1

Segurança cibernéticaProteção de dispositivos de vídeo vigilância para impedir vulnerabilidades de rede

2

Introdução

IntroduçãoVivemos em um mundo cada vez mais conectado, onde cada vez mais dispositivos e sistemas são conectados em rede e compartilhados com outros. A conveniência é o principal impulsionador dessa tendência, já que as pessoas esperam ter a capacidade de se conectar e controlar dispositivos e sistemas em qualquer lugar, a qualquer momento.

No entanto, existe uma desvantagem para o nível de conveniência sem precedentes fornecido pelo crescente número de dispositivos em rede, ou seja, maior risco para a segurança. Como cada dispositivo é um ponto de extremidade para redes, eles apresentam o potencial de se tornarem pontos de entrada para hackers e outras pessoas com intenções maliciosas. Na verdade, em muitas das mais recentes violações de dados que ocorreram recentemente, os hackers conseguiram acessar redes corporativas por meio de POS, HVAC e outros sistemas em rede que não forneceram um nível adequado de segurança para evitar esses tipos de violações.

Vigilância por vídeo com base em IP e outras soluções cresceram em popularidade para se tornarem o padrão aceito para novas implementações e atualizações e os sistemas de segurança não são exceção. Um hacker não discrimina entre dispositivos em rede, seja que executem ou não alguma função importante como segurança. Como tal, câmeras de vigilância por vídeo e outros dispositivos estão na extensa lista de possíveis pontos de entrada na rede que estão sendo continuamente testados quanto a vulnerabilidades que podem ser exploradas. Portanto, é essencial que as organizações tomem as medidas necessárias para garantir o mais alto nível de segurança para suas redes e câmeras IP, codificadores, NVRs e DVRs. Há várias práticas recomendadas que devem ser adotadas para fortalecer a segurança do dispositivo a fim de impedir acesso não autorizado e proteger os sistemas de vigilância por vídeo dos usuários finais e sua rede em geral. A Hanwha não apenas está ciente dessas práticas recomendadas, como também incorporou várias tecnologias e recursos em seus produtos para facilitar a organização desses importantes passos para melhorar a segurança da rede. Esses itens devem ser revisados pelo proprietário dos sistemas de segurança, equipe de TI e integradores de sistemas que instalam sistemas para determinar o nível de segurança necessário, equilibrando a facilidade de uso com riscos aceitáveis.

Este guia mostrará instantâneos de câmeras de rede, quando aplicável. A maioria das configurações pode ser definida em lote para várias câmeras usando o software gerenciador de dispositivos Wisenet (Figura 1).

Figura I

3

Senhas

SenhasDesde a verificação de e-mails até o desbloqueio de smartphones ou logon em computadores, as senhas são parte integrante de nossas vidas diárias. Por isso, parece bastante intuitivo que as pessoas reconheçam a importância de criar senhas fortes para proteger seus dispositivos e redes mas na realidade nem sempre é esse o caso. Essas práticas recomendadas ajudarão a garantir o mais alto nível de segurança das senhas.

1. Alteração de padrõesFrequentemente, instaladores e/ou usuários finais esquecem ou deixam de dar o passo simples de alterar senhas padrão para dispositivos IP, incluindo câmeras, codificadores, NVRs e DVRs quando são implementados. Isso é essencial, pois as senhas padrão podem ser facilmente localizadas on-line ou nos manuais do usuário, deixando os dispositivos desprotegidos e altamente vulneráveis a invasões. Portanto, alterar os padrões pode ser a única etapa mais importante na proteção de dispositivos.

Básico > Usuário >

As senhas da Hanwha requer um mínimo de 8 caracteres e 2/3 categorias de caracteres, dependendo do tamanho. Além disso, 4 ou mais caracteres consecutivos ou repetidos não são permitidos e caracteres especiais são permitidos. As senhas têm um tamanho máximo de 15 caracteres (Figura 2).

Figura 2

4

Evitar erros comuns

2. Evitar erros comunsSimplesmente alterar a senha não é suficiente. Como resultado do número aparentemente infinito de funções que requerem autorização, há dois erros que muitas pessoas cometem com senhas por conveniência e, com demasiada frequência, elas cometem erros ao criá-las.

