Cara membatasi akses ke port Ethernet di luar batas fisik

0

Saya memiliki beberapa webcam PoE IP yang diinstal di rumah saya. Setiap titik pemasangan hanya memiliki satu kabel untuk itu: Cat6 dengan plug 8P8C di ujungnya, yang memberi daya dan berkomunikasi dengan kamera.

Saya ingin memastikan bahwa jika perangkat apa pun selain kamera yang dikenal terhubung ke port, penyerang tidak akan dapat mengakses jaringan. Apa cara terbaik untuk melakukan itu? Saya lebih suka solusinya menjadi sebanyak mungkin. Terima kasih banyak!

Rom
sumber

Jawaban:

2

Tempatkan kamera dan mesin memantaunya pada VLAN terpisah. Mereka kemudian akan sepenuhnya terlindung dari sisa jaringan tidak peduli apa yang terpasang pada kabel yang mengarah ke kamera.

Membutuhkan: Managed switch yang mendukung fitur VLAN.

Catatan: Anda mungkin juga ingin menonaktifkan beralih akses masuk dari VLAN kamera untuk meningkatkan keamanan.

Sunting: Seperti yang disarankan oleh Keltari, semua kamera masih dapat diakses. Anda dapat menetapkan setiap kamera satu VLAN dan kemudian membiarkan mesin pemantauan menjadi bagian dari semuanya. Kemudian mereka harus meretas mesin untuk mendapatkan akses ke seluruh kamera.

Christian Isaksson
sumber
Ini masih memungkinkan penyerang ke jaringan kamera. Anda bisa mengaktifkan Penyaringan alamat MAC , tapi itu tidak banyak penghalang.
Keltari
Bagaimana jika saya ingin mengakses mesin yang memonitornya dari jarak jauh? Apakah saya harus memiliki dua NIC di dalamnya atau dapatkah saya mengkonfigurasi NIC tunggal di beberapa VLAN (seperti yang Anda tahu, saya tidak punya pengalaman dengan switch yang dikelola). Mesin itu Linux, jika itu penting.
Rom
@Keltari: Saya sudah menggunakan pemfilteran alamat MAC (tingkat DHCP), dan saya berasumsi router VLAN dapat menerapkannya pada level mereka juga. Namun, itu tidak sulit bagi penyerang untuk mengubah alamat MAC pada perangkatnya.
Rom
@Rom Seperti yang saya katakan, tidak banyak pencegah.
Keltari
Itu benar-benar turun ke seberapa aman Anda perlu menjadi, versus upaya yang ingin Anda keluarkan. Selalu berasumsi jika seseorang memiliki akses fisik ke perangkat, mereka memiliki akses lengkap. Saya tidak akan sejauh menempatkan setiap kamera pada VLAN terpisah, tetapi itu tergantung pada Anda.
Keltari