Sécuriser un réseau local disposant de plusieurs câbles externes de cat. 6 exposés?

Nous évaluons la possibilité de mettre en place un système de vidéosurveillance sur IP pour un projet tiers à venir (faisant partie d'un projet de mise en réseau plus vaste). Le système de vidéosurveillance est câblé comme suit: Cat 6 reliant chaque caméra externe à un commutateur POE, câble de raccordement du commutateur au NVR (enregistreur vidéo réseau essentiellement boîtier HDD qui enregistre la vidéosurveillance).

Mon inquiétude est qu’il y aura de multiples longues exécutions externes de cat. 6 qui sont essentiellement des points d’entrée très faciles dans le réseau. Tout ce qu’il faudrait faire, c’est couper le câble, mettre RJ45 aux deux extrémités de la coupe, placer un petit Basculez entre les commutateurs puis connectez-vous à l'interrupteur ... Outre les quelques minutes d'indisponibilité, la caméra de vidéosurveillance peut même fonctionner.

Que puis-je faire pour sécuriser le réseau? Je ne peux pas simplement ne pas connecter ce commutateur au reste du réseau local, car nous utilisons des applications tierces (contrôleurs domotiques telles que Crestron) installées sur le réseau local et permettant d'accéder au NVR ainsi qu'à d'autres réseaux locaux. périphériques connectés.

20
Semi-liées - ne faites pas confiance à vos caméras non plus. J'ai vu plusieurs (par exemple, hosafe) que "téléphone à la maison" et vous ne pouvez pas désactiver cela dans l'appareil photo. Utilisez donc votre pare-feu pour empêcher toute sortie du VLAN/physique du caméscope.
ajouté l'auteur Vinicius Rocha, source
Les caméras de vidéosurveillance doivent se trouver sur leur propre sous-réseau/VLAN, etc. De cette manière, vous ne pouvez pas entrer dans le réseau proprement dit à partir des longues exécutions UTP externes.
ajouté l'auteur Haakon, source
Alerte sur le commutateur lorsque la connectivité a été interrompue (aucun voyant de liaison). Utilisez un conduit plus dur.
ajouté l'auteur user2320464, source
En plus du commentaire de @ user2320464: lancez le conduit (en acier) où vous auriez besoin d'une échelle pour y accéder (lorsqu'il doit se trouver dans une zone non sécurisée). Ils sont assez évidents sur la vidéosurveillance que vous savez avoir et qui devrait couvrir les abords des bâtiments. Une peinture anti-escalade peut être nécessaire sur certaines structures.
ajouté l'auteur Chris H, source
"quelques minutes de temps mort" ... Amateurs.
ajouté l'auteur Christina Tanggaard, source

9 Réponses

Les options qui me viennent à l’esprit:

  • Use a Managed Switch to provide access control by physical port.

    • For each physical port, only a specific IP address can be allocated (i.e. that of the camera) This may help detect attacks because if the attacker tries to create an IP conflict to access the rest of the LAN then that will likely interfere with the camera connection. More advanced attackers can probably avoid such detection though.

    • For each IP we now know it can only come from a particular physical port. We then create access control lists by destination IP and TCP port number.

  • Ideally the cameras should use HTTPS and that your receiving station is secured against MiTM by verifying the camera's HTTPS certificate fingerprint. At the very least the cameras should have some kind of authentication before releasing their video stream and configuration interface.

  • If modern WiFi is an option it has a built-in authentication before accessing the LAN based on a shared secret. However, it can be DoSed wirelessly and its security is less easily validated by another party. (proving physical cables secure is easier than proving that a shared secret was not compromised)

  • I've heard of an authentication method designed for restricting Ethernet use but I'm not sure its scope (or if your camera supports it) or whether it will help you without updating all the other devices on the LAN. Perhaps a Managed Switch would help contain the need for updating configuration.

  • Overall review the security of the other devices on your LAN. Windows computers should treat the networks as Public Networks so they do not assume trust. Each device on your LAN should be considered and secured.

