6 pasos para asegurar una cámara de seguridad

Seis pasos que nos pueden ayudar a mejorar la seguridad de nuestras cámaras y del resto de infraestrucuturas y aplicaciones.

1. No conectar las cámaras a la Internet pública. Dada la amplia disponibilidad de herramientas gratuitas de detección de vulnerabilidades, es lógico evitar el uso de direcciones IP enrutables para las cámaras IP, si es posible. Los recientes ataques DDoS a la infraestructura de DNS central usaron ‘botnets’ de cámaras públicas, y todos los atacantes tuvieron que encontrar las cámaras.

En su lugar, coloque cámaras detrás de un servidor de seguridad y ejecute direcciones de red (NAT). Aunque NAT no es un mecanismo de seguridad y no tiene una historia muy buena por romper el principio básico de Internet de conectividad de extremo a extremo, pero al menos ofrece alguna protección contra.

2. Deshabilite el reenvío de puertos. Si utiliza NAT, puede ser tentador configurar un enrutador para reenviar tráfico a la cámara IP, lo que permite permanecer accesible desde la Internet pública. Esto no es mejor que poner la cámara directamente en una dirección IP pública y expone la cámara al mismo nivel de evaluación de vulnerabilidad.

Si el acceso público es necesario, un enfoque mucho mejor es utilizar las aplicaciones de teléfonos inteligentes que se ofrecen con cada cámara. Estos utilizan servicios en la nube, gratuitos para uso básico, donde tanto la cámara como la aplicación son clientes que llaman a la nube. Debido a que ni la cámara ni la aplicación ejecutan los propios servidores, esto elimina toda una clase de vulnerabilidades basadas en el servidor.

3. Coloque las cámaras en una subred / VLAN dedicada. Una cámara comprometida no puede tratar de explotar otros dispositivos que no puede ver. Debido a que muchas aplicaciones utilizan transmisiones Ethernet para conectarse con otros dispositivos, cualquier daño se limitará a la subred local y VLAN.

4. Monitorizar las anomalías. En el caso de la reciente ‘botnet’ DDOS de cámara, las cámaras explotadas inundaron los servidores de Dyn, un gran proveedor de DNS, con enormes volúmenes de solicitudes de DNS. Los ataques DDoS pueden ser difíciles de mitigar en el extremo receptor, pero en el lado emisor debería ser posible detectar cambios en el tráfico de red (en este caso, una fuerte subida en las consultas DNS a un nuevo conjunto de servidores).

Muchos sistemas de detección y prevención de intrusos (IDSs / IPSs) utilizan un enfoque denominado basado en firmas, lo que significa que sólo activan alertas cuando ven tráfico de ‘exploit’ que coincide con un patrón conocido. Este es un área en la que un IDS / IDP basado en anomalías, que detecta diferencias de una base de referencia bien conocida, puede ayudar. Los productos IDS / IDP comerciales, incluyendo el Sourcefire de Cisco y la serie IDP de Juniper, ofrecen características de detección de anomalías, al igual que las herramientas de código abierto como Bro.

5. Actualice el firmware de la cámara. Esto se da por supuesto, pero una larga historia de ‘exploits’ sugiere que hay demasiados usuarios sin actualizar el firmware del dispositivo.

6. Cambiar contraseñas predeterminadas. Una vez más, este es un paso obvio, pero muchas ‘exploits’ utilizan las contraseñas predeterminadas de los dispositivos en red, incluidas las cámaras IP. Es particularmente importante cambiar las contraseñas de todas las cuentas de la cámara, no solo la cuenta de administrador.