O primeiro é usar a mesma senha para tudo. O perigo aqui é que, se alguém conseguir decifrar a senha, digamos, da sua conta de e-mail, terá acesso a tudo o que foi protegido por senha, abrindo um potencial para roubo, roubo de identidade e muito mais. O segundo — e mais arriscado — erro que as pessoas cometem para lembrar mais facilmente suas senhas é usar nomes, datas de nascimento e/ou palavras que podem ser encontradas no dicionário.

Hackear se tornou uma prática altamente organizada e sofisticada que emprega ferramentas poderosas como tecnologias que circulam de maneira rápida e automática por combinações possíveis de palavras para decifrar senhas. Essas ferramentas têm sido bastante bem-sucedidas com senhas facilmente lembradas que são muito convenientes para os usuários. Além disso, com tantas informações pessoais disponíveis on-line, senhas que usam nomes, aniversários ou outras datas importantes também podem ser facilmente descobertas.

Assim, é imperativo usar senhas fortes que sejam muito mais difíceis de descobrir. Há várias práticas recomendadas que devem ser seguidas para conseguir isso usando uma combinação de letras, números e outros símbolos.

Por exemplo, os dispositivos da Hanwha exigem senhas com pelo menos oito caracteres, contendo pelo menos três conjuntos de caracteres de letras maiúsculas, minúsculas, números e símbolos. Senhas com mais de 10 caracteres requerem apenas dois conjuntos de caracteres. Além disso, as senhas não podem repetir o mesmo caractere mais de três vezes ou ter mais de três caracteres sequenciais.

3. Utilizar várias credenciaisEmbora não seja obrigatório, também é uma boa prática usar senhas diferentes para cada dispositivo ou usar a mesma senha apenas para alguns — não todos — dos dispositivos, clientes e sistemas na rede. É altamente recomendável criar um nome de usuário exclusivo em vez de usar a conta de administrador do VMS (software gerenciador de vídeo) e de outros clientes para se conectar. Para iniciantes, isso impede que a senha do administrador seja constantemente transmitida pela rede, em um esforço para evitar que seja interceptada. Em segundo lugar, limitar a autorização associada a essa conta exclusiva também limita o acesso de hackers. Portanto, se uma conta for comprometida, o impacto não afetará a câmera inteira, incluindo suas configurações. Por fim, credenciais exclusivas tornam muito mais fácil e informativa a análise de registros.

Câmeras e gravadores da Hanwha permitem que muitos usuários/grupos de usuários sejam criados com várias permissões e níveis de usuário, como mostra a Figura 3.

Básico > Usuário >

Figura 3

5

Acesso para convidados

Figura 4

Acesso para convidadosAs câmeras Hanwha fornecem um recurso de logon de convidado separado com o nome de usuário e senha “convidado!”. Esta conta tem privilégios limitados e é inativa por padrão, por isso deve ser ativada especificamente no menu de configuração. Isso é ideal para usos de acesso limitado, mas deve permanecer desativada quando não for necessária.

Básico > Usuário >

Figura 5

6

Autenticação e criptografia

Princípio do menor privilégioOutra prática recomendada é limitar os recursos aos quais um usuário tem acesso, como áudio, PTZ, E/S de alarme. Use o princípio do menor privilégio, fornecendo ao usuário os recursos mínimos necessários para executar suas funções requeridas. Se precisarem acessar o menu de configuração uma vez por ano, forneça um logon de usuário alternativo por meio da interface da internet, em vez de permitir acesso total à conta do VMS ou, melhor ainda, um usuário de nível mais alto pode executar essa tarefa não rotineira. Isso ajudará a evitar alterações na configuração de “drive-by” e manterá as credenciais de alto nível ao máximo possível fora da rede. As opções de configuração são mostradas nas capturas de tela da câmera e do gravador na Figura 4.

Autenticação e criptografiaComo a autenticação do usuário requer o envio de nomes de usuário e senhas pela rede, até mesmo as senhas mais fortes podem ser facilmente roubadas durante a transferência. Portanto, é imperativo escolher os métodos de autenticação e criptografia mais seguros disponíveis.

Autenticação de texto digest versus não criptografadoTradicionalmente, nomes de usuários e senhas são enviados através de redes usando texto simples e codificação base64, que fornece acesso aberto a essas credenciais para qualquer pessoa que esteja monitorando a rede interceptar e visualizar o tráfego, permitindo que acessem um dispositivo.

Uma segunda tática menos comum é usar a autenticação digest para criptografar dados usando uma função hash, que é então comparada às credenciais com hash no dispositivo. Como resultado, a autenticação digest reforça a segurança ao não enviar nomes de usuários e senhas reais pela rede.

Todos os produtos da Hanwha admitem senhas digest mas não se pode dizer o mesmo de todos os clientes que se conectam aos dispositivos. Portanto, é importante determinar seus recursos para garantir que todos os clientes a) funcionem e b) não revertam para limpar senhas de texto ou base64.

Criptografia SSLUm excelente método para garantir que credenciais e dados do usuário em si sejam enviados para os destinos pretendidos e mantidos seguros é empregar criptografia SSL. Esse método simples e econômico aumenta ainda mais a segurança dos dispositivos.

Certificados integrados permitem que a criptografia SSL esteja ativa e em execução em segundos. O certificado SSL também pode ser adquirido de uma autoridade de certificação comercial ou emitido por entidades empresariais para segurança ainda maior, a fim de evitar uma mensagem de segurança de certificado no momento do acesso. Embora a segurança SSL seja uma ótima maneira de fortalecer seu canal de comunicação em rede ou nuvem potencialmente inseguras, determine quais canais precisam ser criptografados e são admitidos. Isso inclui câmera para NVR / VMS e VMS para o cliente. A criptografia SSL também deve ser usada ao enviar notificações por e-mail usando o protocolo SMTP para impedir que as credenciais sejam enviadas em texto não criptografado. Verifique se seu servidor SMTP é compatível com SSL / TLS e qual porta é usada.

Opções de configuração permitem seleção de certificados único (interno) ou público e instalação e nomeação de um certificado e arquivo de chave. Quando as opções HTTPS forem alteradas, a câmera será reinicializada e, em seguida, permitirá apenas que as comunicações HTTPS criptografadas ocorram na porta HTTPS (consulte a Figura 6).

7

Evitar a nuvem

Rede > HTTPS

Figura 6

Evitar a nuvemUsar um serviço de nuvem para registrar ou visualizar seu sistema não apenas requer grandes quantidades de largura de banda mas também pode introduzir um problema de segurança. Quando a nuvem se conecta a um dispositivo, ele envia informações de logon. Se essa informação foi capturada ou for utilizado algum ataque man-in-the-middle (MITM, de interceptação de dados), as credenciais podem ser descriptografadas ou reproduzidas, permitindo acesso não autorizado. Além disso, nem todos os serviços em nuvem são compatíveis com criptografia SSL ou mesmo autenticação digest.

Configuração e definição de rede

Segregação de rede físicaUma técnica comum e eficaz para aumentar a segurança de uma rede de segurança é separar fisicamente as câmeras e os gravadores da rede empresarial. Isso impede que invasores tenham acesso por conta da falta de acesso. Muitos NVRs possuem várias interfaces de rede, permitindo que gravem a partir de um e forneçam acesso à estação de trabalho do outro. Essa técnica reduz o número de dispositivos expostos externamente, que precisam de controles de segurança maiores (Figura 7).

8

VLANs

Figura 7

VLANsRecomenda-se o uso de LANs virtuais (VLANs) para manter uma rede de segurança separada da rede empresarial quando não for utilizada uma rede separada. As VLANs operam nos comutadores de rede e segregam o tráfego comumente baseado nas portas do comutador. Isso permite que os firewalls protejam os dispositivos de segurança de outros dispositivos na rede. Se acesso for necessário para dispositivos específicos, regras de firewall podem ser criadas ou um dispositivo pode ser adicionado à VLAN.

Filtragem de IPFiltragem de IP é um método para especificar explicitamente quem tem permissão para acessar um dispositivo de rede ou, inversamente, quem tem acesso negado ao dispositivo. Um endereço IP ou intervalo / sub-rede podem ser especificados. Isso pode garantir que apenas as pessoas corretas, com base nos endereços IP de seus computadores, tenham acesso ao dispositivo e que uma tentativa de drive-by da rede local ou de acesso negado à internet seja negada. Os dispositivos da Hanwha permitem a entrada de endereços IP e prefixos IPv4 e IPv6 para negar ou permitir acessos. O intervalo a ser filtrado será exibido para validar o IP e o prefixo antes de confirmar e aplicar. Verifique isso antes de se inscrever, caso contrário poderá ter acesso negado. Até 10 entradas podem ser adicionadas para IPv4 e IPv6 (Figura 8).

