我在 Windows 机器上运行 Blue Iris。目前,我的 IP 摄像头都在我的网络上。我想将它们隔离在单独的网络中。我考虑在我的 Windows 机器上添加第二个 NIC,将所有 IP 摄像头连接到单独的交换机上,然后将交换机连接到 Windows 机器的第二个 NIC。
这样就能阻止 IP 摄像机访问我的主网络了,对吗?问题:
我应该在第二个 NIC 和 IP 摄像头上使用不同的子网,还是可以保留相同的子网?我已在所有 IP 摄像头上设置了静态 IP,网关为当前路由器的 IP。我现在应该设置什么网关?如果有人断开我的一个 IP 摄像头并通过 rj45 电缆连接他的笔记本电脑,我的 Windows 机器会面临哪些安全风险/攻击?
答案1
您可以在 Windows 计算机上安装第二个 NIC,并使用它来直接与摄像头子网通信。您应该为摄像头和常规 LAN 使用不同的子网。如果您不想更改摄像头,请更改 LAN 子网。
不要在第二个 NIC 或任何摄像头上配置网关(这意味着您可能无论如何都要访问所有摄像头)。如果没有网关和路由表,唯一应该成功传递的流量是本地子网流量。您的计算机将通过第一个 NIC(已配置网关)访问互联网和其他所有内容。以下是示例配置。
NIC1 (LAN/Internet):
IP: 192.168.1.1 (can be DHCP)
SM: 255.255.255.0
GW: 192.168.1.254 (whatever your router IP is)
DNS: Your preferred DNS
NIC2 (Cameras):
IP: 192.168.2.1 (static)
SM: 255.255.255.0
GW: Not Configured
DNS: Not Configured
由于摄像机只能通过您的 PC 访问任何其他网络,因此您可以使用 PC 上的 Windows 防火墙阻止 NIC2 上的所有内容,但列入白名单的服务(对摄像机的出站访问)除外。
如果连接到摄像头的交换机具有 MAC 地址过滤功能,则可以使端口在检测到非摄像头的 MAC 地址时自动关闭,这有助于解决物理访问问题。如果您放弃了对本地网络上实时端口的物理访问,那么您可能无法被动采取很多措施来保护自己免受攻击。使用 PC 上的防火墙来阻止 NIC2 上的入站通信,并保护对摄像头的物理访问。