Optionen, die Ihnen in den Sinn kommen:

• Verwenden Sie einen verwalteten Switch , um die Zugriffskontrolle über den physischen Port bereitzustellen.

  • Für jeden physischen Port kann nur eine bestimmte IP-Adresse zugewiesen werden. (dh die der Kamera) Dies kann dazu beitragen, Angriffe zu erkennen, da der Angreifer versucht, einen IP-Konflikt zu erstellen, um auf den Rest zuzugreifen des LAN dann wird das wahrscheinlich die Kameraverbindung stören. Fortgeschrittenere Angreifer können eine solche Erkennung jedoch wahrscheinlich vermeiden.

  • Für jede IP wissen wir jetzt, dass sie nur von einem bestimmten physischen Port stammen kann. Anschließend erstellen wir Zugriffssteuerungslisten nach Ziel-IP und TCP-Portnummer.

• Idealerweise sollten die Kameras HTTPS und verwenden dass Ihre Empfangsstation gegen MiTM gesichert ist, indem Sie den Fingerabdruck des HTTPS-Zertifikats der Kamera überprüfen. Zumindest sollten die Kameras eine Art Authentifizierung haben, bevor sie ihren Videostream und ihre Konfigurationsoberfläche freigeben.

• Wenn modernes WLAN eine Option ist, verfügt es vor dem Zugriff über eine integrierte Authentifizierung das LAN basiert auf einem gemeinsamen Geheimnis. Es kann jedoch drahtlos erledigt werden und seine Sicherheit kann von einer anderen Partei weniger leicht überprüft werden. (Der Nachweis der Sicherheit physischer Kabel ist einfacher als der Nachweis, dass ein gemeinsames Geheimnis nicht gefährdet wurde.)

• Ich habe von einer Authentifizierungsmethode gehört, mit der die Ethernet-Nutzung eingeschränkt werden soll, bin mir aber nicht sicher seinen Umfang (oder wenn Ihre Kamera dies unterstützt) oder ob es Ihnen hilft, ohne alle anderen Geräte im LAN zu aktualisieren. Möglicherweise hilft ein verwalteter Switch dabei, die Konfiguration zu aktualisieren.

• Überprüfen Sie insgesamt die Sicherheit der anderen Geräte in Ihrem LAN. Windows-Computer sollten die Netzwerke als öffentliche Netzwerke behandeln, damit sie kein Vertrauen annehmen. Jedes Gerät in Ihrem LAN sollte berücksichtigt und gesichert werden.

• Belassen Sie natürlich keine Standardanmeldeinformationen. Die Passwörter müssen auf allen neuen Geräten sowohl für die Videoüberwachung als auch für andere Geräte in Ihrem LAN zurückgesetzt werden.

• Vergessen Sie nicht die physischen Barrieren :-)

Stellen Sie Ihre Kameras und Ihren Videorecorder in ein separates Netzwerksegment und überbrücken Sie sie durch eine Firewall, die es internen Geräten ermöglicht, mit dem Videorecorder zu kommunizieren, während verhindert wird, dass etwas auf der nicht vertrauenswürdigen Seite des Netzwerks mit der anderen Seite kommuniziert.

Dies kann problemlos mit einem Linux / BSD-Computer (mit IPtables / PF) durchgeführt werden, und ich bin sicher, dass es kommerzielle Router wie Cisco oder Ubiquiti gibt, die dies ebenfalls tun würden.

Wenn Ihre Kabel an einem physisch sicheren Ort landen, bevor Sie zu den Kameras gehen, können Sie IPSec auch mit einem kleinen Server an beiden Enden verwenden, um den Datenverkehr zu verschlüsseln, der über das unsichere Kabel fließt. Auf diese Weise kann ein Angreifer dies nicht viel, es sei denn, er knackt IPSec.

Verwenden Sie verschlüsseltes VLAN oder VPN. Richten Sie ein VPN-Gateway überall dort ein, wo Ihr Netzwerk zwischen intern und extern wechselt. Stellen Sie sicher, dass alle externen Kabel nur verschlüsselte Daten enthalten.