  • Of course do not leave any default credentials in place. The passwords must be reset on all new devices both for the CCTV and other devices on your LAN.

  • Don't forget physical barriers :-)

24
ajouté
@grawity Ce que l'attaquant ferait serait de laisser un périphérique passer par l'authentification 802.1x (la caméra dans ce cas), puis de détourner la "session" en sautant sur le réseau sans déconnexion ni interruption. Il/elle peut alors agir comme ce périphérique sur le réseau, aussi longtemps que l’autorisation a été validée.
ajouté l'auteur Chris B, source
Malheureusement, 802.1x est aussi particulièrement vulnérable sur ce front. Une fois le port authentifié et actif, il est possible d’exploiter subrepticement la connexion (avec précaution, et particulièrement avec des connexions gigabits), écoutez brièvement pour déterminer le MAC de la caméra, puis commencez à parler sur le réseau comme si c’était la caméra personne n'est le plus sage. C’est un problème connu qui a été résolu mais n’a pas été complètement résolu: en.wikipedia.org/wiki/…
ajouté l'auteur Chris B, source
Voir aussi Sécurité des ports - Une violation de la sécurité se produit si le nombre maximal d'adresses MAC sécurisées ont été ajoutées à la table d'adresses et que le port reçoit le trafic d'une adresse MAC ne figurant pas dans la table d'adresses. Vous pouvez configurer le port pour l’un des trois modes de violation suivants: protéger, restreindre ou arrêter.
ajouté l'auteur black sensei, source
@CaffeineAddiction "Sécurité" via l'adresse MAC. Vous pouvez résoudre ce problème avec un concentrateur Ethernet, en désactivant ARP et en reniflant des paquets sur votre carte réseau en mode promiscuous. De là, vous pouvez usurper l'adresse MAC.
ajouté l'auteur Haakon, source
@ SnakeDoc, "Ces caméras sont sur leur propre sous-réseau" Bon conseil. Cependant, avec un commutateur géré incluant une liste de contrôle d'accès, il est possible d'accomplir la même chose, même sur un seul sous-réseau. L'OP a laissé entendre qu'il existe d'autres périphériques sur le même sous-réseau et qu'il peut être plus facile pour lui de le conserver de cette façon.
ajouté l'auteur George Bailey, source
@AlecTeal, j'en possède. Ne sachez pas quelles sont les options du PO, laissez simplement entendre que c'est un moyen d'empêcher MitM si les options sont disponibles.
ajouté l'auteur George Bailey, source
@CaffeineAddiction Êtes-vous familier avec toutes les caméras prenant en charge TLS et non HTTPS?
ajouté l'auteur George Bailey, source
Ah, eh bien je suppose que vous avez besoin de MACsec ou quelque chose alors
ajouté l'auteur grawity, source
@JeffMeden: Cela n'est possible que si le commutateur est configuré pour plusieurs authentifications (qui sont ensuite basées sur MAC). Autant que je sache, la valeur par défaut habituelle est toutefois l'authentification basée sur un seul port ...
ajouté l'auteur grawity, source
Vous avez laissé de côté ce qui est le plus évident: avoir ces caméras sur leur propre sous-réseau, de sorte qu'il est impossible pour quelqu'un d'accéder au réseau principal dans le scénario d'origine du PO.
ajouté l'auteur Joshua Walsh, source
802.1x est ce que vous envisagez de faire pour Ethernet. Il prend en charge à peu près le même genre de choses que le WPA (authentification avec utilisateur/mot de passe, secret pré-partagé et/ou certificats). Il existe depuis 15 ans et la prise en charge des systèmes d'exploitation est bonne, mais les périphériques intégrés sont aléatoires. Ça vaut la peine d'essayer.
ajouté l'auteur Princess_Luna, source
Caméras utilisant HTTPS ....?
ajouté l'auteur Jérémie Bonal, source

Placez vos caméras et votre enregistreur vidéo sur un segment de réseau distinct et reliez-les à travers un pare-feu permettant aux périphériques internes de communiquer avec l’enregistreur vidéo tout en empêchant tout élément du côté non sécurisé du réseau de parler à l’autre.

