TECNOSeguro

El Portal Especializado en Seguridad Electrónica

Martes, 05 Mayo 2020

Guía para Ciberseguridad y aseguramiento de cámaras IP BOSCH - Parte III

Llega la tercera parte de la guía de características de ciberseguridad de los dispositivos de video IP Bosch, con instrucciones fáciles, paso a paso, para optimizar  la seguridad en la instalación de cámaras IP.

Guía para Ciberseguridad y aseguramiento de cámaras IP BOSCH - Parte III

Consulte la primera y segunda parte de esta guía. 

Digital certificates

Cuando se trabaja con herramientas de análisis de vulnerabilidades como InsightVM de Rapid 7 y Nessus by Tenable, es necesario cargar certificados en las aplicaciones desde los dispositivos de video que está escaneando. 

Ambas aplicaciones vienen con un conjunto general de bases de datos de certificados "bien conocidos". Los certificados HTTPS base en los dispositivos de video Bosch no están entre estos, y esto a su vez causará varios "falsos positivos" tales como: 

  • Certificado auto-firmado
  • Autoridad de certificación no confiable 

A continuación, se muestran los resultados de un escaneo base utilizando RAPID 7 InsightVM, antes y después del bloqueo básico que ejecutamos en el capítulo anterior

Antes del bloqueo básico RAPID 7 mostró 9 vulnerabilidades posibles basadas en una auditoría completa sin perfil de escaneo de arañas web. 

Después de que realicemos un bloqueo básico abajo, la lista cae a 5 que se basan en los problemas de certificado percibidos.

Bosch Guia Cap 5 Vulnerabilidad 1  Bosch Guia Cap 5 Vulnerabilidad 2

Nota: los certificados predeterminados en los dispositivos de video Bosch son autofirmados o firmados por Bosch CA, que es desconocido para Rapid7 Software.

Aprenderemos cómo firmar y cargar certificados correctamente en estos conjuntos de software, pero antes de eso, es necesario tener una comprensión básica de los certificados y los dispositivos de video Bosch. 

Los certificados digitales se utilizan para validar que las claves que recibe para cifrar o descifrar el tráfico digital son auténticas. Los certificados digitales asocia una clave pública con un individuo o una empresa. Normalmente, los certificados son emitidos o firmados por una entidad de certificación (CA), pero los certificados también pueden ser "autofirmados" cuando no hay CA. 

Un buen ejemplo de un certificado y una autoridad de certificación sería su licencia de conducir o pasaporte. Su licencia de conducir es como un certificado que verifica su identidad usted y la autoridad de certificación es su DMV. 

Todos los dispositivos de video Bosch vienen con varios certificados digitales precargados o generados automáticamente. El número y el tipo de certificados predeterminados varía en función del tipo de hardware y el firmware cargados en el dispositivo.  

Abajo están los certificados predeterminados cargados en un CCP7.3 con el firmware 7.50. La imagen siguiente es una vista del almacén de certificados desde el navegador web de la cámara. Los certificados predeterminados son los siguientes:

  • LunEncryption: este certificado y la clave privada se utilizan para cifrar los medios de grabación locales o de "edge" (grabación en el borde)
  • CfgEncryption: esta clave se utiliza para cifrar la configuración del dispositivo. Si el dispositivo se vende o necesita ser devuelto a la reparación, la eliminación de esta clave esencialmente por defecto de fábrica de la cámara 
  • Certificado HTTPSServerCertificate predeterminado: Facilita las comunicaciones cifradas para comunicaciones y videos 
  • CA raíz Bosch ST: Este es el certificado raíz “Decrypt” inyectado de fábrica para la autenticidad de la fabricación

Bosch Guia Cap 5 Ciberseguridad 3

Además de los certificados predeterminados cargados o generados en el almacén de certificados del dispositivo, todos los dispositivos pueden generar solicitudes de firma de certificados (CSR) que pueden ser firmadas por una entidad de certificación. 

Los certificados también se pueden cargar desde diferentes entidades de certificación para realizar diferentes roles. Todos los certificados recién generados o cargados pueden servir en una amplia variedad de roles, tales como:

  • EAP-TLS: certificado utilizado para redes 802.1x 
  • Fecha TLS: utiliza el protocolo de enlace TLS con el servidor designado para establecer y sincronizar el tiempo 
  • AFDS CA: servicios de federación de Active Directory
  • HTTPS: video y comunicaciones encriptadas (TLS1.2) 
  • Genetec Stratocast
  • Rec 1 o Rec 2 Stream Encryption: VRM versión 3.81 distribuye automáticamente certificados de tráfico iSCSI cifrado

Con Bosch Configuration Manager, los certificados se pueden administrar y asignar fácilmente desde el submenú Servicios y certificados.

