Opciones que vienen a la mente:

• Use un Switch gestionado para proporcionar control de acceso por puerto físico.

  • Para cada puerto físico, solo se puede asignar una dirección IP específica (es decir, la de la cámara) Esto puede ayudar a detectar ataques porque si el atacante intenta crear un conflicto de IP para acceder El resto de la LAN entonces eso probablemente interferirá con la conexión de la cámara. Sin embargo, los atacantes más avanzados probablemente pueden evitar dicha detección.

  • Para cada IP, ahora sabemos que solo puede provenir de un puerto físico en particular. Luego creamos listas de control de acceso por IP de destino y número de puerto TCP.

• Lo ideal es que las cámaras usen HTTPS y que su estación receptora esté protegida contra MiTM al verificar la huella digital del certificado HTTPS de la cámara. Como mínimo, las cámaras deben tener algún tipo de autenticación antes de lanzar su flujo de video y su interfaz de configuración.

• Si el WiFi moderno es una opción, tiene una autenticación incorporada antes de acceder a la LAN según un secreto compartido. Sin embargo, puede ser DoSed de forma inalámbrica y su seguridad es menos validada por otra parte. (probar que los cables físicos son seguros es más fácil que demostrar que un secreto compartido no se vio comprometido)

• He oído hablar de un método de autenticación diseñado para restringir el uso de Ethernet, pero no estoy seguro de su alcance (o si su cámara lo admite) o si lo ayudará sin actualizar todos los otros dispositivos en la LAN . Quizás un Switch gestionado ayudaría a contener la necesidad de actualizar la configuración.

• Revise en general la seguridad de los otros dispositivos en su LAN. Las computadoras con Windows deben tratar las redes como redes públicas para que no asuman confianza. Cada dispositivo en su LAN debe ser considerado y asegurado.

• Por supuesto, no deje ninguna credencial predeterminada en su lugar. Las contraseñas deben restablecerse en todos los dispositivos nuevos tanto para el CCTV como para otros dispositivos en su LAN.

• No olvides las barreras físicas :-)

Coloque sus cámaras y su grabadora de video en un segmento de red separado, y páselos a través de un firewall que permita a los dispositivos internos hablar con la grabadora de video mientras evita que cualquier cosa en el lado no confiable de la red hable al otro lado.

Esto se puede hacer fácilmente con una máquina Linux / BSD (con IPtables / PF) y estoy seguro de que hay enrutadores comerciales como Cisco o Ubiquiti que también podrían hacer el truco.

Si sus cables terminan en una ubicación físicamente segura antes de ir a las cámaras, también podría usar IPSec con un pequeño servidor en ambos extremos para cifrar el tráfico que pasa por el cable inseguro, de esa manera un atacante no podrá hacer mucho a menos que se rompa IPSec.

Use VLAN o VPN encriptada. Configure una puerta de enlace VPN donde su red cambie de interna a externa. Asegúrese de que todos los cables externos solo lleven datos cifrados.

Con el enlace cifrado, garantiza la autenticidad (los datos deben provenir de una red de confianza), la integridad (los datos no se modifican cuando se viaja en un cable que no es de confianza) y la confidencialidad (los datos no se filtran a través de los cables externos).

El problema de seguridad final es la disponibilidad (el servicio no se interrumpe), el cifrado no resuelve esto. Lo que puede hacer para la disponibilidad es tener una ruta redundante adicional entre las redes de confianza y un reencaminamiento automático entre ellas. Un atacante habría necesitado comprometer simultáneamente todas las rutas físicas para desactivar el servicio.

Además, como tiene una red de cámaras, es posible que desee asegurarse de que cualquier persona que necesite acceder al panel y al cableado expuesto dentro de la red interna sin cifrar tenga que pasar por la línea de visión de la cámara. De esta manera, usted registraría la evidencia de manipulación y le da la oportunidad de identificar al perpetrador.

Guardia de seguridad

Este dispositivo puede controlar activamente la integridad de los cables Cat6 mediante el accesorio estándar Mark I Eyeball .

Diga que alguien intercambiara los cables antes de engarzarlos para que cualquiera que conecte un cable normal alimente el PoE 48V a los cables de datos de + -2.5V ... Solo asegúrese de documentar qué cable es cuál y solo haga esto Si sabes que la gente está siguiendo la documentación. Pinout estándar en Wikipedia .

Armadura de alambre de acero Cat-6 está disponible. Si lo usa, o ejecuta el Cat-6 normal en un conducto de acero, será más difícil que un adversario empalme el cable. Como correrán los cables por encima de la altura de la cabeza.

Sin embargo, como han mencionado otros, el aislamiento de la red es la mejor solución.

Quiero mencionar que algunos NVR-s (como HIKVISION DS-7608NI-E2 / 8P / A) tienen 8 puertos PoE + un puerto más para la red interna.

De esta manera, no se podrá acceder a las cámaras individualmente mientras se encuentren dentro de una LAN aislada, pero podrá configurar el acceso con autenticación a las fuentes de la cámara a través de la configuración del NVR.

Configure las ACL y las VLAN para todas sus subredes. De esa manera, si alguien hiciera lo que acabas de describir, tendrían que saber qué VLAN se necesita y en qué subred está activada. Todos los demás intentos serían bloqueados por la ACL.

Si le preocupa la seguridad física, tal vez no utilice POE Ethernet a través de un cable Cat 6 largo, pero use una instalación de cámara segura con una potencia de 110 V directamente y conexión Wi-Fi a su enrutador principal / punto de acceso Eso tiene un buen cifrado. Quizás no sea la solución más fácil o barata, pero debe decidir si el costo o la seguridad física de su conexión es más importante. No sé si hay enrutadores POE disponibles, pero puede que haya algo que ver.

O, podría improvisar una alimentación de 12 V CC a través del Cat 6 para alimentar tanto a la cámara como a un transmisor Ethernet inalámbrico, de modo que incluso si un villano rompiera la línea e intentara conectarse, todo lo que obtendrían es de 12 V y ninguna señal.