cyber security · “uso único” que combina o número de série / mac e a data/hora. ... negar...
TRANSCRIPT
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Cyber SecurityHanwha Techwin Brasil
hanwhasecurity.com
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Fabio NascimentoApplication EngineerEmail: [email protected]
Palestrante
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Agenda
• Institucional• Principais ameaças• Quais as ações tomadas pela Hanwha?• Boas práticas de segurança• Linhas de produtos• Perguntas & respostas
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
- Fundada em 1952.
- 8a maior empresa da Coréia (2015)
- Áreas de atuação
. Explosivos
. Defesa
. Trading Global
. Maquinário industrial
- Website : http://www.hanwhacorp.co.kr/eng/index.jspComposição
É composto por três círculos ilimitadamente evoluindo e crescendo através de mudanças e inovações constantes.
Significado
Através de uma combinação criativa, os três círculos representam os nossos valores fundamentais,
visões e empresas.
Eles também representam a Hanwha evoluindo para uma empresa de classe mundial que contribua
para o desenvolvimento equilibrado dos clientes, da sociedade e da humanidade.
Expressão
Ela expressa harmoniosamente e imagem, onde uma energia dinâmica de triciclos expandindo e crescendo
ilimitadamente.
O Tri Círculo Hanwha reflete a constante busca de melhoria e crescimento através da criatividaderepresentação de três círculos que simbolizam o respeito, confiança e inovação.
Hanwha Corporation
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
NOSSA PRESENÇA NA AMÉRICA LATINA
• Escritórios em todo o território• Pessoal qualificado em cada site
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Programa STEP
O programa STEP é uma iniciativa global focada no
benefício do Integrador e Distribuidor.
Nossos parceiros estratégicos têm a oportunidade de
aumentar sua receita através de um programa de proteção
e fidelidade.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
É um mecanismo de renda
Registro e proteção de projetos
Garantias - beneficios exclusivos
Proteção de preços
Programa STEP
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Os seus dispositivos de vídeo vigilância IP são seguros?
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Guia de boas práticas em segurança
https://www.hanwhasecurity.com/resources/white-papers.html
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Segurança para projetos
https://www.hanwhasecurity.com/resources/white-papers.html
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Hanwha- Segurança implementada
Processo interno de análise de vulnerabilidade S-CERT [email protected]
Comitê de segurança
Especialistas em segurança
Equipe de desenvolvimento
Testes em laboratório
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Política de Segurança - Produtos
A Hanwha Techwin desenvolveu e implementou uma política de segurança que dita o design de segurança dos produtos, incluindo criptografia / métodos, política de senha, criptografia de firmware, etc ...
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Ferramentas
Ao configurar dispositivos de rede Hanwha,recomenda-se utilizar a ferramenta WiseNet DeviceManager para operações em massa.
https://www.hanwhasecurity.com/wisenet-device-manager/
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Backdoor
Uma solicitação comum é “como obter acesso a um dispositivocaso a senha seja esquecida”.
Muitos fabricantes utilizam uma senha de “uso único” que combina o número de série / mac e a data/hora.
Hanwha Techwin não possui nenhum backdoor senha / métodos para acesso a nossos produtos.
Isso protege o seu dispositivo, exigindo um reset físico caso a senha seja perdida.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Ataque DoS / Adivinhação de senha / Exploit
Se o usuário /senha é digitado incorretamente por 5 vezes em 30 segundos, a câmera bloqueia o acesso à página da web.
As conexões ativas permanecem, não são derrubadas.
Todas as senhas são enviadas usando a autenticação digest paraImpedir que senhas em texto puro sejam transmitidas através da rede.
Departamento de segurança para busca contínua de vulnerabilidades (Exploits)
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Ataque DoS / Adivinhação de senha / Exploit
Site com ExploitBusca de dispositivos
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Serviços e portas não utilizadas, são desativadas no Linux para impedir o acesso a telnet, FTP, SSH, shell, etc. para evitar estouro de buffer, hacking tools, etc.
Estouro de Buffer / Portas não utilizadas
Todos os comandos são filtrados pelo nosso código fonte, antes de serem encaminhados ao servidor web. São validados para prevenir estouro de buffer e ataques de injeção, que tentam ganhar acesso, ignorando autenticação da câmera
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Estratégia
Uma estratégia importante: utilizar defesa em camadas. Não confie em um único sistema ou mecanismo como medida de segurança.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Atualização de firmware
• Certifique-se de que o firmware e o software VMS estejam atualizados para garantir as devidas correções a vulnerabilidades conhecidas.
• Utilize a ferramenta Wisenet Device Manager para baixar firmwares e realizar atualizações em lote.
• Inclua a atualização de firmwares como um serviço periódico
• Os arquivos de firmware são criptografados para evitar que hackers obtenham informações sobre estrutura de arquivos, bancos de dados, etc, evitando descobrir vulnerabilidade simplesmente examinando firmware extraído, sem acesso ao dispositivo.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Data e Hora
Mantenha a data e hora atualizados para:
• Checar logs para auditoria
• Exportar vídeo como evidência
• Funcionar adequadamente com HTTPS, ONVIF, SNMP v3, 802.1x...
