Coloque as câmeras e a máquina monitorando-as em uma VLAN separada. Eles seriam então completamente protegidos do resto da rede, não importando o que estivesse ligado aos cabos que levam a uma câmera.
Requer: Switch gerenciado suportando o recurso de VLAN.
Observação: você também pode querer desativar o acesso de login do switch na VLAN da câmera para aumentar a segurança.
Edit: Como sugerido por Keltari, todas as câmeras ainda podem ser acessadas. Você poderia atribuir a cada câmera uma VLAN e deixar a máquina de monitoramento fazer parte de tudo. Então eles teriam que hackear a máquina para ter acesso ao resto das câmeras.