Làm cách nào để bảo mật mạng của camera IP bên ngoài

Tôi có 3 Camera IP bên ngoài nhà tôi, tất cả chúng đều được kết nối qua mạng (RJ45) với bộ chuyển đổi POE 8 cổng của tôi (D-LINK XXXX). Công tắc POE được kết nối với công tắc 18 cổng (D-LINK XXXX) và cuối cùng được kết nối với bộ định tuyến của tôi (Cổng bảo mật UNify).

Máy ảnh được sử dụng bởi NAS Synology trên mạng cục bộ của tôi, để ghi video vào NAS.

Camera được gắn bằng ốc vít và có thể gỡ xuống. Bất cứ ai cũng có thể lấy cáp mạng và cắm nó vào máy tính xách tay, truy cập mạng cục bộ và / hoặc sử dụng internet của tôi.

Có cách nào để tôi có thể làm cho mạng camera bị cô lập và vẫn để NAS Synology của tôi kết nối với chúng không?

Tôi nghĩ vấn đề chính có thể là các công tắc heo. Nếu không có các bộ chuyển mạch được quản lý, bạn có thể sẽ không thể tạo một mạng ảo tách biệt (Vlan) mà không bao gồm các thiết bị khác được kết nối với bộ chuyển mạch lớn.

Những gì bạn nên cố gắng đạt được là gửi tất cả các thiết bị không an toàn đến một cổng duy nhất trên bộ định tuyến của bạn và xác định Vlan dựa trên cổng đó. Tôi không quen thuộc với bộ định tuyến của bạn vì vậy tôi không biết liệu nó có hỗ trợ Vlan không.

Một cách khác là lấy bộ định tuyến thứ 2, giá rẻ và kết nối chúng với bộ định tuyến đó. Sau đó áp dụng các quy tắc tường lửa để hạn chế truy cập bằng PORT. Về cơ bản coi máy ảnh là thiết bị bên ngoài không đáng tin cậy.

Thiết lập Vlan, như được mô tả bởi Julian Knight, là một phần của giải pháp.

Tuy nhiên, bạn cũng có thể thêm một số biện pháp phòng ngừa bổ sung với tường lửa của bạn.

1. Thiết lập tường lửa để chỉ một địa chỉ MAC của máy ảnh của bạn có thể kết nối từ vị trí đã cho.

Lệnh này là dành riêng cho hệ điều hành. Ví dụ, nếu bạn chạy Linux trên cổng của bạn, thì đó sẽ là

  while read MAC; do
       iptables -A INPUT -i eth0.1 -m mac --mac-source $MAC -j ACCEPT
  done < mac-list-file
  iptables -A INPUT -i eth0.1 -j DROP

trong đó eth0.1 là giao diện của Vlan và tệp danh sách mac là một tệp văn bản bao gồm các địa chỉ MAC của máy ảnh của bạn, mỗi địa chỉ trên mỗi dòng. Đoạn mã shell shell ở trên sẽ cho phép nhập liệu từ các camera hợp pháp, trong khi bỏ mọi thứ khác.

2. Ngăn chặn các camera tiếp cận mạng LAN và phần còn lại của mạng LAN. Đây cũng là một hệ điều hành cụ thể và một lần nữa giải pháp Linux là:

   iptables -A INPUT -i eth0.1 -o eth0 -j DROP
   iptables -A INPUT -i eth0.1 -o eth1 -j DROP
   

trong đó tôi giả sử rằng cổng của bạn chỉ có hai giao diện nữa, eth0 đối với LAN và eth1 đối với mạng LAN. Nếu bạn có nhiều giao diện hơn, hãy thêm chúng cho phù hợp.

Mặc dù tôi không thể chỉ định các quy tắc này cho cổng của bạn, tôi hy vọng điều này ít nhất sẽ cung cấp cho bạn thêm ý tưởng về cách bảo mật bộ máy của bạn.

Tôi không biết các sản phẩm bạn đang sử dụng nhưng bạn phải hiểu lưu lượng truy cập đi theo hướng nào (cụ thể: nó được bắt đầu từ đâu).

• nếu Synology của bạn kết nối với camera IP của bạn và nhận được một số dữ liệu từ nó thì bạn sẽ có thể, với Vlan và tường lửa được đề cập trong các câu trả lời khác để tách biệt hoàn toàn mạng dễ bị tổn thương. Nói cách khác, ai đó kết nối với cáp của bạn bên ngoài sẽ không thấy gì. Không có lưu lượng truy cập có thể được khởi tạo từ mạng này để anh ta không thể đi và chọc xung quanh. Vẫn sẽ có một khả năng bị tấn công: anh ta có thể đóng vai trò là máy ảnh và gửi đến hộp Synology bất cứ điều gì, kể cả lưu lượng độc hại có thể (khai thác một số lỗ hổng có thể có). Điều này nói rằng, đây là một vị trí yếu hơn nhiều để có cho kẻ tấn công.
• nếu đó là máy ảnh khởi tạo lưu lượng thì bạn phải giới hạn nó trong hộp Synology và đảm bảo rằng nó đã được cập nhật (không may là các thiết bị này có thể bị tụt hậu khủng khiếp với một số sửa chữa).

Nếu bạn không biết bên nào khởi tạo lưu lượng, bạn có thể cắm mọi thứ vào một trung tâm giá rẻ và xem lưu lượng với Wireshark . Bạn cũng có thể kiểm tra xem bạn không có tùy chọn "phản chiếu cổng" trên công tắc.