Rede > filtragem de IP

Figura 8

9

VPN

VPNA prática recomendada para conectar locais remotos, como vários escritórios ou funcionários remotos, é usar uma solução VPN. Isso cria um canal seguro e criptografado, eliminando a possibilidade de vazamento de informações, como nomes de usuários e senhas. Uma solução VPN pode envolver hardware específico, como um roteador VPN e/ou VPN de software em execução em um PC cliente.

Portas e serviçosNo mundo conectado de hoje, muitos dispositivos estão conectados à internet (intencionalmente ou não) e há vários serviços empregados por hackers para realizar varreduras procurando esses dispositivos.

Alterar as portas padrãoUma maneira simples de ajudar a dificultar esses scanners, bem como a criação de scripts, ataques diretos e acesso inadvertido é alterar as portas dos dispositivos em rede a partir de seus padrões conhecidos, prontamente disponíveis on-line para números de porta mais altos de sua escolha. Especialmente importante é a porta HTTP, que para a maioria dos dispositivos é padronizada para a porta 80 para permitir acesso por meio de um navegador da internet. Alterar essa porta para 8000, por exemplo, exige uma etapa extra ao inserir o endereço em um navegador da internet, geralmente protegendo de um scanner simples ou de alguém que digite manualmente um endereço em um navegador da internet (Figura 9).

Básico > IP e Porta > Porta

Figura 9

Desabilitar portas, serviços e protocolos não utilizadosUma vez que muitos dispositivos de segurança são computadores completos rodando em sistemas operacionais modernos, a Hanwha adotou a abordagem de usar sistemas operacionais Linux despojados e personalizados em que qualquer serviço não utilizado foi removido ou desativado. Muitos outros fabricantes deixam esses serviços disponíveis para depuração ou devido à falta de uma forte conscientização e/ou postura acerca de segurança. Vários eventos recentes em que dispositivos de outros fabricantes foram invadidos envolveram invasores que entraram em um dispositivo via protocolo de rede telnet, que fornece acesso total a todos os arquivos e serviços. As plataformas de gravação baseadas no Windows têm uma série de serviços sendo executados, além de exigir constantes atualizações de segurança e patches, demandando tempo, rastreamento e acesso à internet.

10

Os dispositivos da Hanwha utilizam uma variedade de protocolos que fornecem funções úteis. No entanto, é recomendável que todos os serviços não necessários para os aplicativos sejam desativados. Estes poderiam ser multicast, DNS dinâmico (DDNS), Qualidade de serviço (QoS), Bonjour, conexão e utilização universais (UPnP), localização e encaminhamento de porta, endereço local de link, Protocolo de transferência de arquivos (FTP), armazenamento em rede (NAS) e notificações por e-mail. Como mencionado anteriormente, a implementação de credenciais exclusivas e restrição de privilégios para FTP, NAS e e-mail também são excelentes maneiras de aumentar ainda mais a segurança. Os protocolos de configuração automática de IP ficam ativados por padrão, enquanto outros serviços relacionados ficam todos desativados (Figura 10).

Rede > Configuração automática de IP

Figura 11 Rede > DDNS

Figura 10

SNMPSNMP é uma excelente ferramenta para uma administração de rede gerenciar os dispositivos em sua rede. Dado o acesso que o SNMP pode fornecer às redes, é importante alterar as cadeias de comunidade padrão usando entradas alfanuméricas com letras maiúsculas e minúsculas, que são difíceis de adivinhar. Infelizmente, SNMP v1 e v2c enviam as strings da comunidade em texto não criptografado, o que pode permitir acesso não autorizado. Filtragem de IP pode ser aplicada para aumentar a segurança. Se a criptografia SSL estiver ativada, o SNMP v3 poderá criptografar os dados, o que é altamente recomendável. No entanto, se o SNMP não for usado para gerenciamento de dispositivos, recomenda-se desativar o protocolo.