Cela peut facilement être fait avec une machine Linux/BSD (avec IPtables/PF) et je suis sûr qu'il existe des routeurs commerciaux comme Cisco ou Ubiquiti qui pourraient également faire l'affaire.

Si vos câbles se trouvent dans un emplacement physiquement sécurisé avant de passer aux caméras, vous pouvez également utiliser IPSec avec un petit serveur aux deux extrémités pour chiffrer le trafic acheminé sur le câble non sécurisé. Ainsi, un attaquant ne pourra pas grand-chose. sauf s'il craque IPSec.

11
ajouté
Si je comprends bien la question de OP, c'est que presque toutes ses lignes ne sont pas fiables.
ajouté l'auteur Clever Human, source

Utilisez un VLAN ou un VPN chiffré. Configurez une passerelle VPN chaque fois que votre réseau bascule entre interne et externe. Assurez-vous que tous les câbles externes ne transportent que des données cryptées.

Avec une liaison cryptée, vous garantissez l'authenticité (les données doivent provenir d'un réseau de confiance), l'intégrité (les données ne sont pas modifiées lorsque vous voyagez sur un câble non sécurisé) et la confidentialité (les données ne sont pas filtrées par des câbles externes).

Le dernier problème de sécurité est la disponibilité (le service n'est pas interrompu), le cryptage ne résout pas le problème. Ce que vous pouvez faire pour la disponibilité est d’avoir un chemin redondant supplémentaire entre les réseaux de confiance et une redirection automatique entre eux. Un attaquant aurait dû simultanément compromettre tous les chemins physiques pour éliminer le service.

De plus, en tant que réseau de caméras, vous voudrez peut-être vous assurer que toute personne ayant besoin d'accéder au panneau et au câblage exposé dans le réseau interne non crypté doit passer par le champ de vision de la caméra. De cette façon, vous enregistreriez les preuves de falsification et vous donneriez une chance d'identifier l'auteur.

8
ajouté
@ George Bailey: si la caméra ne prend pas en charge le VPN, vous pouvez la connecter à un client VPN matériel, l'un de ces coûte environ 40 $ . Vous pourriez même aller plus bas si vous utilisez Arduino ou Raspberry Pi et que vous configurez vous-même la configuration du routeur et du client VPN.
ajouté l'auteur Jay Corbett, source
Une connexion VPN serait idéale si la caméra le prend en charge.
ajouté l'auteur George Bailey, source

Garde de sécurité

enter image description here

Cet appareil peut surveiller activement l’intégrité des câbles Cat6 à l’aide de l’accessoire standard Mark I Eyeball .

3
ajouté
@ Johnny Votre point de vue suggère que les gardes de sécurité sont mutuellement exclusifs aux caméras. Mon point est que la technologie n'est pas toujours la seule solution à un problème technologique. La sécurité est obtenue par la superposition. Cependant, lorsque vous vous inquiétez de l'intrusion du réseau de télévision en circuit fermé, je suppose que votre budget est assez élevé.
ajouté l'auteur Haakon, source
@FreeMan Non, mais il vous faut beaucoup d'argent pour avoir une direction à l'écoute de ce niveau de casquette en aluminium.
ajouté l'auteur Haakon, source
La plupart des entreprises installent des caméras afin de ne pas avoir à payer un agent de sécurité onéreux pour patrouiller les lieux. Beaucoup utilisent les caméras avec des services de surveillance à distance pour se passer complètement du gardien de sécurité sur site.
ajouté l'auteur Teecup, source
@ Aron exactement. Plusieurs couches fonctionnent généralement mieux qu'une couche très protégée (Kevin Mitnick et al. Appellent cela "la sécurité M & M": extérieur dur et intérieur mou). Même s’il s’y consacre, jouer au chat et à la souris laissera finalement cet unique trou que l’attaquant pourra utiliser. Au lieu de cela, faites-leur passer un moment difficile pour s’inquiéter des gardes de sécurité ET s’avérer connecté au câble ET réussir le MiTing, etc.
ajouté l'auteur Jaime Gallego, source
@Aron un gros budget ou quelqu'un qui en sait assez pour comprendre qu'un câble Ethernet exposé est une vulnérabilité. Ne prend pas beaucoup d'argent pour avoir cette connaissance. ;)
ajouté l'auteur Paul Sypnowich, source
@Aron, bon point, je vais vous donner ça!
ajouté l'auteur Paul Sypnowich, source

