3

У меня есть 3 IP-камеры за пределами моего дома, все они подключены через сеть (RJ45) к моему 8-портовому коммутатору POE (D-LINK XXXX). Коммутатор POE подключен к 18-портовому коммутатору (D-LINK XXXX), и, наконец, он подключен к моему маршрутизатору (шлюзу безопасности UNIFI).

Камеры используются NAS-устройством Synology в моей локальной сети для записи видео на NAS.

Камеры крепятся винтами и могут быть сняты. Любой может взять сетевой кабель и подключить его к ноутбуку, получить доступ к локальной сети и / или использовать мой интернет.

Можно ли каким-либо образом изолировать сеть камер и при этом подключить к ней мой Synology NAS?

3 ответа3

0

Я думаю, что главной проблемой, вероятно, будут переключатели со спиной. Без управляемых коммутаторов вы вряд ли сможете создать отдельную виртуальную сеть (VLAN) без включения других устройств, подключенных к большому коммутатору.

Вам следует попытаться отправить все незащищенные устройства на один порт маршрутизатора и определить VLAN для этого порта. Я не знаком с вашим маршрутизатором, поэтому я не знаю, поддерживает ли он VLAN.

Альтернативой было бы получить второй, дешевый маршрутизатор и подключить его к нему. Затем примените правила брандмауэра, чтобы ограничить доступ через PORT. В основном это относится к камерам как к ненадежным внешним устройствам.

0

Настройка VLAN, как описано Джулианом Найтом, является частью решения.

Вы также можете добавить некоторые дополнительные меры предосторожности с вашим брандмауэром.

  1. Настройте брандмауэр так, чтобы только MAC-адрес ваших камер мог подключаться из заданного положения.

Эта команда зависит от ОС. Например, если вы запустите Linux на своем шлюзе, это будет

  while read MAC; do
       iptables -A INPUT -i eth0.1 -m mac --mac-source $MAC -j ACCEPT
  done < mac-list-file
  iptables -A INPUT -i eth0.1 -j DROP

где eth0.1 - интерфейс VLAN, а mac-list-file - текстовый файл, включающий MAC-адреса ваших камер, по одному на строку. Приведенный выше фрагмент кода сценария оболочки позволит вводить данные с разрешенных камер, в то же время отбрасывая все остальное.

  1. Не позволяйте камерам достигать глобальной и остальной локальной сети. Это также зависит от ОС, и еще одно решение Linux:

    iptables -A INPUT -i eth0.1 -o eth0 -j DROP
    iptables -A INPUT -i eth0.1 -o eth1 -j DROP
    

где я предположил, что у вашего шлюза есть только два интерфейса: eth0 к локальной сети и eth1 к глобальной сети. Если у вас есть больше интерфейсов, добавьте их соответственно.

Хотя я не могу указать эти правила для вашего шлюза, я надеюсь, что это, по крайней мере, даст вам дальнейшие идеи о том, как обезопасить ваш аппарат.

0

Я не знаю, какие продукты вы используете, но вы должны понимать, каким образом идет трафик (в частности: откуда он инициируется).

  • если ваша Synology подключится к вашей IP-камере и получит от нее некоторые данные, то вы сможете с помощью VLAN и межсетевого экрана, упомянутых в других ответах, полностью отделить уязвимую сеть. Другими словами, тот, кто подключается к вашему кабелю снаружи, ничего не увидит. Никакой трафик не может быть инициализирован из этой сети, поэтому он не может ходить и копаться. Будет еще одна возможность для атаки: он может выступать в роли камеры и отправлять в блок Synology все, что угодно, включая, возможно, вредоносный трафик (используя некоторые возможные уязвимости). Тем не менее, это гораздо более слабая позиция для атакующего.
  • если это камера, которая инициирует трафик, то вы должны ограничить его окном Synology и убедиться, что он обновлен (к сожалению, эти устройства могут ужасно отставать с некоторыми исправлениями).

Если вы не знаете, какая сторона инициализирует трафик, вы можете подключить все к дешевому концентратору и наблюдать за трафиком с помощью Wireshark. Вы также можете проверить, нет ли на вашем коммутаторе опции "зеркалирование портов".

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .