PoE switch, alebo NVR s PoE portami ?

[darebacik]

Co preferujete ?
PoE (at) IP kamery pripojene priamo do NVR na PoE porty, alebo PoE switch a nasledne pripojit jednym kablom do NVR.
PoE kamery nebudu v jednom objekte (dajme tomu, ze 4 budu v jednej budove a v inej). A tahat 4x ftp kabel (kvoli PoE napajaniu) nema asi vyznam.
Skor sa  priklanam k PoE switch (prip. ak su len 2-3 kamery, tak mozno staci PoE injektor).

Inak celkom sa mi pacia PoE kamery od reolinku (nejake uz aj mame a celkom OK (RLC 822A)) a ked som pozeral na ich web, tak ponukaju aj sety s NVR, ale NVR maju zrejme len s PoE portami.

Mozno by bolo lepsie vziat tie reolink kamery a NVR od hikvision

[Reklama]

[lojza007]

U těch PoE NVR to časem začne blbnout kvůli nekvalitním zdrojům, kamery se začnou restartovat a časem přestanou jet úplně. Navíc občas nenabízí vypnutí/zapnutí portu, což se někdy hodí, když se kamera zblázní. Takže za mě určitě PoE switch s managementem, do kterýho navíc půjde píchnout třeba wifi nebo prostě cokoliv dalšího, co umí PoE (Číňani prodávají třeba redukci z PoE na USB, takže se tím dá napájet třeba RPi, Arduino a podobně).
Kamery doporučuju vzít od stejné značky jako NVR, vždy to funguje zdaleka nejlíp, protože to jede po nějakým vlastním protokolu. A hlavně si myslím, že kamery od Hikvision budou o řád lepší, než Reolink.

[🇺🇦 GPU]

Separátní PoE switch a NVR bude lepší, pokud to nemá být někde na stole. Jedna krabice má pochopitelně výhodu v jednoduchosti, ale spolehlivost je nižší, protože se toho může více pokazit, a prakticky vždy to znamená výměnu celé krabice.

NVR si můžeš rozjet třeba na vlastním HW, se SW dle libosti, a nemusíš spoléhat na čínský blackbox.

[darebacik]

U těch PoE NVR to časem začne blbnout kvůli nekvalitním zdrojům, kamery se začnou restartovat a časem přestanou jet úplně. Navíc občas nenabízí vypnutí/zapnutí portu, což se někdy hodí, když se kamera zblázní. Takže za mě určitě PoE switch s managementem, do kterýho navíc půjde píchnout třeba wifi nebo prostě cokoliv dalšího, co umí PoE (Číňani prodávají třeba redukci z PoE na USB, takže se tím dá napájet třeba RPi, Arduino a podobně).
Kamery doporučuju vzít od stejné značky jako NVR, vždy to funguje zdaleka nejlíp, protože to jede po nějakým vlastním protokolu. A hlavně si myslím, že kamery od Hikvision budou o řád lepší, než Reolink.

Nemal by som sa v tomto pripade spoliehat na ONVIF?
Ano hikvision kamery su OK, ale o dost drahsie ako reolinky.

Nejakym kamaratom som daval aj reolinky (sice len indoor) a niektori maju hikvision (len outdoor) a obe zatial bez problemov.

[Exceptions]

primárně chceš managed PoE switch s možností izolace portů, protože zrovna hikvision nebo reolink jsou jedno velké bezpečnostní peklo (ono to platí obecně, že jakékoliv podobné věci je potřeba izolovat a pouštět na ně provoz pouze z kontrolované gateway, která řeší řádně autorizaci a autentizaci).

Např. ještě dneska si můžeš koupit kameru, NVR se zranitelností CVE-2021-36260, protože prodejce to má dlouho na skladě a nikdo neaktualizoval FW. Hikvision není moc přátelský k informování o zranitelnostech a o spoustě nepíše.

[Reklama]

[darebacik]

OK, zrejme pojdem do PoE switchov, nie managment, ale len cisto PoE.

