TECNOSeguro

Expertos Informando para tu Seguridad

Martes, 28 Abril 2020

Guía para Ciberseguridad y aseguramiento de cámaras IP BOSCH - Parte II

Esta es la segunda entrega de la guía de características de ciberseguridad de los dispositivos de video IP Bosch con instrucciones fáciles, paso a paso, para optimizar  la seguridad en la instalación de cámaras IP.

Guía para Ciberseguridad y aseguramiento de cámaras IP BOSCH - Parte II

Acceso a la red y servicios

Consulte la primera parte de esta guía para continuar con los pasos.

Todas las herramientas de análisis de red y vulnerabilidades están diseñadas para analizar un rango específico de puertos, así como los protocolos asociados con esos puertos. De forma predeterminada, todos los puertos innecesarios se han deshabilitado en los dispositivos de video de Bosch y se han eliminado determinados protocolos, como Telnet y FTP.

El submenú Acceso a la red le permite modificar la forma en la que se comunicará el dispositivo con el sistema.

Bosch Guia 1 Acceso a la red y servicios

 Los ajustes básicos recomendados son los siguientes:

  • Puerto del navegador HTTP establecido en "Off"
  • Versión mínima TLS establecida en 1.2 
  • Seguridad de transporte estricta HTTP (HSTS) establecida en "On"

Una configuración adicional que se puede aprovechar es:

  • Cifrado UDP: esta configuración utiliza el certificado HTTPS predeterminado del dispositivo para cifrar el tráfico UDP si "Transmisión de video" está establecido en "UDP"

Bosch Guia 2

El siguiente y más importante menú utilizado para bloquear un dispositivo es el submenú Red y Servicios de red.  

Bosch Guia 3

Esta página de menú fácil de usar permite habilitar o deshabilitar protocolos y servicios innecesarios en función del escenario de implementación actual. Los tres submenús principales son: Servicios, Streaming y Discovery.

Bosch Guia 4

Servicios

El submenú Servicios muestra los servicios actuales que están disponibles para el dispositivo y permite habilitar y deshabilitar rápidamente cualquiera de los servicios enumerados.

Ejemplo: si estaba implementando dispositivos de video IP de Bosch con un VMS de terceros y no está grabando en el servicio iSCSI no utilizado para la grabación interna.

Nota: todos los protocolos heredados tales como Telnet y FTP fueron quitados de todos los dispositivos en 2015. 

Todavía hay marcadores de posición para dispositivos EOL heredados en el menú.

Bosch Guia 5

Streaming

El submenú Streaming le permite deshabilitar el uso del protocolo de transmisión en tiempo real (RTSP). Este es el protocolo de video principal utilizado al implementar dispositivos de video Bosch en un entorno ONVIF. Esto se suele utilizar cuando el proveedor de VMS utiliza la integración de RPC+ o video SDK con cámaras de video Bosch.

Si usted está implementando dispositivos de video IP de Bosch en el software BVMS de Bosch, o en un software VMS compatible, el protocolo RTSP puede ser deshabilitado.

Bosch Guia 6 streaming

Discovery

El submenú “Discovery” le permite seleccionar qué protocolos de detección puede utilizar el   dispositivo. Las dos opciones principales son "Descubrimiento de RCP Plus" y "Descubrimiento ONVIF". Si está trabajando en un entorno Bosch VMS, se puede deshabilitar OVNIF Discovery.

Bosch Guia 6 discovery

La última opción en el submenú Descubrimiento es "Respuesta de ping". El comando ping forma parte del conjunto de protocolos de mensajes de control de Internet (ICMP). ICMP es como "Sonar" activo para una red, y el comando ping se utiliza para comprobar o descubrir dispositivos en una red. También es una herramienta básica utilizada en muchas herramientas de análisis de vulnerabilidades y hacking.  

Si está trabajando en un entorno Bosch, se puede desactivar "Ping response" y se pueden descubrir todos los dispositivos a través de RCP Plus. 

Puntuación en red dedicada

El menú “Puntuación en red dedicada” ofrece un resumen de los protocolos, los servicios y las opciones de detección habilitados.  La puntuación base de todos los dispositivos es una "B", y la única manera de lograr una puntuación de "A" es deshabilitar la autenticación de contraseña y utilizar la autenticación basada en "Certificado".

Bosch Guia 7 puntuacion en red

Other

La última sección del submenú de esta página es “Other”. Este menú proporciona el estado del protocolo, así como accesos directos a las páginas de menú específicas del protocolo.

Bosch Guia 8 other

Servicios basados en la nube

Todos los dispositivos Bosch pueden suministrar "Meta Data" especificados a Bosch Cloud Services. El submenú Red y Avanzado le permite desactivar esta función. El ajuste predeterminado es "Auto", seleccione "Off".

Bosch Guia 9 servicios nube

  • Automático (predeterminado): en el arranque, el dispositivo de video intentará sondear el servidor en la nube varias veces. Si no se realiza correctamente, todos los intentos adicionales cesarán. 
  • Activado: el dispositivo de video sondeará constantemente el servidor en la nube.
  • Apagado: no se realiza ningún sondeo.

Multicast

Bosch Guia 10 multicast

Si usted está utilizando el Multicast, el menú de la red y del Multicast proporciona el menú del tiempo de vida (TTL), que especifica cuántos saltos puede atravesar un paquete de multidifusión  antes de ser desechado. A continuación, se muestra un gráfico que especifica la distancia que un paquete puede sobrevivir. El número predeterminado de saltos se establece en "64". Dependiendo del diseño de red de su sistema de video, si Multicast está habilitado, se debe tener cuidado de limitar el número de saltos. 

  • Valor de TTL 0 - Restringido al host local 
  • Valor de TTL 1 - Restringido a la misma subred 
  • Valor TTL 15 - Restringido al mismo sitio 
  • Valor de TTL 64 (predeterminado) - Restringido a la misma región 
  • Valor TTL 127 - En todo el mundo 
  • Valor TTL 191 - En todo el mundo con ancho de banda limitado 
  • Valor TTL 255 - Datos sin restricciones

Bosch Guia 11

Sesión