Supposons que quelqu'un échange les fils avant de les sertir pour que quiconque branchant un câble normal introduise le PoE 48V dans les fils de données + -2,5V ... Assurez-vous simplement de documenter quel fil est lequel et ne le faites que si vous le savez. les gens suivent la documentation. Brochage standard sur Wikipedia .

1
ajouté
Bien sûr. C'est un ajout aux méthodes logicielles.
ajouté l'auteur Seb Nilsson, source
C'est la sécurité par l'obscurité qui perd toute sa valeur à la seconde où quelqu'un l'apprend. Par exemple, en utilisant un connecteur cylindrique et en analysant les fils avec un voltmètre avant de connecter son propre commutateur.
ajouté l'auteur Clever Human, source
Si vous essayez de détruire la carte réseau de l'attaquant à l'aide de l'alimentation PoE, celle-ci peut être neutralisée par un ensemble de condensateurs, qui sont généralement intégrés dans la carte réseau eux-mêmes précisément pour cette raison (ainsi que par les courants induits).
ajouté l'auteur Haakon, source
Il ne s'agit pas de quelqu'un qui débranche un câble réseau d'une caméra et de le brancher sur son commutateur, mais de quelqu'un qui coupe un câble et sertit ses propres connecteurs RJ45. Certains fabricants de câbles étant "créatifs" en utilisant les codes de couleurs des paires de fils, un attaquant devrait s'attendre à ce qu'un câblage non standard soit capable de le corriger.
ajouté l'auteur Teecup, source

If you're concerned about physical security, maybe not use POE Ethernet across a long Cat 6 cable, but use a secured camera installation with a 110 V power directly to it and Wi-Fi connection to your main router/access point that has good encryption. It is maybe not the easiest or cheapest solution, but you need to decide whether cost or physical security of your connection is more important. I don't know if there are POE routers available, but may be something looking into.

Or, you could cobble together a DC 12 V feed across the Cat 6 to feed both the camera and a wireless Ethernet transmitter so even if a villain broke the line and tried to tap in, all they'd get is 12 V and no signal.

1
ajouté
@Delioth Je pense que vous avez des problèmes plus graves si votre attaquant a réussi à placer votre appareil photo dans un micro-ondes. Mais oui, le four à micro-ondes ferait office de cage de faraday et bloquerait le signal WiFi.
ajouté l'auteur Haakon, source
@ Johnny Je suis bien conscient de la physique. Ma réponse était la langue dans la joue. Ce n'est pas un hasard si ce que vous avez décrit se produit. La bande 2,4 GHz a été désignée bande ISM, ce qui la rend non licenciée dans la plupart des pays. Cela signifie que vous n'avez pas besoin d'une licence pour utiliser un micro-ondes ou un moniteur pour bébé.
ajouté l'auteur Haakon, source
@Aron - L'interférence du Wifi dans le four à micro-ondes est un phénomène réel depuis la fréquence 2.450GHz qu'ils utilisent est si proche de la bande de 2.4Ghz Wifi. Alors que les micro-ondes sont blindées, cette protection n’est pas parfaite et il suffit d’une infime quantité de fuite d’un micro-ondes de 1 000 W pour faire des ravages avec les signaux Wifi. Les bandes 5Ghz Wifi ne partagent pas le même problème, mais cette bande a sa propre faiblesse en termes de pénétration du signal.
ajouté l'auteur Teecup, source
Sans fil pour les caméras de sécurité? Pire idée jamais.
ajouté l'auteur André Borie, source
J'aime l'idée de leurre. Sans parler de la possibilité de faire frire le commutateur non-PoE du théif;)
ajouté l'auteur booboo, source
@ AndréBorie quoi, tu veux dire un micro-ondes ne devrait pas pouvoir arrêter mes flux de caméra?
ajouté l'auteur keelerm, source

