Es muy importante hacer saber a nuestro equipo técnico que todos los equipos o software expuestos a internet como NVRs/DVRs, cámaras IP, access points, routers, conmutadores, equipos de acceso, softwares de nómina/asistencia, etc. son susceptibles a ataques.
¿Qué podemos hacer proteger un equipo de red o software de un ataque?
Un Firewall puede administrar el tráfico de internet a un dispositivo local; aun así es imposible detectar el abuso de una vulnerabilidad de un equipo que estemos haciendo port forwarding (apertura de puertos). Algunos Firewall pueden detectar tráfico peligroso, pero no la gran mayoría (inyecciones, tráfico SSL, etc.).
Mejores prácticas o técnicas seguras
Utilizar Servicio P2P / Acceso Nube.
Esta función está disponible con varios fabricantes de access points, controladores, softwares de nómina/tiempo y asistencia, telefonía IP, NVRs, equipos de control de acceso y DVRs.
+ Fabricantes permiten crear su propia “nube privada” como ZKTeco y Rosslare(control de acceso).
+ Hikvision tiene su solución HIK-CONNECT, Samsung WiseNET tiene su solución P2P
+ Ubiquiti Networks(Cloud Key) y Cambium Networks permiten administración nube de controladores y APs.
Desactivar UPnP / No usar DMZ(zona desmilitarizada)
UPnP permite apertura de puertos automática; esto deja nuestro dispositivo o aplicación expuesto a internet.
Seguridad por Oscuridad – Modificar Puertos por Default.
Si el proyecto requiere tener un equipo o software expuesto a internet, es obligatorio modificar los puertos default. Esto evita a Script Kiddies escanear segmentos de red y ubicar nuestro dispositivo o software.
+ Si el puerto default de acceso web es 80 en su dispositivo, es importante modificarlo inmediatamente.
Utilizar VPN.
Los VPN permiten el acceso únicamente a dispositivos autorizados, además de tener encripción en el tráfico entre nuestro dispositivo y clientes (Guía: Configurar Tunnel VPN con MikroTik y Ubiquiti Networks EdgeMAX).
No utilizar usuarios/passwords default.
Esto nos puede ayudar al intentar usuarios/passwords en nuestro dispositivo o software y llegar al correcto; aun así es importante seguir las otras técnicas.
+ Muchas vulnerabilidades permiten acceder a un equipo incluso sin tener acceso a usuario/password, es importante seguir las otras técnicas.
Preguntas Frecuentes.
¿Quiénes son los Script Kiddies?
Un Script Kiddie es un individuo que utiliza Exploits (Programas para explotar vulnerabilidades), creados por profesionales para explotar dispositivos; usualmente inicia escaneando segmentos de red para ubicar los dispositivos vulnerables. Aprovechan información de sitios donde se publican Exploits 0day(Vulnerabilidades recién descubiertas) como http://0day.today/
Estoy utilizando una aplicación con desarrollo propio, ¿Es seguro?
Volvemos al término “Seguridad por Oscuridad”, aun así es seguro que un programador hábil detecte una vulnerabilidad en minutos. Lo recomendable es utilizar VPN siempre.
Tengo actualizado mi Software/Firmware y un usuario/contraseña “seguro”, ¿Es suficiente?
La respuesta corta es “no”. Todos los días se descubren nuevas vulnerabilidades (ver ejemplo de http://0day.today/). Es importante reforzar con las demás técnicas mencionadas si nuestro equipo está expuesto a internet.
¿Qué se refiere con “Expuesto a internet”?
Significa que hay forma de acceder por internet a una IP pública y un puerto de su dispositivo o aplicación(NAT).
Ya estoy cumpliendo todas las técnicas mencionadas, ¿Estoy seguro ahora?
Recomiendo leer este artículo de HBR:
Es muy importante tener una red segura y robusta interna también, podemos recomendar los siguientes artículos para crear un VLAN: Crear VLAN en Allied Telesis, Ubiquiti Networks.
Mi personal técnico comentó: “Ya está el equipo funcionando, solamente está abierto el puerto 80”, ¿Es seguro?
Las vulnerabilidades para aplicaciones Web son ahora las más comunes y las más fáciles de explotar.
Si definitivamente nuestra aplicación o dispositivo requiere acceso externo es importante aplicar “seguridad por oscuridad”, asegurar utilizar la última versión y siempre recomendar la opción de VPN.
¿Cuál es la probabilidad que alguien explote una vulnerabilidad en un equipo o software expuesto a internet mío?
Uno de nuestros servidores detecta 45,000 intentos de ataque por alguna vulnerabilidad al mes; es muy posible que su segmento de red donde tiene su equipo reciba mucho más que esto.
¿Qué puede suceder si un equipo es “explotado” y alguien tiene acceso a él?
Recordemos que este equipo, además de la información que contiene, también está dentro de nuestra red. Tiene exactamente las mismas ventajas que alguien que está conectado físicamente en nuestra red.
Un ejemplo: Alguien con acceso a un access point vulnerable en nuestra red tiene acceso a todos los equipos conectados en la red (Puntos de venta, respaldos, Smartphones, etc.).
9. Mi aplicación o dispositivo requiere NAT(Apertura de Puertos / Port Forwarding)
Por favor, leer técnica de “Seguridad por Oscuridad”.
Aún así es importante tener el equipo o aplicación actualizado a la última versión.
Es importante ofrecer al cliente la opción de VPN y explicar sus ventajas.