iT邦幫忙

0

關於監控主機的架構規劃?

  • 分享至 

  • xImage

請問各位前輩
目前公司要加入新的監控主機,要能用手機透過外網連進去看影像。
請問以下兩個架構以安全的角度,哪個比較好?
謝謝
https://ithelp.ithome.com.tw/upload/images/20230821/20135929Zz4ybQyJfy.jpg

看更多先前的討論...收起先前的討論...
PIZZ iT邦新手 1 級 ‧ 2023-08-21 17:28:57 檢舉
左邊,最好在透過VPN
jasonr iT邦新手 2 級 ‧ 2023-08-21 17:38:52 檢舉
請問監控主機另外用PPPoE撥入,有安全性的問題嗎?
mathewkl iT邦高手 1 級 ‧ 2023-08-21 20:54:15 檢舉
漏洞被攻破你也不會知道,然後你公司就有一台C&C殭屍機了
監控主機另外用PPPoE撥入 ?? 是什麼意思

是指監控主機直接用PPPoE撥號連線,連接網際網路嗎??
harry731 iT邦新手 2 級 ‧ 2023-08-22 09:15:19 檢舉
我的作法是架構一
不過那台交換器是僅供監控主機使用,而且是獨立網段,並且在防火牆那邊建立規則
防火牆那邊只允許幾個PORT連通外部,NTP(監控主機對時用)與監控主機的通訊PORT
而且監控主機的PORT也不使用預設的,改用自建的
不過我沒有像sd3388大大所說的使用vpn
因為那樣的話,會被使用者一直碎念,而且這使用者是得罪不起的!!!
jasonr iT邦新手 2 級 ‧ 2023-08-22 09:23:49 檢舉
VPN 確實會被抱怨。感謝,這是可以參考的做法~
froce iT邦大師 1 級 ‧ 2023-08-22 10:55:00 檢舉
架構一,但是把監控主機丟到防火牆下,防火牆切vlan給監控子網路用。
但通常監控不是常用的話丟到vpn下會是更好的選擇。
架構二近乎裸奔。
sd3388 iT邦好手 1 級 ‧ 2023-08-22 14:06:40 檢舉
防火牆做了IP對應到外網跟裸奔沒啥不同
簡單的政策防護幾乎起不了太多作用
等公司登下述新聞看還抱怨不抱怨
https://www.storm.mg/article/180695
jasonr iT邦新手 2 級 ‧ 2023-08-22 16:14:29 檢舉
看起來監控內容安全是右邊架構二的最大問題!
我選架構一,但是必須把監控主機丟到 DMZ 網段,要跟內部網路做區隔
不然其實跟架構二沒啥分別,而且一但監控主機被入侵,整個內部網路也會一起掛
chuway iT邦新手 2 級 ‧ 2023-08-22 21:19:16 檢舉
監控系統如要開埠(或IP對應)對外,那就使用架構二,安全性一樣都很弱,架構二反而對內往較有安全保障。較佳方式:放到DMZ,在對連入IP進行限制(如限台灣本地IP)
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
sd3388
iT邦好手 1 級 ‧ 2023-08-21 22:15:39

監控系統是最多漏洞的
一旦把主機對到外網(經防火牆對應到外也一樣)
就完全暴露在internet了

最好的辦法就是設獨立的網段
讓誰都不能連,自己也不能聯外
那要看影像怎麼辦呢
只能透過2FA認證的VPN登進該監視器網段
這同時包含公司的內網
登入還要附加網路流量防毒防入侵及應用程式控制
我知道很不容易做
但是要安全就沒辦法只能為難自己了

jasonr iT邦新手 2 級 ‧ 2023-08-22 16:16:56 檢舉

架構二不管監控系統好像也是不行!

sd3388 iT邦好手 1 級 ‧ 2023-08-22 16:25:38 檢舉

我的意思應該是架構一架構二都不行
然後架構二很快就被入侵了
架構一被入侵只是時間問題
建議你找個資安廠商來問問
不要只問監控廠商及防火牆廠商
除非它們有相關資安經驗如ISO27005

0

一般來說,安全與方便。永遠都是成反比的。

就方便性而言。一定是在監控主機上跑PPPOE來說是最方便的。
如果還使用固定IP的帳號那是更好。

只是相對的...就一定是最不安全了。

jasonr iT邦新手 2 級 ‧ 2023-08-22 09:21:42 檢舉

請問如果是架構二用中華電信固定IP直連監控主機,就架構的角度~會有甚麼安全性問題?中華固定IP間應該是同網段嗎?後面不是透過防火牆區隔開來嗎?

0
竹本立里
iT邦好手 1 級 ‧ 2023-08-22 09:21:57

右邊沒有說明是用哪種模式讓監控主機連接上網的
1.直接設定固I
2.監控主機直接PPPOE 撥號上網
3.讓監控主機透過中華電信小烏龜硬撥
但除了 3.監控主機透過中華電信小烏龜硬撥上網,其他都是裸奔,完全沒有安全性可言

監控主機另外用PPPoE撥入 ?? 是什麼意思
是指監控主機直接用PPPoE撥號連線,連接網際網路嗎??

結論,這兩種架構左邊的比較安全

jasonr iT邦新手 2 級 ‧ 2023-08-22 16:10:59 檢舉

請問大大提到左邊的比較安全是指右邊的架構的監控主機是裸奔,完全沒有安全性可言?不會影響防火牆下面的設備?

右邊的架構的監控主機是裸奔,完全沒有安全性可言,沒錯
防火牆可以設置有DMZ或獨立VLAN ,你可以單獨把監視器放在DMZ或獨立VLAN內,這樣就不會影響防火牆下面的設備了

1
CyberSerge
iT邦好手 1 級 ‧ 2023-08-22 09:51:30

我覺得類似架構一,但獨立DMZ網段,再透過VPN進監控主機。可以直接在防火牆那裡VPN

jasonr iT邦新手 2 級 ‧ 2023-08-23 09:08:05 檢舉

謝謝你的資訊

0
打雜工
iT邦研究生 1 級 ‧ 2023-08-28 19:21:42

兩個架構都可以,關鍵在您的防火牆怎麼設定,公司的監控主機防護有多安全(通常都很難安全),是否還有其它的安全配套作法等。
如果真沒把握,建議您選架構二,優先保護內部主機(我是假設監控主機對您不重要)。
但監控主機被控制拿去打別人也很麻煩,所以建議您還是找專業整體評估(了解全盤狀況,畢竟您提供的資訊還是有限)及協助處理好了。

我要發表回答

立即登入回答