同じ物理LANで2つのサブネットを実行する
私たちのリモートオフィスの1つが、私たちのオフィスにやって来てIPセキュリティカメラとサーバーをセットアップした会社にセキュリティ契約を与えました。彼らは私たちのチームの誰とも話をせずに仕事を終えたので、彼らのシステムを既存のネットワークに統合することについて何も知らなかったのは明らかです。
内部ネットワークは10.6.n.0/24で実行されています。彼らは、192.168.1.0/24を使用するように機器を設定しました。すべてが同じネットワークインフラストラクチャ、つまり同じブロードキャストドメインに接続されています。もちろん、すべての機器が相互に通信できるため、セキュリティシステムは少なくとも内部的には機能します。
セキュリティシステムへの、またはセキュリティシステムからの外部アクセスの要件がない場合、ネットワークとの適切な統合を必要とする問題はありますか?または、設備をそのままの状態で安全に残せますか?
2つを分離する理由はいくつかあります。
- 1つのブロードキャストドメインは1つの障害ドメインと同じです。何か問題が発生し、VLAN=がフラッディングすると、両方のサブネットがダウンします。IPカメラがリンクを非常に簡単にフラッディングしたり、ハードウェアまたは構成の障害が同じように発生したりする可能性があります。
- 悪意のあるソフトウェアやユーザーがチェックされていない状態でカメラにアクセスする可能性があり、前述のように、IPカメラの脆弱性が多数存在します
- ネットワークがプロジェクトやトラブルシューティングのために参加するサードパーティを混乱させ、作業が長くなり、ミスが発生しやすくなります。これにより、運用コストが増加し、さらに悪いことに、ダウンタイムが長くなります。
2つを分離するのは簡単です。すべてのスイッチで2つのVLANを作成し、すべての新しいデバイスが1つにあることを確認してくださいVLANそして残りのすべてが他にあり、スイッチ間のすべてのリンクに両方があることを確認してください。 (VLANを処理できるスイッチがない場合は、物理的に別個のスイッチを使用してから、適切なスイッチに投資する必要があります。)2つのネットワーク間の接続が必要な場合は、1つのレイヤー3スイッチ、ルーター、またはインターフェース付きのファイアウォールを用意します。ネットワークと出来上がりの両方で。
注:ベストプラクティスは、VLAN 1.を使用しないことです。必要に応じてVLAN番号を選択できるため、1以外の番号を選択するだけです。
追加のボーナス:ネットワークがより複雑になると、基礎がすでにあるので、ネットワーク内の他のものを分離するようにすでに設定されています。
それは私に起こりました。 1つのサイトで元に戻すように取り組んでいます。理想的には、ポートはVLANで分離され、カメラ機器を完全に再構成することなく、スイッチレベルで簡単に実行できる必要があります。
私が抱えている主な問題は、いくつかのアプリケーションに影響を与える帯域幅と輻輳ですが、セットアップはそのまま動作します。
カメラにアクセスする必要はありませんか?たぶん内部のPCクライアントから?これらのソリューションをインストールする人も、外部アクセスを必要とする傾向があることがわかりました。これは、これを修正するために取り組む十分な理由です。しかし、繰り返しになりますが、私の場合、セットアップは十分に安定しており、悪い仕事を取り消す必要はありません...
セキュリティ機器で実行されているソフトウェアに責任がない場合は、私が先に進んでネットワークを分離します。アクセスする必要がない(将来的にも)と100%確信していない限り、常に次のようなリスクがあります。最新のファームウェアで更新されていないネットワークカメラ。 vulnerabilities が不足しているわけではありませんが、少し作業するだけで、その種の問題の心配が少なくなります。