En este artículo analizaremos y explicaremos la importancia de los puertos de red para la visualización y grabación de video en entornos corporativos digitales. Sin la configuración adecuada, el video IP no funcionará . Más allá de eso, es fundamental comprender cómo se relacionan con la seguridad. Un mal análisis inicial seria determinante sobre el resultado final de nuestro diseño. Si tienes alguna responsabilidad en cuanto este tipo de diseño de seguridad , te interesara revisar los puntos clave previo a cualquier toma de decisión.
En este articulo revisaremos ciertos conceptos básicos:
- Por qué se utilizan los puertos
- El formato de los puertos
- Cómo se asignan los puertos
- Puertos conocidos para videovigilancia
- Riesgos de puertos abiertos
- Usar NMAP para escanear puertos
Por qué se utilizan los puertos
Una computadora generalmente tendrá una única dirección IP, pero a menudo se comunicará a través de diferentes aplicaciones o servicios.
Para adaptarse a esto, las direcciones IP admiten varios ‘puertos’, hasta 65.535. Los puertos (también llamados ‘sockets’) definen canales particulares para que los datos fluyan a puntos en una red, como de cámaras a un servidor de imagen o de una grabador a un cliente. Los puertos ayudan a una computadora a saber cómo usar los datos que recibe, por lo que con cualquier información transmitida en un puerto de video se puede procesar rápidamente para su visualización, o un cliente de correo electrónico puede recibir correos electrónicos para leer, o el tráfico web a través de un navegador, etc. .
Con la amplia gama de puertos disponibles, se asignan porciones significativas del tráfico de red para un uso específico o aplicaciones específicas, y esto acelera enormemente el proceso de las aplicaciones de una computadora sabiendo qué datos se aplican y cuáles no.
Formato de puerto
La forma en que se direccionan los puertos particulares es una variación del esquema de direcciones IP. Por ejemplo, un puerto de dirección IPv4 se identifica agregando dos puntos y un número de puerto al final (índice de puerto en negrita):
192.168.0.223 : 554
Cuando visitamos una página web, puede asumir que no se necesitamos ningún puerto, pero eso se debe a que los navegadores web lo manejan por nosotros. Por ejemplo, una dirección IP conocida podría ser google.com imaginemos realmente podría ser 123.22.211.9. Ir a http://128.213.155.10 y http://128.213.255.10:80 lo llevan a la página de inicio de google, es solo que el navegador sabe / asume que se refiere al puerto 80 cuando escribe “http: //”
¿Cómo se asignan los puertos?
Los números de puerto se asignan de acuerdo con tres grupos, según su grado de generalización o su grado de especificidad para las aplicaciones de red generales. Todos los puertos potenciales, del # 0 al # 65,535 se asignan en consecuencia:
- Puertos del sistema, desde el puerto 0 – 1023: IANA asigna los puertos del sistema como estándares según RFC6335 . Estos están reservados para usos generales y bien conocidos.
- Puertos de usuario, desde el puerto 1024 – 49151: IANA asigna los puertos de usuario según RFC6335 . Estos son para uso de operación de software específico. Muchas plataformas de vigilancia y seguridad tienen puertos asignaos dentro de este grupo.
- Puertos dinámicos, desde el puerto 49152 – 65535: los puertos dinámicos no están asignados. Este bloque esencialmente no se administra y se mantiene abierto para uso general, a menudo para asignaciones privadas o temporales dentro de una red. Esto es lo que los fabricantes de vigilancia utilizan a menudo para sus propias comunicaciones internas entre sus servidores / grabadores y clientes.
El grupo responsable de asignar funciones de puerto, la Autoridad de Números Asignados de Internet ( IANA ), es parte del mismo grupo de supervisión que asigna asignaciones de direcciones IP y una serie de otras ID administrativas de ‘nivel raíz’ en el uso moderno de Internet y redes.
