我们正在评估为即将到来的第三方项目(更广泛的网络项目的一部分)安装基于 IP 的闭路电视系统。闭路电视系统的布线如下:从每个外部摄像机运行到 POE 交换机的Cat 6,从交换机到 NVR 的跳线(网络视频录像机基本上是记录闭路电视的 HDD 外壳)。
我担心会有多个长时间的外部 Cat 6 运行,这些运行基本上是非常容易进入网络的入口点。有人需要做的就是剪断电缆,将RJ45放在切口的两端,在中间放置一个小开关,然后将自己插入开关……除了几分钟的停机时间,闭路电视摄像机可以甚至继续工作。
我可以做些什么来保护网络?我不能只是不将该交换机连接到 LAN 的其余部分,因为我们使用的第三方应用程序(如 Crestron 之类的家庭自动化控制器)位于本地网络上并访问 NVR 以及其他局域网 -附加设备。
想到的选项:
使用管理型交换机通过物理端口提供访问控制。
对于每个物理端口,只能分配一个特定的 IP 地址(即摄像头的IP 地址) 这可能有助于检测攻击,因为如果攻击者试图创建 IP 冲突以访问 LAN 的其余部分,那么这可能会干扰摄像头联系。不过,更高级的攻击者可能可以避免这种检测。
对于我们现在知道的每个 IP,它只能来自特定的物理端口。然后,我们按目标 IP 和 TCP 端口号创建访问控制列表。
理想情况下,摄像机应使用 HTTPS,并且您的接收站通过验证摄像机的 HTTPS 证书指纹来防止 MiTM。至少在发布视频流和配置界面之前,摄像机应该进行某种身份验证。
如果现代 WiFi 是一个选项,它在基于共享密钥访问 LAN 之前具有内置身份验证。但是,它可以通过无线方式进行 DoSed,并且其安全性不太容易被另一方验证。(证明物理电缆安全比证明共享机密没有泄露要容易)
我听说过一种旨在限制以太网使用的身份验证方法,但我不确定它的范围(或者你的相机是否支持它)或者它是否会在不更新 LAN 上的所有其他设备的情况下帮助你。也许管理型交换机将有助于满足更新配置的需要。
全面检查 LAN 上其他设备的安全性。Windows 计算机应将网络视为公共网络,因此它们不会假定信任。应考虑并保护 LAN 上的每个设备。
当然,不要留下任何默认凭据。必须在所有新设备上为 CCTV 和 LAN 上的其他设备重置密码。
不要忘记物理障碍:-)
将您的相机和录像机放在一个单独的网段上,并通过防火墙将它们桥接,允许内部设备与录像机通信,同时防止网络不受信任一侧的任何东西与另一端通信。
这可以通过 Linux/BSD 机器(使用 IPtables/PF)轻松完成,而且我确信有像 Cisco 或 Ubiquiti 这样的商业路由器也可以做到这一点。
如果您的电缆在连接到摄像机之前最终位于物理安全位置,您还可以在两端使用带有小型服务器的 IPSec 来加密通过不安全电缆的流量,这样攻击者将无能为力除非他破解 IPSec。
使用加密的 VLAN 或 VPN。在您的网络在内部和外部之间切换的任何地方设置 VPN 网关。确保所有外部电缆仅传输加密数据。
使用加密链接,您可以确保真实性(数据必须来自受信任的网络内部)、完整性(在不受信任的电缆上传输时数据不会被修改)和机密性(数据不会通过外部电缆泄露)。
最后一个安全问题是可用性(服务不会中断),加密并不能解决这个问题。您可以为可用性做的就是在可信网络之间增加额外的冗余路径并在它们之间自动重新路由。攻击者需要同时破坏所有物理路径才能取消服务。
此外,由于您有一个摄像头网络,您可能希望确保需要访问未加密内部网络中的面板和裸露接线的任何人都必须通过摄像头的视线。这样,您将记录篡改的证据,并让您有机会识别肇事者。
该设备可以使用Mark I Eyeball标准附件主动监控 Cat6 电缆的完整性。