10 dicas para proteger seu sistema de CFTV contra hackers

Por Adriano Oliveira

Assim como qualquer outro dispositivo em uma rede IP, principalmente se estiverem ligados na Internet, os equipamentos de segurança eletrônica, tais como câmeras IP e gravadores de imagens, podem ser alvos de criminosos. Neste artigo, falaremos sobre dez medidas que podem ser tomadas para proteger seus equipamentos de segurança eletrônica de ataques cibernéticos.

1. Escolha de uma senha forte
Seja no DVR ou na câmera IP, é importante que uma senha forte, ou seja, difícil de ser quebrada, seja utilizada para acesso ao equipamento. Essa senha pode, por exemplo, possuir pelo menos oito caracteres que misturem letras, números e símbolos. A grande maioria dos fabricantes hoje não utilizam mais uma “senha padrão”, isso porque muitos usuários não trocavam essa senha deixando o equipamento com a segurança comprometida.

2. Autenticação em dois fatores
Muitos modelos de gravadores no mercado possuem mais de uma forma de autenticação e permitem que, além da senha, possa ser configurado um padrão a ser desenhado na tela com o uso de um mouse para desbloquear o aparelho. Artigos Vale lembrar que a autenticação pode estar atrelada aos níveis de acesso dos usuários: independente de ser apenas uma senha ou não, é importante limitar as permissões de acordo com as necessidades de cada um.

3. Segmentação de rede
É uma boa prática criar uma VLAN (Virtual Local Area Network) apenas para o CFTV – manter os equipamentos de segurança em uma rede separada pode ser uma boa opção para atrapalhar a vida de criminosos, além de ajudar na organização da rede e em seu desempenho.

4. Protocolo IEEE 802.1X
O protocolo IEEE 802.1X é usado para permitir ou negar que um dispositivo se conecte em uma rede de computadores. O switch gerenciável é conectado em um servidor de autenticação (normalmente RADIUS ou TACACS+) que irá verificar as credenciais do dispositivo que se conectou no switch. Caso tenha permissão, a porta do switch onde o dispositivo se conectou funcionará normalmente, caso contrário, a porta é bloqueada impedindo que o dispositivo envie ou receba pacotes. Isso inviabiliza a conexão de um dispositivo não autorizado na rede do CFTV.

5. Atualização de firmware Sempre existe a possibilidade de se encontrar uma vulnerabilidade no equipamento, e é por essas e outras que os fabricantes lançam atualizações de tempos em tempos. Para evitar transtornos, sempre verifique com o fabricante do produto se existe algum firmware atualizado para corrigir falhas ou possíveis vulnerabilidades.

6. Verificação de logs de auditoria
Equipamentos de segurança profissionais criam logs que podem ser consultados posteriormente. Esses registros podem fornecer informações como a quantidade de tentativas de log in que não deram certo – caso o número seja muito alto, talvez seu equipamento esteja sendo vítima de alguma tentativa de invasão por força bruta. Logs podem também indicar se a quantidade de backups de trechos de imagens por um mesmo usuário seja muito grande. Pode se tratar de um segurança cuidadoso que salva todos os eventos que considera relevante, mas também pode se tratar de alguém que esteja levando vídeos da empresa indevidamente para alguma ação criminosa.

7. Educação de usuários
De nada adianta ter os melhores sistemas de segurança se os responsáveis pela sua operação não forem treinados contra engenharia social ou se não seguirem uma política sobre o uso das imagens e dos equipamentos de segurança. Explicar que cada um é responsável pela sua própria senha e que a mesma não deve ser compartilhada já é um bom começo.

8. Segurança na rede e no host
O uso de IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Firewall, UTM e outros sistemas de segurança na rede podem ser configurados para proteger os dispositivos contra diversos tipos de ataque, que vão de negação de serviço até tentativas de invasão. Caso utilize um software VMS instalado em uma estação de trabalho e tenha também clientes acessando as câmeras, é importante proteger os terminais com antivírus, senhas seguras, etc.

9. Desabilitar protocolos e portas não utilizadas
Por padrão, protocolos não utilizados são desabilitados na maioria das câmeras e gravadores, mas é sempre bom verificar, por exemplo, se protocolos como FTP e SMTP estão desabilitados caso não estejam em uso. Outra dica é sobre o uso de SNMP: caso não seja utilizado, desabilite. Caso queira usar, escolha a versão 3, se estiver disponível, pois é a mais segura.

10. Usar HTTPS ao invés de HTTP
A utilização de HTTPS garante que os dados irão trafegar criptografados e, portanto, não poderão ser visualizados se forem capturados no meio do caminho. A maioria dos dispositivos de segurança profissionais no mercado permitem que sejam criados certificados para que a comunicação entre os dispositivos ocorra de forma segura.

Conclusão
Com a popularização dos sistemas de segurança em rede e a disponibilização de imagens na Internet, cuidados devem ser tomados para se evitar que os mesmos sejam vítimas de ataques cibernéticos.

Adriano Oliveira
Trabalha com segurança eletrônica há mais de 16 anos, tem pós-graduação em segurança da informação, é formado em redes, atua como gerente de produto na Dahua Technology e mantém o blog Hardware Magazine.