SNMP

11

SNMP

Uma dificuldade que contribui para riscos de invasão é que normalmente SNMP v1 ou v2 ficam sempre ativados e não podem ser desativados pelo menu das câmeras. Os dispositivos da Hanwha admitem SNMP versões 1, 2c e 3. no entanto, nenhuma das versões pode ser desativada por meio da interface do usuário. Para desativar totalmente o SNMP nas câmeras Hanwha, os seguintes comandos são usados:

http://IPADDRESS/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version1=False

http://IPADDRESS/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version2=False

O SNMP v2c é ativado por padrão nas câmeras IP da Hanwha, com uma comunidade de leitura de “púbIico” e uma comunidade de gravação de “gravar”. SNMP traps podem ser ativados para falha de autenticação e conexão de rede para string de comunidade e endereço IP específicos. SNMP v3 requer senha (Figura 12).

Rede > SNMP

Figura 12

12

Identificar e frustrar ataques

RTSPMuitos VMS transmitem vídeo usando o protocolo RTSP. As câmeras da Hanwha fornecem a opção de permitir conexões de vídeo RTSP sem exigir autenticação. Isso pode ser útil ao enviar transmissões pela internet para exibição pública a fim de garantir que as credenciais não sejam expostas ou para integração de terceiros quando a autenticação não for admitida. Para as câmeras da Hanwha essa função pode ser facilmente ativada na interface do usuário da câmera durante a implementação, se necessário. Recomenda-se a exigência de autenticação para todos os fluxos de vídeo. Se visualização pública for necessária, os serviços de terceiros podem ingerir a transmissão autenticada e fornecer acesso público através de outro portal, isolando a câmera de acesso público direto.

Básico > Usuário >

Figura 13

Identificar e frustrar ataquesDois dos métodos mais comuns de ataques usados por hackers são negação de serviço (DoS) e transbordamento de dados. Cada um deles provou ser eficaz em ataques e, portanto, deve ser tratado adequadamente para proteger dispositivos e redes contra acessos não autorizados. As câmeras da Hanwha incluem dois métodos que se mostraram altamente eficazes para atingir esse objetivo.

Bloqueio de conta de usuárioAtaques de negação de serviço (DoS) envolvem saturar um dispositivo com comandos mais rapidamente do que pode processá-los, sobrecarregando-o até o ponto em que ele não possa mais atender a solicitações válidas. Para proteger contra ataques DoS, se a câmera da Hanwha receber muitas solicitações não autenticadas, essas conexões serão bloqueadas enquanto as conexões autenticadas podem continuar normalmente (Figura 14).

Figura 14

Proteção contra transbordamento de dadosOutro vetor de ataque comum é que os hackers passem comandos cuidadosamente criados para um dispositivo na tentativa de divulgar informações ou enviar comandos diretamente para outros serviços subjacentes, como bancos de dados ou sistemas de arquivos. Geralmente, esses comandos exploram uma falha no analisador ou no banco de dados ou interrompem a interface, permitindo que os comandos sejam enviados diretamente para o servidor de banco de dados, sistema operacional ou sistema de arquivos. Os dispositivos da Hanwha filtram comandos antes de passá-los para um servidor da internet ou banco de dados, impedindo ataques com base em transbordamento de dados e invasões diretas, tornando os serviços básicos subjacentes inacessíveis a hackers.

Acesso físico a dispositivosAcesso físico a qualquer segurança do dispositivo de rede é fundamental. Com o acesso físico, a maioria dos dispositivos pode ser padronizada, permitindo que novas configurações sejam configuradas potencialmente por pessoas não autorizadas. De acordo com o modelo de segurança de defesa profunda, é essencial que os dispositivos de rede sejam instalados atrás de chave de segurança, de preferência com controle de acesso e/ou monitoramento de segurança de vídeo. Isso fornece várias camadas de segurança, não contando com um único mecanismo.

13

Colocação de dispositivos

Colocação de dispositivosAs câmeras devem ser instaladas de forma que não possam ser facilmente alcançadas, mal direcionadas ou desconectadas, de preferência com um alojamento apropriado, de modo que acesso físico não possa ser obtido. A rede e o cabeamento de energia devem passar por conduítes ou atrás/através de paredes e tetos, de modo que os cabos não possam ser desconectados ou interceptados. Considere modelos de dome antivandalismo para obter melhor segurança física.

