Sarebbe possibile per un utente malintenzionato modificare l'indirizzo IP LAN di un dispositivo senza compromessi?

0

Ho una rete locale e una IPCam (con la sua stessa memoria). A causa di alcune limitazioni pratiche, non posso utilizzare tecnologie come l'isolamento AP o VLAN per isolare i dispositivi a bassa integrità e alta integrità.

Potrebbero esserci alcuni utenti malintenzionati nella rete Wifi (supponiamo che ce ne siano alcuni) e mi preoccupo della sicurezza della mia IPCam.

L'obiettivo che sto cercando è il seguente

  1. Correggere l'indirizzo IP di IPCam.

  2. Blocca tutto il traffico in entrata sull'IP di IPCam (quando è necessaria la gestione, Ho intenzione di disabilitare temporaneamente la regola).

Per il primo passo, come ho capito, ci sono due modi per farlo:

  1. Imposta un indirizzo IP statico nel dashboard di IPCam;
  2. Utilizza il servizio DHCP del router e assegna staticamente un IP a IPCam (dal suo indirizzo MAC).

Personalmente, preferirei il metodo due in quanto la gestione sarebbe centralizzata (dato che ho molti IPCam). Tuttavia, per il secondo metodo, sarebbe possibile che un client malintenzionato rovini l'IPCam (o l'intera LAN) per "modificare" l'IP di IPCam (qualcosa relativo ad ARP?).

Sarebbe possibile farlo con il metodo due? Che ne dici del metodo uno? Il metodo sarebbe più sicuro?

Se l'intero piano non è buono, ci sarebbero soluzioni migliori oltre all'acquisto di nuovi router / firewall che supportano l'isolamento / VLAN dell'AP?

    
posta Mamsds 31.07.2018 - 06:02
fonte

1 risposta

0

Se non ti fidi dei dispositivi sulla tua rete locale, il secondo metodo non funzionerebbe, dal momento che qualcuno potrebbe ospitare un server DHCP canaglia (a meno che tu non abbia delle belle opzioni che possono fare ACL di livello 2 per impedirlo). Se quel server DHCP rispondesse più velocemente del tuo server DHCP, l'autore dell'attacco sarebbe in grado di dire alla tua videocamera di iniziare a utilizzare un altro indirizzo IP.

Se sei preoccupato che l'indirizzo IP di un dispositivo venga modificato, impostare un IP statico (metodo 1) sarebbe il modo migliore per farlo.

Penso che ci sia un altro problema con la seconda azione che stai citando: presumo tu voglia bloccare il traffico verso l'IP della telecamera su un router / firewall. Tuttavia, i dispositivi nella rete locale non utilizzeranno tale dispositivo per raggiungere la videocamera. Quindi, a meno che tu non possa configurare quell'ACL sulla videocamera stessa, questo non ti aiuterà contro gli attaccanti provenienti dalla tua rete locale.

La linea di fondo qui è che probabilmente dovresti isolare la videocamera su un'altra rete non condivisa con dispositivi non fidati in cui è possibile implementare misure di sicurezza più rigide, ma hai menzionato che non era possibile.

    
risposta data 31.07.2018 - 06:32
fonte

Leggi altre domande sui tag