我们的一个远程办公室将安全合同交给了一家公司,该公司来我们办公室安装了 IP 安全摄像头和服务器。他们显然对如何将他们的系统集成到现有网络中一无所知,因为他们没有与我们团队的任何人交谈就完成了这项工作。
我们的内部网络运行在 10.6.n.0/24 上。他们将设备设置为使用 192.168.1.0/24。它们全部接入同一个网络基础设施 - 同一个广播域。当然,他们所有的设备都可以相互通信,因此安全系统至少在内部可以正常工作。
如果我们不需要外部访问或访问安全系统,是否存在需要与我们的网络进行正确集成的问题?或者我可以安全地保留设备的原有设置吗?
答案1
将两者区分开来的原因如下:
- 一个广播域等于一个故障域。如果出现问题,您的 VLAN 被淹没,则两个子网都会瘫痪。IP 摄像头很容易淹没链接,或者硬件或配置故障也会导致同样的问题,
- 恶意软件或用户可以不受限制地访问您的摄像头,并且如前所述,IP 摄像头中存在大量漏洞
- 您的网络会让参与项目或故障排除的第三方感到困惑,导致工作时间变长且更容易出错。这会增加您的运营成本,或者更糟的是:延长停机时间。
分离两者很容易:在所有交换机上创建两个 VLAN,确保所有新设备都在一个 VLAN 中,其余设备都在另一个 VLAN 中,并且交换机之间的所有链接都同时具有这两个 VLAN。(如果您没有任何可以处理 VLAN 的交换机,则必须使用物理上独立的交换机,然后投资一些合适的交换机。)如果您需要两个网络之间的连接,请在两个网络中使用一个带有接口的 3 层交换机、路由器或防火墙,然后就可以了。
注意:最佳做法是不要使用 VLAN 1。您可以选择任何所需的 VLAN 编号,因此只需选择除 1 以外的任何数字即可。
额外的好处是:一旦您的网络变得更加复杂,您就已经准备好分离网络中的其他事物了,因为基础已经存在。
答案2
我也遇到过这种情况。我正在努力在一个站点上解决这个问题。理想情况下,端口应通过 VLAN 进行隔离,这在交换机级别应该很容易做到,而无需完全重新配置摄像头设备。
我遇到的主要问题是带宽和拥塞影响了几个应用程序,但设置确实可以按原样工作。
您不需要访问摄像头吗?也许从内部 PC 客户端访问?我发现安装这些解决方案的人也倾向于需要外部访问权限。这是一个足够好的理由来解决这个问题。但同样,就我而言,设置足够稳定,我没有必要急于撤销糟糕的工作……
答案3
如果您不负责安全设备上运行的软件,我会继续隔离网络,除非您 100% 确定它们不需要(即使在将来也不需要)访问,否则网络摄像机始终存在未更新最新固件的风险。漏洞,现在做一点工作意味着这类问题就不会那么令人担忧了。