關於監控主機的架構規劃?

防火牆監控攝影機網路攝影機

jasonr 2023-08-21 17:21:53 ‧ 1783 瀏覽

分享至

請問各位前輩
目前公司要加入新的監控主機，要能用手機透過外網連進去看影像。
請問以下兩個架構以安全的角度，哪個比較好?
謝謝

看更多先前的討論...收起先前的討論...

PIZZ iT邦新手 2 級 ‧ 2023-08-21 17:28:57 檢舉

左邊，最好在透過VPＮ

jasonr iT邦新手 2 級 ‧ 2023-08-21 17:38:52 檢舉

請問監控主機另外用PPPoE撥入，有安全性的問題嗎?

mathewkl iT邦高手 1 級 ‧ 2023-08-21 20:54:15 檢舉

漏洞被攻破你也不會知道，然後你公司就有一台C&C殭屍機了

竹本立里 iT邦好手 1 級 ‧ 2023-08-22 09:14:57 檢舉

監控主機另外用PPPoE撥入 ?? 是什麼意思

是指監控主機直接用PPPoE撥號連線,連接網際網路嗎??

harry731 iT邦新手 2 級 ‧ 2023-08-22 09:15:19 檢舉

我的作法是架構一
不過那台交換器是僅供監控主機使用，而且是獨立網段，並且在防火牆那邊建立規則
防火牆那邊只允許幾個PORT連通外部，NTP(監控主機對時用)與監控主機的通訊PORT
而且監控主機的PORT也不使用預設的，改用自建的
不過我沒有像sd3388大大所說的使用vpn
因為那樣的話，會被使用者一直碎念，而且這使用者是得罪不起的!!!

jasonr iT邦新手 2 級 ‧ 2023-08-22 09:23:49 檢舉

VPN 確實會被抱怨。感謝，這是可以參考的做法~

froce iT邦大師 1 級 ‧ 2023-08-22 10:55:00 檢舉

架構一，但是把監控主機丟到防火牆下，防火牆切vlan給監控子網路用。
但通常監控不是常用的話丟到vpn下會是更好的選擇。
架構二近乎裸奔。

sd3388 iT邦好手 1 級 ‧ 2023-08-22 14:06:40 檢舉

防火牆做了IP對應到外網跟裸奔沒啥不同
簡單的政策防護幾乎起不了太多作用
等公司登下述新聞看還抱怨不抱怨
https://www.storm.mg/article/180695

jasonr iT邦新手 2 級 ‧ 2023-08-22 16:14:29 檢舉

看起來監控內容安全是右邊架構二的最大問題!

窮嘶發發發 iT邦高手 1 級 ‧ 2023-08-22 16:38:30 檢舉

我選架構一，但是必須把監控主機丟到 DMZ 網段，要跟內部網路做區隔
不然其實跟架構二沒啥分別，而且一但監控主機被入侵，整個內部網路也會一起掛

chuway iT邦新手 2 級 ‧ 2023-08-22 21:19:16 檢舉

監控系統如要開埠(或IP對應)對外，那就使用架構二，安全性一樣都很弱，架構二反而對內往較有安全保障。較佳方式:放到DMZ，在對連入IP進行限制(如限台灣本地IP)

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

sd3388

iT邦好手 1 級 ‧ 2023-08-21 22:15:39

監控系統是最多漏洞的
一旦把主機對到外網(經防火牆對應到外也一樣)
就完全暴露在internet了

最好的辦法就是設獨立的網段
讓誰都不能連，自己也不能聯外
那要看影像怎麼辦呢
只能透過2FA認證的VPN登進該監視器網段
這同時包含公司的內網
登入還要附加網路流量防毒防入侵及應用程式控制
我知道很不容易做
但是要安全就沒辦法只能為難自己了

回應 2
分享
檢舉

jasonr iT邦新手 2 級 ‧ 2023-08-22 16:16:56 檢舉

架構二不管監控系統好像也是不行!

sd3388 iT邦好手 1 級 ‧ 2023-08-22 16:25:38 檢舉

我的意思應該是架構一架構二都不行
然後架構二很快就被入侵了
架構一被入侵只是時間問題
建議你找個資安廠商來問問
不要只問監控廠商及防火牆廠商
除非它們有相關資安經驗如ISO27005

登入發表回應

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2023-08-21 23:50:28

一般來說，安全與方便。永遠都是成反比的。

就方便性而言。一定是在監控主機上跑PPPOE來說是最方便的。
如果還使用固定IP的帳號那是更好。

只是相對的...就一定是最不安全了。

回應 1
分享
檢舉

jasonr iT邦新手 2 級 ‧ 2023-08-22 09:21:42 檢舉

請問如果是架構二用中華電信固定IP直連監控主機，就架構的角度~會有甚麼安全性問題?中華固定IP間應該是同網段嗎?後面不是透過防火牆區隔開來嗎?

登入發表回應

竹本立里

iT邦好手 1 級 ‧ 2023-08-22 09:21:57

右邊沒有說明是用哪種模式讓監控主機連接上網的
1.直接設定固I
2.監控主機直接PPPOE 撥號上網
3.讓監控主機透過中華電信小烏龜硬撥
但除了 3.監控主機透過中華電信小烏龜硬撥上網,其他都是裸奔,完全沒有安全性可言

監控主機另外用PPPoE撥入 ?? 是什麼意思
是指監控主機直接用PPPoE撥號連線,連接網際網路嗎??

結論,這兩種架構左邊的比較安全

回應 2
分享
檢舉

jasonr iT邦新手 2 級 ‧ 2023-08-22 16:10:59 檢舉

請問大大提到左邊的比較安全是指右邊的架構的監控主機是裸奔,完全沒有安全性可言?不會影響防火牆下面的設備?

竹本立里 iT邦好手 1 級 ‧ 2023-08-22 16:16:51 檢舉

右邊的架構的監控主機是裸奔,完全沒有安全性可言，沒錯
防火牆可以設置有DMZ或獨立VLAN ,你可以單獨把監視器放在DMZ或獨立VLAN內,這樣就不會影響防火牆下面的設備了

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2023-08-22 09:51:30

我覺得類似架構一，但獨立DMZ網段，再透過VPN進監控主機。可以直接在防火牆那裡VPN

回應 1
分享
檢舉

jasonr iT邦新手 2 級 ‧ 2023-08-23 09:08:05 檢舉

謝謝你的資訊

登入發表回應

打雜工

iT邦研究生 1 級 ‧ 2023-08-28 19:21:42

兩個架構都可以，關鍵在您的防火牆怎麼設定，公司的監控主機防護有多安全(通常都很難安全)，是否還有其它的安全配套作法等。
如果真沒把握，建議您選架構二，優先保護內部主機(我是假設監控主機對您不重要)。
但監控主機被控制拿去打別人也很麻煩，所以建議您還是找專業整體評估(了解全盤狀況，畢竟您提供的資訊還是有限)及協助處理好了。