Protezione di una LAN con più percorsi di cavo Cat 6 esterni esposti?

20

Stiamo valutando l'inserimento di un sistema TVCC basato su IP per un progetto imminente di terze parti (parte di un progetto di rete più ampio). Il sistema TVCC è cablato come segue: Cat 6 in esecuzione da ogni telecamera esterna a uno switch POE, cavo patch da switch a NVR (videoregistratore di rete fondamentalmente recinto HDD che registra la CCTV).

La mia preoccupazione è che ci saranno più lunghe corse esterne di Cat 6 che sono essenzialmente punti di ingresso molto semplici nella rete. Tutto quello che si dovrebbe fare è tagliare il cavo, mettere RJ45 su entrambe le estremità del taglio, posizionare un piccolo passa dall'interruttore e poi si aggiusta l'interruttore ... A parte il tempo di inattività di un paio di minuti, la telecamera CCTV potrebbe continuare a funzionare.

Che cosa posso fare per proteggere la rete? Non posso semplicemente collegare questo switch al resto della LAN perché ci sono app di terze parti (controller di domotica come Crestron) che usiamo che siedono sulla rete locale e accedono all'NVR così come ad altre reti locali - dispositivi collegati.

    
posta sam 31.10.2016 - 16:41
fonte

9 risposte

24

Opzioni che ti vengono in mente:

  • Utilizza un Managed Switch per fornire il controllo degli accessi tramite porta fisica.

    • Per ogni porta fisica, è possibile allocare solo un indirizzo IP specifico (ad esempio quello della telecamera) Ciò può aiutare a rilevare gli attacchi perché se l'utente malintenzionato tenta di creare un conflitto IP per accedere il resto della LAN quindi interferirà probabilmente con la connessione della fotocamera. Tuttavia, gli aggressori più avanzati probabilmente possono evitare tale rilevamento.

    • Per ogni IP ora sappiamo che può provenire solo da una particolare porta fisica. Creiamo quindi elenchi di controllo di accesso per IP di destinazione e numero di porta TCP.

  • Idealmente le telecamere dovrebbero utilizzare HTTPS e la tua stazione di ricezione è protetta contro il MiTM verificando l'impronta digitale del certificato HTTPS della videocamera. Per lo meno le telecamere dovrebbero avere un qualche tipo di autenticazione prima di rilasciare il loro stream video e l'interfaccia di configurazione.

  • Se il WiFi moderno è un'opzione, dispone di un'autenticazione integrata prima di accedere alla LAN in base a un segreto condiviso. Tuttavia, può essere eseguito DoSed in modalità wireless e la sua sicurezza viene convalidata meno facilmente da un'altra parte. (dimostrare che i cavi fisici sono sicuri è più facile che provare che un segreto condiviso non è stato compromesso)

  • Ho sentito parlare di un metodo di autenticazione progettato per limitare l'uso di Ethernet, ma non sono sicuro del suo scopo (o se la tua fotocamera lo supporta) o se ti aiuterà senza aggiornare tutti gli altri dispositivi sulla LAN . Forse un Managed Switch potrebbe aiutare a contenere la necessità di aggiornare la configurazione.

  • Esamina in generale la sicurezza degli altri dispositivi sulla tua LAN. I computer Windows dovrebbero considerare le reti come reti pubbliche in modo che non assumano la fiducia. Ogni dispositivo sulla tua LAN dovrebbe essere considerato e protetto.

  • Naturalmente non lasciare le credenziali predefinite in atto. Le password devono essere ripristinate su tutti i nuovi dispositivi sia per la TVCC che per altri dispositivi sulla tua LAN.

  • Non dimenticare le barriere fisiche: -)

risposta data 31.10.2016 - 16:58
fonte
11

Metti le videocamere e il videoregistratore su un segmento di rete separato e collegali attraverso un firewall che consente ai dispositivi interni di parlare con il videoregistratore impedendo al dispositivo di comunicare sul lato non sicuro della rete.

Questo può essere fatto facilmente con una macchina Linux / BSD (con IPtables / PF) e sono sicuro che ci saranno anche router commerciali come Cisco o Ubiquiti.