Je tiens à mentionner que certains NVR (tels que HIKVISION DS-7608NI-E2/8P/A) possèdent 8 ports PoE + un port supplémentaire pour le réseau interne.

De cette façon, les caméras ne seront pas accessibles individuellement, même si elles se trouvent toujours dans un réseau local isolé, mais vous pourrez configurer l'accès avec une authentification aux flux de caméra via la configuration du NVR.

1
ajouté

Le fil d'acier Cat-6 est disponible. En l'utilisant ou en utilisant un câble Cat-6 normal dans un conduit en acier, il sera plus difficile pour un adversaire de se raccorder au câble. De même que les câbles passent au-dessus de la hauteur de la tête.

Cependant, comme d'autres l'ont mentionné, l'isolement du réseau est la meilleure solution.

1
ajouté
Un câble blindé en fil d'acier semble être conçu pour éviter les accidents rupture ou abrasion du contact avec des équipements mécaniques. juste une mince couche de fil d'acier autour des conducteurs, et je ne vois pas en quoi cela résoudrait l'attaque d'un attaquant avec une bonne paire de pinces coupantes (les antivols de câbles de vélo de même diamètre posent le même problème, et ils sont tous en acier le chemin à travers).
ajouté l'auteur Teecup, source

Configurez les ACL et les VLAN pour tous vos sous-réseaux. De cette façon, si quelqu'un devait faire ce que vous venez de décrire, il devrait savoir quel est le VLAN nécessaire et quel sous-réseau se trouver. Toutes les autres tentatives seraient bloquées par la liste de contrôle d'accès.

0
ajouté
Parfois, un conduit plus difficile est la bonne réponse. :-)
ajouté l'auteur George Bailey, source
"Votre commentaire ci-dessus suggérant" un conduit plus dur "ou une" alerte "est préférable ???" Les commentaires ne sont pas destinés à être meilleurs que les réponses.
ajouté l'auteur George Bailey, source
@ TheValyreanGroup, votre réponse semblait légèrement en dehors du sujet, car le PO laissait supposer que tout se trouvait sur le même sous-réseau. Votre réponse implique le contraire (utilisation de sous-réseaux distincts) sans prendre en compte le fait que l'OP devrait changer de configuration. En outre, votre réponse reprend en quelque sorte ce que j'avais déjà suggéré qui pourrait être accompli avec un commutateur géré. Vous n'avez pas décrit en quoi votre réponse est différente ou meilleure. Gardez à l'esprit que je ne vous ai pas voté haut ou bas. Je vois juste beaucoup de choses à améliorer, et je ne vois pas comment cela répond pleinement au PO.
ajouté l'auteur George Bailey, source
-1 L'utilisation des listes de contrôle d'accès et des réseaux locaux virtuels n'atténuera pas les attaques physiques MitM.
ajouté l'auteur user2320464, source
Ce n'était pas une suggestion pour "empêcher" une attaque MitM. C'est une option pour mieux sécuriser le chemin. @ user2320464 Votre commentaire ci-dessus suggérant "conduit plus dur" ou "alerte" est mieux ??? Au moment où on aurait même pu remarquer une alerte, l'intrusion est déjà arrivée.
ajouté l'auteur Jodes, source