Acceso Remoto para Videovigilancia, cuáles son los más usados y aspectos a tener en cuenta
Derechos de autor: TECNOSeguro

Acceso Remoto para Videovigilancia, cuáles son los más usados y aspectos a tener en cuenta

El acceso remoto a los sistemas de videovigilancia es quizás el mayor valor agregado para los usuarios finales y está en continua evolución, en esta nota veremos cuáles son las principales formas de visualización remota, aspectos de seguridad y requerimientos técnicos. 

El acceso remoto a los sistemas de videovigilancia ha sido de especial relevancia en el diseño y especificación de proyectos, en los últimos años y con los avances en tecnologías de comunicación, así como de compresión y optimización de anchos de banda, es difícil concebir un sistema que no tenga esta funcionalidad. 

Cada vez más los usuarios confían en las aplicaciones móviles como su principal forma de operar el sistema. Sin embargo, el acceso remoto trae desafíos puntuales relacionados con: la seguridad del sistema, la facilidad de acceso y la dificultad de configuración, aspectos en los que los fabricantes ponen especial atención para hacer que sus plataformas y soluciones superen estos retos. 

En esta nota revisaremos cómo funcionan las diferentes opciones de acceso remoto más comunes en videovigilancia:

 

Redireccionamiento de puertos

El redireccionamiento de puertos es un método que consiste en direccionar una dirección IP privada (generalmente dentro de una LAN) de la grabadora o cámara IP a la dirección IP pública asignada al enrutador de un usuario para que de este modo se pueda acceder de forma remota, por ejemplo, desde Internet. 

Para hacer esto se requiere hacer algunos ajustes en la configuración del router por lo que se requiere de algunos conocimientos básicos en networking y el acceso a la configuración del router.

Apertura de puertos 

Lo anterior conlleva a que deben “abrirse” algunos puertos para los diferentes flujos de video como visualización en vivo, reproducción, transmisión dispositivos móviles etc. Generalmente los puertos que por defecto corresponden a los diferentes flujos y protocolos de transmisión vienen especificados por los fabricantes en las fichas técnicas o manuales de configuración de los equipos. 

Sin embargo, en muchos casos para acceder a una cámara o grabadora, los puertos 80 (HTTP) y 554 (transmisión de video RTSP) se usan con mayor frecuencia y se abren con mayor frecuencia. Algunos sistemas también requieren que se abran puertos adicionales para la configuración, el control o la autenticación. 

En ocasiones es posible encontrar que los puertos por defecto que utiliza una cámara o un grabador son usados por el proceso de TI del cliente para fines específicos, y en estos casos se deberán usar otros puertos que el administrador de red asigne y validar que se puedan configurar en los equipos de videovigilancia. 

TECNOSeguroPRO Acceso Remoto en Videovigilancia 1Configuración de puertos en NVR. Fuente: hikvision.com

En los casos de sistemas de videovigilancia que tienen más de un sistema de grabación y solo una dirección IP pública para conectarse remotamente, se debe tener en cuenta que requieren dos puertos diferentes, uno para cada dirección IP interna de cada grabador:

TECNOSeguroPRO Acceso Remoto en Videovigilancia 2

Plug and Play universal (UPnP)

UPnP es un conjunto de protocolos que automatizan la detección y configuración de dispositivos en una red local. Uno de los objetivos de UPnP es eliminar el redireccionamiento manual de puertos, lo que permite que un dispositivo compatible con UPnP cree automáticamente las asignaciones de puertos en un enrutador sin la intervención del usuario.

Por ejemplo, la siguiente imagen muestra la interfaz de configuración de puertos UPnP para una cámara IP múltiples puertos por cámara según cada protocolo:

TECNOSeguroPRO Acceso Remoto en Videovigilancia 3Fuente: dahuawiki.com

Sin embargo, UPnP no es confiable en muchos casos. Es posible que las asignaciones de puertos no funcionen correctamente, que se agreguen más de una vez, o pueden entrar en conflicto con otros dispositivos o que simplemente no se agreguen, también se puede romper la seguridad del firewall, además la información de errores puede no estar disponible cuando falla la asignación de puertos UPnP, lo que deja al usuario sin ningún medio para solucionar problemas. 

