Sécurisation RJ45 extérieur

Bonjour la communauté,

Pour les personnes qui ont des caméras POE placées à l’extérieur.

Comment faites-vous pour sécuriser l’accès au câble ethernet ?
Si je débranche la caméra et que je connecte un PC à la place, j’aurai accès au réseau local.

Est-ce que vous mettez en place une solution pour filtrer les adresses MAC ?
Au travers d’un switch manageable ou autre solution ?

Est-ce que vous ne faites rien de particulier, si ce n’est isoler les caméras + NVR sur un VLAN dédié ? Et “au pire” l’attaquant n’aura accès qu’au NVR, mais pas à votre réseau local.

Salut

Perso ayant un visiophone reolink à coté de mon portail, je n’ai rien fait sur la partie réseau.

Par contre sur la fixation j’ai fait en sorte qu’il ne puisse pas être démonté avec un trombone.

Si une personne veut brancher un ordi dessus, le temps qu’il démonte tout pour accéder au câble réseau, il y’a bien longtemps que j’aurai reçu une notif que quelqu’un est devant le portail.

Hello,

Ici ça va pas être simple, il faut des échelles pour avoir accès, et ça fera longtemps que j’aurais été notifié également.

cdt

pareil ici sur le portier rien de spécial meme si j’ai pensé a faire une ACL sur la mac du portier

Bonjour à tous,

Dans le principe il faut scinder les réseaux ou le filtrer.

Avant j’avais un vieux routeur Sonicwall ou j’isolais les différent réseaux mais je l’ai remplacé par une VM Pfsense.

image447×498 18.4 KB

j’ai un réseau pour mes PC, un pour mes TVs connectées et un pour ma domotique …

j’ai donc +/- 4 Vlan dédiés ça nécessite aussi d’avoir un swicth de niveau 2

j’avais acheté un switch L2 POE pour y brancher mes cameras

Sinon sur certain switch tu peux fixer une mac adresse pour un port

Cordialement,

Jean-Luc

Pareil que Jean-Luc, j’ai des VLAN pour séparer les flux donc il n’aura accès qu’aux caméras.Je pense que le plus simple est de filtrer (si ton switch le permet) le filtrage des MAC pour n’autoriser que la MAC de la cam sur ce port.

Tu peux aussi filtrer par IP vu qu’une machine qui fait une demande DHCP aura une autre IP.

Mix les solutions…
Filtrer par mac sur le switch et dans un vlan isolé dédié.

Par ce que si le mec en est a te piquer ta prise ethernet pour se connecter. Et bien il y a fort a parier qu’il sait lire une adresse mac sur la caméra qu’il aura dans la main et sait utilisé les outils qui vont bien (etherchange par exemple).

Bref le filtrage par mac c’est mieux que rien mais loins d’être infaillible attention.

Merci pour toutes vos réponses !

Effectivement, la notification va arriver rapidement sur le téléphone si un gars s’approche de la caméra. Sauf que le temps que je rentre chez moi, le gars, il aura du temps pour faire …. ce qu’il a à faire

Mettre en place des VLAN … Je ne suis pas un AS du réseau.
Par rapport à ma configuration actuelle, voici les changements (je crois) que je pourrais faire.
Avec je suppose, un routeur entre les différents switchs.

vlans1052×408 40.8 KB

Je ne sais pas si je suis dans le vrai (vous saurez corriger), mais est-ce que je suis prêt à modifier ma configuration actuelle, je ne sais pas.

Tu penses réellement que quelqu’un va se pointer débrancher ta caméra pour brancher son portable dessus ? Qu’est ce qui justifierai cela ? Et il ferait quoi, profiter d’une connexion gratuite ?

Si c’était le cas il se fera moins chier à pirater ton wifi au chaud dans sa voiture.

Je ne dis pas qu’il ne faut pas le faire mais le jeu en vaut il la chandelle ?

A côté de sa on ouvre des ports sur son routeur pour accéder à distances à ses services (ha, nas….) on utilise des modules tuya passant par un cloud chinois ou on ne contrôle rien etc etc

Salut,

Je suis plutôt du même avis que @Tochy même si quelqu’un se connecte à ton LAN à 2m de haut, à quoi aurait-il accès? Accéder à HA pour ouvrir le garage et renter chez toi? Bon j’avoue c’est possible… mais la probabilité qu’un gars qui connaisse HA, sache que tu as HA, sache scanner le réseau et comprendre les services qui sont dessus.. est tout de même assez limitée. Le cambrioleur moyen n’est pas très sophistiqué.

Mais bon trop de sécurité n’est jamais une mauvaise chose, et on apprend toujours des nouveaux trucs.

Pour l’idée présentée avec 2 Switchs POE, si tu les as déjà, sont-ils L2/Manageables?
Les petits switchs POE de base ne le sont pas, tu ne peux pas gérer de VLAN dessus.

il préférera le pied de biche bien plus efficace qu’un pc portable.

sans switch manageable (et savoir les paramétrer) point de salut .

Bonjour à tous,

Toujours dans les bonnes pratiques et règles de bases

A côté de sa on ouvre des ports sur son routeur pour accéder à distances à ses services (ha, nas….)

On ne doit plus ouvrir de port pour ses services HA, NAS …

Avec Pfsense j’avais trouvé un super tuto pour paramétrer un OpenVPN si bien que je l’utilise depuis mon portable ou mon smartphone pour l’accés a mes services de façon sécurisé via un certificat depuis l’extérieur.

on utilise des modules tuya passant par un cloud chinois ou on ne contrôle rien etc et

C‘est également pour cette raison qu’il faut isoler les réseaux comme pour les caméras et autres systèmes connectés ex: mes TV et caméra.

