¿Sería posible que un usuario malintencionado cambie la dirección IP de LAN de un dispositivo sin compromiso?

Navega tus respuestas
0

Tengo una red local y una cámara IP (con su propio almacenamiento). Debido a algunas limitaciones prácticas, no puedo usar tecnologías como el aislamiento de AP o VLAN para aislar dispositivos de baja integridad y alta integridad.

Podría haber algunos usuarios malintencionados en la red Wifi (supongamos que hay algunos) y me preocupa la seguridad de mi cámara IPC.

El objetivo al que apunto es el siguiente

  1. Corregir la dirección IP de la cámara IP.

  2. Bloquee todo el tráfico entrante a la IP de la cámara IP (cuando se necesita administración, Voy a deshabilitar la regla temporalmente).

Para el primer paso, según tengo entendido, hay dos formas de hacerlo:

  1. Establezca una dirección IP estática en el panel de la cámara IPC;
  2. Utilice el servicio DHCP del enrutador y asigne una IP de forma estática a la IPCam (por su dirección MAC).

Personalmente, preferiría el método dos, ya que la administración estaría centralizada (dado que tengo muchas IPCams). Sin embargo, para el método dos, creo que sería posible que un cliente malintencionado falsifique la IPCam (o toda la LAN) para "cambiar" la IP de la IPCam (¿algo relacionado con ARP?).

¿Sería posible hacerlo bajo el método dos? ¿Qué hay del método uno? ¿El método uno sería más seguro?

Si todo el plan no es bueno, ¿habría mejores soluciones además de comprar nuevos enrutadores / cortafuegos que sean compatibles con el aislamiento de AP / VLAN?

    
pregunta Mamsds 31.07.2018 - 06:02
fuente

1 respuesta

0

Si no confías en los dispositivos de tu red local, el segundo método no funcionaría, ya que alguien podría alojar un servidor DHCP no autorizado (a menos que tengas algunos interruptores ingeniosos que puedan hacer ACL de capa 2 para evitarlo). Si ese servidor DHCP respondiera más rápido que su propio servidor DHCP, el atacante podría decirle a su cámara que comience a usar otra dirección IP.

Si le preocupa que la dirección IP de un dispositivo cambie, establecer una IP estática (método 1) sería la mejor manera de hacerlo.

Creo que hay otro problema con la segunda acción que mencionas: supongo que quieres bloquear el tráfico a la IP de la cámara en un enrutador / firewall. Sin embargo, los dispositivos en su red local no usarán ese dispositivo para alcanzar la cámara. Por lo tanto, a menos que pueda configurar esa ACL en la cámara, esto no lo ayudará a evitar que los atacantes provengan de su red local.

La conclusión aquí es que probablemente debería aislar la cámara en otra red que no sea compartida con dispositivos que no sean de confianza, donde pueda implementar medidas de seguridad más estrictas, pero mencionó que eso no era posible.

    
respondido por el Teun Vink 31.07.2018 - 06:32
fuente

Lea otras preguntas en las etiquetas

La aplicación no puede usar la autenticación cuando se conecta a ciertos repositorios Capturar la IP del socio del chat de WA Web con wireshark - ¿Alguna idea?