Progetto per IP CAM in massima sicurezza

[xool]

Salve dovrei realizzare un impianto di videosorveglianza che per il momento provvede solo due IP CAM e quasi sicuramente due AXIS 207W (che però collegherò in cablato e non in WiFi). La scelta di questa telecamera è ricaduta por il supporto all'https che invece la 207 classica non ha.

L'impianto prevederà dunque, due telecamere IP collegate ad un computer Server che farà da server FTP per la registrazione (userò Cerberus come consigliato diverse volte dal buon Tutmosi ), il tutto protetto da un Smart-UPS APC da 1500VA (secondo voi quanto può durare?).

Bene... In questa abitazione ci sono già due pc collegati ad un router wireless Netgear, che chiaramente vanno su internet e fanno di tutto compreso Peer 2 peer.

Il mio problema sta appunto nel "portare" le due IP Cam su internet nella massima sicurezza, nel senso che voglio premunirmi da problemi dovuti ad eventuali intrusioni dall'esterno. A tal proposito ritengo assolutamente insicuro collegare le due IP CAM con il server ftp al router Netgear al quale sono collegati gli altri due pc che navigano liberamente nella rete e quindi sono liberi di prendersi tutti i virus e trojan di questo mondo, o ancor peggio qualche computer casuale connesso in wireless (intendo l'ospite di turno e non l'intruso in quanto c'è la WPA). Essendo euindi tutti nella setlla LAN, si correrebbe il rischio che un eventuale intruso veda cosa stanno riprendendo le telecamere, e ancor peggio accedere al server ftp e fare quallo che vuole dei filamti registrati.


Ma veniamo quindi alla mia idea di soluzione (ho allegato un PDF del progetto per essere più chiaro):

Per porre rimedio a questo eventuale rischio avevo pensato di creare due LAN separate, una che comprende i pc già presenti ed eventuali altri in WiFi insieme con il router netgear, un'altra che comprende solo le due IP CAM + il server ftp con un altro router che sarebbe collegato direttamente al netgear attraverso la WAN.

In questa maniera posso avere due reti completamente separate e sopratutto il firewall del router che gestisce le 2 IP CAM con il Server FTP che imposterei con delle forti restrizioni.


In teoria dovrebbe funzionare tutto, ma i problemi sono:

- Come gestire la visualizzazione delle IP CAM dai pc prensenti?
- Dall'esterno (quindi da Internet) come fare ad arrivare alle IP CAM?

Avevo pensato anche a questo così:

- Per gestire la visualizzazione dai pc già presenti, quindi da tutti i pc facenti parte della LAN con il netgear, basta richiamare l'ip del router che gestisce le 2 IP CAM + Server FTP sulla porta di ciascuna IP Cam (che provvederei a cambiare impostandone una diversa per ogni telecamera).

- Dall'esterno è più complicato, in quanto devo passare per due router. Quindi come si potrebbe fare?

[pegasolabs]

Vediamo se il grande amico Tutmosi stavolta ci viene in aiuto...prossimo sposo
Cmq dall'esterno ti vuoi collegare in https alle due cam, giusto?
Sinceramente non ho mai provato una cosa del genere.
Dovresti cambiare la porta ad una delle due, se è possibile.
Quindi ad esempio girare la 443 sul primo router verso l'ip "wan" del secondo router. Poi girare la 443 verso l'ip della cam nel secondo router.
Ripetere il tutto per la seconda con altra porta.

[xool]

Si vorrei raggiungerle in https, che è una connessione protetta e dovrebbe essere sicura da un possibile sniffing...

Quote:

Dovresti cambiare la porta ad una delle due, se è possibile.
Quindi ad esempio girare la 443 sul primo router verso l'ip "wan" del secondo router. Poi girare la 443 verso l'ip della cam nel secondo router.
Ripetere il tutto per la seconda con altra porta.

L'idea come accennato è proprio quella. Cambiare la porta a una delle due CAM o a tutte e due che credo si possa fare tranquillamente.

Il problema è realizzare il percorso dall'esterno fino al router che gestisce le due CAM. Arrivare al router collegato ad internet non ci vuole niente, e non dovrebbe essere un problema arrivare anche al secondo router. Il problema è andare oltre quello. Bisognerebbe fare un routing manuale verso gli indirizzi IP delle CAM.

Tipo dire al secondo router: tutto ciò che arriva dal tuo esterno sulla porta X inoltralo all'indirizzo 192.168.1.x porta X della tua LAN interna...

Na parola !!

Cmq si capisce bene il disegno? Ti sembra una soluzione ottima per proteggere la parte di videosorveglianza?

[pegasolabs]

Quote:

Originariamente inviato da xool

1) Tipo dire al secondo router: tutto ciò che arriva dal tuo esterno sulla porta X inoltralo all'indirizzo 192.168.1.x porta X della tua LAN interna...


2) Cmq si capisce bene il disegno? Ti sembra una soluzione ottima per proteggere la parte di videosorveglianza?

1) A me sembra un semplice port forwarding...mi sfugge qualcosa?

2) Si la parte delle cam più protetta di così non può essere. Disegno chiarissimo.

