Auteur Sujet: Aide Isolation réseau Caméra Ip  (Lu 5286 fois)

0 Membres et 1 Invité sur ce sujet

miko45

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 4
Aide Isolation réseau Caméra Ip
« le: 13 janvier 2022 à 01:23:31 »
Bonjour

je cherche à isoler de mon réseau domestique, mes caméra IP (marque chinoise) fonctionnant via "un serveur P2P" du fabriquant.( Je m'y perd un peu mais il me semble que le côté P2P est nécessaire seulement pour la consultation depuis le WAN sur l'appli mobile.)

Le but est la sécurité, les objets connectés étant vulnérable je ne souhaites pas qu'ils communiquent avec mes autres appareils sur le réseau local principal.

La configuration est la suivante pour le moment :

(0)Internet->(1)ONT->(2) Routeur Asus rt-ax88u->(3) Switch non administrable->(4) Point d’accès wifi Netgear EX3800->(5) Caméras sur le Wifi du Point d'accès

Les caractéristiques de la cam : https://www.gearbest.com/ip-cameras/pp_568543.html?wid=1433363, (il m'a été livré avec un boitier NVR pour enregistrer sur HDD)

Il me semble judicieux de faire transiter les données des caméras à travers un VPN. ( Cependant je ne souhaite pas utiliser de VPN sur tout mes appareils c'est pourquoi je ne l'ai pas installé directement sur le routeur Asus (2).)

De ce fait le Switch ne me permettant pas les VLAN, je pense qu'il faut que j'installe un autre routeur prenant en charge les VPN, après le Switch (3).

Qu'en pensez vous ? Toute solution est la bienvenue.  ;D

Merci d'avance.



Douks

  • Abonné Orange Fibre
  • *
  • Messages: 190
Aide Isolation réseau Caméra Ip
« Réponse #1 le: 13 janvier 2022 à 12:21:49 »
Salutations 👋

D'après ce post sur Reddit : https://www.reddit.com/r/HomeNetworking/comments/l47ocn/secure_iot_devices_on_asus_rtax88u_vlan/
ton routeur aurait une fonction WiFi guest avec une option qui te permet de le "séparer" du WiFi classique.
Ca serait pas gérable juste comme ça ? Tu connectes les cam sur le WiFi guest (et/ou ton répéteur)

miko45

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 4
Aide Isolation réseau Caméra Ip
« Réponse #2 le: 13 janvier 2022 à 15:13:49 »
Bonjour Douks  :),

En effet c'est une solution que j'avais envisagé.  J'avais essayé avec le Wifi invité du Routeur. le problème c'est que les caméras qui sont a l'extérieur ne captent pas le signal Wifi tout court. J'avais pris le NETGEAR ex3800 pour répéter le signal,  mais c'est instable.

J'ai fait le tour de la maison avec Wifi analyzer , j'ai des zones mortes (murs épais, micro ondes cuisine etc) . J'ai finalement mis le Netgear en point d'accès pour couvrir.  ;D

Ce dernier ne sert pas qu'aux caméra IP, c'est "le wifi point mort " .

Merci pour l'indication j'avais omis de préciser :)


gillejeu

  • Invité
Aide Isolation réseau Caméra Ip
« Réponse #3 le: 18 janvier 2022 à 08:37:20 »
franchement tu aurais du investir dans des caméras de qualité parce que tes trucs...

Reolink est aussi une marque chinoise mais de qualité, avec un SAV et un suivi régulier du matériel.

Perso, j'ai des caméras IP/Poe Reolink et ça fonctionne très bien couplé avec Video surveillance sur mon NAS.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Aide Isolation réseau Caméra Ip
« Réponse #4 le: 18 janvier 2022 à 19:58:08 »
J'ai eu les mêmes réflexions que toi récemment.

La plupart des caméras "chinoises" se connectent à un cloud en chine, pour permettre de les regarder à distance.
Ce qui signifie, si on lit entre les lignes, que l'entreprise chinoise derrière (qui possède le cloud) peut accéder à tes caméras, quand elle le souhaite, sans que tu ne sois en mesure de le savoir (facilement).

C'est pour ça que tout le matériel que j'achète, je vérifie bien avant qu'il ne se connecte à aucun cloud (de manière générale, le matériel ne doit se connecter à aucune IP de l'Internet, sans que je le lui demande).
On peut tout à fait interroger son réseau interne, depuis l'extérieur, en montant soi-même un VPN. La plupart des routeurs le permettent : il n'y a pas besoin de cloud ou de prestataire extérieur potentiellement espion...

Pour isoler tes caméras de tes autres réseaux (ce que j'ai fait aussi, c'est très logique, très propre, et permet de bien filtrer ce qui sort éventuellement sur l'Internet), la solution la plus simple est le VLAN.
Moi à ta place, j'aurai racheté un switch qui gère les VLANs, et j'aurai tout segmenté avec des VLANs (ce que je fais chez moi actuellement) : tu peux ainsi finement contrôler qui a accès à quoi/qui.

Douks

  • Abonné Orange Fibre
  • *
  • Messages: 190
Aide Isolation réseau Caméra Ip
« Réponse #5 le: 19 janvier 2022 à 09:45:06 »
franchement tu aurais du investir dans des caméras de qualité parce que tes trucs...

Reolink est aussi une marque chinoise mais de qualité, avec un SAV et un suivi régulier du matériel.