Garantir a gravação contínuaDurante uma invasão, um ladrão muitas vezes rouba ou destrói um gravador ou servidor na tentativa de destruir provas por vídeo. Um método para combater isso é usar cartões SD em cada uma das suas câmeras. O período de retenção de gravação será menor mas fornecerá recursos de gravação redundantes. A gravação do cartão SD também pode ser usada em caso de falha NVR / VMS e interrupção intencional ou acidental da rede, permitindo que a câmera ainda tenha energia.

As opções de configuração incluem habilitar / desabilitar as funções do cartão SD, gravação contínua / de evento em completo / I-frame / nenhum, duração de gravação pré e pós-evento, tipo de arquivo de gravação (AVI / STW), sobrescrever, exclusão / duração automáticas, agendamento de gravação normal e sistema de arquivos do cartão SD. Quaisquer perfil / codec podem ser selecionados para gravação. Um cartão SD pode ser reformatado, se necessário. No entanto, um cartão SD vazio inserido será configurado automaticamente. Um NAS também pode ser configurado em vez de um cartão SD ou como um dispositivo de gravação principal com um cartão SD como mídia opcional de gravação de cópia de segurança para falhas. A gravação NAS tem as mesmas opções de configuração com acréscimo de endereço IP, identificação de usuário, senha e pasta padrão (Figura 15).

Evento > Armazenagem

Figura 15

14

Controle de acesso com base em certificado 802.1X

As câmeras da Hanwha podem detectar desconexão da camada de rede física e iniciar gravação na borda, se a energia ainda estiver disponível.

Evento > Detecção de desconexão de rede

Controle de acesso com base em certificado 802.1XEm muitos edifícios, os conectores de rede podem estar acessíveis ou a câmera pode ser desconectada ou um cabo pode ser adulterado para que se obtenha acesso à infraestrutura de rede Ethernet. O padrão 802.1x fornece controle de acesso à rede com base em porta que requer que um certificado de identificação seja instalado em cada dispositivo conectado para obter acesso à rede protegida. Assim, se um invasor conectar um dispositivo não autorizado à rede, o acesso será negado.

O gerenciador de dispositivos Wisenet pode ser utilizado para facilmente ativar 802.1x além de implementar certificados a partir de algum local centralizado sem a necessidade de fazer configurações na interface de cada câmera. Opções de configuração incluem seleção de tipo EAP, versão EAPOL, identificação de usuário e senha e instalação de certificado/chave (Figura 16).

Rede > 802.1x

Figura 16

15

Detecção de adulteração

Detecção de adulteraçãoUm método comum para interromper o vídeo é bloquear fisicamente ou obscurecer as lentes de uma câmera, como ao usar uma bolsa ou tinta em spray, ou alterar a direção na qual câmeras box ou bullet são apontadas. A detecção de adulteração gera um alerta quando ocorre uma mudança rápida no campo de visão para identificar possíveis problemas, muitas vezes antes de que ocorra algum evento com alguma câmera que não esteja funcionando corretamente. Todas as câmeras IP da Hanwha incluem detecção de adulteração, sem diminuir a taxa de quadros. Além disso, configurações reconhecíveis (como nome, SNMP) podem ser usadas para ajudar a identificar se um dispositivo foi padronizado ou comprometido para obter acesso. Nos casos em que as configurações não podem ser verificadas, restaure para uma configuração válida ou redefina as configurações padrão. A configuração inclui configuração de sensibilidade (Figura 17).

Evento > Detecção de adulteração

Figura 17

AlimentaçãoUm nobreak garante que seus dispositivos de rede permaneçam ativos e evitem danos durante períodos de falta de energia, desligamentos gerenciados, quedas de energia e desconexão inadvertida ou mal-intencionada. Se um nobreak estiver conectado à rede para gerenciamento, verifique se está adequadamente protegido e se atualizações de segurança estão instaladas. Houve casos em que invasores obtiveram acesso à rede segura através de dispositivos auxiliares, como um nobreak conectado a uma LAN ou à internet para monitoramento. Muitas câmeras IP também podem ter duas fontes de energia – PoE e baixa voltagem 12 vCC / 24 vCA, dependendo do modelo, energia redundante caso o orçamento de energia PoE seja excedido. A maioria dos comutadores de rede pode ter uma prioridade especificada para indicar que tipo de dispositivo (telefones, câmeras, WAP etc.) ou quais portas são mais importantes em uma falta de energia.