OT, co sa tyka bezpecnosti, tak IP kamery izolujem v LAN a nepustim na internet.
Otazka je ako pristupovat na kamery z vonka.
Viem, ze neni problem postavit VPN server (verejna IPv4 je k dispozicii), ale su bezpecne mobilne aplikacie od vyrobcov kamier ?
Prip. existuju nejake alternativy ak by som chcel vyuzivat vacsinu funkcii kamery (notifikacie, ptz a pod)?

Dalsia podotazka. Nejake IP kamery mame pripojene na roznych miestach, kde su pychnute do routera poskytovatela. V minulosti som pouzival na VPN tieto skatulky za 12€ a celkom to fungovalo. Je dnes nieco podobne (idealne ak by to islo s openwrt) ?

edit: mozno gl inet, ale nemam overene.

[Exceptions]

nemanagovatelný switch ti neumožní izolovat porty nebo tagovat vlan, každý pak může mluvit s každým připojeným zařízením. Přístup k těmhle aktivním prvkům se ideálně řeší přes revezní proxy nebo SSO bránu (např. občas používám Apache knox, komerčně se používá IBM WebSEAL), ona jediná pak má povoleno síťově komunikovat s konkrétními porty u kamery, provoz jde přes ní, řeší přihlášení či hlídá oprávnění.

Doma nebo v malých instalacích právě používám variantu, kdy připojenou kameru (či televizi nebo jakékoliv zařízení) na nejbližším prvku síťově izoluji a provoz nasměruji přes knox, na autorizaci používám kerberos a s kamerou poté komunikuji přes spnego šifrovaný protokol, knox to přeloží občas i na prosté http (když kamera neumí nic jiného), ale nikdo jiný se k tomu http než knox nedostane. Navenek je pak vše transparentní, v IDM nastavím, který principal může s kamerou komunikovat a IDM podle toho vydává klíče.

K věcem, které jsou připojené mimo prostě vždy přidám krabičku, která ten provoz zabalí a naváže vpn spojení. V desítkách ks používám rád Mikrotik mAP, mám tam nahraný tinc vpn, který zajišťuje bezpečné připojení do sítě. Na FW mám omezené vzdálené adresy, s kterými je možné komunikovat a provoz mustí pouze na vpn brány. Zároveň to je titěrné zařízení, které umí PoE, nepotřebuji k tomu nic pájet a podporovat, stojí to pár stovek a jsem schopný takhle připojit bezpečně kameru, stačí mi k tomu 2 PoE porty.

Ve firemní prostředí na to člověk má lepší nástroje, ale ty nejsou zdarma. Doma to je kvůli ceně těžší. Každopádně mít otevřené kamery přípojené přímo na internet je obrovský nesmysl, jistotou ti je někdo někdy napadne a využije je buď k útoku nebo k napadání dalších zařízení v tvé síti. Nezřídka kdy jsou infikovány malwarem a ten šíří k tomu, když se na ně připojíš. Je v podstatě jedno od kterého výrobce ta kamera je.

[darebacik]

Nechcem vytvarat DMZ pre kamery (resp. NVR). Nestaci jednoducho pre LAN IP adresy, ktore patria kameram zakazat pristup na internet a zvonka pouzit VPN (napr. wireguard) ?

[Exceptions]

Nechcem vytvarat DMZ pre kamery (resp. NVR). Nestaci jednoducho pre LAN IP adresy, ktore patria kameram zakazat pristup na internet a zvonka pouzit VPN (napr. wireguard) ?

to stačí do doby než máš jakékoliv zařízení v síti infikované a napadne ti i kamery. 100 % se vyvarovat napadení nám nejde ani k chráněných komerčních provozech, zajistit to doma je zhola nemožné, ona stačí i blbá android aplikace na mobilu. Dnes ty útočné SW mají v sobě nemalou db zranitelností, výchozích hesel a všeho co potřebují k autonomním pokusům o nabourádní dalších zařízení.

Izolace kamery od internetu přes IP pravidlo je dost varchlaté a jdeš pořád do rizika. Ale chápu, technologie jsou v takovém stavu, kdy tohle je pro domácí uživatelé neřešitelný problém a nikdo nenabízí řešení na nízkou cenu bez nutnosti tomu rozumět.