Se i tuoi cavi finiscono in un luogo fisicamente sicuro prima di andare alle telecamere potresti anche usare IPSec con un piccolo server alle due estremità per crittografare il traffico che passa sopra il cavo insicuro, in questo modo un attaccante non sarà in grado fare molto a meno che non incrini IPSec.

    
risposta data 31.10.2016 - 21:04
fonte
8

Utilizza VLAN o VPN crittografate. Imposta un gateway VPN ovunque la tua rete passi da interno a esterno. Assicurarsi che tutti i cavi esterni portino solo dati crittografati.

Con il collegamento crittografato, si garantisce l'autenticità (i dati devono provenire dall'interno della rete fidata), l'integrità (i dati non vengono modificati quando si viaggia su un cavo non affidabile) e la riservatezza (i dati non vengono trasmessi attraverso i cavi esterni).

Il problema di sicurezza finale è la disponibilità (il servizio non è interrotto), la crittografia non risolve questo problema. Quello che puoi fare per la disponibilità è avere un ulteriore percorso ridondante tra le reti affidabili e il reindirizzamento automatico tra di loro. Un utente malintenzionato avrebbe dovuto simultaneamente compromettere tutti i percorsi fisici per rimuovere il servizio.

Inoltre, poiché si dispone di una rete di telecamere, è possibile assicurarsi che chiunque debba accedere al pannello di accesso e ai cavi esposti all'interno della rete interna non crittografata debba passare attraverso la linea di vista di una telecamera. In questo modo, registreresti prove di manomissione e ti darà la possibilità di identificare il colpevole.

    
risposta data 01.11.2016 - 00:54
fonte
3

Guardia di sicurezza

Questo dispositivo può monitorare attivamente l'integrità dei cavi Cat6 utilizzando l'accessorio standard Mark I Eyeball .

    
risposta data 02.11.2016 - 04:32
fonte
1

Supponiamo che qualcuno debba scambiare i fili prima di piegarli in modo che chiunque inserisca un normale cavo alimenterebbe il PoE 48V nei cavi dati + -2.5V ... Assicurati solo di documentare quale cavo è e basta farlo se sai che le persone stanno seguendo la documentazione. Piedinatura standard su Wikipedia .

    
risposta data 01.11.2016 - 16:16
fonte
1

L'armatura in acciaio Wire Cat-6 è disponibile. Usandolo, o eseguendo il normale Cat-6 in un condotto di acciaio, sarà più difficile per un avversario infilare il cavo. Come faranno passare i cavi sopra l'altezza della testa.

Tuttavia, come altri hanno già detto, l'isolamento della rete è la soluzione migliore.

    
risposta data 01.11.2016 - 22:07
fonte
1

Voglio menzionarlo, alcuni NVR-s (come HIKVISION DS-7608NI-E2 / 8P / A) hanno 8 porte PoE + un'altra porta per la rete interna.

In questo modo, le telecamere non saranno accessibili individualmente, mentre sono ancora all'interno di una LAN isolata, ma sarà possibile configurare l'accesso con autenticazione ai feed della telecamera attraverso la configurazione NVR.

    
risposta data 09.12.2017 - 21:50
fonte
0

Imposta ACL e VLAN per tutte le tue sottoreti. In questo modo se qualcuno dovesse fare ciò che hai appena descritto, dovrebbe sapere quale VLAN è necessaria e quale sottorete essere attiva. Tutti gli altri tentativi saranno bloccati dall'ACL.

    
risposta data 31.10.2016 - 17:08
fonte
-1

Se sei preoccupato per la sicurezza fisica, forse non utilizzare POE Ethernet su un lungo cavo Cat 6, ma usa un'installazione telecamera protetta con un'alimentazione a 110 V direttamente a esso e una connessione Wi-Fi al tuo router / punto di accesso principale che ha una buona crittografia. Forse non è la soluzione più semplice o economica, ma è necessario decidere se il costo o la sicurezza fisica della connessione è più importante. Non so se ci sono dei router POE disponibili, ma potrebbe esserci qualcosa da esaminare.

Oppure, puoi collegare un alimentatore DC 12 V attraverso il Cat 6 per alimentare sia la fotocamera che un trasmettitore Ethernet wireless, quindi anche se un cattivo ha rotto la linea e provato a collegarlo, tutto ciò che otterrebbero è 12 V e nessun segnale.

    
risposta data 31.10.2016 - 20:31
fonte

Leggi altre domande sui tag