Opzioni che ti vengono in mente:

• Utilizza un Managed Switch per fornire il controllo degli accessi tramite porta fisica.

  • Per ogni porta fisica, è possibile allocare solo un indirizzo IP specifico (ad esempio quello della telecamera) Ciò può aiutare a rilevare gli attacchi perché se l'utente malintenzionato tenta di creare un conflitto IP per accedere il resto della LAN quindi interferirà probabilmente con la connessione della fotocamera. Tuttavia, gli aggressori più avanzati probabilmente possono evitare tale rilevamento.

  • Per ogni IP ora sappiamo che può provenire solo da una particolare porta fisica. Creiamo quindi elenchi di controllo di accesso per IP di destinazione e numero di porta TCP.

• Idealmente le telecamere dovrebbero utilizzare HTTPS e la tua stazione di ricezione è protetta contro il MiTM verificando l'impronta digitale del certificato HTTPS della videocamera. Per lo meno le telecamere dovrebbero avere un qualche tipo di autenticazione prima di rilasciare il loro stream video e l'interfaccia di configurazione.

• Se il WiFi moderno è un'opzione, dispone di un'autenticazione integrata prima di accedere alla LAN in base a un segreto condiviso. Tuttavia, può essere eseguito DoSed in modalità wireless e la sua sicurezza viene convalidata meno facilmente da un'altra parte. (dimostrare che i cavi fisici sono sicuri è più facile che provare che un segreto condiviso non è stato compromesso)

• Ho sentito parlare di un metodo di autenticazione progettato per limitare l'uso di Ethernet, ma non sono sicuro del suo scopo (o se la tua fotocamera lo supporta) o se ti aiuterà senza aggiornare tutti gli altri dispositivi sulla LAN . Forse un Managed Switch potrebbe aiutare a contenere la necessità di aggiornare la configurazione.

• Esamina in generale la sicurezza degli altri dispositivi sulla tua LAN. I computer Windows dovrebbero considerare le reti come reti pubbliche in modo che non assumano la fiducia. Ogni dispositivo sulla tua LAN dovrebbe essere considerato e protetto.

• Naturalmente non lasciare le credenziali predefinite in atto. Le password devono essere ripristinate su tutti i nuovi dispositivi sia per la TVCC che per altri dispositivi sulla tua LAN.

• Non dimenticare le barriere fisiche: -)

Metti le videocamere e il videoregistratore su un segmento di rete separato e collegali attraverso un firewall che consente ai dispositivi interni di parlare con il videoregistratore impedendo al dispositivo di comunicare sul lato non sicuro della rete.

Questo può essere fatto facilmente con una macchina Linux / BSD (con IPtables / PF) e sono sicuro che ci saranno anche router commerciali come Cisco o Ubiquiti.

Se i tuoi cavi finiscono in un luogo fisicamente sicuro prima di andare alle telecamere potresti anche usare IPSec con un piccolo server alle due estremità per crittografare il traffico che passa sopra il cavo insicuro, in questo modo un attaccante non sarà in grado fare molto a meno che non incrini IPSec.

Utilizza VLAN o VPN crittografate. Imposta un gateway VPN ovunque la tua rete passi da interno a esterno. Assicurarsi che tutti i cavi esterni portino solo dati crittografati.

Con il collegamento crittografato, si garantisce l'autenticità (i dati devono provenire dall'interno della rete fidata), l'integrità (i dati non vengono modificati quando si viaggia su un cavo non affidabile) e la riservatezza (i dati non vengono trasmessi attraverso i cavi esterni).

Il problema di sicurezza finale è la disponibilità (il servizio non è interrotto), la crittografia non risolve questo problema. Quello che puoi fare per la disponibilità è avere un ulteriore percorso ridondante tra le reti affidabili e il reindirizzamento automatico tra di loro. Un utente malintenzionato avrebbe dovuto simultaneamente compromettere tutti i percorsi fisici per rimuovere il servizio.

Inoltre, poiché si dispone di una rete di telecamere, è possibile assicurarsi che chiunque debba accedere al pannello di accesso e ai cavi esposti all'interno della rete interna non crittografata debba passare attraverso la linea di vista di una telecamera. In questo modo, registreresti prove di manomissione e ti darà la possibilità di identificare il colpevole.

Guardia di sicurezza

Questo dispositivo può monitorare attivamente l'integrità dei cavi Cat6 utilizzando l'accessorio standard Mark I Eyeball .

Supponiamo che qualcuno debba scambiare i fili prima di piegarli in modo che chiunque inserisca un normale cavo alimenterebbe il PoE 48V nei cavi dati + -2.5V ... Assicurati solo di documentare quale cavo è e basta farlo se sai che le persone stanno seguendo la documentazione. Piedinatura standard su Wikipedia .

L'armatura in acciaio Wire Cat-6 è disponibile. Usandolo, o eseguendo il normale Cat-6 in un condotto di acciaio, sarà più difficile per un avversario infilare il cavo. Come faranno passare i cavi sopra l'altezza della testa.

Tuttavia, come altri hanno già detto, l'isolamento della rete è la soluzione migliore.

Voglio menzionarlo, alcuni NVR-s (come HIKVISION DS-7608NI-E2 / 8P / A) hanno 8 porte PoE + un'altra porta per la rete interna.

In questo modo, le telecamere non saranno accessibili individualmente, mentre sono ancora all'interno di una LAN isolata, ma sarà possibile configurare l'accesso con autenticazione ai feed della telecamera attraverso la configurazione NVR.

Imposta ACL e VLAN per tutte le tue sottoreti. In questo modo se qualcuno dovesse fare ciò che hai appena descritto, dovrebbe sapere quale VLAN è necessaria e quale sottorete essere attiva. Tutti gli altri tentativi saranno bloccati dall'ACL.

Se sei preoccupato per la sicurezza fisica, forse non utilizzare POE Ethernet su un lungo cavo Cat 6, ma usa un'installazione telecamera protetta con un'alimentazione a 110 V direttamente a esso e una connessione Wi-Fi al tuo router / punto di accesso principale che ha una buona crittografia. Forse non è la soluzione più semplice o economica, ma è necessario decidere se il costo o la sicurezza fisica della connessione è più importante. Non so se ci sono dei router POE disponibili, ma potrebbe esserci qualcosa da esaminare.

Oppure, puoi collegare un alimentatore DC 12 V attraverso il Cat 6 per alimentare sia la fotocamera che un trasmettitore Ethernet wireless, quindi anche se un cattivo ha rotto la linea e provato a collegarlo, tutto ciò che otterrebbero è 12 V e nessun segnale.