Як сегментувати мережу для моніторингу відеоспостереження – VLAN крок за кроком

Уявіть, що хакер заволодів однією з камер у вашій компанії - через пароль за замовчуванням, невиправлену вразливість мікропрограми або вразливий порт, відкритий для Інтернету. Що він може зробити тепер? Якщо камери знаходяться в тій самій мережі, що й комп’ютери співробітників, файлові сервери та принтери – відповідь майже все. Він може сканувати мережу, шукати додаткові пристрої та намагатися отримати доступ до даних компанії.

Сегментація мережі через VLAN вирішує цю проблему. Камери йдуть в окрему ізольовану мережу - і навіть якщо хтось забере їх, звідти немає шляху до решти інфраструктури.

Що таке VLAN

VLAN (віртуальна локальна мережа) — це віртуальна локальна мережа, створена програмно на рівні керованого комутатора. Фізично всі пристрої можуть бути підключені до одного комутатора, але логічно вони працюють в окремих ізольованих сегментах мережі.

Пристрої в різних мережах VLAN не можуть спілкуватися напряму - трафік між ними повинен проходити через маршрутизатор або брандмауер, де його можна контролювати та фільтрувати.

Типова схема для компанії з моніторингом

• VLAN 10 – корпоративна мережа: komputery, serwery, drukarki, telefony IP
• VLAN 20 – CCTV: IP камери, rejestratory NVR
• VLAN 30 – гості / гостьовий WiFi: odizolowane od wszystkiego
• VLAN 40 – управління: комутатори, точки доступу, маршрутизатори (доступ тільки для адміністратора)

Між VLAN 10 і VLAN 20 я дозволяю лише трафік, необхідний для керування рекордером - HTTPS до порту 443. Камери у VLAN 20 не бачать нічого з VLAN 10 і не можуть ініціювати підключення до корпоративної мережі.

Що потрібно реалізувати

Керований комутатор, що підтримує VLAN 802.1Q – це важливо. Простий некерований комутатор (коштує 50-100 злотих) не підтримує VLAN. Вам потрібно інвестувати в керований комутатор.

Популярні моделі, якими я користуюся:

• Ubiquiti UniFi – чудовий інтерфейс, управління з однієї консолі, проста конфігурація VLAN
• MikroTik CSS326-24G-2S+RM – дешевший варіант, більше варіантів конфігурації, крутіша крива навчання
• TP-Link TL-SG2428P – гарне співвідношення ціна-якість для невеликих установок

Маршрутизатор або брандмауер, який підтримує маршрутизацію між VLAN – напр. MikroTik RouterBoard, Ubiquiti EdgeRouter або pfSense на спеціальному обладнанні.

Налаштування VLAN на прикладі MikroTik

Нижче наведено спрощену конфігурацію - я припускаю, що комутатор MikroTik CSS326 уже підключений і доступний через Winbox або webfig.

Крок 1: Створення VLAN

У розділі Bridge → VLANs додайте дві VLAN: VLAN ID 10 (корпоративна мережа) та VLAN ID 20 (CCTV). Виберіть, які порти належать до яких VLAN.

Крок 2: Призначте порти

Порти 1–8 – VLAN 20 (камери, NVR) – налаштувати як access ports з PVID 20. Порти 9–24 – VLAN 10 (корпоративна мережа) – PVID 10. Магістральний порт (підключення до роутера) – теговані VLAN 10 і 20.

Крок 3: правила брандмауера на маршрутизаторі

На маршрутизаторі додайте правило, яке забороняє трафік від VLAN 20 до VLAN 10 (перехід від src-адреси 192.168.20.0/24 до dst-адреси 192.168.10.0/24). Дозволяйте рух в іншому напрямку, лише якщо вам потрібно керувати диктофоном з комп’ютера.

Co zyskujesz?

Навіть якщо камеру зламано, зловмисник потрапляє у пастку VLAN 20. Він не може сканувати комп’ютери у VLAN 10, він не може отримати доступ до файлового сервера, він не може поширювати програми-вимагачі. Це фундаментальний принцип безпеки - defense in depth – що полягає у створенні наступних рівнів захисту, де злом одного не означає доступу до всього.

До речі: камери в окремій VLAN не генерують непотрібний широкомовний трафік у мережі компанії. Великі установки з великою кількістю камер можуть значно навантажувати мережу трансляцією - сегментація усуває це.

Якщо ви хочете запровадити VLAN у своїй компанії та не знаєте, з чого почати, я з радістю проведу аудит мережі та розроблю архітектуру відповідно до вашого об’єкта.