LAN-кабель выходит в подъезд, как обезопасить?

[sanjabgk]

(Во-первых, хочется выразить признательность этому ресурсу за тестовую прошивку - она решила проблемы работы моего Omni II с московским Ростелекомом, которые выражались в потере пакетов).

У меня немного нестандартная конфигурация домашнего интернета. В подъезде стоят две довольно тупые китайские Ethernet-камеры, которые реагируют на движение и складывают снимки на ФТП на одном из компьютеров локальной сети с фиксированным IP-адресом. То есть у меня от Кинетика в подъезд тянется сто метров провода. И мне немного сцыкотно, что кто угодно может вытащить этот провод, воткнуть себе в ноутбук и залезть ко мне в домашнюю локалку.

Как мне сделать так, чтобы

• к определённому LAN Ethernet-разъёму Кинетика (№1) имели доступ только два устройства с конкретными MAC-адресами?
• чтобы устройства, подключённые к этому физическому порту имели доступ только к одному IP-адресу локальной сети (ФТП-серверу 192.168.100.100, на который камеры складывают свои фото)?
• при этом бы хотелось иметь доступ к вебинтерфейсу камер для управления ими из LAN.

Буду благодарен за идеи и советы. Спасибо!

 

 

Spoiler

Подробнее о системе - Keenetic Omni II, Версия NDMS v2.08(AAUS.0)A11, конфигурационный файл выложен на http://pastebin.com/13TN5sDb Провайдер - Ростелеком-Онлайм Москва, доступ через WAN-порт без авторизации, VPN и прочего.

Роутер имеет 4 порта LAN, кабель в подъезд подключён в порт №1, к портам №№ 2 - 4 подключены рядовые устройства в квартире, включая FTP-сервер  со статическим IP 192.168.100.100.

MAC-адреса камер - 00:0d:c5:d0:47:f5 (192.168.100.243) и 00:0d:c5:d0:47:e2 (192.168.100.246)

 

[KorDen]

- Делаем сегмент камер:  "Домашняя сеть - сегменты" убираем галки на 1 порту, создаем сегмент, например Cam, со своими айпишниками, добавляем нужный порт.

Чтобы нельзя было залезть в интернет, убираем галку "использовать NAT". Можно в принципе выключить DHCP-сервер, если у камер статика.

- добавляем правила в межсетевой экран, которые будут разрешать трафик из сегмента камер к FTP-серверу, можно строго портом, и трафик из Home на IP камер для управления

По-умолчанию isolate-private (изоляция приватных сегментов) включен, поэтому этого достаточно. Если isolate-private выключен, добавляем правила на запрет трафика Cam->Home

 

В особо хитром варианте - отдаем сегмент Cam тегированным VLANом на LAN-порт, куда воткнут сервер, на сервере делаем два интерфейса.. Но тогда надо будет пошаманить в консоли, веб-интерфейс штатно не дает назначить один порт тегированным в одном сегменте и нетегированным в другом, либо тегированным в двух сегментах.

Изменено 15 ноября, 2016 пользователем KorDen

[sanjabgk]

Спасибо, я примерно так и думал. Только меня останавливает страх накосячить с настройкой статических IP в камерах - если что-то пойдёт не так, придётся идти за стремянкой, снимать их и тащить в дом.

Позвольте я уточню предметно, чтобы понимать нюансы.

Сейчас FTP-сервер и камеры находятся в одном и том же диапазоне локальных IP-адресов, 192.168.100.x

Кинетик имеет адрес 192.168.100.1, FTP-сервер - 192.168.100.100, камера - 192.168.100.246. 

Предположим, я выведу камеры в отдельный сегмент 192.168.200.* без DHCP и NAT и настрою на получение статических адресов. Камере присвою адрес 192.168.200.246. В поле default gateway IP-настроек камеры я всё ещё буду указывать старый IP-адрес Кинетика 192.168.100.1 или же адрес в новом сегменте, 192.168.200.1?

FTP-клиент камер настроен на то, чтобы складывать фото на FTP-сервер с IP 192.168.100.100  - эта настройка останется неизменной?

Спасибо за ваши ответы.

 

[Surefire C]

gateway можно указать только в локальном сегменте, соответственно, если ip c маской 192.168.200.246/24,  то gateway не может быть за пределами 192.168.200.x, значит в вашем случае  192.168.200.1

[IgaX]

2 часа назад, Surefire C сказал:

gateway можно указать только в локальном сегменте

вроде бы маршруты творят чудеса

[IgaX]

6 часов назад, sanjabgk сказал:

сто метров провода. И мне немного сцыкотно, что кто угодно может вытащить этот провод

реально 100м кабеля от роутера до первой камеры?

если времени и желания много, то можно посмотреть в сторону технологии Powerline, думаю, поможет запутать следы.

[sanjabgk]

Да, сотня. Я на 4 этаже, камеры снимают площадку перед лифтом у первого этажа. Кабельный канал забит, поэтому кабель пришлось вести по стене по всей лестнице, спиралью. И потолки у меня в доме высокие...

На таком расстоянии линк стал устойчивым только на 10M half-duplex, но работает же.

