Tutorial de configuración segura de dispositivos de videograbación

11/12/2017

1.Objetivo

El objetivo de esta guía es reforzar la seguridad de las cámaras de vigilancia Hikvisión DS-2CD2232-I5 que sean administradas a través de una dirección IP mediante el ajuste de configuraciones que están disponibles a través de la interfaz web del dispositivo.

2.Requisitos

Antes de iniciar con el proceso de ajuste de configuraciones es necesario tener en cuenta los siguientes datos y equipos:

  • Credenciales de acceso a la interfaz web
    • Nombre de usuario: [admin]
    • Contraseña: [12345]
  • Configuración de la tarjeta de red (dirección IP, mascara de red y DNS).
  • Versión de firmware.
  • Dirección IP privada
  • Acceso físico a la cámara de vigilancia.
  • Equipo de cómputo portátil con Internet.
  • Cable ethernet.

3.Pasos a realizar en los dispositivos de videograbación

  • Paso 1. Obtener versión de firmware
  • Paso 2. Restaurar valores de fábrica
  • Paso 3. Configuración de red de equipo portátil
  • Paso 4. Configurar contraseña para el usuario admin
  • Paso 5. Configuración del método de autenticación al sistema web
  • Paso 6. Configuración de certificados web
  • Paso 7. Configuración de red de dispositivo de videograbación.
  • Paso 8. Configuraciónd de lista de acceso
  • Paso 9. Sincronizar cámara con DVR

Recomendaciones adicionales

  • Configurar zona horaria
  • Deshabilitar PlatForm Access
  • Deshabilitar Universal Plug and Play (UPnP)
  • Deshabilitar DDNS

4.Pasos a realizar en el dispositivo de videograbación

Obtener versión de firmware

Para recuperar el valor de la versión es necesario acceder al sistema a través de la aplicación web consultado la dirección IP asignada al equipo, la siguiente imagen muestra el portal de inicio de sesión:

Una vez que se inició sesión se puede recuperar la versión del firmware en: Configuración -> Configuración avanzada -> Sistema -> Versión de firmware

La versión del firmware determina la dirección IP privada que se asignará al equipo una vez que los valores de fabrica sean restaurados. En la siguiente tabla se muestra la relación entre versiones y direcciones IP:

Versión de firmware

Dirección IP

Versión 5.2 o más antigua

192.0.0.64

Versión 5.3 o más reciente

192.168.1.64

Tomar nota de los valores correspondientes al equipo.

Restaurar a valores de fábrica

Para restablecer la cámara a valores de fábrica se deberá ir a Configuración -> Configuración básica -> Mantenimiento -> Oprimir el botón Por defecto, como se muestra en la siguiente imagen:

Para continuar con la restauración de valores es necesario reiniciar la cámara. El sistema web preguntará si se quiere continuar con el proceso, dar clic en el botón Ok.

El proceso de restauración tardará un par de minutos. Una vez finalizado, la interfaz web estará disponible en la dirección IP privada (192.0.0.64 o 192.168.1.64 según la versión de firmware).

Configuración de red de equipo portatil

Una vez que los valores de fábrica sean restaurados es necesario ajustar la configuración de red del equipo portátil a usar para configurar la cámara para que ambos dispositivos estén en el mismo segmento de red.

La siguiente imagen ejemplifica los valores de dirección IP y máscara de subred en un equipo Windows:

Una vez que se asignó la dirección IP se debe de comprobar que se hayan efectuado los cambios realizados en el equipo. Conecte la cámara directamente al equipo portátil como se muestra en la siguiente imagen:

Ejecute CMD.exe en el equipo de cómputo y utilice la utilería ipconfig para validar los cambios. Esta aplicación mostrará las interfaces de red disponibles en el equipo, verifique que la interfaz de red “Ethernet adapter Ethernet” muestre que la dirección IP asignada es la misma que acaba de definir.

A continuación, verifique la conectividad entre ambos equipos con la utilería ping como se puede ver en la siguiente imagen:

Una vez que se confirmó que hay conexión de red entre los dispositivos se deberá de iniciar sesión en el sistema web de la cámara utilizando las credenciales predeterminadas como se hizo anteriormente colocando en el navegador la dirección IP privada.

Configurar contraseña para el usuario admin

En el panel de configuración seleccione: Configuración avanzada -> Seguridad  -> usuario de clic en la fila del usuario admin y después oprima el botón Modificar, como se muestra en la siguiente imagen:

Ingrese la nueva contraseña, se recomienda que esté formada por mínimo 12 caracteres entre los cuales estén letras minúsculas, mayúsculas, números y símbolos especiales. La siguiente imagen muestra la ventana dónde se debe aplicar el cambio.

La contraseña del usuario admin cambia tanto para acceder por el sistema web como por SSH, aunque este último esta deshabilitado de forma predeterminada.

Configuración del método de autenticación al sistema web

De manera predeterminada, el tipo de autenticación en las cámaras es basic, el cual envía la contraseña utilizando la codificación base64. Es posible mejorar el proceso enviando el hash de la contraseña utilizando el método digest.

Para realizar este cambio se deberá ir a Configuración -> Configuración avanzada -> Seguridad -> Autenticación cambiar el valor de la opción Autenticación WEB de basic a digest, como se puede ver en la siguiente imagen:

Configuración de certificados web

El sistema de las cámaras Hikvision permite generar certificados autofirmados para implementar HTTPS, el certificado actual está asociado a la IP predeterminada.

Para consultar el panel de configuración de certificados ir a Configuración -> Configuración avanzada -> Red -> HTTPS.

