Mise en liste blanche des domaines Verkada contre le déchiffrement
Les appareils Verkada et Verkada Command utilisent des certificats gérés pour s’assurer que leur trafic n’est pas soumis à une attaque de type « homme du milieu ». Sans cette mesure, les communications telles que les flux vidéo cryptés pourraient être déchiffrées par une source inconnue ou non fiable. Si une tentative d’attaque de type « homme du milieu » est détectée (déchiffrement SSL / TLS), les appareils Verkada ne se connecteront pas ou ne fonctionneront pas correctement.
Étant donné que les appareils Verkada n’ont pas la capacité de naviguer sur Internet ou
de télécharger des pièces jointes, il n’est pas nécessaire de déchiffrer leur trafic pour atténuer ce risque. Ils ne communiquent pas non plus avec des serveurs locaux (NVR/DVR, serveurs, etc.), des applications locales ou des bases de données locales, ce qui réduit le risque de désactivation du déchiffrement. La seule situation où ils sont en mesure de communiquer avec un appareil local est lorsque le streaming local est requis, ce qui
crée de façon dynamique une session sécurisée AES 128 utilisant le protocole TLS 1.2.
Pour en savoir plus sur la sécurité Verkada, veuillez visiter : https://www.verkada.com/security/.
Remarque : Verkada ne prend pas en charge le pare-feu
Exemple de pare-feu Palo Alto
Il est fortement recommandé de créer une sauvegarde de la configuration du pare-feu
Palo Alto avant d’apporter les modifications recommandées dans ce guide. Ce guide est uniquement destiné à servir d’exemple de mise en liste blanche par domaine.
Exemple de topologie
Dans cet exemple, le pare-feu Palo Alto comprend deux sous-réseaux : le VLAN ordinateur/utilisateur (192.168.40.0/24) et le VLAN des caméras Verkada (192.168.50.0/24). Actuellement, le décryptage SSL / TLS est activé sur les deux sous-réseaux, qui font partie de la zone de sécurité intérieure, ce qui empêche les caméras Verakda de se connecter dans Verkada Command.
Créer une catégorie d’URL
La première étape de la mise en liste blanche des domaines Verkada contre le déchiffrement consiste à créer une catégorie d’URL qui aidera le pare-feu à déterminer ce qu’est le trafic Verkada.
Connectez-vous à votre pare-feu Palo Alto via HTTPS
Accédez à Objets > Objets personnalisés > Catégorie d’URL
Ajoutez
4. Entrez les domaines ci-dessous dans le champ « Sites »
*.control.verkada.com
*.command.verkada.com
time.control.verkada.com
Vous pouvez consulter notre liste à jour des paramètres réseau requis ici
Créer une stratégie de déchiffrement
Maintenant que la catégorie d’URL est créée pour « Verkada_Domains », une nouvelle stratégie de déchiffrement doit être créée pour permettre à la catégorie d’être mise sur liste blanche.
Accédez à Stratégies > Déchiffrement > Ajouter
2. Onglet Général : Nom de la stratégie de décryptage. Ex. Verkada_Disable_Decrypt
3 . Onglet Source : la zone source doit correspondre à l’endroit où se trouvent les caméras Verkada. Dans cet exemple, il s’agit du sous-réseau 192.168.50.0/24, situé dans la zone « intérieur » (inside).
4. Onglet Destination : la zone de destination doit être Internet. Dans cet exemple, il s’agit de la zone « extérieure » (outside)
5. Catégorie de service/URL : pour la catégorie d’URL, cliquez sur Ajouter, Verkada_Domains
6. Onglet Options : L’action doit être définie sur « Pas de déchiffrement » et le profil de déchiffrement doit être laissé vide.
7. Enfin, déplacez la nouvelle politique « Verkada_Disable_Decrypt » en haut de la liste.
8. Enfin, vous devez valider vos modifications pour qu’elles prennent effet.
Test de la configuration
Une fois les modifications validées, mettez les appareils Verkada sous tension ou éteignez-les puis rallumez-les s’ils sont déjà allumés. Vérifiez que la règle fonctionne comme prévu :
Accédez à Surveillance > Trafic sur votre pare-feu Palo Alto
Tapez
( category eq Verkada_Domains )
dans le champ de rechercheActivez les colonnes Catégorie d’URL et Déchiffré
Vérifiez que le trafic Verada_Domain n’est pas déchiffré comme indiqué dans la capture d’écran ci-dessous
Si vous n'arrivez toujours pas à connecter vos caméras Verkada, veuillez suivre les étapes de ce guide. Pour tout problème rencontré avec un autre appareil Verkada, veuillez contacter le support Verkada pour obtenir de l’aide.