Trasmettere indirettamente server intranet al mondo esterno

3

Ho una rete interna di telecamere di rete IP. I feed di queste telecamere sono ingeriti da un singolo server e presentati da un'interfaccia web unificata sia internamente che all'esterno (entrambi dopo lo screening delle password).

Ci sono due livelli di protezione: uno abbastanza semplice alla barriera della WAN che designa un secondo router come DMZ (ancora limitato). Il primo ha alcuni controlli di base sul tipo di traffico, rilevando scansioni di porte e tentativi DoS. Sebbene sia consentito l'accesso a una serie di porte, le chiavi indesiderate sono proibite e le porte che le telecamere sono configurate per l'utilizzo per la comunicazione sono esplicitamente escluse. Il secondo router (che gestisce il traffico interno e la loro connessione al mondo esterno) porta le mappe su server interni specifici con traffico indesiderato altrimenti bloccato lì. Le telecamere di rete possono essere visualizzate e controllate dall'interfaccia web entro limiti ragionevoli: ci sono un certo numero di posizioni preimpostate e impostazioni di scansione per ciascuna. Per comunicare direttamente con una qualsiasi delle telecamere sarebbe necessario hackerare ciascuno dei router stessi e sono configurati per consentire solo accessi dalla rete interna.

Le telecamere contengono il proprio host e servizi http - e il server a cui accedo dall'esterno si connette a quelle telecamere e trasmette immagini, flussi jpeg, ecc. al mondo esterno. Voglio essere in grado di fornire facoltativamente il servizio di inoltro alle interfacce di amministrazione di queste telecamere senza fornire direttamente l'instradamento a tali telecamere dal mondo esterno (semplicemente perché posso controllare quale software è presente sull'host del relè ma ho relativamente poco controllo sul firmware della fotocamera) . Ci sono una varietà di funzioni amministrative delle telecamere (controllo su infrarossi, modifica degli angoli preimpostati, ecc.) Che preferirei evitare di dover scrivere interfacce alternative e vorrei poter fornire le loro interfacce attraverso un relè che potrei monitorare e filtro dovrebbe sfruttare per le telecamere diventano noti. Per lo più, sono preoccupato dal fatto che le telecamere stesse sono host web abbastanza sofisticati, che se rivelati direttamente all'esterno potrebbero aprire il tappetino di benvenuto per intromettersi nella rete interna. Ho fatto molto per limitare la mia esposizione (e quindi permettermi di concentrare i miei sforzi per la sicurezza). L'hardware opaco di terze parti non dovrebbe essere il mio punto debole.

Un relay http non sarebbe del tutto oneroso per scrivere - ho fatto una discreta quantità di codice a livello di porta in passato - ma le soluzioni esistenti mature potrebbero essere carine.

Quindi la domanda è: esiste un approccio per implementare un relay http esistente che soddisfi i miei requisiti?

(Si noti che attualmente utilizzo VPN per entrare in rete dall'esterno quando devo modificare qualcosa - ma non è l'esperienza utente che sto cercando)

    
posta EddieOffermann 23.01.2014 - 00:48
fonte

2 risposte

1

Poiché l'accesso è stato sufficientemente limitato, il link più debole è la richiesta HTTP. Ciò è particolarmente vero in base ai commenti riguardanti le interfacce scadenti delle telecamere IP. Probabilmente non andranno bene se vengono inviate richieste irregolari. Pertanto considera un Web Application Firewall (WAF) come ModSecurity in quanto fornirà una maggiore flessibilità su quale traffico è consentito definendo regole per ciò che una richiesta dovrebbe realmente assomigliare.

    
risposta data 25.10.2014 - 22:05
fonte
1

Il proxy durante la tua proposta ti dà la possibilità di aggiungere ulteriore autenticazione e crittografia, ma nient'altro.

Le telecamere IP hanno interfacce terribili e codice terribile. Se si esegue semplicemente la proxy delle richieste, si verificheranno tutti i possibili exploit nella telecamera. Se le sessioni utente autenticate sono considerate un potenziale vettore di attacco nella valutazione del rischio, non si dovrebbe semplicemente proxy, è necessario almeno per convalidare ogni richiesta è prevista.

Se le sessioni utente autenticate non sono considerate un vettore di attacco nella valutazione del rischio, allora questo è un problema da risolvere prima.

    
risposta data 28.01.2014 - 17:19
fonte

Leggi altre domande sui tag