Por estas razones, en muchas redes comerciales, grandes y pequeñas, las funciones UPnP están desactivadas, lo que requiere el reenvío manual de puertos. Así, el reenvío manual de puertos ha demostrado ser más común en las aplicaciones de videovigilancia en especial en ambientes comerciales y corporativos.

DNS Dinámico o DDNS

Uno de los problemas típicos en aplicaciones residenciales y comerciales pequeñas es que los proveedores de servicios de internet ISP’s no proporcionan direcciones IP públicas estáticas a este tipo de cuentas, solo en algunos casos y con un cargo adicional, por lo que, con el tiempo, la dirección IP pública que se les asignó puede cambiar. De este modo la conexión que en un momento es viable por una IP determinada con el tiempo cambiará y la conexión ya no estará disponible.

DDNS, un servicio de acceso remoto auxiliar, resuelve el problema anterior reemplazando la IP pública con un nombre de host más simple y fácil de recordar, por ejemplo, Safe100.net en lugar de 203.160.252.247. El servicio DDNS actualiza la dirección IP correspondiente a cada nombre de host periódicamente, o detecta automáticamente los cambios y se actualiza de inmediato en algunos casos.

TECNOSeguroPRO Acceso Remoto en Videovigilancia 4Configuración de DDNS. Fuente: vivotek.com

En las aplicaciones de videovigilancia, DDNS se usa comúnmente con los equipos de grabación ya sea NVR o DVR y muchos fabricantes cuentan con servicios DDNS privados y en algunos casos los ofrecen de forma gratuita o con cargo. Actualmente la mayoría de los equipos por medio de la interfaz de configuración está incluida la opción DDNS. 

En cuanto a las cámaras IP de seguridad, el uso de DDNS no es muy común para conexiones a un VMS, ya que no todas las cámaras actualizan el direccionamiento de red de manera eficiente por lo que pueden haber pérdidas de video de manera intermitente y en algunos casos se pierde la señal de datos de manera indefinida ocasionando constantes visitas de soporte técnico, además en los sistemas de videovigilancia robustos es más común conectarse de forma remota al VMS/NVR y no directamente a las cámaras.

Riesgos de seguridad con el uso de: Redireccionamiento de puertos, UPnP y DDNS

Los piratas informáticos pueden atacar cientos de millones de dispositivos al día en la Internet pública, ya sea simplemente probando direcciones IP al azar o encontrando listas de dispositivos potencialmente vulnerables.

El uso de UPnP, DDNS y/o reenvío de puertos puede exponer los dispositivos del usuario final a toda la Internet pública, lo que significa que cualquiera con conocimiento de hacking puede intentar conectarse y acceder al dispositivo expuesto como un NVR, DVR o Cámara.

El malware,  ya sea un virus como “caballo de Troya”, u otro programa que logra penetrar una red y a los equipos en ella puede usar UPnP, al igual que los programas normales aplicaciones de seguridad como las que hemos visto. Mientras que un enrutador normalmente bloquea las conexiones entrantes previniendo algunos accesos maliciosos, UPnP podría permitir que un programa malicioso eluda por completo el firewall, de otro modo cuando UPnP está desactivado, el programa no podría abrir el puerto. Si bien esto no limita del todo a los hackers es una de las maneras de mitigar riesgos informáticos. 

Conectividad a través de la Nube (VSaaS)

Para eliminar la complejidad y la posibilidad de errores relacionados con el reenvío manual de puertos, UPnP y DNS dinámico, las conexiones en la nube se han vuelto más frecuentes. Las conexiones en la nube son una forma de VPN (red privada virtual) en donde el usuario prácticamente no tiene que interactuar con el sistema para su configuración.