Bosch Guia Cap 5 Ciberseguridad 4

Bosch Guia Cap 5 Ciberseguridad 5

Nota: los procesos de este capítulo se pueden ejecutar en todos los dispositivos del sistema de forma simultánea en Configuration Manager mediante las teclas "CTRL" o "Shift" para seleccionar varios dispositivos en el árbol Mis dispositivos.

Certificados raíz y solicitudes de firma 

Hay varias herramientas y escenarios para administrar certificados. Las autoridades de certificación pueden tener la forma de un controlador de dominio de Windows, servidores Linux o aplicaciones SSL abiertas como "XCA". Bosch Configuration Manager tiene una Micro CA fácil de usar, que se utilizará en este documento.

En esta sección seguiremos estas instrucciones:

  • Cree un "Certificado raíz" con Bosch Configuration Manager
  • Guarde el certificado en un archivo
  • Importe el certificado raíz en Rapid7
  • Generar una CSR en la cámara y firmar esa solicitud con el Certificado Raíz generado
  • Vuelva a escanear la cámara y compare los resultados

Creación y exportación de certificados raíz

Abra Bosch Configuration Manager y vaya a la pestaña "Preferencias", "Aplicaciones", "Administrador de configuración" y seleccione la pestaña "Seguridad":

  • Seleccione la pestaña "Crear"

Bosch Guia Cap 5 Ciberseguridad 6

Debería aparecer el menú "Crear CA". Seleccione lo siguiente:

  • Tipo de almacén: almacén de certificados del sistema
  • RSA 2048
  • El nombre común debe tener un mínimo de 5 caracteres de longitud 
  • Toda la información del sitio debe ser única 
  • Seleccione "Crear"

Bosch Guia Cap 5 Ciberseguridad 7

Para exportar el certificado, seleccione el icono Ver certificado a la derecha del certificado recién creado.  

Bosch Guia Cap 5 Ciberseguridad 8

Cuando se abra el menú emergente del certificado, seleccione la pestaña "Detalles" y, a continuación, la pestaña "Copiar en archivo..."

Bosch Guia Cap 5 Ciberseguridad 9

Se le debe presentar un "Asistente para exportación de certificados". 

  • Seleccione "Siguiente"

Bosch Guia Cap 5 Ciberseguridad 10

Después de seleccionar siguiente, deberá seleccionar el formato en el que se exportará el certificado. Seleccione la segunda opción "Base-64 codificado X.509 (. CER)" 

Después de seleccionar siguiente, el asistente le pedirá que asigne un nombre y guarde el archivo. Guarde el archivo en el escritorio. En este ejemplo, el archivo se denomina "root.cer"

Bosch Guia Cap 5 Ciberseguridad 11

Una vez que el archivo se ha guardado, haga clic con el botón derecho del botón derecho en él y seleccione "Abrir con" y, a continuación, seleccione "Notepad".

Bosch Guia Cap 5 Ciberseguridad 12

Después de que se abra el Bloc de notas, debería ver el certificado mostrado en el formato que se muestra aquí. 

  • Resalte y copie todo el texto, ya que pegará el certificado en la base de datos de certificados Rapid 7 
  • Incluya -----Begin y End Certificate------

Bosch Guia Cap 5 Ciberseguridad 13

En la página Administrador de Rapid 7 InsightVM, seleccione el menú Certificados personalizados y el submenú Importar certificados. 

Bosch Guia Cap 5 Ciberseguridad 14

Esto proporcionará un menú emergente “Importar certificado”. Pegue el contenido del certificado raíz que copió anteriormente en esta ventana. A continuación, seleccione "Importar":

Bosch Guia Cap 5 Ciberseguridad 15

Debería ver el certificado raíz que creó en el menú “Certificados Personalizados”.

Bosch Guia Cap 5 Ciberseguridad 16

Generación y firma de una RSC

El último paso antes de volver a escanear la cámara es utilizar el "Certificado raíz" que hemos creado y que ahora es de confianza para nuestro software de escaneo.

