web-dev-qa-db-ja.com

複数の外部Cat 6ケーブルが露出しているLANを保護しますか?

サードパーティの今後のプロジェクト(より広範なネットワークプロジェクトの一部)にIPベースのCCTVシステムを組み込むことを評価しています。 CCTVシステムは次のようにケーブル接続されます。 Cat 6 各外部カメラからPOEスイッチに接続し、スイッチからNVR(基本的にCCTVを記録するネットワークビデオレコーダー)にパッチケーブルを接続します。

私の懸念は、基本的にネットワークへの非常に簡単なエントリポイントである複数の長い外部Cat 6実行があることです。必要なことは、ケーブルをカットし、カットの両端に RJ45s を挿入し、その間に小さなスイッチを配置してから、スイッチにパッチを当てることです...数分のダウンタイムで、CCTVカメラは作業を続けることさえできます。

ネットワークを保護するにはどうすればよいですか?私たちが使用するサードパーティのアプリ(Crestronのようなホームオートメーションコントローラー)がローカルネットワーク上にあり、NVRだけでなく他のローカルエリアネットワークにもアクセスするため、そのスイッチをLANのその他の部分に接続することはできません。接続されたデバイス。

20
sam

頭に浮かぶオプション:

  • Managed Switchを使用して、物理ポートによるアクセス制御を提供します。

    • 物理ポートごとに、特定のIPアドレスのみを割り当てることができます(つまり、カメラのアドレス)これは、攻撃者がIP競合を作成しようとすると、攻撃の検出に役立つ場合があります残りのLANにアクセスすると、カメラ接続に干渉する可能性があります。しかし、より高度な攻撃者はおそらくそのような検出を回避できます。

    • 各IPについて、特定の物理ポートからしか取得できないことがわかりました。次に、宛先IPとアクセス制御リストを作成し、TCPポート番号です。

  • 理想的には、カメラはHTTPSを使用する必要があり、カメラのHTTPS証明書のフィンガープリントを確認することにより、受信ステーションがMiTMに対して保護されている必要があります。少なくとも、カメラは、ビデオストリームと構成インターフェースをリリースする前に、何らかの認証を行う必要があります。

  • 最新のWiFiがオプションである場合、共有シークレットに基づいてLANにアクセスする前に組み込みの認証があります。ただし、ワイヤレスでDoSedを行うことができ、そのセキュリティは他の当事者によって簡単に検証されません。 (物理ケーブルを安全に提供することは、共有秘密が侵害されていないことを証明するよりも簡単です)

  • イーサネットの使用を制限するために設計された認証方法について聞いたことがありますが、その範囲(またはカメラがサポートしている場合)か、LAN上の他のすべてのデバイスを更新しなくても役立つかどうかはわかりません。おそらく、マネージドスイッチは、構成を更新する必要性を抑えるのに役立ちます。

  • LAN上の他のデバイスのセキュリティを全体的に確認します。 Windowsコンピューターは、ネットワークをパブリックネットワークとして扱う必要があるため、信頼を前提としないでください。 LAN上の各デバイスを検討し、保護する必要があります。

  • もちろん、デフォルトの資格情報はそのままにしないでください。パスワードは、CCTVとLAN上の他のデバイスの両方のすべての新しいデバイスでリセットする必要があります。

  • 物理的な障壁を忘れないでください:-)

24
Bryan Field

カメラとビデオレコーダーを別のネットワークセグメントに配置し、ファイアウォールを介してそれらをブリッジすることで、内部デバイスがビデオレコーダーと通信できるようにし、ネットワークの信頼されていない側の何もが他の側と通信できないようにします。

これは、Linux/BSDマシン(IPtables/PFを使用)で簡単に実行でき、CiscoやUbiquitiのような商用ルーターでも同様のことができると確信しています。

カメラに行く前にケーブルが物理的に安全な場所に到達する場合、両端に小さなサーバーを備えたIPSecを使用して、安全でないケーブルを通過するトラフィックを暗号化することもできます。これにより、攻撃者は多くのことを実行できなくなります。彼がIPSecをクラックしない限り。

11
André Borie

暗号化されたVLANまたはVPNを使用します。ネットワークが内部から外部に切り替わる場所にVPNゲートウェイをセットアップします。すべての外部ケーブルが暗号化されたデータのみを伝送することを確認してください。

暗号化されたリンクを使用すると、信頼性(データは信頼できるネットワーク内から取得する必要があります)、整合性(信頼できないケーブルで移動するときにデータが変更されない)、および機密性(データが外部ケーブルを通じて漏洩しない)を保証します。

最後のセキュリティの問題は可用性(サービスが中断されない)であり、暗号化ではこれを解決できません。可用性のためにできることは、信頼できるネットワーク間に追加の冗長パスを設け、ネットワーク間の自動再ルーティングを行うことです。攻撃者は、サービスを停止するために、すべての物理パスを同時に侵害する必要があります。

さらに、カメラネットワークを持っているので、暗号化されていない内部ネットワーク内のパネルや露出した配線にアクセスする必要がある人は、必ずカメラの見通し線を通過する必要があります。このようにして、改ざんの証拠を記録し、加害者を特定する機会を与えます。

8
Lie Ryan

警備員

enter image description here

このデバイスは、Mark I Eyeball標準アクセサリを使用して、Cat6ケーブルの整合性をアクティブに監視できます。

3
Aron

また、一部のNVR(HIKVISION DS-7608NI-E2/8P/Aなど)には、8つのPoEポートと内部ネットワーク用にもう1つのポートがあります。

このようにして、隔離されたLAN内にある間はカメラに個別にアクセスできなくなりますが、NVR構成を通じてカメラフィードへの認証を使用してアクセスを構成できます。

1
Razvan Grigore

誰かが通常のケーブルをプラグインすることでPoE 48Vが+ -2.5Vデータワイヤーに供給されるように、圧着する前にワイヤーを交換するとします...人々はドキュメントをフォローしています。 Wikipedia の標準ピン配列。

1
chx

鋼線鎧Cat-6が利用可能です。それを使用するか、鋼管で通常のCat-6を実行すると、敵がケーブルに接続することが難しくなります。頭の高さの上にケーブルを走らせるように。

ただし、他の人が述べたように、ネットワークの分離が最善のソリューションです。

1
CSM

すべてのサブネットのACLとVLANを設定します。そうすれば、誰かがあなたが今説明したことをするなら、彼らは何がVLANが必要で、どのサブネットをオンにするかを知る必要があります。他のすべての試みはACLによってブロックされます。

0