Aller au contenu

Surveillance station et VLAN


Pollux06

Messages recommandés

Bonjour à tous,

 

J'ai bien entendu parcouru la totalité des topics concernant Surveillance station mais sans trouver de réelle réponse à ce que je souhaite faire.

J'ai un réseau domestique qui pour le moment ne nécessitait pas réellement un niveau de sécurité très important. Le basique suffisait largement et tout se déroulait en intranet avec quasiment pas de besoin d'accès à partir de l'extérieur.
Mais les hasards de la vie m'ont contraint à augmenter les capacités de ce réseau domestique et surtout je dois maintenant donner accès à certains de mes serveurs à partir de internet.
J'ai 2 connexions ADSL (Orange et free) en IP fixe avec un débit tellement minable (de 20 à 240kb/s) que je viens de commander un kit Starlink dont je ne connais pas le niveau de sécurité.

Je me retrouve donc avec mon réseau de surveillance par caméra potentiellement accessible par une personne mal intentionnée. Le niveau de sécurité a été élevé par l'emploi de mots de passe forts, la mise en place d'un firewall mikrotik, des règles de blacklist assez stricts et une limitation importante des connexions wifi.
Toutes les connexions VPN sont gérées par le mikrotik.

Mais au vu du nombre d'attaques (je suis en IP fixe) qui se chiffre en dizaines voire même en centaines tous les jours, je voudrais sécuriser un peu plus le réseau de surveillance par l'utilisation des VLAN.

Je ne suis pas un administrateur réseau de haut vol, tout au plus un "vieil" amateur  assez éclairé aussi j'avais imaginé le système suivant :

  • Un VLAN (disons le 20) dédié aux caméras de surveillance.
  • Un second VLAN (disons le 10)  pour le trafic standard TCP/IP.
  • Toutes caméras seront au niveau du switch (NETGEAR M4300) taggées comme faisant partie du VLAN 20
  • Sur le NAS Synology (RS818RP+) 2 ports  sont assemblés en Bond1 (en load balancing) et seront taggés en VLAN 20 au niveau de DSM et au niveau du switch
  • Sur le NAS Synology les 2 autres ports sont assemblés en Bond 2 (load balancing) et seront taggés en VLAN 10 au niveau de DSM
  • Les ordinateurs exécutant le client Visual Station seront taggés en VLAN 10

Donc théoriquement le flux des caméras devrait arriver sur le bond1 mais le clients Windows va lui se connecter au Nas via le Bond 2.

De cette manière une personne qui se brancherait sur un RJ45 de la maison ou par le wifi ne pourrait pas accéder au VLAN 20 et donc au réseau des caméras.

Est-ce que jusque là j'ai bon ou est-ce que je viens d'énoncer une énorme co**erie ?

Au niveau de DSM dans quel ordre dois-je placer les interfaces réseau ? priorité au bond1 ou du bond2 ?

Tous vos commentaires quand à la méthode ou à d'autres solutions sont les bienvenues si elles sont constructives.

Merci par avance et bonne journée.

Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, Pollux06 a dit :

Mais au vu du nombre d'attaques (je suis en IP fixe) qui se chiffre en dizaines voire même en centaines tous les jours, je voudrais sécuriser un peu plus le réseau de surveillance par l'utilisation des VLAN.

Je ne comprends pas vraiment ce que tu souhaites faire exactement. L'utilisation de VLANs ne changera rien aux attaques.

Si le réseau Wi-Fi n'est pas un réseau de confiance, il faut en filtrer le trafic en intercalant un pare-feu entre les points d'accès et le réseau de confiance (ce qui implique un adressage réseau différent ou de faire du filtrage transparent).

il y a 30 minutes, Pollux06 a dit :

des règles de blacklist assez stricts

Il vaut mieux limiter la surface d'exposition avec une whitelist et bloquer tout le reste, ça éradiquera presque toutes les tentatives de détection.

Lien vers le commentaire
Partager sur d’autres sites

Pour les attaques, faudrait pas configurer le parefeu de manière plus restrictives quant aux pays sources ?
Genre n'autoriser que la France ?
J'ai 4 caméras, pas de VLAN dédiées pour elles, et je n'ai aucun soucis... Bon j'ai bien blindé le parefeu. Et j'ai interdit aux caméras tout traffic vers internet.

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1  la limitation géographique ne serait pas efficace car au niveau du pare-feu je dois autoriser la quasi totalité du Pacifique sud, certains pays d'Asie (Hong-Kong, Corée, Taïwan) et pas mal de pays européens pendant la période des salons (Allemagne, Pologne, Suisse, Italie, France, .....).
 

@PiwiLAbruti Le réseau Wifi n'est pas le problème essentiel. Ce sont généralement des directeurs de société qui y ont accès et qui sont des personnes de confiance.

Je me disais simplement qu'en mettant le réseau de surveillance sur un VLAN dédié ça permettrait simplement d'empêcher tout accès non autorisé au paramétrage des cams.
La protection des datas est un autre sujet que je traiterais séparément des données vidéo.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Pollux06 a dit :

Est-ce que jusque là j'ai bon ou est-ce que je viens d'énoncer une énorme co**erie ?

Au niveau de DSM dans quel ordre dois-je placer les interfaces réseau ? priorité au bond1 ou du bond2 ?

Bonjour,

Oui c'est tout a fait possible (c'est ce que je fait, VLAN sans accès à internet), par contre une agrégation pour la VLAN des Caméras, n'est pas forcément nécessaire, ça dépend du nombre et la définition des caméras...

Sur la VLAN des caméras il n'y aura pas de serveur DHCP, donc soit tu configures tous en IP fixes, soit il faudra mettre en place un serveur DHCP sur cette VLAN.

Pour DSM il faut mettre en "passerelle par défaut" la connexion qui à accès à internet.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.