En el submenú Servicio y certificados de la cámara, seleccione la pestaña "Generar solicitud de firma".

  • Esto puede tardar hasta un minuto
  • Es posible que deba actualizar el menú en Configuration Manager después de generar una CSR. 

Bosch Guia Cap 5 Ciberseguridad 17

Dado que ha creado un certificado raíz utilizando Configuration Manager, la cámara leerá automáticamente la información de los certificados

  • Asegúrese de que el tipo de clave tiene la misma longitud que la raíz (2048)
  • Seleccione "Crear"

Bosch Guia Cap 5 Ciberseguridad 18

Después de seleccionar "Crear", debería ver la CSR con un ícono de lápiz junto a él. Una vez más, porque usted está utilizando el Micro CA en el administrador de configuración, no necesita exportar el CSR a una autoridad de certificación remota y después re-importar el certificado firmado. Simplemente seleccione el ícono "Lápiz" y el certificado se firmará automáticamente.

Bosch Guia Cap 5 Ciberseguridad 19

El certificado debe estar firmado ahora por la CA (Bosch007). Seleccione "HTTPS" en el menú desplegable de uso y guarde su trabajo.

Bosch Guia Cap 5 Ciberseguridad 20

Después de hacer otro análisis con InsightVM, las posibles vulnerabilidades se han reducido a una con una puntuación CVSS de 2,6

Bosch Guia Cap 5 Ciberseguridad vulnerabilities 21

X.509 El sujeto del certificado CN no coincide con el nombre de la entidad

Este es un falso positivo común causado por dispositivos del sitio web que no son de WWW. Un ejemplo fácil de entender sería el siguiente. Tiene un certificado raíz que contiene la dirección IP registrada de la empresa:

  • Envío Acme: dirección IP registrada 50.x.x.x

Carga una solicitud firmada basada en este certificado raíz en una cámara o DVR. El dispositivo en sí tiene una dirección IP de 192.168.1.152. La dirección IP del dispositivo nunca coincidirá con la de la dirección IP registrada de la empresa ubicada en el certificado raíz.

A continuación, se muestra un extracto del blog de soporte técnico de RAPID 7

  • El sujeto CN *.somedomain.com no coincide con el nombre de destino especificado en el sitio.

“Sitio” hace referencia al nombre dado al recurso dentro de la configuración de análisis. En este caso, todos los activos son escaneados por su dirección IP. La dirección IP no coincide con la CN.

  • Asunto CN *.somedomain.com no se pudo resolver en una dirección IP a través de la búsqueda DE DNS

Dado que se utilizan certificados comodines, el dominio comodín no se resolverá con una búsqueda de DNS.

  • El nombre alternativo del sujeto *.somedomain.com no coincide con el nombre de destino especificado en el sitio.

La dirección IP no aparece como un nombre alternativo. No hay coincidencia.

  • El nombre alternativo del sujeto somedomain.com no coincide con el nombre de destino especificado en el sitio.

La dirección IP no aparece en la lista y, por lo tanto, no coincidirá con el nombre de dominio.  

Certificados y navegadores web de confianza

Cuando un dispositivo de video está configurado para utilizar solo HTTPS, utilizará sus certificados integrados. Es posible que esté familiarizado con los mensajes de error que se muestran a continuación cuando intenta interactuar con el navegador web del dispositivo:

Bosch Guia Cap 5 Ciberseguridad 22 Bosch Guia Cap 5 Ciberseguridad 23

Este problema es similar a lo que vemos en Rapid 7, ya que los sistemas operativos Windows también tienen un "almacén de certificados" que se carga con docenas de certificados de confianza.  

Si la estación de trabajo de video principal es el mismo equipo que usó para crear el certificado raíz con Configuration Manager, los mensajes de error se pueden quitar con unos pocos clics.

Vuelva a la pestaña "Preferencias", "Aplicaciones", "Administrador de configuración" y seleccione la pestaña "Seguridad"

  • Seleccione la casilla de verificación "Trusted" 
  • Esto abre un menú que le pregunta si desea "Confiar" este certificado, seleccione "Sí" 

Bosch Guia Cap 5 Ciberseguridad 24

Si está trabajando con varias estaciones de trabajo de video que utilizan el navegador web del dispositivo, puede importar fácilmente el "Certificado raíz" que creó y exportó anteriormente, de la misma manera que se demostró con Rapid 7. 

