Como faço para proteger a rede de uma câmera IP externa?

Eu acho que o principal problema é provavelmente os comutadores piggy-backed. Sem switches gerenciados, você provavelmente não será capaz de criar uma rede virtual segregada (uma VLAN) sem incluir outros dispositivos conectados ao switch grande.

O que você deve tentar é enviar todos os dispositivos inseguros para uma única porta em seu roteador e definir uma VLAN contra essa porta. Eu não estou familiarizado com o seu roteador, então não sei se ele suporta VLANs.

Uma alternativa seria obter um segundo roteador barato e conectá-lo a isso. Em seguida, aplique regras de firewall para restringir o acesso por PORT. Basicamente tratando a câmera como dispositivos externos não confiáveis.

Configurar uma VLAN, conforme descrito por Julian Knight, faz parte da solução.

Você também pode adicionar alguma precaução extra ao seu firewall.

1. Configure o firewall para que apenas um endereço MAC de suas câmeras possa se conectar a partir da posição determinada.

Este comando é específico do sistema operacional. Se você fosse rodar o Linux no seu gateway, por exemplo, seria

  while read MAC; do
       iptables -A INPUT -i eth0.1 -m mac --mac-source $MAC -j ACCEPT
  done < mac-list-file
  iptables -A INPUT -i eth0.1 -j DROP

onde eth0.1 é a interface da VLAN e o mac-list-file é um arquivo de texto incluindo os endereços MAC de suas câmeras, um por linha. O trecho de código do script de shell acima permitirá a entrada das câmeras legítimas, enquanto descarta todo o resto.

2. Evite que as câmeras atinjam a WAN e o restante da LAN. Isso também é específico do sistema operacional e, novamente, a solução Linux é:

   iptables -A INPUT -i eth0.1 -o eth0 -j DROP
   iptables -A INPUT -i eth0.1 -o eth1 -j DROP
   

onde assumi que o seu gateway só tem mais duas interfaces, eth0 em direção à LAN e eth1 em direção à WAN. Se você tiver mais interfaces, adicione-as de acordo.

Embora não seja possível especificar essas regras para o seu gateway, espero que, pelo menos, você tenha mais ideias sobre como proteger seu equipamento.

Eu não conheço os produtos que você está usando, mas você deve entender para onde vai o tráfego (especificamente: de onde ele é iniciado).

• se o seu Synology se conecta à sua câmera IP e obtém alguns dados dele, então você poderá, com a VLAN e o firewall mencionados em outras respostas, segregar completamente a rede vulnerável. Em outras palavras, alguém que se conecta ao seu cabo externo não verá nada. Nenhum tráfego pode ser inicializado a partir desta rede, então ele não pode ir e bisbilhotar. Ainda haverá uma possibilidade de ataque: ele pode agir como a câmera e enviar para a caixa do Synology, incluindo tráfego possivelmente malicioso (explorando algumas possíveis vulnerabilidades). Dito isto, esta é uma posição muito mais fraca para o atacante.
• Se for a câmera que inicia o tráfego, você deverá limitá-la à caixa Synology e certificar-se de que esteja atualizada (infelizmente, esses dispositivos podem ficar terrivelmente atrasados com algumas correções).

Se você não sabe qual parte inicializa o tráfego, é possível conectar tudo a um hub barato e assistir ao tráfego com Wireshark . Você também pode verificar se você não tem uma opção "espelhamento de porta" no seu switch.