Passer au contenu principal
Toutes les collections
Le déchiffrement SSL sur les appareils Verkada
Le déchiffrement SSL sur les appareils Verkada

Les appareils Verkada ne peuvent pas fonctionner avec le déchiffrement SSL, mais vous pouvez créer une catégorie d’URL pour que les domaines Verkada soient mis sur liste blanche

Mis à jour il y a plus d'un an

Mise en liste blanche des domaines Verkada contre le déchiffrement

Les appareils Verkada et Verkada Command utilisent des certificats gérés pour s’assurer que leur trafic n’est pas soumis à une attaque de type « homme du milieu ». Sans cette mesure, les communications telles que les flux vidéo cryptés pourraient être déchiffrées par une source inconnue ou non fiable. Si une tentative d’attaque de type « homme du milieu » est détectée (déchiffrement SSL / TLS), les appareils Verkada ne se connecteront pas ou ne fonctionneront pas correctement.

Étant donné que les appareils Verkada n’ont pas la capacité de naviguer sur Internet ou

de télécharger des pièces jointes, il n’est pas nécessaire de déchiffrer leur trafic pour atténuer ce risque. Ils ne communiquent pas non plus avec des serveurs locaux (NVR/DVR, serveurs, etc.), des applications locales ou des bases de données locales, ce qui réduit le risque de désactivation du déchiffrement. La seule situation où ils sont en mesure de communiquer avec un appareil local est lorsque le streaming local est requis, ce qui

crée de façon dynamique une session sécurisée AES 128 utilisant le protocole TLS 1.2.

Pour en savoir plus sur la sécurité Verkada, veuillez visiter : https://www.verkada.com/security/.

Remarque : Verkada ne prend pas en charge le pare-feu

Exemple de pare-feu Palo Alto

Il est fortement recommandé de créer une sauvegarde de la configuration du pare-feu

Palo Alto avant d’apporter les modifications recommandées dans ce guide. Ce guide est uniquement destiné à servir d’exemple de mise en liste blanche par domaine.

Exemple de topologie

Dans cet exemple, le pare-feu Palo Alto comprend deux sous-réseaux : le VLAN ordinateur/utilisateur (192.168.40.0/24) et le VLAN des caméras Verkada (192.168.50.0/24). Actuellement, le décryptage SSL / TLS est activé sur les deux sous-réseaux, qui font partie de la zone de sécurité intérieure, ce qui empêche les caméras Verakda de se connecter dans Verkada Command.

Créer une catégorie d’URL

La première étape de la mise en liste blanche des domaines Verkada contre le déchiffrement consiste à créer une catégorie d’URL qui aidera le pare-feu à déterminer ce qu’est le trafic Verkada.

  1. Connectez-vous à votre pare-feu Palo Alto via HTTPS

  2. Accédez à Objets > Objets personnalisés > Catégorie d’URL

  3. Ajoutez

4. Entrez les domaines ci-dessous dans le champ « Sites »

*.control.verkada.com

*.command.verkada.com

time.control.verkada.com

Vous pouvez consulter notre liste à jour des paramètres réseau requis ici

Créer une stratégie de déchiffrement

Maintenant que la catégorie d’URL est créée pour « Verkada_Domains », une nouvelle stratégie de déchiffrement doit être créée pour permettre à la catégorie d’être mise sur liste blanche.

  1. Accédez à Stratégies > Déchiffrement > Ajouter

2. Onglet Général : Nom de la stratégie de décryptage. Ex. Verkada_Disable_Decrypt

3 . Onglet Source : la zone source doit correspondre à l’endroit où se trouvent les caméras Verkada. Dans cet exemple, il s’agit du sous-réseau 192.168.50.0/24, situé dans la zone « intérieur » (inside).

4. Onglet Destination : la zone de destination doit être Internet. Dans cet exemple, il s’agit de la zone « extérieure » (outside)

5. Catégorie de service/URL : pour la catégorie d’URL, cliquez sur Ajouter, Verkada_Domains

6. Onglet Options : L’action doit être définie sur « Pas de déchiffrement » et le profil de déchiffrement doit être laissé vide.

7. Enfin, déplacez la nouvelle politique « Verkada_Disable_Decrypt » en haut de la liste.

8. Enfin, vous devez valider vos modifications pour qu’elles prennent effet.

Test de la configuration

Une fois les modifications validées, mettez les appareils Verkada sous tension ou éteignez-les puis rallumez-les s’ils sont déjà allumés. Vérifiez que la règle fonctionne comme prévu :

  1. Accédez à Surveillance > Trafic sur votre pare-feu Palo Alto

  2. Tapez ( category eq Verkada_Domains ) dans le champ de recherche

  3. Activez les colonnes Catégorie d’URL et Déchiffré

  4. Vérifiez que le trafic Verada_Domain n’est pas déchiffré comme indiqué dans la capture d’écran ci-dessous

Si vous n'arrivez toujours pas à connecter vos caméras Verkada, veuillez suivre les étapes de ce guide. Pour tout problème rencontré avec un autre appareil Verkada, veuillez contacter le support Verkada pour obtenir de l’aide.

Avez-vous trouvé la réponse à votre question ?