Administração de redeAlém da implementação, há várias tarefas que os administradores de rede devem realizar continuamente para garantir a segurança contínua de suas câmeras e outros dispositivos. Entre as mais importantes estão a revisão de todas as alterações, o desenvolvimento e a garantia de configurações constantes e aprovadas, a execução de atualizações de software e a garantia de conformidade do software com os padrões de segurança da empresa. Como descrito aqui, a Hanwha reconhece o papel importante que cada uma delas desempenha na criação de uma forte estratégia global para bloquear dispositivos e proteger as redes de hackers.

16

Verificar registros dos dispositivos

Verificar registros dos dispositivosUma vez que as câmeras da Hanwha registram todas as alterações feitas nas configurações do dispositivo, é importante verificar os registros para determinar quais alterações foram feitas e quem as fez. Para permitir fácil reversão, a maioria das entradas de registro inclui configurações anteriores e novas e os registros são mantidos durante um padrão de fábrica. O gerenciador de dispositivos Wisenet pode ser usado para baixar facilmente os registros de vários dispositivos de uma só vez (Figura 18).

Sistema > Registro

Figura 18

17

Configurações de cópia de segurança

Se as configurações não puderem ser verificadas, um padrão de fábrica poderá ser usado para garantir que configurações válidas estejam em vigor. Para as câmeras da Hanwha isto pode ser feito simplesmente segurando o botão padrão de fábrica por cinco segundos enquanto a câmera estiver ligada. Depois de padronizar a câmera, é importante configurar o endereço IP e alterar a senha padrão do administrador. Um padrão de fábrica pode ser executado e, ao mesmo tempo, reter todas as configurações de menu “IP e porta” e “Rede” (Figuras 19 e 20).

Sistema > Atualização / Reinicializar

Figura 19

Figura 20

Configurações de cópia de segurançaOutra tarefa administrativa importante é realizar cópias de segurança regulares de todas as configurações válidas, o que é benéfico no caso de alterações inadvertidas e subversivas. A ferramenta gerenciadora de dispositivos Wisenet permite que as configurações dos dispositivos sejam armazenadas e restauradas com rapidez e facilidade, além de gerar um relatório contendo configurações e informações importantes, juntamente com instantâneos da câmera, ideais para registros de conclusão de tarefas. Cópia de segurança também pode ser restaurada como modelo para câmeras recém-instaladas do mesmo modelo, garantindo que todas as configurações sejam aplicadas de forma constante para fácil instalação (Figura 21).

Sistema > Atualização / Reinicializar

Figura 21

18

Atualizar o firmware regularmente

Atualizar o firmware regularmenteHackers trabalham incansavelmente para identificar e explorar vulnerabilidades em software, particularmente em versões desatualizadas que não foram atualizadas para melhorar a segurança. Uma vez que uma vulnerabilidade é encontrada, ela geralmente é rapidamente disseminada on-line, abrindo a porta para várias pessoas acessarem facilmente qualquer dispositivo que execute versões de firmware mais antigas e, por extensão, a própria rede. Os provedores de software reconhecem isso e lançam continuamente atualizações para fornecer melhorias e/ou patches que fecharão essas portas e protegerão os usuários contra acesso não autorizado.

Firmware para todos os dispositivos da Hanwha inclui uma lista de atualizações que os administradores podem verificar para garantir que estejam executando a versão mais recente. Recomenda-se que o firmware esteja atualizado antes de uma implementação do sistema e que seja atualizado de modo regular e contínuo. Muitos instaladores optam por atualizar o firmware, atribuir endereços IP e definir senhas de administrador no banco antes da implantação.

A ferramenta gerenciadora de dispositivos Wisenet pode ser usada para verificar facilmente a versão do firmware e o status atualizado de todos os dispositivos de uma só vez e o firmware pode ser baixado e instalado com apenas alguns cliques (Figura 22).

Sistema > Atualização / Reinicializar

Figura 22

Formatos de vídeoA maioria dos equipamentos de segurança padrão do segmento, formatos de vídeo abertos, bem como formatos de vídeo exclusivos. Superficialmente, um formato de vídeo aberto pode parecer ideal porque os usuários podem simplesmente abrir o vídeo com seu reprodutor de música favorito. No entanto, os aplicativos de segurança exigem um formato que não possa ser editado, alterado ou adulterado. Isto é essencial, determinando que quando o vídeo é baixado deve haver um mecanismo para autenticar o vídeo e garantir que ele não tenha sido manipulado — função que simplesmente não existe em formatos abertos.