Perso, j'ai des caméras IP/Poe Reolink et ça fonctionne très bien couplé avec Video surveillance sur mon NAS.
Premier résultat avec les termes "reolink + backdoor" : https://www.nozominetworks.com/blog/new-reolink-p2p-vulnerabilities-show-iot-security-camera-risks/
L'auteur dit que la faille aurait été comblée par Reolink, sans plus de détails.

A moins d'acheter du Axis, toutes ces caméras avec des noms folkloriques, c'est plutôt des botnet qui ont une option caméra de surveillance

gillejeu

  • Invité
Aide Isolation réseau Caméra Ip
« Réponse #6 le: 19 janvier 2022 à 14:57:12 »
Euh Reolink est connu et reconnu. De plus, tu n'as pas d'obligation d'utiliser le cloud pour tes enregistrement: perso je ne le fais.

Il y a Hikvision aussi assez connu mais le matos est moins qualitatif.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
Aide Isolation réseau Caméra Ip
« Réponse #7 le: 19 janvier 2022 à 18:12:33 »
+1 j'ai du reolink en full local, le truc n'a même pas de gateway :)

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Aide Isolation réseau Caméra Ip
« Réponse #8 le: 19 janvier 2022 à 18:30:08 »
+1 j'ai du reolink en full local, le truc n'a même pas de gateway :)

Ce que j'allais dire : il ne faut pas configurer de gateway aux caméras, comme ça t'es sûr qu'elles n'atteindront jamais l'Internet.
Perso j'ai mis toutes les cam sur un seul et même VLAN , qui n'a pas de gateway.

gillejeu

  • Invité
Aide Isolation réseau Caméra Ip
« Réponse #9 le: 19 janvier 2022 à 22:18:23 »
+1 j'ai du reolink en full local, le truc n'a même pas de gateway :)



Ah non merde, y'a les gestes barrières  ;D

AllanG

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 55
  • Wervicq-Sud (59)
Aide Isolation réseau Caméra Ip
« Réponse #10 le: 20 février 2022 à 18:53:50 »
J'ai eu les mêmes réflexions que toi récemment.

La plupart des caméras "chinoises" se connectent à un cloud en chine, pour permettre de les regarder à distance.
Ce qui signifie, si on lit entre les lignes, que l'entreprise chinoise derrière (qui possède le cloud) peut accéder à tes caméras, quand elle le souhaite, sans que tu ne sois en mesure de le savoir (facilement).

C'est pour ça que tout le matériel que j'achète, je vérifie bien avant qu'il ne se connecte à aucun cloud (de manière générale, le matériel ne doit se connecter à aucune IP de l'Internet, sans que je le lui demande).
On peut tout à fait interroger son réseau interne, depuis l'extérieur, en montant soi-même un VPN. La plupart des routeurs le permettent : il n'y a pas besoin de cloud ou de prestataire extérieur potentiellement espion...

Pour isoler tes caméras de tes autres réseaux (ce que j'ai fait aussi, c'est très logique, très propre, et permet de bien filtrer ce qui sort éventuellement sur l'Internet), la solution la plus simple est le VLAN.
Moi à ta place, j'aurai racheté un switch qui gère les VLANs, et j'aurai tout segmenté avec des VLANs (ce que je fais chez moi actuellement) : tu peux ainsi finement contrôler qui a accès à quoi/qui.

Bonsoir  :)

On sort un peu du post initial mais j'aimerai bien en savoir plus sur ce message ! ( avec du langage simplifié si possible, j'ai les bases ( je sais ce que c'est un Vlan par exemple mais non comment ça fonctionne ) )

Pourquoi en mettant un accès à la vidéo surveillance en Vlan l'extérieur ne pourrait pas avoir accès à ton réseau LAN ? est ce du coup possible de pour exemple avoir un routeur avec 2 Vlan pour séparer l'accès aux caméras et au NAS par exemple pour avoir un accès depuis l'extérieur sécurisé pour les 2 ?  ???

pitalugue

  • Abonné Free fibre
  • *
  • Messages: 542
Aide Isolation réseau Caméra Ip
« Réponse #11 le: 21 février 2022 à 11:56:21 »
En essayant de simplifier au maximum.

Suivant la topologie de votre réseau, la mise en oeuvre d'un vlan peut faire partie de l'arsenal pour implémenter une isolation entre d'une part les éléments appartenant au vlan et d'autre part les autres, et aussi propager cette isolation au travers de plusieurs équipements physiques distincts.
Si vous avez deux segments distincts que vous faites communiquer via un élément particulier, typiquement un routeur opérant sur IP (avec si possible un filtrage), il vous reste quand même potentiellement à vous assurer que les divers clients du réseau ne puissent pas dialoguer ou s'écouter malgré tout en dehors du passage par cet élément particulier.
Vous pouvez aussi décider qu'il n'y aura pas de passerelle de communication réseau entre votre segment de télésurveillance et les autres réseaux. L'accès peut se faire sans continuité au sens réseau par un ordinateur disposant d'accès dans le segment de télésurveillance et dans un autre segment.
Vous pouvez aussi aller plus loin, cas typique d'entreprise, où il n'y a aucune forme de passerelle autre que via le stockage de données de télésurveillance. Cependant même dans ce cas là, on n'implémente pas forcément une infrastructure réseau entièrement dédiée. Ainsi au sein des éléments mutualisés de commutation qui distribuent les flux, on isole ces flux de télésurveillance et bien d'autres couramment via des vlans.

L'idée générale est que pour protéger une couche de communication particulière, il faut aussi protéger les couches sous-jacentes, y compris jusqu'à la sécurité physique. Les exigences dépendent bien sûr du contexte d'utilisation.