我家外面有 3 个 IP 摄像头,它们都通过网络 (RJ45) 连接到我的 8 端口 POE 交换机 (D-LINK XXXX)。POE 交换机连接到 18 端口交换机 (D-LINK XXXX),最后连接到我的路由器 (UNIFI 安全网关)。
我的本地网络上的 Synology NAS 使用摄像机将视频录制到 NAS。
摄像头是用螺丝固定的,可以拆下来。任何人都可以拿起网线,将其插入笔记本电脑,然后访问本地网络和/或使用我的互联网。
有什么方法可以让摄像机网络隔离,同时仍让我的 Synology NAS 连接到它们?
答案1
我认为主要问题可能是搭载式交换机。如果没有托管交换机,您将无法创建隔离的虚拟网络(VLAN),而无需包含连接到大型交换机的其他设备。
您应该尝试将所有不安全的设备发送到路由器上的单个端口,并针对该端口定义一个 VLAN。我不熟悉您的路由器,所以我不知道它是否支持 VLAN。
另一种方法是购买第二个便宜的路由器并将它们连接到该路由器。然后应用防火墙规则来限制通过端口的访问。基本上将相机视为不受信任的外部设备。
答案2
正如 Julian Knight 所描述的,设置 VLAN 是解决方案的一部分。
不过,您也可以在防火墙上增加一些额外的预防措施。
- 设置防火墙,以便只有摄像机的 MAC 地址可以从给定位置连接。
此命令特定于操作系统。例如,如果您要在网关上运行 Linux,则
while read MAC; do
iptables -A INPUT -i eth0.1 -m mac --mac-source $MAC -j ACCEPT
done < mac-list-file
iptables -A INPUT -i eth0.1 -j DROP
其中 eth0.1 是 VLAN 的接口,mac-list-file 是包含摄像头 MAC 地址的文本文件,每行一个。上面的 shell 脚本代码片段将允许合法摄像头的输入,同时丢弃其他所有内容。
防止摄像头到达 WAN 和 LAN 的其余部分。这也是特定于操作系统的,Linux 解决方案同样是:
iptables -A INPUT -i eth0.1 -o eth0 -j DROP iptables -A INPUT -i eth0.1 -o eth1 -j DROP
我假设您的网关只有两个接口,eth0 连接 LAN,eth1 连接 WAN。如果您有更多接口,请相应地添加它们。
虽然我无法为您的网关指定这些规则,但我希望这至少能为您提供有关如何保护设备的进一步想法。
答案3
我不知道您正在使用什么产品,但您必须了解流量的走向(具体来说:它从哪里发起)。
- 如果您的 Synology 连接到您的 IP 摄像头并从中获取一些数据,那么您将能够使用其他答案中提到的 VLAN 和防火墙完全隔离易受攻击的网络。换句话说,连接到您外面的电缆的人将看不到任何东西。无法从此网络初始化任何流量,因此他无法四处搜索。仍然有一种攻击的可能性:他可以充当摄像头并向 Synology 盒子发送任何内容,包括可能的恶意流量(利用一些可能的漏洞)。话虽如此,对于攻击者来说,这是一个非常脆弱的位置。
- 如果是摄像头发起了流量,那么您必须将其限制在 Synology 盒内,并确保它是最新的(不幸的是,这些设备可能会在某些修复方面严重落后)。
如果你不知道哪一方初始化了流量,你可以将所有东西插入一个便宜的集线器,然后使用Wireshark。您还可以检查您的交换机上是否没有“端口镜像”选项。