Varios fabricantes ofrecen sus propias plataformas que conectan cámaras y NVR a la nube. Otros sistemas de seguridad como alarmas, equipos para atomización en el hogar o domótica y muchos equipos dentro del mundo del IoT también utilizan este tipo de conectividad. 

En los últimos años los fabricantes han preparado sus VMS combinados con soluciones VSaaS por lo que los usuarios finales pueden monitorear de manera eficiente y segura muchas cámaras al tiempo, así como aprovechar todas las bondades de los VMS bajo licencia. Este método permite el monitoreo remoto sin reenvío de puertos, y no hay necesidad de conectar o consultar directamente o uno a uno las cámaras en la nube.

Túneles TLS

Las conexiones en la nube generalmente se realizan a través de un “túnel” seguro usando el protocolo de transporte seguro o TLS por sus siglas en inglés y que de hecho es un protocolo cifrado.

Básicamente este protocolo funciona al iniciarse una sesión de conexión entre el dispositivo origen y destino estableciendo desde el inicio el cifrado de los datos, y cuando este proceso de reconocimiento seguro se genera es posible el flujo de los datos de interés en donde estos y el protocolo que usen permanecerán oscuros para el resto de tráfico y simplemente los datos son reconocidos como datos de aplicación. Una vez que se configura el túnel, se utilizan protocolos típicos como HTTP(S), RTSP, TCP, UDP, etc., para el control de la cámara y la transmisión.

Las conexiones en la nube son las más fáciles y confiables en general para proporcionar acceso remoto en aplicaciones de hogares y pequeñas empresas. Sin embargo, para los usuarios corporativos, comerciales y de infraestructura crítica, los administradores de TI prefieren soluciones configurables para transmisión con base en reglas más estrictas bajo el control de firewalls ya sean de tipo hardware o software. 

Motivación para pasar a servicios VSaaS

Si bien las opciones de DDNS y el redireccionamiento de puertos han sido populares en tiempo atrás, en los últimos años surgió un impulso para pasar a los servicios en la nube, al menos, en parte, debido al aumento de las vulnerabilidades y los ataques cibernéticos. 

Varios VMS en especial los que ya están como soluciones combinadas VSaaS han estado impulsando esta tendencia. Sin embargo, es importante tener en cuenta que, si bien los servicios en la nube pueden ser más seguros, ya que el video y otros datos se transfieren a través de un túnel seguro, la seguridad pasa del control de los usuarios al fabricante/desarrollador que brinda el servicio, así como a quienes brindan servicios de alojamiento. 

Esto significa que, si se afecta el servicio de una plataforma VSaaS en particular es probable que todos los usuarios del servicio se vean afectados, en lugar de un número más limitado que normalmente se asocia con ataques dirigidos en aplicaciones propias. 

Redes privadas virtuales (VPN)

Usualmente y desde hace varios años, la opción más común para que las organizaciones más grandes conecten sus soluciones de videovigilancia y sitios remotos es una VPN dedicada.

Generalmente estas VPN usan dispositivos de hardware en cada sitio. Este dispositivo crea un canal de comunicación seguro a través de Internet desde el origen hasta la ubicación del servidor, creando efectivamente una red de video única, a pesar de estar en ubicaciones distintas.

En la videovigilancia, las VPN dedicadas se usan en instalaciones o proyectos más grandes de múltiples sitios, que pueden abarcar ciudades, territorios o incluso países como es el caso de las multinacionales. 

El uso de VPN es una de las opciones más recomendadas para proteger adecuadamente los dispositivos de videovigilancia. Si bien el reenvío de puertos (o UPnP, DDNS, etc.) puede ser más económicos de implementar y de hecho más simples de configurar, desde el su implementación se expone el sistema y la red a ser atacados o vulnerados. 

