Minha pequena empresa tem várias impressoras de rede e câmeras IP, todas na mesma rede. Isso leva a possíveis riscos de segurança: qualquer pessoa pode imprimir em qualquer impressora e qualquer pessoa pode adulterar o sistema da câmera (instalando as ferramentas Hikvision SADP em seu computador, obtenha o número de série do gravador de câmera e solicite ao distribuidor local uma redefinição de senha ).
Sou muito novo na administração de rede e preciso de algumas sugestões de como resolver esse problema. Não preciso de instruções passo a passo, apenas diretrizes gerais. Tenho certeza de que esse problema é trivial e há mais de uma maneira de resolvê-lo.
Atualmente, meus equipamentos de rede são bem básicos: um combo GPON/roteador/switch fornecido pelo ISP (acho que tem muitos recursos avançados, embora eu não esteja familiarizado com eles e ainda esteja estudando) e vários switches idiotas. Posso pagar por outros melhores, se necessário.
Switches gerenciáveis com VLANs configuradas. É assim que geralmente é feito.
Dessa forma, você pode ter uma Ethernet passando de uma área para outra, mas pode ter vários dispositivos diferentes no final que não podem se comunicar entre si. Eles podem ser configurados para serem capazes de se comunicar apenas com portas LAN específicas do outro lado. Por exemplo, a câmera só pode receber dados da porta Ethernet à qual seu computador está conectado, mas a impressora que está no mesmo local pode receber dados de qualquer porta Ethernet em seus switches habilitados para VLAN.
editar: Na camada 2, tudo que entra nos switches gerenciados é marcado com base em como você configura essa porta específica no switch. Quando o quadro Ethernet sai da parte VLAN da LAN e se a porta permite que essa tag específica saia da porta, suas informações de VLAN podem ser removidas e os hosts nem sabem que as VLANs estão em uso. Você pode definir quaisquer tags que podem sair ou ter todas as tags permitidas.
A primeira coisa que me veio à mente ao ler sua pergunta foi usar regras de firewall, até chegar ao ponto em que você mencionou várias opções idiotas.
Como você disse que é novo em administração de rede, explicarei a mecânica por trás de algumas dessas coisas e uma solução (espero) fácil para você.
Os firewalls têm ACLs (listas de controle de acesso) que basicamente controlam quais endereços IP podem ir para onde. Sua combinação de roteador/switch do seu ISP possui um firewall integrado. Não há como saber, mas arriscaria um palpite de que é avançado o suficiente para permitir que você crie regras de firewall. Você pode usar essas regras para permitir ou negar tráfego de origens para destinos. Se você não tivesse interruptores extras, seria isso e estaríamos prontos ... mas os interruptores são uma fera diferente.
O tráfego de rede em um switch burro não passará pelo firewall se o tráfego for destinado a outro dispositivo conectado ao mesmo switch. Os switches usam algo chamado tabela de endereços MAC. Um endereço MAC é um número hexadecimal exclusivo atribuído a todo o hardware de rede. Um switch registra quais endereços MAC estão se comunicando por meio de qual porta. Quando o tráfego de rede chega, o switch examina o endereço MAC destinado para ver por qual porta ele deve ser enviado. Se o MAC de destino estiver conectado a uma porta de switch no mesmo switch, ele será roteado diretamente para esse dispositivo, ignorando completamente o firewall/roteador.
Usando seu hardware existente, você pode fazer o seguinte:
Isso faria com que todo o tráfego não desse switch passasse pelo firewall e fosse capturado por qualquer regra de firewall.
Quanto à segurança da sua impressora. Isso provavelmente é melhor gerenciado por qualquer mecanismo que você esteja usando para compartilhar a impressora. Eu compartilharia a impressora apenas com os usuários específicos que precisam de acesso, em vez de 'todos'.