Microsoft Management Console (MMC)

Para importar certificados en el almacén de certificados de Windows, deberá crear un complemento MMC.

  • Haga clic con el botón derecho en la pestaña "Inicio de Windows", seleccione “Ejecutar”. En el menú Ejecutar, escriba "mmc.exe" y seleccione "OK"
Bosch Guia Cap 5 Ciberseguridad 25 Bosch Guia Cap 5 Ciberseguridad 26

 Una vez que se abra el MMC predeterminado, seleccione "Archivo": 

  • “Add or Remove Snap-ins”

Bosch Guia Cap 5 Ciberseguridad 27

  • En el menú emergente “Add or Remove Snap-ins”, seleccione “Certificates” y luego “Add” 

Bosch Guia Cap 5 Ciberseguridad Add o Remove 28

Después de seleccionar "Add", se le pedirá que seleccione la cuenta deseada.

  • Selecciones “My user account” 
  • Repita el proceso para añadir “Computer account” 

Bosch Guia Cap 5 Ciberseguridad 29

Cuando haya terminado, debe tener dos complementos. 

Bosch Guia Cap 5 Ciberseguridad 30

Nota: cuando termine de crear el MMC, se le pedirá que guarde. Guárdelo como "cert.msc" en el "Escritorio." 

Con el certificado exportado guardado en un dispositivo de almacenamiento seguro, abra el acceso directo de MMC que guardó en el escritorio. 

  • Vaya a “Certificates (Local Computer)”, “Trusted Certificate Authorities”, y “Certificates”
  • Haga clic con el botón derecho en "Certificates" y seleccione "All Tasks" e "Import..." 

Bosch Guia Cap 5 Ciberseguridad 31 

Se abrirá “Certificate Import Wizard”. El primer paso es navegar a la ubicación del certificado raíz exportado.

  • Una vez localizado, seleccione "Next”

Bosch Guia Cap 5 Ciberseguridad 32

Después de seleccionar “Next”, asegurarse de que el certificado se colocará en el almacén " Trusted Root Certificate Authorities".

  • Seleccione siguiente 
  • Seleccione terminado en la última página

Bosch Guia Cap 5 Ciberseguridad 33

  • Usted debe recibir un mensaje de “The import was successful”. Seleccione “OK”  

Bosch Guia Cap 5 Ciberseguridad certificate import wizard 34

Microsoft Edge y Chrome 

Navegando a cualquiera de los dispositivos de video configurados que utilizan Microsoft Edge o Chrome, los navegadores web solo requerirán "inicio de sesión de cuenta".

  • HTTPS debe mostrarse seguro sin errores de certificado 
Bosch Guia Cap 5 Ciberseguridad 35 Bosch Guia Cap 5 Ciberseguridad 36

Firefox

Firefox no lee el "Almacén de certificados de Windows". Los certificados raíz deben agregarse manualmente al explorador. 

  • Abra Firefox y seleccione el icono de menú en la esquina superior izquierda del navegador, luego seleccione el submenú "Opciones" 
  • En el menú "Opciones" seleccione "Privacidad y seguridad"

 

Bosch Guia Cap 5 Ciberseguridad 37 Bosch Guia Cap 5 Ciberseguridad 38

 

Del botón  “Privacy & Security page, seleccione “View Certificates”  

Bosch Guia Cap 5 Ciberseguridad 39

El menú "Administrador de certificados" debe abrirse:

  • Seleccione la pestaña "Autoridades" 
  • Seleccione "Importar"  

Bosch Guia Cap 5 Ciberseguridad 40

Tendrá que navegar a la ubicación del certificado raíz que creó anteriormente: 

Bosch Guia Cap 5 Ciberseguridad 41

Después de seleccionar el certificado raíz, recibirá un menú emergente "Descargar certificado". 

  • Seleccione "Confiar en esta CA para identificar sitios web."
  • Seleccione "OK"

Bosch Guia Cap 5 Ciberseguridad 42

Navegue a cualquiera de los dispositivos de video configurados que utilizan Firefox y solo requerirá el inicio de sesión de la cuenta. 

  • HTTPS debe mostrar seguro y sin errores de certificado 

Bosch Guia Cap 5 Ciberseguridad 43

Sesión

Suscríbase Gratis a Nuestro Boletín

Manténgase actualizado con las últimas tendencias y tecnologías de la industria de la seguridad en su bandeja de email.