Para crear un nuevo certificado se tiene que eliminar el actual, dando clic en el botón Borrar, como se puede ver en la siguiente imagen:

Dar clic en el botón Crear para generar un nuevo certificado, como se puede ver en la siguiente imagen:

A continuación, el sistema web mostrará una ventana con campos disponibles para ingresar los datos del nuevo certificado, modificar solo los valores de IP/Nombre Dominio, Unidad organizativa y Email.

El sistema generará el certificado con los parámetros ingresados, una vez creado puede consultase en el panel de certificados como se muestra en la siguiente imagen:

Configuración de red de dispositivo de videograbación

Los valores de la configuración de red se definen en Configuración -> Configuración avanzada -> Red -> TCP/IP indicando:

  • Dirección IPv4
  • Máscara subred IPv4
  • Dirección IPv4 de puerta de enlace (gateway)
  • DNS UNAM primario: 132.248.204.1
  • DNS UNAM secundario: 132.248.10.2

Una vez que se guarden los cambios se requiere reiniciar el dispositivo. Se deberá esperar dos minutos a que el sistema web esté disponible utilizando la nueva dirección IP y la contraseña del usuario admin modificada anteriormente.

Configuración de lista de acceso

Se tiene disponible una lista de acceso en el panel de configuración de la cámara, en la cual se deben de especificar solo las direcciones IP que serán permitidas o bloqueadas al servicio del sistema web, telnet y ssh (estos dos últimos en caso de que estén habilitados, de forma predeterminada están deshabilitados).

Para habilitar la lista de acceso al dispositivo se tiene que ir a Configuración -> Configuración avanzada -> Seguridad -> Filtro dirección IP dar clic en el checkbox Habilitar filtro de dirección IP y cambiar el valor de la opción Tipo de filtro dirección IP de Prohibido a Permitido.

A continuación, se abrirá una pequeña ventana en el centro de la página, en la cual, se podrá ingresar cada una de las direcciones IP autorizadas para iniciar sesión en el sistema web.

Una vez que se ingresaron las direcciones IP permitidas se deberán confirmar los cambios dando clic en el botón Guardar.

Sincronizar cámara con DVR

Para actualizar los datos de la cámara configurada en el DVR se tendrá que realizar algunos cambios en el panel de gestión de sincronización de todos los dispositivos de videograbación. 

En el panel de configuración, seleccionar Remote Configuration -> Camera Management -> IP Camera.

Comúnmente el dispositivo configurado tiene un estado Offline, al seleccionar la fila del dispositivo de grabación que se quiere sincronizar se habilitará el botón Modify, a continuación, se debe de dar clic en ese botón:

Se abrirá una ventana en la cual se deben de cambiar tres parámetros:

  • Contraseña
  • Confirmación de la contraseña
  • El método de cómo se está asociando la cámara al DVR

Los métodos disponibles para asociar una cámara con el DVR son:

  • Manual: Se especifica la contraseña utilizada para acceder a la cámara.
  • Automático: Se utilizan las credenciales predeterminadas de los dispositivos Hikvision.

Seleccionar el método Manual. Al finalizar las modificaciones de parámetros de sincronización, se dará clic en el botón Ok para guardar los cambios como se muestra en la siguiente imagen:

Después de un minuto se tendrá que refrescar la página del panel de gestión de sincronización de cámaras verificando que el cambio se haya efectuado, el estado de la cámara configurada de forma segura pasará de Offline a Online como se puede ver en la siguiente imagen:

Recomendaciones adicionales

Configurar zona horaria

Para establecer la zona horaria en la cámara se debe de ir a Configuración -> Configuración avanzada -> Sistema -> Ajuste horario y se deberá de seleccionar la opción (GMT-06:00) Hora Central (US y Canadá) del menú, como se muestra en la siguiente imagen:

Deshabilitar PlatForm Access

Platform Access es un servicio privado de cómputo en la nube que permite enlazar las cámaras a una cuenta de EZVIZ, así, se podrá ver que se está grabando y gestionar sus funciones desde cualquier equipo que tenga acceso, como también recibir notificaciones en caso de que se detecten cambios en periodos específicos. En caso de no requerir esta funcionalidad se recomienda deshabilitarla.

Para deshabilitar PlatForm Access se tiene que ir a Configuración -> Configuración avanzada -> Red -> Platform Access y se deberá desmarcar la caja de texto Habilitado.

 Deshabilitar Universal Plug and Play (UPnP)

Se recomienda deshabilitar la función UPnP ya que divulga información confidencial de las características del dispositivo de vigilancia en la URL http://192.0.0.64:49152/upnpdevicedesc.xml, este enlace se puede consultar desde cualquier navegador, los datos que están disponibles de forma pública son:

  • Nombre del fabricante
  • Modelo de la cámara
  • Número de serie
  • Tipo de dispositivo

Como se puede ver en la siguiente imagen:

Para deshabilitar UPnP se tiene que ir a Configuración -> Configuración avanzada -> Red -> UPnP y se deberá desmarcar la caja de texto Habilitar UPnP como se muestra en la siguiente imagen.

Una vez que se desactivó UPnP, la cámara deshabilita el acceso al enlace que contiene la información confidencial, como se puede ver en la siguiente imagen:

Deshabilitar DDNS

El DNS Dinámico es utilizado para administrar la cámara sin importar la dirección IP que se tenga asignada, en caso de no requerir esta funcionalidad se recomienda deshabilitarla.

Para deshabilitar DDNS se tiene que ir a Configuración -> Configuración avanzada -> Red -> DDNS y se deberá desmarcar la caja de texto Habilitar DDNS

 

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

Elaboró: Daniel Sánchez  ( daniel dot sanchez at cert dot unam dot mx )
Revisión de estilo: Raul González ( raul dot gonzalez at cert dot unam dot mx )

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
http://www.seguridad.unam.mx
Tel: 56 22 81 69