Como faço para proteger a rede de uma câmera IP externa?

3

Eu tenho 3 câmeras IP fora da minha casa, todas elas conectadas via rede (RJ45) ao meu switch POE de 8 portas (D-LINK XXXX). O switch POE está conectado a um switch de 18 portas (D-LINK XXXX) e, finalmente, que está conectado ao meu roteador (UNIFI Security Gateway).

As câmeras são usadas por um Synology NAS na minha rede local para gravar o vídeo no NAS.

As câmeras são montadas com parafusos e podem ser retiradas. Qualquer pessoa pode usar o cabo de rede e conectá-lo a um laptop, acessar a rede local e / ou usar minha internet.

Existe alguma maneira de deixar a rede da câmera isolada e ainda permitir que meu Synology NAS se conecte a eles?

    
por Morten Lyhr 04.06.2015 / 23:21

3 respostas

0

Eu acho que o principal problema é provavelmente os comutadores piggy-backed. Sem switches gerenciados, você provavelmente não será capaz de criar uma rede virtual segregada (uma VLAN) sem incluir outros dispositivos conectados ao switch grande.

O que você deve tentar é enviar todos os dispositivos inseguros para uma única porta em seu roteador e definir uma VLAN contra essa porta. Eu não estou familiarizado com o seu roteador, então não sei se ele suporta VLANs.

Uma alternativa seria obter um segundo roteador barato e conectá-lo a isso. Em seguida, aplique regras de firewall para restringir o acesso por PORT. Basicamente tratando a câmera como dispositivos externos não confiáveis.

    
por 05.06.2015 / 01:22
0

Configurar uma VLAN, conforme descrito por Julian Knight, faz parte da solução.

Você também pode adicionar alguma precaução extra ao seu firewall.

  1. Configure o firewall para que apenas um endereço MAC de suas câmeras possa se conectar a partir da posição determinada.

Este comando é específico do sistema operacional. Se você fosse rodar o Linux no seu gateway, por exemplo, seria

  while read MAC; do
       iptables -A INPUT -i eth0.1 -m mac --mac-source $MAC -j ACCEPT
  done < mac-list-file
  iptables -A INPUT -i eth0.1 -j DROP

onde eth0.1 é a interface da VLAN e o mac-list-file é um arquivo de texto incluindo os endereços MAC de suas câmeras, um por linha. O trecho de código do script de shell acima permitirá a entrada das câmeras legítimas, enquanto descarta todo o resto.

  1. Evite que as câmeras atinjam a WAN e o restante da LAN. Isso também é específico do sistema operacional e, novamente, a solução Linux é:

    iptables -A INPUT -i eth0.1 -o eth0 -j DROP
    iptables -A INPUT -i eth0.1 -o eth1 -j DROP
    

onde assumi que o seu gateway só tem mais duas interfaces, eth0 em direção à LAN e eth1 em direção à WAN. Se você tiver mais interfaces, adicione-as de acordo.

Embora não seja possível especificar essas regras para o seu gateway, espero que, pelo menos, você tenha mais ideias sobre como proteger seu equipamento.

    
por 05.06.2015 / 08:11
0

Eu não conheço os produtos que você está usando, mas você deve entender para onde vai o tráfego (especificamente: de onde ele é iniciado).

  • se o seu Synology se conecta à sua câmera IP e obtém alguns dados dele, então você poderá, com a VLAN e o firewall mencionados em outras respostas, segregar completamente a rede vulnerável. Em outras palavras, alguém que se conecta ao seu cabo externo não verá nada. Nenhum tráfego pode ser inicializado a partir desta rede, então ele não pode ir e bisbilhotar. Ainda haverá uma possibilidade de ataque: ele pode agir como a câmera e enviar para a caixa do Synology, incluindo tráfego possivelmente malicioso (explorando algumas possíveis vulnerabilidades). Dito isto, esta é uma posição muito mais fraca para o atacante.
  • Se for a câmera que inicia o tráfego, você deverá limitá-la à caixa Synology e certificar-se de que esteja atualizada (infelizmente, esses dispositivos podem ficar terrivelmente atrasados com algumas correções).

Se você não sabe qual parte inicializa o tráfego, é possível conectar tudo a um hub barato e assistir ao tráfego com Wireshark . Você também pode verificar se você não tem uma opção "espelhamento de porta" no seu switch.

    
por 06.06.2015 / 17:39