[xool]

Lo sai che hai ragione

Non so perchè ma mi era venuto il "Trip" di pensare chissà chè cosa astrusa. In effetti il secondo router tutto ciò che gli arriva lo inoltra con il port forwarding

[pegasolabs]

Devi solo provare se il tutto funziona
Fammi sapere please come ti trovi con le 207w che tra un pò devo prenderle anche io, scelte in base al tuo stesso ragionamento

[tutmosi3]

Purtroppo non ho tempo.

-4

Leggasi la mia sign.
Quando torno prenderò in esame la situazione.
Installazioni per alta sicurezza ne ho già fatte con ottimi risultati.

Ciao

[Alfonso78]

Quote:

Originariamente inviato da pegasolabs

1) A me sembra un semplice port forwarding...mi sfugge qualcosa?

sinceramente mi sfugge il fatto del port forwarding nel primo router verso l'ip wan del secondo....

o forse sono stanco.....

[pegasolabs]

Quote:

Originariamente inviato da Alfonso78

sinceramente mi sfugge il fatto del port forwarding nel primo router verso l'ip wan del secondo....

o forse sono stanco.....

L'ip wan del secondo è un ip che sta nella rete lan del primo. Ti trovi?

[xool]

Quote:

Originariamente inviato da pegasolabs

L'ip wan del secondo è un ip che sta nella rete lan del primo. Ti trovi?

Esatto Infatti nei pc presenti nella rete locale basterà digitare nel browser l'indirizzo ip del router che gestisce le 2 IP Cam e la porta assegnata a ciascuna IP Cam.

Quote:

Purtroppo non ho tempo.

-4

Leggasi la mia sign.
Quando torno prenderò in esame la situazione.
Installazioni per alta sicurezza ne ho già fatte con ottimi risultati.

Ciao

Ci mancherebbe altro! Goditi il matrimonio e sopratutto AUGURI!!!

[pegasolabs]

Quote:

Originariamente inviato da pegasolabs

Fammi sapere please come ti trovi con le 207w che tra un pò devo prenderle anche io, scelte in base al tuo stesso ragionamento

xool...

[Alfonso78]

Quote:

Originariamente inviato da pegasolabs

L'ip wan del secondo è un ip che sta nella rete lan del primo. Ti trovi?

è vero....!!!!!

era l'orario....

non farci caso....

[xool]

Quote:

Originariamente inviato da pegasolabs

xool...

Certo che ti faccio sapere, tranquillo

Comunque aspetterò prima i consigli di Tutmosi quando ritornerà.

[xool]

Riuppo questo thread nella speranza che il mitico Tutmosi si sia liberato dai sui impegni e possa darmi una mano...

Aspetto con ansia il tuo responso

[pegasolabs]

Quote:

Originariamente inviato da xool

Riuppo questo thread nella speranza che il mitico Tutmosi si sia liberato dai sui impegni e possa darmi una mano...

Aspetto con ansia il tuo responso

E' tornato e gli ho linkato il thread. Domani mattina imho posta

[xool]

Quote:

Originariamente inviato da pegasolabs

E' tornato e gli ho linkato il thread. Domani mattina imho posta

Che dire... Grazie

[tutmosi3]

Eccomi.

Sono tornato.
Non sono operativo al 100% ma almeno raggiungo un buon 85%.

Direi che al carne al fuoco è tanta.

Comincamo dall'inizio.

Non è la prima volta che stendo sistemi di video sorveglianza IP su 2 reti separate, il top sarebbe avere 2 accessi ad internet indipendenti.
Ne sei consapevole?

Detto questo, parrebbe che la sicurezza sia un aspetto fondamentale.
Tenendo 2 accessi indipendenti sei già a buon punto, con Cerberus ben configurato ha un ulteriore implementazione ed al tutto sommi un firewall di qualità più che dignitosa contenuto nel router.
Se questo non è sufficiente ci sono 2 soluzioni:
Acquisto di un firewall hardware (spesa approssimativa 1000 €)
Uso di un PC anche vecchio con una distribuzione Linux dedicata a firewall (IP Cop o Monowall).

Quando abbiamo deciso questi aspetti passiamo oltre.

Ciao

[Odyssey]

Quote:

Originariamente inviato da tutmosi3

Acquisto di un firewall hardware (spesa approssimativa 1000 €)
Uso di un PC anche vecchio con una distribuzione Linux dedicata a firewall (IP Cop o Monowall).

Quoto...
Sinceramente dallo schema non capisco l'utilizzo di un ulteriore router....
Basta mettere un firewall come tut ha consigliato e risolvi tutto...

[xool]

Innanzitutto grazie del tuo intervento tutmosi, ci speravo...

Ma veniamo al dunque...

Allora la mia intenzione è separare la rete che comprende le 2 IP Cam + Server dalla rete esistente presente, che potrebbe anche espandersi. Chiaramente la cosa migliore per realizzare questa cosa è un router che faccia NAT da una rete all'altra.

Purtroppo non è possibile avere due accessi separati ad internet perchè la spesa sarebbe troppa per il cliente.

