❓

Al abrir puertos para las cámaras de seguridad entra virus y ransomware

redcupyt 17 noviembre 2020 23:48 ✎

⋮

Trabajo en una empresa que tiene un sistema de cámaras instalado por Prosegur, que para que funcione tiene que estar abierto el puerto 100 y el 6036. Esos puestos están abiertos en TCP y UDP hacia la IP del grabador.

El problema es que es abrir esos puertos y cada 2x3 entra el típico virus que te encripta los archivos y te pide Bitcoins, infecta todos los equipos, equipos que están actualizados a la última versión de Windows 10 y con todo original, ni un software pirata.

La historia está en que quieren ver las camaras desde casa y si o si tienen que estar los puertos abiertos. Las camaras tambien funcionan en LAN sin abrir los puertos y la forma de verlos es con el navegador.

¿Cómo hago para proteger esos puertos? ¿o cómo hago para que puedan verlas desde casa usando algún tipo de software en local o algo?

La empresa tiene un router de Movistar HGU normal, no tiene switches gestionables ni nada que permita hacer virguerias.

vukits 18 noviembre 2020 00:22

⋮

pon toda la red de la oficina (excepto las camaras y el grabador) detras de un router neutro o firewall.

Dicho router neutro, el puerto WAN lo conectas hacia el HGU…

Es que sino, tienes que configurar VLANs en el HGU y es un poco líoso

✖

redcupyt 18 noviembre 2020 09:08

⋮

Si me puedes confirmar como se configuran las VLAN en el HGU te lo agradeceria

✖

vukits 18 noviembre 2020 13:49

⋮

No me lo sé de memoria.

No tengo dicho módelo de router.

un saludo

skuts 18 noviembre 2020 07:42

⋮

Intenta usar un puerto externos diferente, y que internamente sean los requeridos.

Abres el puerto 7777 en WAN y lo mandas al 100 interno… por ejemplo…

✖

superllo 18 noviembre 2020 14:01

⋮

Supongo que si tiene que abrir un puerto es para que se conecten desde fuera y si lo cambias ya no funcionaría (si tienen alguna aplicación que use un puerto fijo).

rbetancor 18 noviembre 2020 08:01

⋮

Yo no afirmaría de forma tan contundente que el vector de ataque sea el DVR/NVR que tengan instalado. Suelen ser equipos con un Linux embeded y que no permiten virguerías, ni aunque los juankees.

Y el tipo de virus que comentas, requiere de accesos SMB, una red windows mal configurada, PC's sin actualizar y sin antivirus, y en la mayoría de las ocasiones, un zoquete de empleado que abre un adjunto de correo que no debe o pincha en un enlace externo sin verificar nada.

En cuanto al acceso al DVR/NVR desde fuera, el 99.999999999% de los que hay en el mercado, permiten acceso P2P a través de una cloud del fabricante, no es lo más efectivo, pero te evitas tener que dejar puertos abiertos, otra opción es montar una VPN, para lo que ya necesitarías instalar un router neutro con soporte o un servidor de VPN en la red.

Opciones tienes innumerables … aunque yo empezaría por la más simple y económica, instalar un antivirus en los equipos y educar a los usuarios para que no abran mensajes extraños.

naveganteperdido 18 noviembre 2020 08:40

-1

⋮

contratad a un informatico para que os lo mire y solucione, ahorrareis tiempo y dinero

BocaDePez 18 noviembre 2020 09:06

⋮

Yo tengo alguna cámara en casa que soportan también P2P y en lugar de abrir los puertos, precisamente para evitar esos problemas, lo que hago es habilitar el P2P para verlas desde fuera. En cualquier caso las cámaras y otros dispositivos los tengo con su propio router conectado por cable ethernet al ruoter principal. Cuando quiero ver las cámaras en local me conecto a la wifi del router de las cámaras, si no estoy conectado a la wifi del principal.

Amenhotep 18 noviembre 2020 09:21

⋮

No creo que tenga que ver con el grabador de cámaras. Me suena a un ataque por RDP.

Aparte de los buenos consejos de rbetancor, actualiza el Windows y sobre todo desactiva el escritorio remoto en todos los equipos.

pepejil 18 noviembre 2020 09:28

⋮

¿Estás seguro que sólo abres esos dos puertos? Esa forma de propagarse el ransomware parece que usa SMB o RDP como vector… Y eso sólo tiene dos posibles explicaciones:

Realmente los Windows no están actualizados correctamente.
Estáis fiando todo al Windows Defender Firewall que o está mal configurado o estáis dejando más puertos abiertos de los que debería tener… Cosa normal en parte.
Están actualizados pero el RDP tiene acceso con contraseñas débiles. Recuerda que RDP por defecto no tiene límite de intentos. Es un sistema muy fácil de hacer fuerza bruta.

Otra explicación sería que el software que está detrás escuchando los puertos tenga una vulnerabilidad que hace que haya un vector de ataque similar a un ransomware. En ese caso tenéis que actualizar dicho software. No vale con sólo actualizar Windows.

En cualquiera de los casos, estaría bien que tengáis un firewall aparte.

BocaDePez 18 noviembre 2020 10:08

⋮

Lo que tendrias que tener es una red separada para las camaras de seguridad .

Ari Martos 18 noviembre 2020 18:03

-2

⋮

Eso basicamente te pasa por usar windows. Si puedes permitirte usar Linux o Mac. Es bastante dificil que te pasen esas cosas. Basicamente porque tus trabajadores no tendran ni idea de como administrar ni instalar programas mierder. Teaseguro que usar Linux es totalmente factible digan lo que digan los cuñaos que tengas alrededor

KirO 18 noviembre 2020 19:02

⋮

Lo suyo sería que no fuera posible conectarse a nada de la LAN sin usar una VPN.