Jump to content
  • 0

LAN-кабель выходит в подъезд, как обезопасить?


sanjabgk

Question

(Во-первых, хочется выразить признательность этому ресурсу за тестовую прошивку - она решила проблемы работы моего Omni II с московским Ростелекомом, которые выражались в потере пакетов).

У меня немного нестандартная конфигурация домашнего интернета. В подъезде стоят две довольно тупые китайские Ethernet-камеры, которые реагируют на движение и складывают снимки на ФТП на одном из компьютеров локальной сети с фиксированным IP-адресом. То есть у меня от Кинетика в подъезд тянется сто метров провода. И мне немного сцыкотно, что кто угодно может вытащить этот провод, воткнуть себе в ноутбук и залезть ко мне в домашнюю локалку.

Как мне сделать так, чтобы

  • к определённому LAN Ethernet-разъёму Кинетика (№1) имели доступ только два устройства с конкретными MAC-адресами?
  • чтобы устройства, подключённые к этому физическому порту имели доступ только к одному IP-адресу локальной сети (ФТП-серверу 192.168.100.100, на который камеры складывают свои фото)?
  • при этом бы хотелось иметь доступ к вебинтерфейсу камер для управления ими из LAN.

Буду благодарен за идеи и советы. Спасибо!

 

 

Spoiler

Подробнее о системе - Keenetic Omni II, Версия NDMS v2.08(AAUS.0)A11, конфигурационный файл выложен на http://pastebin.com/13TN5sDb Провайдер - Ростелеком-Онлайм Москва, доступ через WAN-порт без авторизации, VPN и прочего.

Роутер имеет 4 порта LAN, кабель в подъезд подключён в порт №1, к портам №№ 2 - 4 подключены рядовые устройства в квартире, включая FTP-сервер  со статическим IP 192.168.100.100.

MAC-адреса камер - 00:0d:c5:d0:47:f5 (192.168.100.243) и 00:0d:c5:d0:47:e2 (192.168.100.246)

 

  • Thanks 1
Link to comment
Share on other sites

17 answers to this question

Recommended Posts

  • 0

- Делаем сегмент камер:  "Домашняя сеть - сегменты" убираем галки на 1 порту, создаем сегмент, например Cam, со своими айпишниками, добавляем нужный порт.

Чтобы нельзя было залезть в интернет, убираем галку "использовать NAT". Можно в принципе выключить DHCP-сервер, если у камер статика.

- добавляем правила в межсетевой экран, которые будут разрешать трафик из сегмента камер к FTP-серверу, можно строго портом, и трафик из Home на IP камер для управления

По-умолчанию isolate-private (изоляция приватных сегментов) включен, поэтому этого достаточно. Если isolate-private выключен, добавляем правила на запрет трафика Cam->Home

 

В особо хитром варианте - отдаем сегмент Cam тегированным VLANом на LAN-порт, куда воткнут сервер, на сервере делаем два интерфейса.. Но тогда надо будет пошаманить в консоли, веб-интерфейс штатно не дает назначить один порт тегированным в одном сегменте и нетегированным в другом, либо тегированным в двух сегментах.

Edited by KorDen
  • Thanks 1
Link to comment
Share on other sites

  • 0

Спасибо, я примерно так и думал. Только меня останавливает страх накосячить с настройкой статических IP в камерах - если что-то пойдёт не так, придётся идти за стремянкой, снимать их и тащить в дом.

Позвольте я уточню предметно, чтобы понимать нюансы.

Сейчас FTP-сервер и камеры находятся в одном и том же диапазоне локальных IP-адресов, 192.168.100.x

Кинетик имеет адрес 192.168.100.1, FTP-сервер - 192.168.100.100, камера - 192.168.100.246

Предположим, я выведу камеры в отдельный сегмент 192.168.200.* без DHCP и NAT и настрою на получение статических адресов. Камере присвою адрес 192.168.200.246. В поле default gateway IP-настроек камеры я всё ещё буду указывать старый IP-адрес Кинетика 192.168.100.1 или же адрес в новом сегменте, 192.168.200.1?

FTP-клиент камер настроен на то, чтобы складывать фото на FTP-сервер с IP 192.168.100.100  - эта настройка останется неизменной?

Спасибо за ваши ответы.

 

Link to comment
Share on other sites

  • 0

gateway можно указать только в локальном сегменте, соответственно, если ip c маской 192.168.200.246/24,  то gateway не может быть за пределами 192.168.200.x, значит в вашем случае  192.168.200.1

  • Thanks 1
Link to comment
Share on other sites

  • 0
6 часов назад, sanjabgk сказал:

сто метров провода. И мне немного сцыкотно, что кто угодно может вытащить этот провод

реально 100м кабеля от роутера до первой камеры? :)

если времени и желания много, то можно посмотреть в сторону технологии Powerline, думаю, поможет запутать следы.

Link to comment
Share on other sites

  • 0

Да, сотня. Я на 4 этаже, камеры снимают площадку перед лифтом у первого этажа. Кабельный канал забит, поэтому кабель пришлось вести по стене по всей лестнице, спиралью. И потолки у меня в доме высокие...

На таком расстоянии линк стал устойчивым только на 10M half-duplex, но работает же.