O protocolo NTP pode ser utilizado para a atualização automática.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Modo HTTPS
O HTTPS (certificado Hanwha Techwin) é uma função que permite umaconexão entre o dispositivo e o cliente usando um certificado fornecido pelaHanwha Techwin. Se você selecionar 'HTTPS (modo de conexão segura comcertificado exclusivo), o certificado incorporado do dispositivo será utilizado em modode conexão e você não precisa comprar e instalar umcertificado. Uma vez ativado, as comunicações ocorrerão por HTTPS. O HTTPStambém ajuda a garantir que as comunicações não sejaminterceptadas / redirecionadas.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Alterar as portas padrão
Altere as portas padrão do dispositivo por portas altas. Por exemplo a porta 80 pode ser alterada para 8000 ou 10000. Dessa maneira você previne o ataque de programas que fazem a busca de dispositivos em portas padrão.
Outro exemplo, altere a porta de vídeo 4520, para prevenir que hackers busquem dispositivos Hanwha na rede
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Filtro IP
Os produtos Hanwha Techwin suportam a criação de listas de IP para permitir ounegar acesso a partir de um endereço IP específico. Isso pode ser usado para restringir o acesso somente para o departamento de segurança, ou para impedir o acesso da WAN ou pool endereços IP da rede sem fio.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Desabilitar protocolos não utilizados
• Desabilitar o Endereço local do link de IPv4
• Desabilitar UPnP
• Desabilitar Bonjour
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Utilizar SNMP seguro
O SNMP permite gerenciar os dispositivos de rede de forma conveniente. Entretanto o SNMP v1 e v2 são vulneráveis pois utilizam strings em texto puro.
Caso seja necessário, utilize o SNMP v3, funcionando em modo HTTPS.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Desabilitar SNMP
• Desabilite o SNMP através da interface web.
• Utilize o Wisenet Device Manager ou comandos CGI para desativar todas as versões do SNMP.
SNMP v2c: http://(ip address)/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version2=False
SNMP v1:http://(ip address)/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version1=False
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Criação de usuários
• Acessar a câmera com a conta de administrador pode expor o dispositivo a riscos desnecessários.
• Crie usuários com privilégios limitados para o uso no dia a dia.
• Utilize a conta de administrador para configurar o dispositivo.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Autenticação 802.1x
O 802.1x é utilizado em locais onde os conectores de rede são acessíveis, em áreas públicas, onde alguém poderia conectar o próprio laptop para ter acesso a câmera. Em um ambiente 802.1x o switch de rede somente se comunica com dispositivos específicos.
Em um ambiente convencional, você poderia utilizar filtragem de endereços MAC mas este pode ser facilmente contornado. Todos os dispositivos 802.1x possuem um certificado gerado e instalado para identificá-los positivamente. Um servidor RADIUS é usado para autenticar dispositivos.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Verifique os logs de dispostivos
• Os produtos da Hanwha possuem registros extensivos. Verifique para ver se alguém está tentando obter acesso a seus dispositivos ou mudou as configurações.
• Os logs são mantidos durante a reinicialização e o padrão de fábrica.
• Os logs mostram os valores atuais e alterados de configuração.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
VLANs
• VLANs segregam sua rede com base em portas, protocolos, endereços MAC, switches, etc
• Isola suas câmeras de impressoras, servidores de email, estações de trabalho, etc. Somente quem necessita tem acesso aos dispositivos.
• Previne broadcasting, otimiza a rede.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Acesso físico
• Impedir o acesso físico é primordial. Se você pode tocar a câmera, poderá fazer reset de fábrica e fazer o que quiser com ela.
• É indicado ter as câmeras em local alto, fora de alcance ou montadas no teto ou embutidas no forro.
• NVRs e switches instalados em local apropriado e trancado.
• Se as pessoas podem alcançar os cabos de rede/energia, então este ambiente não é seguro.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Backup
• Faça um backup da configuração dos dispositivos. Assim você pode recuperar as configurações rapidamente em um caso de emergência
• Crie algumas configurações reconhecíveis, que somente você possa identificar caso alguém tenha executado um reset de fábrica no dispositivo. (Configurações SNMP podem ser ótimas aqui).
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Aplicativos Open Plataform
• Os aplicativos Open Plataform são do tipo “sandbox”. Eles não são autorizados com acesso root na câmera e não possuem acesso aos arquivos de sistema, protegendo o dispositivo de acessos maliciosos.
• Alguns fabricantes permitem acesso root aos Apps de parceiros, tornando a câmera vulnerável a ataques.
© 2017 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Acesso remoto
• Utilize VPN para criptografar o acesso remoto sem a necessidade de abrir brechas no firewall.
• Prefira redirecionamento de portas ao UPnP.
• Liberar somente as portas que são necessárias, como NVR/VMS,
• P2P pode ser utilizado para permitir acesso remoto sem liberar o firewall. Algumas empresas não permitem sua utilização, neste caso desative-o.
Copyright ⓒ 2016 Hanwha Techwin. All rights reserved
Box Bullet IRDome
indoor
Dome
EmbutirFishEye Multisensor
PTZ
indoorBox zoom
Térmica PTZ
Outdoor
Dome IR PTZ IR Veicular ATM Dome
Antivandalismo
A Hanwha Techwin possui uma ampla linha de produtos para atender diferentes tipos de projetos.
Câmeras IP
Copyright ⓒ 2016 Hanwha Techwin. All rights reserved
WISENET X
Alta Tecnologia IP
WISENET LITE
Qualidade aplicada
ao varejo
WISENET Q
Características essên
ciais aliadas a qualida
de
WISENET P
Câmeras Premium de
alta resolução
Linhas de Câmeras