Як обмежити доступ до портів Ethernet поза фізичним дозволом


0

У мене вдома встановлено кілька веб-камер PoE IP. Кожна точка монтажу має лише один провід, який підходить до нього: Cat6 із штекером 8P8C на кінці, який одночасно забезпечує живлення та спілкування з камерою.

Я хотів би переконатися, що якщо будь-який пристрій, окрім відомої камери, підключений до порту, зловмисник не зможе отримати доступ до мережі. Який найкращий спосіб зробити це? Я вважаю за краще, щоб рішення було якомога більше рук. Дуже дякую!

Відповіді:


2

Розмістіть камери та апарат, що їх контролює, на окрему VLAN. Потім вони будуть повністю захищені від решти мережі незалежно від того, що прикріплено до кабелів, що ведуть до камери.

Потрібно: керований комутатор, що підтримує функцію VLAN.

Примітка. Ви також можете відключити доступ для входу комутатора з VLAN камери для підвищення безпеки.

Редагувати: За пропозицією Keltari, до всіх камер все ще можна отримати доступ. Ви можете призначити кожній камері одну VLAN, а потім дозволити машині моніторингу бути частиною всіх. Тоді їм доведеться зламати автомат, щоб отримати доступ до решти камер.


Це все ж дозволить зловмиснику потрапити до мережі камери. Ви можете ввімкнути фільтрацію MAC-адреси , але це не дуже стримує.
Келтарі

Що робити, якщо я хочу отримати доступ до машини, яка контролює її віддалено? Чи потрібно мати в ній два NIC або чи можу я налаштувати один NIC на кілька VLAN (як ви можете сказати, я не маю досвіду керованих комутаторів). Машина є Linux, якщо це має значення.
Рим

@Keltari: Я вже використовую фільтрацію MAC-адрес (рівень DHCP), і я припускаю, що маршрутизатори VLAN можуть також застосувати її на своєму рівні. Однак зловмисникові не так складно змінити MAC-адресу на своєму пристрої.
Ром

@Rom Як я вже сказав, це не дуже стримує.
Келтарі

Це дійсно зводиться до того, наскільки ви повинні бути захищеними , порівняно з зусиллями, які ви хочете докласти. Завжди припускайте, якщо хтось має фізичний доступ до пристрою, він має повний доступ. Я б не пішов, щоб поставити кожну камеру на окрему VLAN, але це залежить від вас.
Келтарі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.