Возможно ли ограничить доступ ПК в сеть?

Question

[Only4You]

Добрый день, господа.
Нужна ваша помощь в вопросе обеспечения безопасности.
Была у меня изолированная сеть, но теперь появилась необходимость предоставить доступ в сеть машине, за которой будет сидеть человек, который вероятно захочет собрать информацию или напакостить.
Суть вопроса в следующем.
Можно ли ограничить видимость сети "Клиенту видео", чтоб он не смог просканировать сеть(узнать адреса камер и т.п.), но при этом чтоб у него был доступ через CSO, IVMS, сетевой диск к серверу для просмотра живого видео-видео архива?

Схема подключения примерно такая как на картинке
Клиент Видео -> ютп кабель -> Mikrotik -> оптический кабель -> Aruba 2530 в 50й порт SFP
Сервер Видео -> ютп кабель -> Aruba 2530 в 20й порт.
Какие необходимо произвести манипуляции для реализации данной цели? если это конечно возможно

Comments

[Drno]

Запретите доступ на микротике до любого ИП кроме ИП ivms

Ip камер он кстати там найдет, если умеет)

Answer 1

[Сергей Гультяев]

Мне кажется, что это всё теряет смысл, если есть доступ к iVMS, там же есть функция просмотр IP.
Вариант с VLAN мне кажется самым разумным.

Comments

[mordo445]

Точно-точно. Если используется ivms. то используется весь парк сервисов хиковского sdk, и портов, и сервисов.

[Zerg89]

mordo445, а пользователя в ivms с ограниченными правами создать?

[mordo445]

Та клиентской машине всё равно придется отдать доступ к портам 80, 8000, 8080, 443, 554 и всем ip-камер или видеорегистраторов. Там человек за сетевую безопасность камер беспокоится, а с таким набором можно с камерами начудить многое

[Сергей Гультяев]

mordo445, ну вот, задача была бы более реальная, если бы использовалось аналоговое наблюдение. Кстати, подумал, как вариант регистратор в отдельную подсеть вытащить и попробовать запретить клиенту обращаться к подсети с камерами. На практике не готов сказать, будет ли так работать.

[Zerg89]

mordo445, только к серверу на просмотр 8000 порт, остальное не нужно

[mordo445]

Zerg89, если речь всё еще про ivms, то "сервером" будет видеорегистратор и все ок. А если там pc-nvr? без стримсервера нужен прямой доступ к камерам, что бы получить потоки. Вся суть в том, как выполнена система наблюдения у человека.

[Only4You]

mordo445, Zerg89, Видеонаблюдение реализовано на Орион Про Видео, запись идет именно туда, но т.к. камеры Хиковские можно и IVMS использовать для лайв видео

[mordo445]

не используйте, используйте клиента орион про, и доступ оградите только до сервера, так лучше

Answer 2

[Zerg89]

Ограничить тегированному трафику доступ только к серверу, создать пользователя с ограниченными правами на видеосервере

Comments

[Only4You]

Отдельный пользователь с ограниченными правами это понятно, но что ему помешает сканировать подсеть и слить инфу?)

[Zerg89]

Only4You,

Ограничить тегированному трафику доступ только к серверу

,роутер за которым он находится не отправит трафик туда куда не нужно, и что такого секретного в ip локальных видеокамер

[Only4You]

Zerg89,

роутер за которым он находится не отправит трафик туда куда не нужно

Я не очень хорошо понимаю как это реализовать, если можно подробней

и что такого секретного в ip локальных видеокамер

Там не только камеры, но и хосты и другие устройства. И сама мысль о том что какой-то Юзверь сольёт конфиг сети и сможет им "размахивать" (перед моим шефом, например) не даёт мне покоя)

[Zerg89]

Only4You,

Ip firewall filter add chain=forward src=192.168.10.3 dst=!192.168.10.10 action=drop

Так понятней

[Only4You]

Zerg89, да, благодарю

Answer 3

[mordo445]

Если на клиенте iVMS, то для ее работы вы откроете человеку все что нужно, что бы "пакостить", иначе iVMS не будет толком работать. Что там на сервере видео установлено? Может ли оно работать прокси-видеосервером? Для таких случаев мы применяем две тактики:
Если камер внешнему клиенту для работы надо мало и записи не нужны, то в районе вашего шлюза или на ядре заводим для сети аксесс-листы только на требуемые камеры, доступ к другим ip-адресам дропаем.
Если нужно всё, много, и записи тоже, а клиент неблагонадежный, идем к шефу и прямо об этом говорим, работает административный ресурс, и клиента больше нет. Или есть и он наводит бесчинства. Что бы сильно не наводил ограничиваем его аксесс-лист сервером, другие ip ему недоступны. Если сервер не умеет быть стримером, то чешем в затылке, это плохой сервер, если умеет - всё готово.

Comments

[Only4You]

Попробую разобраться с ACL, до сих пор не приходилось иметь дело. На крайняк уведу Клиента в другой Влан.

[mordo445]

в принципе, если в этот "другой vlan" будет смотреть только один из интерфейсов сервера, клиент остальную сеть не увидит. Не забудьте блокировать ненадежному клиенту возможности удаленного управления