Link to comment
Share on other sites

  • 0
7 минут назад, sanjabgk сказал:

Кабельный канал забит

ясно, если с проводкой в доме проблем нет (а это лучше сразу уточнять у обслуживающего электрика), то в теории можете поэкспериментировать c powerline-адаптерами ;) .. на 100% успех лучше не рассчитывать, но всяко интересней чем 100м легко доступного кабеля (помимо роутинга).

Link to comment
Share on other sites

  • 0
4 часа назад, sanjabgk сказал:

Предположим, я выведу камеры в отдельный сегмент 192.168.200.* без DHCP и NAT и настрою на получение статических адресов. Камере присвою адрес 192.168.200.246. В поле default gateway IP-настроек камеры я всё ещё буду указывать старый IP-адрес Кинетика 192.168.100.1 или же адрес в новом сегменте, 192.168.200.1?

FTP-клиент камер настроен на то, чтобы складывать фото на FTP-сервер с IP 192.168.100.100  - эта настройка останется неизменной?

def gw у камеры будет адрес кинетика в новом сегменте, т.е. .200.1

Адрес FTP-сервера останется прежним, но в кинетике с включенным isolate-private нужно будет явно разрешить 192.168.200.0/24 -> 192.168.100.100, по умолчанию камеры не смогут достучаться до FTP-шника.

 

Чтобы не запутаться, предлагаю такую последовательность:

Создаем сегмент с DHCP но без NAT, в CLI кинетика делаем "no isolate-private", опционально меняем в кинетике IP у камеры, если он в привязанных, ребутаем камеру. (либо меняем настройки на камере, если она со статикой уже, шлюз 200.1)

Она получит IP из нового сегмента, но между сетями фильтрации не будет и можно будет достучаться по новому IP, плюс камера продолжит успешно слать на FTP по старому IP.

Дальше можно прописать на камере статику, если была по DHCP, и отключить DHCP-сервер. В принципе, на этом этапе уже часть шутников отсеится - IP не получают, интернета нет, если пропишут IP вручную. Но все еще есть неограниченный доступ к домашней сети, правда напрямую по IP.

Ну а дальше уже химичить с фильтрацией между сегментами, включив isolate-private и играясь с фаерволом

Link to comment
Share on other sites

  • 0

В данном случае помогла бы фильтрация маков на порту.

Вопрос к разработчикам, такое реализуемо на каких-нибудь моделях свитчей на кинетих?

Link to comment
Share on other sites

  • 0
1 час назад, KorDen сказал:

Создаем сегмент с DHCP но без NAT

по идее выпилит с security-level по-умолчанию - public, т.е. надо будет еще перевести на private или protected

1 час назад, KorDen сказал:

делаем "no isolate-private"

если ftp-сервер только как хранилище для фоточек, то можно также выпилить в отдельный public, чтобы без no isolate-private

50 минут назад, dexter сказал:

фильтрация маков на порту.

имхо, кто захочет - узнает маки камер и заспуфит их

Edited by IgaX
Link to comment
Share on other sites

  • 0

еще бы исключительно из вредности сделал вид, что камеры не по фтп работают, а, скажем, на 554-м порту, а на кинетике бы уже транслировал на нужный

Link to comment
Share on other sites

  • 0
19 часов назад, IgaX сказал:

потому что основной изъян в том, что "фотоальбом" на фтп без шифрования уязвим ;)

Если рассматривать фантастический вариант, что кто-то разберет камеру, прочитает флеш и найдет пароль к учетке FTP (или сделает MITM) - можно запретить LIST/RETR/DELE для учетки, под которой ходят камеры, тогда из возможностей вредительства остается только вариант переполнения диска бесконтрольным STOR. А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный.

Edited by KorDen
Link to comment
Share on other sites

  • 0
6 минут назад, KorDen сказал:

Если рассматривать фантастический вариант, что кто-то разберет камеру, прочитает флеш и найдет пароль к учетке FTP (или сделает MITM) - можно запретить LIST/RETR/DELE для учетки, под которой ходят камеры, тогда из возможностей вредительства остается только вариант переполнения диска бесконтрольным STOR

именно ;-) либо в настройках камеры авторизацию хотя бы не плейн-текстом отдавать (если есть такая возможность - даст фору по времени).

11 минуту назад, KorDen сказал:

А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный

тут уже поможет на относительно видном, но труднодоступном месте вент. решетка с едва заметным мерцанием led-индикатора внутри .. проверять что оттуда может распылиться и что это за независимая система либо это просто фальш-макет .. желание вряд ли будет ;)

Link to comment
Share on other sites

  • 0
21 hours ago, IgaX said:

потому что основной изъян в том, что "фотоальбом" на фтп без шифрования уязвим

У пользователя, от лица которого камеры логинятся на FTP, есть права только на STOR, но не на DELETE.

1 hour ago, KorDen said:

А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный.

Этот вариант не рассматриваем - WAN-кабель от провайдера тоже открытым образом, в принципе, проложен - где вы в российских условиях видели хорошо запертые кабель-каналы?

Link to comment
Share on other sites

  • 0
3 минуты назад, sanjabgk сказал:

У пользователя, от лица которого камеры логинятся на FTP, есть права только на STOR, но не на DELETE.

Вы ведь это не уточнили изначально, а для остальных будет полезно знать все риски :)

Link to comment
Share on other sites

  • 0
18 минут назад, sanjabgk сказал:

только на STOR

и не стоит забывать, что теоретически есть возможность выйти на уязвимость gdi, когда Вы просмотрите "нужную" фотку

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...