Hay dos configuraciones de VPN comunes que se utilizan en la videovigilancia, VPN de sitio a sitio y VPN de acceso remoto. Una VPN de sitio a sitio conecta una ubicación con otra, como una oficina principal y una oficina satélite. Esto se usa comúnmente para conectarse a cámaras y/o estaciones de visualización en un lugar a otro, especialmente en empresas grandes o aplicaciones multisitio Esto se ilustra a continuación:

TECNOSeguroPRO Acceso Remoto en Videovigilancia 5

La otra configuración común es el acceso remoto. Esto se usa para un solo dispositivo, como una computadora portátil o un dispositivo móvil, para conectarse de manera segura a la red de videovigilancia. Esto se ilustra a continuación:

TECNOSeguroPRO Acceso Remoto en Videovigilancia 6

Conclusión

Si bien en la actualidad las opciones de conectividad más usadas son DDNS, Redireccionamiento de puertos y UPnP son los más usados pese a los riesgos, es importante y de función de los integradores brindar la asesoría suficiente y necesaria a los usuario finales en lo relacionado a ciberseguridad y los sistemas de videovigilancia y en general cualquier sistema de seguridad conectado, no tiene sentido que un usuario invierta en seguridad y por este tipo de soluciones se vea comprometida la seguridad de su negocio o empresa. Seguramente VSaaS será cada vez más común y mientras ello ocurre las conexiones remotas implementando VPN’s pueden ser la mejor opción.

Jairo Rojas Campo

Ing. Electrónico de la Pontificia Universidad Javeriana, especialista en Gerencia de Proyectos, con experiencia como líder de gestión de proyectos en varias empresas reconocidas del gremio de seguridad en el país desde el 2001. Cuenta con múltiples certificaciones en seguridad electrónica en las líneas de CCTV, sistemas de alarmas de intrusión, detección de incendio, controles de acceso, plataformas de integración entre otras.

Actualmente realiza actividades orientadas a la transferencia de su conocimiento y experiencia a equipos de trabajo del sector, realiza diseño y especificación de proyectos. Apasionado por el ciclismo de ruta y ciclo montañismo.

Artículos relacionados

Solo usuarios registrados pueden realizar comentarios. Inicia sesión o Regístrate.

Lo más Valorado

  1. Comentarios
  2. Empresas
  3. Libros
  • Más
    Hola Gustavo, un cordial saludo y de... Jueves, 11 Enero 2024
  • Más
    Buenas tardes Jairo.¡Puedes contarme... Jueves, 11 Enero 2024
  • Más
    Fue un placer y gusto, seguro haremos... Miércoles, 17 Mayo 2023
  • Más
    Hola Hugo, gracias por tu comentario,... Viernes, 09 Diciembre 2022
  • Más
    Gracias Ing. Jairo Rojas Campo y a... Viernes, 09 Diciembre 2022
  • Más
    Hola Ricardo, un cordial saludo...Nos... Lunes, 28 Noviembre 2022
  • Más
    Saludos he leido el articulo y me ayudo... Domingo, 27 Noviembre 2022
  • Más
    Si, ya lo tenemos disponible también en... Jueves, 10 Noviembre 2022
  • Más
    Genial!! Jueves, 20 Octubre 2022
  • Más
    Hola Jorge, desconozco la marca x-view... Miércoles, 21 Septiembre 2022
next
prev

Sobre TECNOSeguro

TECNOSeguro es la publicación on-line líder en audiencia para las industrias de las tecnologías de la seguridad de habla hispana. Una completa guía con información clave para profesionales de seguridad y TI, integradores, instaladores, consultores y distribuidores.

 

Redes Sociales:

NUESTROS BOLETINES INFORMATIVOS

Manténgase actualizado con las últimas tendencias y tecnologías de la industria de la seguridad. Regístrese gratuitamente para recibir nuestros boletines en su bandeja de email.

Regístrese Gratis