Per proteggere la rete delle 2 IP Cam + Server avevo pensato ad un apparato come il Netgear FVS114, impostando a dovere il firewall integrato in maniera tale da consentire solo traffico per le 2 IP Cam e per il Server.

Quote:

...con Cerberus ben configurato ha un ulteriore implementazione ed al tutto sommi un firewall di qualità più che dignitosa contenuto nel router.

Come già detto il firewall sarebbe quello integrato nel Netgear FVS114, inoltre metterei un firewall software anche sul server dove ci sarà Cerberus (che non ho mai usato e quindi dovrò documentarmi su come va impostato).

L'uso di un firewall hardware dedicato sarebbe l'ideale, ma come per la connessione dedicata è una cosa che non posso proporre per il suo costo.

Sul server devo ancora decidere se mettere Windows 2003 Server o Linux Debian (distro su cui ci so mettere bene le mani), la scelta sta nel fatto che probabilmente dovrò dare la possibilità di accesso al server al proprietario e su linux sarebbe un casino.

Quindi in conclusione per questo primo STEP, il firewall sarà quello integrato nel router indicato (o anche prodotto similare se vuoi consigliarmene uno). Dopo questo strato ci saranno direttamente le IP Cam che come protezione avranno immagino solo la loro password, e il server che come protezione avrà il suo firewall software.

Nasce una domanda:
I filmati registrati dal server con Cerberus potranno essere visualizzati semplicemente chiamando il server FTP dal browser dei pc appartenenti all'altra rete giusto?

Secondo te, quindi, dopo questi chiarimenti che grado di sicurezza si otterrebbe?

[tutmosi3]

Quote:

Originariamente inviato da xool

Innanzitutto grazie del tuo intervento tutmosi, ci speravo...

Ma veniamo al dunque...

Allora la mia intenzione è separare la rete che comprende le 2 IP Cam + Server dalla rete esistente presente, che potrebbe anche espandersi. Chiaramente la cosa migliore per realizzare questa cosa è un router che faccia NAT da una rete all'altra.

Purtroppo non è possibile avere due accessi separati ad internet perchè la spesa sarebbe troppa per il cliente.

Per proteggere la rete delle 2 IP Cam + Server avevo pensato ad un apparato come il Netgear FVS114, impostando a dovere il firewall integrato in maniera tale da consentire solo traffico per le 2 IP Cam e per il Server.



Come già detto il firewall sarebbe quello integrato nel Netgear FVS114, inoltre metterei un firewall software anche sul server dove ci sarà Cerberus (che non ho mai usato e quindi dovrò documentarmi su come va impostato).

L'uso di un firewall hardware dedicato sarebbe l'ideale, ma come per la connessione dedicata è una cosa che non posso proporre per il suo costo.

Sul server devo ancora decidere se mettere Windows 2003 Server o Linux Debian (distro su cui ci so mettere bene le mani), la scelta sta nel fatto che probabilmente dovrò dare la possibilità di accesso al server al proprietario e su linux sarebbe un casino.

Quindi in conclusione per questo primo STEP, il firewall sarà quello integrato nel router indicato (o anche prodotto similare se vuoi consigliarmene uno). Dopo questo strato ci saranno direttamente le IP Cam che come protezione avranno immagino solo la loro password, e il server che come protezione avrà il suo firewall software.

Nasce una domanda:
I filmati registrati dal server con Cerberus potranno essere visualizzati semplicemente chiamando il server FTP dal browser dei pc appartenenti all'altra rete giusto?

Secondo te, quindi, dopo questi chiarimenti che grado di sicurezza si otterrebbe?

Il FVS114 è un prodotto valido, costicchia ma va bene.
Non l'ho mai installato ma ne riconosco le qualità.

Detto che la strada della doppia connessione non è praticabile, ci resta la via da te indicata del router.
In questo modo hai più o meno il livello massimo di sicurezza possibile per questa soluzione.
Io stesso sto sotto a 3 livelli di firewall:
Router modem Netgear
Router wireless (no modem) D-Link
Firewall software (Comodo) su PC.
Chi volesse penetrare la rete, dovrebbe farsi un bel po' di lavoro per eludere 3 firewall, e nel tuo caso dovrebbe anche beccare i dati per login.
Nessuno può dirsi totalmente al sicuro ma è palese che esistono molte soluzioni meno sicure di questa.
I professionisti del lame non si fanno problemi per questa protezioni ma non vengono nemmeno a rincorrere la tua rete, sempre che tu non gli abbia rotto le balls.
I lamer passeggeri (adolescenti annoiati) sono più attratti da lidi facili quali reti sguarnite.
Perciò sei ad un livello di sicrezza più che accettabile.
Anche io uso Debian a casa quindi l'idea di una installazione per uso server FTP mi piace, però sono consapevole che non è una via praticabile se l'utente ha poca dimestichezza.

Le IP Cam generano dei file AVI, salvati nel server.
Se la cartella dove vengono messi questi file è la Document root di un utente FTP, quell'utente vedrà i file video.

A questo punto, se è tutto chiaro, direi di passare alle IP Cam, sei d'accordo?

Ciao