IDIS®: Proteja su Sistema Ante una Amenaza Digital



EJEMPLOS DE SEGURIDAD CON SISTEMAS DE CCTV IDIS®


Últimamente, el tema de la inseguridad en la red ha sido de vital importancia para los sistemas de videovigilancia. Desde las listas de las contraseñas más usadas tipo admin@12345, admin@admin, IoT (Internet de las cosas), ataques en masa a servidores en la nube, acceso a puertas traseras (backdoors), propagación por carpetas compartidas del malware encriptando información relevante de empresas. 


El motivo, por el sucede todo esto, es por comodidad, por no dedicarle un tiempo para planificar el nivel de seguridad que se requiere, por ejemplo: creando una zona privada para sus equipos, cambiando las contraseñas por defecto, creando diferentes perfiles de usuario.

A continuación, se explicará cómo aplicar estos consejos en los Sistemas de CCTV utilizando equipos del fabricante IDIS.

2. CCTV analógico (circuito cerrado) vs CCTV IP (red abierta del cliente).
Antiguamente, cuando se hablaba de un sistema de videovigilancia se sobreentendía que era un sistema cerrado como indican sus siglas CCTV (circuito cerrado de televisión). La transmisión de la imagen iba por su cable coaxial aislado desde una distancia limitada hasta el sistema de grabación/visualización. Hoy en día con los sistemas de CCTV IP esas distancias no tienen límite, pero queda en duda la privacidad de los accesos y las comunicaciones.




Para ello los sistemas IP de IDIS trabajan con una filosofía de comunicación cerrada desde la cámara hasta el grabador haciendo uso de su switch PoE integrado. De esta forma, se consigue un CCTV IP real, separando la red de las cámaras de la red del cliente. 



Es posible monitorizar la estructura de la red para ver el consumo eléctrico de cada puerto, el número de cámaras conectadas directamente o a través de un switch PoE intermedio, el número de operadores conectados remotamente identificando su IP y como es lógico, para detectar algún fallo de comunicación.  



Se puede visualizar el número de operadores remotos desde diferentes puestos, incluso si se autentifican con el mismo usuario. 



Para otorgarle más privacidad al sistema, aun teniendo una comunicación en una red privada, los grabadores de IDIS te permiten encriptar la comunicación desde la cámara al grabador. 



Y también te permite encriptar la comunicación desde el grabador al operador remoto.




De esta forma la comunicación esta codificada y, aunque estén espiando la red capturando los paquetes que pasan por el switch, el intruso es incapaz de descifrarla.


3. Autenticación de usuarios en los accesos remotos.
Para acceder a cada dispositivo es necesario pasar por una identificación de usuario que le va a otorgar ciertos privilegios. Esta autenticación se realiza en los 3 pasos:

  • Del grabador a la cámara.
  • Del software al grabador. 
  • Del usuario al software.

En la práctica, solo se percibe en el último paso ya que los demás saltos ya están configurados por el personal técnico. Si se desea hacer alguna modificación de las contraseñas hay que editarlas en los 3 pasos:

  • Usuario y contraseña de la cámara.
  • Usuario y contraseña con la que doy de alta la cámara en el grabador.
  • Usuario y contraseña del grabador.
  • Usuario y contraseña con la que doy de alta el grabador en el software remoto.
  • Usuario y contraseña del software.
  • Usuario y contraseña con la que accedo al manejo de software. 


Cada vez que se crea un usuario es requisito añadir su correo electrónico. Este correo electrónico se usará para restablecer la contraseña en caso de olvido. 



Las conexiones RTSP hacia el grabador (para integraciones con vms de terceros) también requieren de una contraseña adicional.

Si no se recuerda la contraseña, podemos restablecerla.




De esta forma el grabador envía un código de verificación a esta cuenta de correo, con el que podrá autenticarse y poder cambiar la contraseña a una más segura. 



Para que el grabador envíe este correo, en el proceso de configuración hay que ajustar los parámetros de conexión con el servidor de correo SMTP. Se recomienda usar un servidor de correo SMTP que soporte encriptación SSL/TLS. 



2FA (TWO FACTOR AUTHENTICATION).
Con el Método de autenticación en 2 factores, no se puede entrar en la configuración del sistema sin una confirmación por parte del administrador, en tiempo real.

Con esta nueva capa de seguridad, si un usuario quiere entrar en la configuración del grabador, no sólo requiere tener una cuenta de usuario dentro del grupo de administradores , si no que necesitará la confirmación de un administrador determinado en el momento del acceso.

Este administrador designado recibirá una notificación en su móvil en el momento que se pretenda entrar en la configuración. El móvil deberá estar previamente registrado, y desde él se podrá autorizar o no el acceso a la configuración.

4. Perfiles de usuario de CCTV.
Por defecto los grabadores vienen con un único usuario admin, que pertenece al grupo de usuario administrador. En la práctica se recomienda añadir varios usuarios dentro de otros grupos. La gestión de diferentes grupos de usuarios te permite administrar el control del dispositivo dándole privilegios de sus funcionalidades a diferentes personas de una forma organizada.

Tanto si se opera directamente desde el monitor del grabador como si se hace en remoto hay que establecer 3 perfiles de usuario: 




  • Grupo operadores: Visualizar el vídeo en directo, reproducir el vídeo grabado y controlar cámaras motorizadas PTZ
  • Grupo Responsables: Visualizar el vídeo en directo, reproducir el vídeo grabado, controlar cámaras motorizadas PTZ y exportar el vídeo grabado
  • Grupo administradores: Control total de la configuración para administradores técnicos de la instalación. 


El operador puede buscar y navegar por el vídeo grabado, pero no tiene acceso a la exportación de vídeo en un videoclip ni puede acceder a las opciones de configuración del sistema.



El responsable puede exportar las imágenes en un videoclip.

El responsable y el administrador puede ser la misma persona, pero es aconsejable otorgarle de la autoridad de administrador a un personal con conocimientos técnicos o a la empresa instaladora cualificada contratada para el mantenimiento. 



Claro está que aun teniendo la red más segura del mundo de nada sirve si al final el vídeo que exportas se comparte libremente por las redes sociales por algún fallo en la cadena de autorizados. Para evitar esta negligencia, IDIS® protege estos ficheros encapsulándolos en paquetes ejecutables con reproductor incluido, con marca de agua y protegidos bajo contraseña. 



5. Conclusión.
Los sistemas de CCTV de IDIS®, son:

  • Sistemas cerrados y dedicados a funcionalidades de CCTV, no permitiendo el acceso al sistema operativo embebido por ningún medio ni puertas traseras.
  • Permiten tener el sistema independiente a la red del cliente, CCTV ip real.
  • Con las posibilidades de los perfiles de usuario se puede administrar el sistema siguiendo las especificaciones de la LOPD.( El derecho a la protección de datos personales).
En SYSCOM® tenemos a su dispocisión los mejores equipos de videovigilancia de IDIS®,