Comment configurer Verkada avec Zscaler
Verkada dispose d’une architecture sécurisée par défaut. Dans ce cadre, toute la connectivité des caméras est uniquement sortante et exploite le protocole TLS 1.2 pour assurer la connectivité à nos serveurs Verkada.
Les proxys interceptent le trafic provenant d’un client et le transmettent à la destination prévue. Ils sont exploités pour un certain nombre de raisons : filtrage du trafic, audit, sécurité, etc. Afin de tirer parti de ces avantages, il peut être judicieux de configurer le réseau sur certains sites de façon à rediriger tout le trafic Internet via un proxy .
Afin de prévenir des attaques de type « homme du milieu », les caméras Verkada et Command font appel à des certificats gérés. Selon le fonctionnement d’un proxy déployé, si des modifications sont apportées à ces certificats (par exemple avec le décryptage SSL/TLS), la caméra ne fonctionnera pas correctement. Vous trouverez de plus amples informations dans l’article suivant :
Les utilisateurs de proxy utilisent souvent des règles de contournement pour les technologies qui ne peuvent pas prendre en charge l’inspection SSL en raison de leur nature sécurisée par défaut. Cela implique de spécifier certaines adresses, noms de domaine complets ou autres caractéristiques d’identification pour permettre au trafic de contourner le proxy. Ces éléments devront être mis en place pour que les caméras Verkada fonctionnent correctement.
Exemple de Zscaler
Zscaler est une solution de proxy et de pare-feu basée sur cloud. Le trafic est acheminé de façon locale vers le service où différentes stratégies peuvent être appliquées.
Exemple de topologie
La topologie ci-dessus décrit l’objectif final souhaité. Tout le trafic est transféré à Zscaler en fonction de la configuration d’origine. Afin d’éviter que Verkada ne soit soumis à l’une des politiques Zscaler qui causeront des problèmes pour les caméras établissant une connexion sécurisée, des politiques d’exclusion devront être configurées pour exclure le trafic des caméras Verkada de ces politiques.
Mise en place d’exemptions
Lorsque nous tirons parti de l’inspection SSL avec Zscaler, nous devons configurer une politique d’exemption. Vous trouverez de plus amples informations sur la procédure à suivre à l’URL suivante :
Contourner Zscaler pour le trafic de caméra local
Selon la configuration du service Zscaler, il est également possible de ne pas transférer du tout le trafic de la caméra Verkada vers Zscaler. Par exemple, si vous utilisez PBR pour transférer uniquement le trafic VLAN client vers Zscaler au lieu d’utiliser un itinéraire par défaut pour transmettre le trafic à travers le tunnel GRE/IPSec au contrôleur de domaine Zscaler, il est possible d’ajuster le routage.
Par conséquent, si les caméras Verkada sont sur un VLAN dédié, le réseau peut être configuré pour transférer le trafic depuis ce VLAN vers Internet par des moyens normaux tout en ayant des VLAN basés sur le client transférés à Zscaler comme indiqué dans la topologie ci-dessous :
Exemple de topologie
Fonctionnalités supplémentaires de Zscaler à prendre en compte
Zscaler dispose d’un certain nombre de fonctionnalités supplémentaires qui peuvent être exploitées. Voici la liste de celles à considérer qui peuvent avoir un impact sur le fonctionnement des caméras Verkada :
Contrôle de la bande passante - https://help.zscaler.com/zia/about-bandwidth-control
Si vous n’arrivez toujours pas à connecter vos caméras Verkada, veuillez suivre les étapes de ce guide.