axisFlexSubBanner

Seguridad de red


Existen varios niveles de seguridad para proteger la información que se envía a través de las redes IP. El primer nivel es la autenticación y la autorización. El usuario o dispositivo se identifica en la red y en el extremo remoto con un nombre de usuario y una contraseña, que se verifican antes de permitir que el dispositivo entre en el sistema. Se puede conseguir seguridad adicional cifrando los datos para evitar que otros usuarios los utilicen o los lean. Los métodos más habituales son HTTPS (también conocido como SSL/TLS), VPN y WEP o WPA en redes inalámbricas. El uso del cifrado puede ralentizar las comunicaciones en función del tipo de implementación y cifrado utilizados.

Autenticación mediante nombre de usuario y contraseña

La autenticación mediante nombre de usuario y contraseña es el método más básico para proteger los datos en una red IP. Este método debería ser suficiente en escenarios que no requieran niveles de seguridad elevados o en los que la red de vídeo esté separada de la red principal y los usuarios no autorizados no puedan acceder físicamente a ella. Las contraseñas se pueden cifrar o descifrar cuando se envían. La primera opción es la más segura.

Los productos de vídeo en red de Axis proporcionan varios niveles de protección por contraseña, en concreto, tres: administrador (acceso completo a todas las funcionalidades), operador (acceso a todas las funcionalidades excepto a las páginas de configuración y visualizador (acceso sólo al vídeo en directo).

Filtro de direcciones IP

Los productos de vídeo en red de Axis proporcionan un filtro de direcciones IP, que concede o deniega los derechos de acceso a las direcciones definidas. Una de las configuraciones habituales de las cámaras de red es la de permitir que únicamente la dirección IP del servidor que hospeda el software de gestión de vídeo pueda acceder a los productos de vídeo en red.

IEEE 802.1X

Muchos productos de vídeo en red de Axis son compatibles con IEEE 802.1X, que proporciona autenticación a los dispositivos vinculados a un puerto LAN. El estándar IEEE 802.1X establece una conexión punto a punto o impide el acceso desde el puerto de la LAN si la autenticación es errónea. También evita el denominado “porthi-jacking”, es decir, el acceso de un equipo no autorizado a una red mediante una toma de red del interior o del exterior de un edificio. IEEE 802.1X resulta útil en aplicaciones de vídeo en red, ya que a menudo las cámaras de red están colocadas en espacios públicos en los que una toma de red accesible puede suponer un riesgo para la seguridad. En las redes de las empresas de hoy en día, el estándar IEEE 802.1X se está convirtiendo en un requisito básico para establecer cualquier conexión a una red.

En un sistema de vídeo en red, IEEE 802.1X funciona como se indica a continuación: 1) Una cámara de red envía una solicitud de acceso a la red a un conmutador o punto de acceso; 2) el conmutador o punto de acceso reenvía la consulta a un servidor de autenticación, por ejemplo, un servidor RADIUS (Remote Authentication Dial-In User Service) como Microsoft Internet Authentication Service; 3) si la autenticación se realiza correctamente, el servidor indica al conmutador o punto de acceso que abra el puerto para permitir el paso de los datos procedentes de la cámara por el conmutador y así enviarlos a través de la red.

Port-based security
IEEE 802.1X habilita la seguridad basada en puertos, en la que participan un solicitante (p. ej., una cámara de red), un autenticador (p. ej., un conmutador) y un servidor de autenticación. Paso 1: se solicita el acceso a la red; paso 2: la solicitud se reenvía al servidor de autenticación; paso 3: la autenticación se realiza correctamente y se indica al conmutador que permita que la cámara de red envíe los datos a través de la red.

HTTPS o SSL/TLS

El protocolo HTTPS (Hyper Text Transfer Protocol Secure) es idéntico a HTTP excepto en una diferencia clave: los datos transferidos se cifran con Capa de sockets seguros (SSL) o Seguridad de la capa de transporte (TLS). Este método de seguridad aplica el cifrado a los propios datos. Muchos productos de vídeo en red de Axis son compatibles con HTTPS, lo que permite la visualización segura de vídeo en un navegador web. Sin embargo, el uso de HTTPS puede ralentizar el enlace de comunicación y, en consecuencia, la frecuencia de imagen del vídeo.



Concretamente, y únicamente a título enunciativo, algunos productos Axis incluyen software desarrollado por OpenSSL Project para utilizar con el kit de herramientas OpenSSL (http://www.openssl.org/) y software criptográfico desarrollado por Eric Young (eay@cryptsoft.com). 

VPN (Red privada virtual)

Con una VPN se puede crear un "túnel" de comunicación seguro entre dos dispositivos y, por lo tanto, una comunicación segura a través de Internet. En esta configuración, se cifra el paquete original, incluidos los datos y su cabecera, que puede contener información como las direcciones de origen y destino, el tipo de información que se envía, el número de paquete en la secuencia y la longitud del paquete. A continuación, el paquete cifrado se encapsula en otro paquete que sólo muestra las direcciones IP de los dos dispositivos de comunicación, es decir, los enrutadores. Esta configuración protege el tráfico y su contenido del acceso no autorizado, y sólo permite que trabajen dentro de la VPN los dispositivos con la clave correcta. Los dispositivos de red entre el cliente y el servidor no podrán acceder a los datos ni visualizarlos.

HTTPS and VPN encryption
La diferencia entre HTTPS (SSL/TLS) y VPN es que en HTTPS sólo se cifran los datos reales de un paquete. Con VPN se puede cifrar y encapsular todo el paquete para crear un “túnel” seguro. Ambas tecnologías se pueden utilizar en paralelo, aunque no se recomienda, ya que cada tecnología añadirá una carga adicional que puede disminuir el rendimiento del sistema.


Siguiente tema: Tecnología inalámbrica

axisFlexSubContent