我需要设置一个基于 IP 摄像头的家庭安全系统,这些摄像头通过 LAN 电缆连接(有线,因为它不会像 WiFi 那样在远处被干扰)。我需要从我的计算机和家庭安全服务器通过 LAN 访问摄像头数据并控制它们的电机。我在这里看到的问题是,由于摄像头在外面,我将 LAN 电缆直接暴露在外界,这是一个非常糟糕的主意,因为我家里只有一个物理网络,所有设备都连接到该网络,现在包括我的计算机、数据服务器、路由器、移动设备(通过 Wifi 桥)和摄像头。
我的 LAN 电缆驱动的门铃(带摄像头)也存在同样的问题,门铃距离房屋有几米远。
我有什么办法可以让访客无法使用暴露的 LAN 电缆?还有其他想法吗?
答案1
检查你的路由器是否有MAC地址白名单。
这样你就可以限制可以连接的内容;但是,某些人如果决心通过这种方式获得访问权限,也可能能够从安全设备中获取 MAC 地址。
您可以看看是否有可能将特定设备/ IP 地址限制到某些路由 [但这是一个更复杂的问题。]
答案2
由于无法从物理上保护电缆,因此需要保护在另一端监听的软件,并将其与网络的其余部分隔离。这是因为您无法知道该软件可能存在哪些漏洞。
您可以使用虚拟机,也可以使用以下产品将程序封装在沙箱中: 沙盒。
答案3
我家里只有一个物理网络,所有设备都连接到该网络,现在包括我的电脑、数据服务器、路由器、移动设备(通过 Wifi 桥接)和摄像头。
首先从这个开始。“身体”是指不完全是问题,但第一步是将网络划分为多个 IP 子网。一个不错的路由器(通常是一些支持 VLAN 的交换机)可以实现这一点。
例如,路由器的任何一个端口都可以专用于通向其专用交换机的“摄像机”子网(功能无关紧要),或者路由器可以具有 VLAN,并且交换机(需要支持 802.1Q VLAN)会将“摄像机网络”端口与“主网络”端口分开。
通过这种方式分离的子网之间的通信总是通过路由器,因此可以在路由器上设置防火墙过滤规则,允许您的计算机访问摄像头子网,但反之则不行。
(这可以如果您确实想这样做,也可以通过链接多个路由器来实现,尽管它仍然需要“摄像头”路由器至少具有一些防火墙可配置性。)
答案4
这包括两个部分:
- 保护 LAN 免受入侵者的攻击,这些入侵者可以访问 LAN 并试图嗅探。其他答案已经涵盖了这一点。
- 确保物理电缆不会受到入侵者的干扰,防止他们插入自己的设备以达到第 1 点
您必须同时采取这两种措施才能真正确保安全。
至于物理访问。
大多数有线 IP 摄像机都具有某种机械结构,可将 RJ45 连接器锁定到位。通常,摄像机用螺丝或螺栓固定在支架(或安装板)上,并且 RJ45 插头由支架本身覆盖。这使得在您摆弄摄像机时,无法拔下电缆而不被摄像机本身拍摄。
您可以将(室外额定)电缆放在显眼的地方,但最好将电缆穿过(最好是埋在地下的)金属导管或管道,以尽可能限制对它的访问。
如果电缆可访问,则始终存在有人切断电缆、压接新的 RJ45 连接器,然后使用该电缆插入自己的设备的风险。
但这需要付出很多努力,而且不太可能有人会这样做。
但您无法真正阻止/阻止任何决心进行尝试的人。
这就是为什么您还需要进行 LAN 分离,以及为什么始终使用多个互相覆盖(和电缆线路)的摄像机是个好主意,这样,如果入侵者试图入侵,您就可以在摄像机中发现他们。
不过:如果您是一个风险状况足够高的目标,足以让攻击者不惜一切代价,那么您不应该在这里发布建议,而是应该聘请专业的安全公司。