No necesitan tantas actualizaciones de seguridad.

– Además, la base de malware para sistemas operativos que nos son WIndows es muy limitada.

Lanaccess

La red corporativa y la VLAN del videograbador de Lanaccess funcionan de forma independiente y, en caso de ataque a la red corporativa, el daño no se transfiere. Además, los videograbadores implementan protocolos como el 802.1X que permite autenticar el acceso a la red corporativa.

2. Firmware encriptado

El cifrado de firmware dota de confidencialidad e integridad a cada una de las imágenes de sistema del dispositivo. Esta técnica permite que solo el firmware autorizado se ejecute en una plataforma hardware. En otras palabras, garantiza la autenticidad del programa que se ejecute.

Es, por tanto, una característica de seguridad de obligado cumplimiento si queremos evitar que un atacante realice ingeniería inversa contra nuestras maquinas.

Lanaccess

El VMS de Lanaccess permite configurar privilegios granulares a perfiles que después se podrán asignar a distintos usuarios. Estos privilegios granulares son variados: desde permisos para realizar distintas acciones al control del acceso a dispositivos concretos.

3. Protocolos seguros

Elige videograbadores que, como los de Lanaccess, utilicen solo dos tipos de protocolos:

Protocolos estándar con un elevado nivel de seguridad. Típicamente, estos son: HTTPS, FTPS y SSH.

  • HTTPS (hypertext transfer protocol secure): se usa para la transferencia de datos en la web. En videovigilancia, el protocolo cifra la comunicación entre la cámara y el videograbador.

  • FTPS (file transfer protocol secure): se usa para la transferencia de archivos. El protocolo cifra los comandos y los datos transferidos entre la cámara y el videograbador.

  • SSH (secure shell): permite una comunicación segura y encriptada entre un cliente y un servidor remoto. En videovigilancia, el protocolo SSH se utiliza para administrar videograbadores de forma remota y acceder a ellos de manera segura a través de una conexión encriptada. Proporciona autenticación de clave y cifrado de extremo a extremo para garantizar la seguridad de la conexión y prevenir el acceso no autorizado.

Protocolos propietarios encriptados, que requieran mayores niveles de autenticación para el acceso a información sensible, como la extracción de vídeo o la búsqueda forense.

Lanaccess

El VMS de Lanaccess es seguro por diseño al habilitar el sistema MFA. Además, la contraseña de inicio de sesión está ligada al directorio activo y, por tanto, respeta y responde a los criterios de seguridad de cada empresa.

4. Dispositivos diseñados para prevenir ataques DDoS

Un ataque de Denegación de Servicio Distribuido (DDoS, del inglés distributed denial of service) es un tipo de ciberataque común que tiene como objetivo bloquear temporalmente el videograbador con una gran cantidad de solicitudes ilegítimas con el objetivo de sobrecargarlo y hacerlo inaccesible para los usuarios legítimos.

Descubre nuestros grabadores, con todas las medidas de ciberseguridad mencionadas en este artículo.

5. Equipos threat awareness

Threat awareness consiste en dotar a los grabadores de «conciencia de las amenazas». Un equipo bien protegido, además, enviará una alarma a la CRA (central receptora de alarmas) indicando que se está comprometiendo la seguridad del sistema.

De este modo, el operador será consciente de que existe un ataque en curso que podría ser:

  • A puertos UDP/TCP no abiertos.

  • La apertura de infinitos sockets contra el sistema.

  • DDoS.

  • Registro de intentos fallidos en la actualización del firmware.

En este caso, el operador podría:

  • Notificar el ataque.

  • Bloquear la dirección MAC del atacante.

  • Limitar el número permitido de errores de autenticación.

  • Reforzar la seguridad de sus contraseñas.

6. Funciones de firewall

Para que un videograbador sea ciberseguro por diseño, el firewall debería correr dentro del propio equipo. Un firewall normalmente establece una barrera entre una red de confianza y una red que no es de confianza.
 
Este servicio permite, por ejemplo, que solo se mantengan abiertos los puertos necesarios para la comunicación, y que sea posible aceptar o bloquear el acceso con diferentes niveles de granularidad (una sola máquina, un rango IP o todas las IP).

7. Switch PoE integrado en el equipo

Es recomendable que las cámaras y otros dispositivos IP, como interfonos, estén conectados al propio switch PoE del videograbador. Esto confiere más seguridad al sistema porque los dispositivos con este conector harán uso de una red privada y, por tanto, estarán aislados de la red IP corporativa.
Elije el fabricante que, como Lanaccess, haya incorporado dentro de la arquitectura del propio equipo switches con funcionalidades avanzadas de gestión y control como: el reinicio remoto de dispositivos conectados; el monitoreo del consumo de energía; la programación de las cámaras; y la detección automática de dispositivos. Este último punto es crucial para la detección de sabotaje por intento de sustitución de cámara (grado 4).

8. Equipos que permitan una política de gestión de usuarios restrictiva

Recomendamos que el videograbador tenga habilitado una serie de usuarios con permisos diferentes. Por ejemplo:

  • Superusuarios, con acceso total al sistema. Este tipo está limitado a los administradores porque permite cambiar configuraciones.

  • Usuarios con acceso exclusivo a vídeo.

  • Usuarios con acceso exclusivo a grabaciones.

  • Usuarios temporales, para técnicos eventuales con acceso más limitado.

En general, es recomendable usar el principio de privilegio mínimo, pensado para reducir el riesgo de brechas internas. Como principio, se basa en que el sistema aplica un rol restrictivo de acceso por defecto a todos los usuarios. Si está justificado, el administrador habilita solo los permisos necesarios.