Executando duas sub-redes sobre a mesma LAN física

Navegue suas respostas
4

Um dos nossos escritórios remotos assinou um contrato de segurança para uma empresa que entrou e configurou câmeras de segurança IP e um servidor em nosso escritório. Eles claramente não sabiam nada sobre a integração do sistema em uma rede existente, pois concluíram o trabalho sem falar com ninguém em nossa equipe.

Nossa rede interna está sendo executada em 10.6.n.0 / 24. Eles configuraram seus equipamentos para usar 192.168.1.0/24. Está tudo conectado à mesma infraestrutura de rede - o mesmo domínio de transmissão. Claro, todos os seus equipamentos podem conversar entre si, então o sistema de segurança funciona internamente, pelo menos.

Se não tivermos nenhum requisito para acesso externo ao sistema de segurança ou a partir dele, há algum problema que necessite de integração adequada com a nossa rede? Ou posso deixar o equipamento em segurança como está?

    
por dunxd 26.03.2013 / 13:25

3 respostas

4

Existem várias razões para separar os dois:

  1. Um domínio de broadcast é igual a um domínio de falha. Se algo der errado e sua VLAN for inundada, as duas sub-redes estarão inativas. Câmeras IP podem inundar links com muita facilidade, ou uma falha de hardware ou configuração pode fazer o mesmo,
  2. Software ou usuários mal-intencionados podem acessar suas câmeras desmarcadas e, como mencionado anteriormente, as vulnerabilidades são abundantes nas câmeras IP
  3. Sua rede se torna confusa para qualquer terceiro que esteja participando de um projeto ou solução de problemas, tornando qualquer trabalho mais longo e mais suscetível a erros. Isso aumenta seu custo de operação, ou pior: prolonga o tempo de inatividade.

Separar os dois é fácil: Faça duas VLANs em todos os seus switches, verifique se todos os novos dispositivos estão em uma VLAN e todo o resto está na outra e que todos os links entre os switches têm ambos. (Se você não tiver nenhum comutador que possa lidar com VLANs, será necessário usar comutadores fisicamente separados e depois investir em alguns comutadores adequados.) Se você precisar de conectividade entre as duas redes, tenha um switch, roteador ou firewall de camada 3 com interfaces nas duas redes e voilà.

NB: A melhor prática é não usar a VLAN 1. Você pode escolher qualquer número de VLAN que quiser, então escolha qualquer número, exceto 1.

Bônus adicionado: quando sua rede ficar mais complexa, você já estará configurado para separar outras coisas em sua rede, já que a base já existe.

    
por 28.03.2013 / 22:31
2

Isso aconteceu comigo. Eu estou trabalhando para desfazer isso em um site. Idealmente, as portas seriam separadas por VLAN, o que deve ser fácil de fazer no nível do switch sem reconfiguração total do equipamento da câmera.

O principal problema que tenho é a largura de banda e congestionamento que afeta alguns aplicativos, mas a configuração funciona como está.

Você não precisa acessar as câmeras? Talvez de um cliente de PC interno? Acho que as pessoas que instalam essas soluções também tendem a querer acesso externo. Essa é uma razão boa o suficiente para trabalhar para consertar isso. Mas, novamente, no meu caso, a configuração é estável o suficiente para que não haja urgência da minha parte para desfazer o mau trabalho ...

    
por 26.03.2013 / 13:35
2

Se você não for responsável pelo software em execução no equipamento de segurança, eu irei em frente e isolarei a rede, a menos que você tenha 100% de certeza de que eles não precisam (mesmo no futuro) de acesso, há sempre um risco com câmeras de rede que não são atualizadas com o firmware mais recente. Não há escassez de vulnerabilidades , um pouco de trabalho agora significa que problemas desse tipo ser menos preocupante ..

    
por 26.03.2013 / 13:46

Tags

configurando o centos para aplicar atualizações automaticamente tcpdump na interface ao pingar hosts inexistentes na rede local