Jak segmentować sieć dla monitoringu CCTV – VLAN krok po kroku

Wyobraź sobie, że haker przejął jedną z kamer w Twojej firmie – przez domyślne hasło, niezałataną lukę w firmware albo podatny port wystawiony na internet. Co może teraz zrobić? Jeśli kamery są w tej samej sieci co komputery pracowników, serwer plików i drukarki – odpowiedź brzmi: prawie wszystko. Może skanować sieć, szukać kolejnych urządzeń, próbować dostać się do danych firmowych.

Segmentacja sieci przez VLAN rozwiązuje ten problem. Kamery trafiają do osobnej, izolowanej sieci – i nawet jeśli ktoś je przejmie, nie ma stąd drogi do reszty infrastruktury.

Czym jest VLAN?

VLAN (Virtual Local Area Network) to wirtualna sieć lokalna tworzona programowo na poziomie switcha zarządzalnego. Fizycznie wszystkie urządzenia mogą być podłączone do tego samego switcha, ale logicznie działają w oddzielnych, izolowanych segmentach sieci.

Urządzenia w różnych VLAN-ach nie mogą się komunikować bezpośrednio – ruch między nimi musi przechodzić przez router lub firewall, gdzie można go kontrolować i filtrować.

Typowy schemat dla firmy z monitoringiem

• VLAN 10 – sieć firmowa: komputery, serwery, drukarki, telefony IP
• VLAN 20 – CCTV: kamery IP, rejestratory NVR
• VLAN 30 – goście / WiFi gościnne: odizolowane od wszystkiego
• VLAN 40 – zarządzanie: switche, access pointy, routery (dostęp tylko dla administratora)

Między VLAN 10 a VLAN 20 zezwalam tylko na ruch niezbędny do zarządzania rejestratorem – HTTPS na port 443. Kamery w VLAN 20 nie widzą nic z VLAN 10 i nie mogą inicjować połączeń do sieci firmowej.

Co potrzebujesz do wdrożenia?

Switch zarządzalny obsługujący VLAN 802.1Q – to podstawa. Prosty switch niemanagowany (taki za 50–100 zł) nie obsługuje VLAN-ów. Trzeba zainwestować w switch zarządzalny.

Popularne modele, z których korzystam:

• Ubiquiti UniFi – świetny interfejs, zarządzanie z jednej konsoli, łatwa konfiguracja VLAN
• MikroTik CSS326-24G-2S+RM – tańsza opcja, więcej możliwości konfiguracyjnych, steeper learning curve
• TP-Link TL-SG2428P – dobry stosunek ceny do możliwości dla mniejszych instalacji

Router lub firewall obsługujący inter-VLAN routing – np. MikroTik RouterBoard, Ubiquiti EdgeRouter lub pfSense na dedykowanym sprzęcie.

Konfiguracja VLAN na przykładzie MikroTik

Poniżej uproszczona konfiguracja – zakładam, że switch MikroTik CSS326 jest już podłączony i dostępny przez Winbox lub webfig.

Krok 1: Tworzenie VLAN-ów

W sekcji Bridge → VLANs dodaj dwa VLAN-y: VLAN ID 10 (sieć firmowa) i VLAN ID 20 (CCTV). Zaznacz, które porty należą do których VLAN-ów.

Krok 2: Przypisanie portów

Porty 1–8 – VLAN 20 (kamery, rejestrator NVR) – skonfiguruj jako access ports z PVID 20. Porty 9–24 – VLAN 10 (sieć firmowa) – PVID 10. Port trunk (połączenie z routerem) – tagged VLAN 10 i 20.

Krok 3: Reguły firewall na routerze

Na routerze dodaj regułę zabraniającą ruchu z VLAN 20 do VLAN 10 (drop forward z src-address 192.168.20.0/24 do dst-address 192.168.10.0/24). Dopuść tylko ruch w drugą stronę jeśli potrzebujesz zarządzać rejestratorem z komputera.

Co zyskujesz?

Nawet jeśli kamera zostanie przejęta, atakujący jest uwięziony w sieci VLAN 20. Nie może skanować komputerów w VLAN 10, nie ma dostępu do serwera plików, nie może rozprzestrzeniać ransomware. To fundamentalna zasada bezpieczeństwa – defense in depth – polegająca na tworzeniu kolejnych warstw ochrony, gdzie przebicie jednej nie oznacza dostępu do wszystkiego.

Przy okazji: kamery w osobnym VLAN-ie nie generują zbędnego rozgłoszeniowego ruchu sieciowego w sieci firmowej. Duże instalacje z wieloma kamerami mogą znacznie obciążać sieć broadcastem – segmentacja to eliminuje.

Jeśli chcesz wdrożyć VLAN-y w swojej firmie, a nie masz pewności od czego zacząć – chętnie przeprowadzę audyt sieci i zaprojektuję architekturę dopasowaną do Twojego obiektu.