Os formatos de vídeo da Hanwha fornecem essas salvaguardas essenciais, bem como uma senha opcional e complexa que garanta que o vídeo possa ser usado como prova. O reprodutor requerido é automaticamente incluído em qualquer vídeo baixado ou arquivado, sem necessidade de instalação. Os usuários simplesmente clicam duas vezes no executável para visualizar o arquivo de vídeo. As câmeras IP da Hanwha podem armazenar vídeo no formato de arquivo STW. Os vídeos podem ser exportados pelo navegador da internet ou reproduzidos usando o reprodutor de cartão SD independente. O vídeo exportado de um gravador pode ser salvo no formato de arquivo SEC com o reprodutor portátil incluído (Figura 23).

Evento > Armazenagem

Figura 23

19

Conclusão

Aplicativos de plataforma abertaMuitas câmeras da Hanwha permitem a instalação de aplicativos de terceiros para aprimorar suas funções, como o reconhecimento de placas de veículos, informações sobre empresas de varejo, contagem de pessoas e muito mais. Ao executar aplicativos em câmeras, é importante saber quais estão instalados, bem como a origem do pacote de software. Durante a instalação, as câmeras da Hanwha informam sobre as permissões necessárias de um aplicativo. Leia essas informações com atenção e entenda se os dados serão enviados para qualquer outro local. Se um aplicativo não puder ser verificado ou se sua finalidade for desconhecida, interrompa a instalação imediatamente, desinstale o aplicativo e obtenha-o do parceiro confiável que o fornece. As opções de configuração incluem configuração de início automático, nível de prioridade, inicialização / interrupção de aplicativos, instalação / desinstalação de aplicativos e execução de uma página da internet do aplicativo (Figura 24).

Sistema > SDK aberto

Figura 24

ResumoA dura realidade no mundo conectado de hoje é que indivíduos e grupos continuarão em suas tentativas de identificar e explorar vulnerabilidades para violar a segurança da rede. E enquanto nos beneficiamos da conveniência de um número crescente de dispositivos acessíveis através dessas redes, a realidade é que esses dispositivos apenas aumentam a probabilidade de acesso não autorizado à rede. Portanto, é vital que todos esses dispositivos sejam protegidos para evitar que se tornem uma porta aberta para hackers. Empregar essas práticas recomendadas não só pode impedir que dispositivos e sistemas de vídeo em rede atuem como pontos de entrada, mas também garante a integridade e a continuidade da operação dessa função essencial — garantindo a proteção e a segurança contínuas de pessoas e ativos. Além disso, muitas dessas etapas também são aplicáveis a outros dispositivos e sistemas. Portanto, essas práticas recomendadas servem como um requisito para as organizações que reconhecem a importância e levam a sério a proteção de suas redes.

Portanto, essas práticas recomendadas servem como iniciação de conversação para as organizações que reconhecem a importância e levam a sério a proteção de suas redes. Diálogo aberto e informado entre o usuário final, seu departamento de TI, o instalador e o integrador de sistemas é a chave para encontrar a melhor solução para atender às necessidades de segurança de organizações individuais.

Região dos AndesJhayr Gomez MorenoDiretor de VendasT: 57 1 702 0137jgomez@hanwha-wisenet.com

BrasilJosé Carlos HollaenderGerente de Distribuição no BrasilT: 55 11 4440 1300j.hollaender@hanwha.com

MéxicoOmar MurilloDiretor NacionalT: 52 55 5531 7119/20omurillo@hanwha-wisenet.com

Peru e BolíviaManuel CarlosDiretor de VendasT: 511 224 1782mcarlos@hanwha-wisenet.com

Cone Sul e América LatinaJuan Pablo ReedDiretor de VendasT: 56 224 196 124juanpablo.reed@hanwha-wisenet.com

www.HanwhaSecurity.com

© 2018 Hanwha Techwin Co., Ltd. Todos os direitos reservados.

DESIGN E ESPECIFICAÇÕES SUJEITOS A ALTERAÇÕES SEM AVISO PRÉVIOSob nenhuma circunstância este documento deverá ser reproduzido, distribuído ou alterado, parcialmente ou totalmente, sem autorização formal da Hanwha Techwin Co.,Ltd. I.H-1607.