[IgaX]

7 минут назад, sanjabgk сказал:

Кабельный канал забит

ясно, если с проводкой в доме проблем нет (а это лучше сразу уточнять у обслуживающего электрика), то в теории можете поэкспериментировать c powerline-адаптерами  .. на 100% успех лучше не рассчитывать, но всяко интересней чем 100м легко доступного кабеля (помимо роутинга).

[KorDen]

4 часа назад, sanjabgk сказал:

Предположим, я выведу камеры в отдельный сегмент 192.168.200.* без DHCP и NAT и настрою на получение статических адресов. Камере присвою адрес 192.168.200.246. В поле default gateway IP-настроек камеры я всё ещё буду указывать старый IP-адрес Кинетика 192.168.100.1 или же адрес в новом сегменте, 192.168.200.1?

FTP-клиент камер настроен на то, чтобы складывать фото на FTP-сервер с IP 192.168.100.100  - эта настройка останется неизменной?

def gw у камеры будет адрес кинетика в новом сегменте, т.е. .200.1

Адрес FTP-сервера останется прежним, но в кинетике с включенным isolate-private нужно будет явно разрешить 192.168.200.0/24 -> 192.168.100.100, по умолчанию камеры не смогут достучаться до FTP-шника.

 

Чтобы не запутаться, предлагаю такую последовательность:

Создаем сегмент с DHCP но без NAT, в CLI кинетика делаем "no isolate-private", опционально меняем в кинетике IP у камеры, если он в привязанных, ребутаем камеру. (либо меняем настройки на камере, если она со статикой уже, шлюз 200.1)

Она получит IP из нового сегмента, но между сетями фильтрации не будет и можно будет достучаться по новому IP, плюс камера продолжит успешно слать на FTP по старому IP.

Дальше можно прописать на камере статику, если была по DHCP, и отключить DHCP-сервер. В принципе, на этом этапе уже часть шутников отсеится - IP не получают, интернета нет, если пропишут IP вручную. Но все еще есть неограниченный доступ к домашней сети, правда напрямую по IP.

Ну а дальше уже химичить с фильтрацией между сегментами, включив isolate-private и играясь с фаерволом

[dexter]

В данном случае помогла бы фильтрация маков на порту.

Вопрос к разработчикам, такое реализуемо на каких-нибудь моделях свитчей на кинетих?

[IgaX]

1 час назад, KorDen сказал:

Создаем сегмент с DHCP но без NAT

по идее выпилит с security-level по-умолчанию - public, т.е. надо будет еще перевести на private или protected

1 час назад, KorDen сказал:

делаем "no isolate-private"

если ftp-сервер только как хранилище для фоточек, то можно также выпилить в отдельный public, чтобы без no isolate-private

50 минут назад, dexter сказал:

фильтрация маков на порту.

имхо, кто захочет - узнает маки камер и заспуфит их

Изменено 15 ноября, 2016 пользователем IgaX

[IgaX]

еще бы исключительно из вредности сделал вид, что камеры не по фтп работают, а, скажем, на 554-м порту, а на кинетике бы уже транслировал на нужный

[IgaX]

потому что основной изъян в том, что "фотоальбом" на фтп без шифрования уязвим

[KorDen]

19 часов назад, IgaX сказал:

потому что основной изъян в том, что "фотоальбом" на фтп без шифрования уязвим

Если рассматривать фантастический вариант, что кто-то разберет камеру, прочитает флеш и найдет пароль к учетке FTP (или сделает MITM) - можно запретить LIST/RETR/DELE для учетки, под которой ходят камеры, тогда из возможностей вредительства остается только вариант переполнения диска бесконтрольным STOR. А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный.

Изменено 17 ноября, 2016 пользователем KorDen

[IgaX]

6 минут назад, KorDen сказал:

Если рассматривать фантастический вариант, что кто-то разберет камеру, прочитает флеш и найдет пароль к учетке FTP (или сделает MITM) - можно запретить LIST/RETR/DELE для учетки, под которой ходят камеры, тогда из возможностей вредительства остается только вариант переполнения диска бесконтрольным STOR

именно  либо в настройках камеры авторизацию хотя бы не плейн-текстом отдавать (если есть такая возможность - даст фору по времени).

11 минуту назад, KorDen сказал:

А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный

тут уже поможет на относительно видном, но труднодоступном месте вент. решетка с едва заметным мерцанием led-индикатора внутри .. проверять что оттуда может распылиться и что это за независимая система либо это просто фальш-макет .. желание вряд ли будет

[sanjabgk]

21 hours ago, IgaX said:

потому что основной изъян в том, что "фотоальбом" на фтп без шифрования уязвим

У пользователя, от лица которого камеры логинятся на FTP, есть права только на STOR, но не на DELETE.

1 hour ago, KorDen said:

А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный.

Этот вариант не рассматриваем - WAN-кабель от провайдера тоже открытым образом, в принципе, проложен - где вы в российских условиях видели хорошо запертые кабель-каналы?

[IgaX]

3 минуты назад, sanjabgk сказал:

У пользователя, от лица которого камеры логинятся на FTP, есть права только на STOR, но не на DELETE.

Вы ведь это не уточнили изначально, а для остальных будет полезно знать все риски

[IgaX]

18 минут назад, sanjabgk сказал:

только на STOR

и не стоит забывать, что теоретически есть возможность выйти на уязвимость gdi, когда Вы просмотрите "нужную" фотку