web-dev-qa-db-fra.com

Sécuriser un réseau local qui a plusieurs câbles externes Cat 6 exposés?

Nous évaluons la mise en place d'un système de vidéosurveillance sur IP pour un projet à venir tiers (faisant partie d'un projet de mise en réseau plus large). Le système de vidéosurveillance est câblé comme suit: Cat 6 allant de chaque caméra externe à un commutateur POE, câble de raccordement du commutateur au NVR (enregistreur vidéo réseau essentiellement un boîtier HDD qui enregistre le CCTV).

Ma préoccupation est qu'il y aura plusieurs longues courses externes Cat 6 qui sont essentiellement des points d'entrée très faciles dans le réseau. Tout ce que quelqu'un aurait à faire est de couper le câble, de mettre RJ45 aux deux extrémités de la coupe, de placer un petit interrupteur entre les deux, puis de se patcher dans l'interrupteur ... Mis à part le couple de minutes d’arrêt, la caméra CCTV pourrait même continuer à fonctionner.

Que puis-je faire pour sécuriser le réseau? Je ne peux pas simplement ne pas connecter ce commutateur au reste du LAN, car il existe des applications tierces (contrôleurs domotiques comme Crestron) que nous utilisons, qui reposent sur le réseau local et accèdent au NVR ainsi qu'à d'autres réseaux locaux - périphériques connectés.

20
sam

Options qui vous viennent à l'esprit:

  • Utilisez un commutateur géré pour fournir un contrôle d'accès par port physique.

    • Pour chaque port physique, seule une adresse IP spécifique peut être allouée (c'est-à-dire celle de la caméra) Cela peut aider à détecter les attaques car si l'attaquant tente de créer un conflit IP pour accéder au reste du LAN alors qui interférera probablement avec la connexion de la caméra. Les attaquants plus avancés peuvent probablement éviter une telle détection.

    • Pour chaque IP, nous savons maintenant qu'elle ne peut provenir que d'un port physique particulier. Nous créons ensuite listes de contrôle d'accès par IP de destination et TCP numéro de port.

  • Idéalement, les caméras doivent utiliser HTTPS et que votre station de réception est sécurisée contre MiTM en vérifiant l'empreinte digitale du certificat HTTPS de la caméra. À tout le moins, les caméras devraient avoir une sorte d'authentification avant de libérer leur flux vidéo et leur interface de configuration.

  • Si le WiFi moderne est une option, il dispose d'une authentification intégrée avant d'accéder au LAN sur la base d'un secret partagé. Cependant, il peut être DoSed sans fil et sa sécurité est moins facilement validée par une autre partie. (Il est plus facile de prouver la sécurité des câbles physiques que de prouver qu'un secret partagé n'a pas été compromis)

  • J'ai entendu parler d'une méthode d'authentification conçue pour restreindre l'utilisation d'Ethernet, mais je ne suis pas sûr de sa portée (ou si votre caméra le prend en charge) ou si cela vous aidera sans mettre à jour tous les autres appareils sur le LAN. Peut-être qu'un commutateur géré aiderait à limiter la nécessité de mettre à jour la configuration.

  • Vérifiez globalement la sécurité des autres appareils de votre réseau local. Les ordinateurs Windows doivent traiter les réseaux comme des réseaux publics afin qu'ils n'assument pas la confiance. Chaque appareil de votre réseau local doit être pris en compte et sécurisé.

  • Bien sûr, ne laissez aucun identifiant par défaut en place. Les mots de passe doivent être réinitialisés sur tous les nouveaux appareils, tant pour la vidéosurveillance que pour les autres appareils de votre réseau local.

  • N'oubliez pas les barrières physiques :-)

24
Bryan Field

Placez vos caméras et votre enregistreur vidéo sur un segment de réseau distinct et connectez-les à un pare-feu qui permettrait aux périphériques internes de parler à l'enregistreur vidéo tout en empêchant tout élément du côté non fiable du réseau de parler de l'autre côté.

Cela peut facilement être fait avec une machine Linux/BSD (avec IPtables/PF) et je suis sûr qu'il existe des routeurs commerciaux comme Cisco ou Ubiquiti qui feraient aussi l'affaire.

Si vos câbles se retrouvent dans un endroit physiquement sécurisé avant d'aller aux caméras, vous pouvez également utiliser IPSec avec un petit serveur aux deux extrémités pour crypter le trafic qui passe sur le câble non sécurisé, de cette façon un attaquant ne pourra pas faire grand-chose à moins qu'il ne craque IPSec.

11
André Borie

Utilisez crypté VLAN ou VPN. Configurez une passerelle VPN partout où votre réseau bascule entre interne et externe. Assurez-vous que tous les câbles externes ne transportent que des données cryptées.

Avec un lien crypté, vous garantissez l'authenticité (les données doivent provenir de l'intérieur d'un réseau de confiance), l'intégrité (les données ne sont pas modifiées lorsque vous voyagez sur un câble non fiable) et la confidentialité (les données ne sont pas transmises par les câbles externes).

Le dernier problème de sécurité est la disponibilité (le service n'est pas interrompu), le cryptage ne résout pas cela. Ce que vous pouvez faire pour la disponibilité est d'avoir un chemin redondant supplémentaire entre les réseaux approuvés et un réacheminement automatique entre eux. Un attaquant aurait dû compromettre simultanément tous les chemins physiques pour supprimer le service.

De plus, comme vous avez un réseau de caméras, vous voudrez peut-être vous assurer que toute personne qui doit accéder au panneau et au câblage exposé au sein du réseau interne non crypté doit passer par la ligne de vue d'une caméra. De cette façon, vous enregistrez des preuves de falsification et vous donne une chance d'identifier l'auteur.

8
Lie Ryan

Garde de sécurité

enter image description here

Cet appareil peut surveiller activement l'intégrité des câbles Cat6 à l'aide de l'accessoire standard Mark I Eyeball .

3
Aron

Je tiens à mentionner que certains NVR (comme le HIKVISION DS-7608NI-E2/8P/A) ont 8 ports PoE + un port supplémentaire pour le réseau interne.

De cette façon, les caméras ne seront pas accessibles individuellement, tout en restant à l'intérieur d'un LAN isolé, mais vous pourrez configurer l'accès avec authentification aux flux de caméra via la configuration NVR.

1
Razvan Grigore

Disons que quelqu'un devait échanger les fils avant de les sertir afin que quiconque branche un câble normal alimente le PoE 48V dans les fils de données + -2,5V ... Assurez-vous de documenter quel fil est lequel et ne le faites que si vous le savez les gens suivent la documentation. Brochage standard sur Wikipedia .

1
chx

Armure de fil d'acier Cat-6 est disponible. En l'utilisant ou en exécutant un Cat-6 normal dans un conduit en acier, il sera plus difficile pour un adversaire de se raccorder au câble. De même que le passage des câbles au-dessus de la hauteur de tête.

Cependant, comme d'autres l'ont mentionné, l'isolement du réseau est la meilleure solution.

1
CSM

Configurez les ACL et les VLAN pour tous vos sous-réseaux. De cette façon, si quelqu'un devait faire ce que vous venez de décrire, il devrait savoir quel VLAN est nécessaire et sur quel sous-réseau être activé. Toutes les autres tentatives seraient bloquées par l'ACL.

0
TheValyreanGroup