Mit einer verschlüsselten Verbindung stellen Sie Authentizität (Daten müssen aus einem vertrauenswürdigen Netzwerk stammen), Integrität (Daten werden nicht geändert, wenn Sie mit nicht vertrauenswürdigen Kabeln reisen) und Vertraulichkeit (Daten werden nicht durch die externen Kabel übertragen) sicher.

Das letzte Sicherheitsrisiko ist die Verfügbarkeit (der Dienst wird nicht unterbrochen). Die Verschlüsselung löst dies nicht. Für die Verfügbarkeit können Sie einen zusätzlichen redundanten Pfad zwischen den vertrauenswürdigen Netzwerken und eine automatische Umleitung zwischen diesen einrichten. Ein Angreifer hätte gleichzeitig alle physischen Pfade kompromittieren müssen, um den Dienst herunterzufahren.

Da Sie über ein Kameranetzwerk verfügen, möchten Sie möglicherweise sicherstellen, dass jeder, der Zugriff auf das Panel hat und exponiert ist Die Verkabelung innerhalb des unverschlüsselten internen Netzwerks muss über die Sichtlinie einer Kamera erfolgen. Auf diese Weise würden Sie Hinweise auf Manipulationen aufzeichnen und die Möglichkeit erhalten, den Täter zu identifizieren.

Sicherheitsbeamter

Dieses Gerät kann die Integrität der Cat6-Kabel mithilfe des Mark I Eyeball aktiv überwachen. starkes> Standardzubehör.

Angenommen, jemand würde die Drähte austauschen, bevor er sie crimpt, damit jeder, der ein normales Kabel anschließt, den PoE 48V in die + -2,5 V-Datenkabel einspeist ... Stellen Sie nur sicher, dass Sie dokumentieren, welches Kabel welches ist, und tun Sie dies nur Wenn Sie wissen, dass Personen der Dokumentation folgen. Standard-Pinbelegung auf Wikipedia.

Stahldrahtpanzerung Cat-6 ist verfügbar. Wenn Sie es verwenden oder normales Cat-6 in einem Stahlrohr verwenden, wird es für einen Gegner schwieriger, in das Kabel zu spleißen. Wie auch die Kabel über Kopfhöhe verlegen.

Wie bereits erwähnt, ist die Netzwerkisolation jedoch die beste Lösung.

Ich möchte erwähnen, dass einige NVRs (wie HIKVISION DS-7608NI-E2 / 8P / A) 8 PoE-Ports + einen weiteren Port für das interne Netzwerk haben.

Auf diese Weise die Kameras Der Zugriff ist nicht einzeln möglich, solange er sich noch in einem isolierten LAN befindet. Sie können jedoch den Zugriff mit Authentifizierung auf die Kamera-Feeds über die NVR-Konfiguration konfigurieren.

Richten Sie ACLs und VLANs für alle Ihre Subnetze ein. Wenn jemand das tun würde, was Sie gerade beschrieben haben, müsste er wissen, welches VLAN benötigt wird und in welchem ​​Subnetz er sich befinden soll. Alle anderen Versuche würden von der ACL blockiert.

Wenn Sie Bedenken hinsichtlich der physischen Sicherheit haben, verwenden Sie möglicherweise kein POE-Ethernet über ein langes Cat 6-Kabel, sondern verwenden Sie eine gesicherte Kamerainstallation mit einer 110-V-Stromversorgung direkt und einer Wi-Fi-Verbindung zu Ihrem Hauptrouter / Zugangspunkt das hat eine gute Verschlüsselung. Es ist vielleicht nicht die einfachste oder billigste Lösung, aber Sie müssen entscheiden, ob die Kosten oder die physische Sicherheit Ihrer Verbindung wichtiger sind. Ich weiß nicht, ob POE-Router verfügbar sind, aber möglicherweise wird dies untersucht.

Oder Sie können eine 12-V-Gleichstromversorgung über die Cat 6 zusammenschustern, um sowohl die Kamera als auch ein drahtloses Ethernet zu speisen Sender also, selbst wenn ein Bösewicht die Leitung durchbrach und versuchte zu tippen, würden sie nur 12 V und kein Signal erhalten