Puertos conocidos
Cuando se trata de puertos típicos utilizados por la vigilancia, los puertos más abiertos y usados se encuentran en el grupo ‘Sistema’, que incluye:
- Puerto 80: HTTP (Protocolo de transferencia de hipertexto) para sitios web generales y tráfico web
- Puerto 21: control FTP para la transferencia de archivos, incluidos archivos de imagen
- Puerto 22: SSH o transferencia de shell segura para reenvío de puertos e inicios de sesión seguros en el portal
- Puerto 23: Telnet, o comunicación de texto sin cifrar, a menudo se utiliza para “control de línea de comandos” de cámaras e incluso servidores.
- Puerto 443: Capa de conexión segura o tráfico HTTP “protegido”.
- Puerto 554: RTSP ( Protocolo de transmisión en tiempo real ) para video, ampliamente utilizado y un requisito previo para las transmisiones ONVIF
Hay muchos puertos conocidos, aunque la mayoría no son relevantes para las aplicaciones de vigilancia. Vea una lista completa de puertos ‘conocidos’ aquí .
Puertos poco comunes / específicos del fabricante para videovigilancia
Sin embargo, muchos sistemas de vigilancia utilizan asignaciones de puertos que están específicamente reservadas para su uso.
Algunas de estas reservas incluyen:
- Puerto 22609: cliente de video Exacqvision
- Puerto 37777/78: puerto de reenvío de video Dahua
- Puerto 38880: cliente de video Avigilon ACC
- Puerto 49152: protocolo de descubrimiento de dispositivos UPnP
Riesgo de seguridad de puertos
En muchos casos, las plataformas de vigilancia utilizarán puertos dinámicos o de usuario “poco comunes” que deben ser aprobados para pasar el tráfico a través de firewalls de seguridad para su uso. Si estas asignaciones de puertos no se conocen y no se aprueban, los sistemas de videovigilancia no funcionarán.
“Las mejores prácticas de seguridad para las redes a menudo requieren bloquear el tráfico en todos los puertos, excepto en los permitidos explícitamente para un uso reconocido.”
En general, parte del ‘bloqueo’ de una red incluye apagar los puertos en los firewalls independientemente de la dirección IP desde la que se originen. Esto mitiga el riesgo de que virus dañinos u otras vulnerabilidades se introduzcan en una red.
Uso común de múltiples puertos
Los sistemas de vigilancia suelen utilizar varios puertos durante su funcionamiento. A pesar de que una cámara o una grabadora tienen solo una dirección IP, ese único recurso puede tener muchos puertos diferentes que recopilan o envían datos. En general, abrir los puertos necesarios que necesita el sistema de vigilancia es parte del proceso de configuración inicial, y los VMS suelen publicar una lista de los puertos necesarios. Estos variaran comúnmente entre fabricantes.
Herramientas de escaneo de puertos NMAP
Debido a que los sistemas de vigilancia pueden abrir muchos puertos, minimizar el grupo a solo aquellos que se necesitan es un paso clave para la seguridad de la red.
Especialmente dados los recientes ataques de piratería que aprovechan los puertos abiertos por los sistemas de vigilancia, se pueden usar herramientas como NMAP para encontrar qué puertos deben abrirse y qué puertos pueden cerrarse desactivando funciones innecesarias o no utilizadas como UPnP, Telnet y FTP.
A continuación, proporcionamos una captura de pantalla de un escaneo NMAP.
Conclusión:
Como hemos podido comprobar la importancia de la parametrización adecuada de los puertos en las redes de seguridad de todo sistema de CCTV , dado es uno de los parámetros mas importantes en todo diseño. Mi recomendación dado el impacto que podría ocasionar un mal diseño en la organización de este tipo de tecnologías , es realizar un estudio previo detallado de cara poder entender ventajas y desventajas asociadas este tipo de ratios, y elaborar un plan integral acorde a un análisis de riesgos inicial que nos permita poder contar con un modelo completo de seguridad, incluyendo formación , protocolos de actuación , servicios y actualizaciones de software/hardware que permita que la solución final evolucione acorde los riesgos y las futuras necesidades de seguridad.
Si tiene alguna duda al respecto no dude en contactar conmigo para poder asesorarle en su caso particular.
FIN
“La SEGURIDAD es lo que distingue a una empresa líder de las demás”