Les appareils Verkada et Verkada Command utilisent des certificats gérés pour s’assurer que leur trafic n’est pas soumis à une attaque de type « homme du milieu ». Sans cette mesure, les communications telles que les flux vidéo cryptés pourraient être déchiffrées par une source inconnue ou non fiable. Si une tentative d’attaque de type « homme du milieu » est détectée (déchiffrement SSL / TLS), les appareils Verkada ne se connecteront pas ou ne fonctionneront pas correctement.

Étant donné que les appareils Verkada n’ont pas la capacité de naviguer sur Internet ou

de télécharger des pièces jointes, il n’est pas nécessaire de déchiffrer leur trafic pour atténuer ce risque. Ils ne communiquent pas non plus avec des serveurs locaux (NVR/DVR, serveurs, etc.), des applications locales ou des bases de données locales, ce qui réduit le risque de désactivation du déchiffrement. La seule situation où ils sont en mesure de communiquer avec un appareil local est lorsque le streaming local est requis, ce qui

crée de façon dynamique une session sécurisée AES 128 utilisant le protocole TLS 1.2.

Pour en savoir plus sur la sécurité Verkada, veuillez visiter : https://www.verkada.com/security/.

Il est fortement recommandé de créer une sauvegarde de la configuration du pare-feu

Palo Alto avant d’apporter les modifications recommandées dans ce guide. Ce guide est uniquement destiné à servir d’exemple de mise en liste blanche par domaine.

Dans cet exemple, le pare-feu Palo Alto comprend deux sous-réseaux : le VLAN ordinateur/utilisateur (192.168.40.0/24) et le VLAN des caméras Verkada (192.168.50.0/24). Actuellement, le décryptage SSL / TLS est activé sur les deux sous-réseaux, qui font partie de la zone de sécurité intérieure, ce qui empêche les caméras Verakda de se connecter dans Verkada Command.

La première étape de la mise en liste blanche des domaines Verkada contre le déchiffrement consiste à créer une catégorie d’URL qui aidera le pare-feu à déterminer ce qu’est le trafic Verkada.

4. Entrez les domaines ci-dessous dans le champ « Sites »

*.control.verkada.com

*.command.verkada.com

time.control.verkada.com

Vous pouvez consulter notre liste à jour des paramètres réseau requis ici

Maintenant que la catégorie d’URL est créée pour « Verkada_Domains », une nouvelle stratégie de déchiffrement doit être créée pour permettre à la catégorie d’être mise sur liste blanche.

2. Onglet Général : Nom de la stratégie de décryptage. Ex. Verkada_Disable_Decrypt

3 . Onglet Source : la zone source doit correspondre à l’endroit où se trouvent les caméras Verkada. Dans cet exemple, il s’agit du sous-réseau 192.168.50.0/24, situé dans la zone « intérieur » (inside).

4. Onglet Destination : la zone de destination doit être Internet. Dans cet exemple, il s’agit de la zone « extérieure » (outside)

5. Catégorie de service/URL : pour la catégorie d’URL, cliquez sur Ajouter, Verkada_Domains

6. Onglet Options : L’action doit être définie sur « Pas de déchiffrement » et le profil de déchiffrement doit être laissé vide.

7. Enfin, déplacez la nouvelle politique « Verkada_Disable_Decrypt » en haut de la liste.

8. Enfin, vous devez valider vos modifications pour qu’elles prennent effet.

Une fois les modifications validées, mettez les appareils Verkada sous tension ou éteignez-les puis rallumez-les s’ils sont déjà allumés. Vérifiez que la règle fonctionne comme prévu :

Si vous n'arrivez toujours pas à connecter vos caméras Verkada, veuillez suivre les étapes de ce guide. Pour tout problème rencontré avec un autre appareil Verkada, veuillez contacter le support Verkada pour obtenir de l’aide.