Mais j’avoue que ça reste compliqué à mettre en œuvre.

Je suis un ancien informaticien en retraite depuis 2 ans et j’ai passé quelques heures voir jours a paramétrer mon HA, Pfsense, …

@Tommy

Ton schéma me semble correcte de base du moins

Il manque les informations

Liaison (entre switches et/ou routeur) et oui il te faudra un routeur avec des règles entre les réseaux.

Usage (qui/quoi doit atteindre quoi) exemple je suppose que ton PC devra accéder au NVR et HA mais toujours par exemple est-ce que ton HA devra atteindre le NAS pour la sauvegarde …

C’est ce genre de paramétrage, filtrage et ouverture de port en interne (ex réseau utilisateur vers ou depuis le réseau domotique) qui m’ont pris beaucoup de temps.

Je pourrais t’aider sur les VLANs ci-besoin

Si tu choisis l’option Pfsense, une fois que tu l’auras mis en place et appréhendé a minima, je pourrais te fournir quelques exemples de paramétrage.

Cordialement,

Jean-Luc

c’est comme tout c’est au cas par cas, on évites surtout d’exposer des services qui n’en ont pas besoin (NAS, interface de management) par contre certains services doivent l’être, je me vois mal installer un VPN a chaque personne qui a besoin du partage de fichiers ou meme HA dans ma famille, alors le VPN oui mais pas pour tous les services, au passage essaie wireguard tu verra quel bonheur c’est par rapport à openvpn

attention pfsense (et encore une fois je conseille de passer a opnsense son fork) dans les mains d’un débutant c’est des fois bien pire que bénéfique

les vlan le filtrage c’est bien, mais si c’est fait n’importe comment ça peut être encore pire qu’un réseau simple, faire c’est bien maîtriser c’est mieux.

pour ma part tout cela me parait largement overkill pour un réseau personnel mais chacun voit midi a sa porte

@ddfdom

Je suis d’accord avec toutes tes remarques ça demande un investissement très important sans doute trop à chacun de voir.

Il y a quelques années j’hébergeai une VM à la maison pour la gestion de mon association avec un port exotique ouvert pour l’accès au bureau à distance. Par curiosité j’avais regardé les logs et j’avais une centaine de tentative d’accès par seconde; Je ne compte plus les clients qui mettaient la sécurité en secondaire qui se sont fait crypté. Alors maintenant a l’heure de IA utilisé massivement par les pirates !

J’ai choisi Pfsense il y a 2 ans car il y avait un module PFblockerNG qui ne fonctionnait pas sur OPNsense. Ce module me permettait de paramétrer l’usage du VPN que par des sites venant de France (filtrage géographique, encore de la sécurité). Sur des tutos Pfsense était plus documenté et ça me semblai somme toute assez similaire.

Comme je l’ai indiqué j’avais trouvé un très bon tuto pour Open VPN qui fonctionne vraiment très bien tout en étant bien intégré a PFsense donc je n’ai pas cherché plus loin. J’ai cru voir que le développement d’Open VPN s’arrêtait, je passerais probablement a wireguard un jour.

J’ai sécurisé mon installation de manière complexe (déformation professionnel sans doute) mais j’ai du vécu sur le sujet.

J’insiste d’ailleurs fortement chacun a avoir plusieurs type de sauvegarde dont des externalisées (loin de la source ex. garage, dépendance, sous sol , famille..) sur support physique comme des disques dur USB. on se rend contre trop tard de la quantité de nos données et l’importance (Photo, vidéo des enfants depuis leurs naissance)

Cordialement,

Jean-Luc

Mon objectif à court terme, c’est de mettre en place des caméras.
Et c’est pour cette raison que je me demandais comment vous sécurisiez votre infra.

@Tochy et @AlexHass:
Effectivement, le voleur de base se contentera de rentrer dans la maison et ne touchera probablement pas à la partie « informatique ».

@ddfdom: il préférera le pied de biche bien plus efficace qu’un pc portable.

Voire l’utilisation d’une pince pour essayer d’extirper le cylindre de la porte (cas de mon voisin récemment)

@jlr56 : Il manque les informations: Liaison (entre switches et/ou routeur) et oui il te faudra un routeur avec des règles entre les réseaux

Je n’ai pas mis sur le schéma de routeur. Mais sa place pourrait être au centre des 3 schémas
Comme je ne maitrise pas trop la partie réseau, et parce que ce n’est pas le besoin initial de ma demande, j’ai préféré ne pas l’afficher.

Je dispose aujourd’hui d’un switch POE non manageable.
Lors de l’achat de celui-ci, je ne pensais pas à la mise en place de VLAN.

Est-ce que je passerai par là plus tard, peut-être, peut-être pas.
Au travers de ce post (et d’autres), on voit bien les avis de chacun

Pour l’achat du second switch POE, il faut que je réfléchisse du coup si j’en prends un manageable ou pas !

Concernant l’accès à distance, je teste l’application Netbird en ce moment.

clairement avant de securiser son réseau, il faut comencer par sa porte d’entrée avec ne poste convenable et un canon de bonne qualité, de toute façon si un voleur veut rentrer il rentrera
mon avis c’est qu’un voleur c’est pas un hackeur et il est bien plus efficace pur rentrer dans ton logement que le hackeur.