Network technologies

Sécurité des réseaux

En ce qui concerne la sécurisation des informations transmises sur les réseaux IP, il existe différents niveaux de sécurité. Le premier est l’authentification et l’autorisation. L’utilisateur ou le périphérique s’identifie auprès du réseau et de l’extrémité distante à l’aide d’un nom d’utilisateur et d’un mot de passe, qui sont ensuite vérifiés avant que le périphérique soit autorisé à accéder au système. Un niveau de sécurité additionnel peut être obtenu en cryptant les données afin d’empêcher toute autre personne de les utiliser ou de les lire. Les méthodes les plus couramment employées sont HTTPS (également appelé SSL/TLS), VPN et WEP ou WPA sur les réseaux sans fil. Selon le type d’implémentation et de cryptage utilisé, il peut arriver que le recours au cryptage ralentisse les communications.

Authentification par nom d’utilisateur et mot de passe

L’utilisation de l’authentification par nom d’utilisateur et mot de passe est la méthode la plus basique de protection des données sur un réseau IP. Elle peut suffire dans les cas où un niveau de sécurité élevé n’est pas nécessaire, ou lorsque le réseau vidéo est séparé du réseau principal (réseaux segmentés) et qu’aucun utilisateur non autorisé ne peut accéder physiquement au réseau vidéo. Les mots de passe peuvent être envoyés sous forme cryptée ou en clair. Le cryptage procure le niveau de sécurité le plus élevé.

Les produits de vidéo sur IP Axis offrent une protection des mots de passe multiniveau. Trois niveaux sont disponibles : Administrateur (accès total à toutes les fonctionnalités), Opérateur (accès à toutes les fonctionnalités hormis les pages de configuration), Visualisateur (accès uniquement aux vidéos en direct).

Filtrage d’adresses IP

Les produits de vidéo sur IP Axis disposent de la fonctionnalité de filtrage des adresses IP, qui accorde ou refuse les droits d’accès aux adresses IP définies. Dans un scénario par défaut, on configure les caméras réseau de façon à autoriser uniquement l’adresse IP du serveur qui héberge le logiciel de gestion vidéo à accéder aux produits de vidéo sur IP.

La norme IEEE 802.1X permet de bénéficier d’une sécurité basée sur les ports ; elle implique la présence d’un demandeur (par exemple une caméra réseau), d’un authentificateur (par exemple un switch) et d’un serveur d’authentification. 

IEEE 802.1X

De nombreux produits de vidéo sur IP Axis prennent en charge la norme IEEE 802.1X, qui fournit l’authentification des périphériques connectés à un port de réseau local. La norme IEEE 802.1X établit une connexion point à point ou interdit l’accès depuis le port de réseau local en cas d’échec de l’authentification. Elle empêche ce que l’on appelle le « piratage de port », c’est-àdire les attaques par lesquelles un ordinateur non autorisé accède à un réseau en se connectant à une prise réseau située à l’intérieur ou à l’extérieur d’un bâtiment. Cette norme est utile dans les applications de vidéo sur IP car les caméras réseau sont souvent placées dans des lieux publics où une prise réseau accessible à tous peut représenter un risque pour la sécurité. Dans les réseaux d’entreprise actuels, la norme IEEE 802.1X est devenue une exigence de base pour tout périphérique relié à un réseau.

Dans un système de vidéo sur IP, son principe de fonctionnement est le suivant :

  1. Une caméra réseau envoie une demande d’accès réseau à un switch ou à un point d’accès 
  2. Ce dernier transfère la demande à un serveur d’authentification, par exemple un serveur RADIUS (Remote Authentication Dial-in User Service) tel qu’un serveur Microsoft Internet Authentication Service 
  3. Si l’authentification réussit, le serveur fait en sorte que le switch ou le point d’accès ouvre le port afin d’autoriser le passage des données provenant de la caméra réseau à travers le switch et leur envoi sur le réseau.

HTTPS ou SSL/TLS

HTTPS (Hyper Text Transfer Protocol Secure) est identique à HTTP, à une différence près : les données transférées sont cryptées à l’aide du protocole SSL (Secure Socket Layer) ou de la sécurité TLS (Transport Layer Security). Cette méthode de sécurité applique le cryptage aux données elles-mêmes. De nombreux produits de vidéo sur IP Axis disposent d’une prise en charge intégrée du protocole HTTP, ce qui permet d’afficher les vidéos à l’aide d’un navigateur Web en toute sécurité. L’utilisation du protocole HTTPS peut néanmoins ralentir les communications, et par conséquent la fréquence d’images des vidéos.

En particulier, et ce sans limitation, certains produits Axis incluent un logiciel développé par le projet OpenSSL pour utilisation dans la boîte à outils OpenSSL (http://www.openssl.org/) et un logiciel cryptographique écrit par Eric Young (eay@cryptsoft.com). 

Réseau privé virtuel (VPN)

Avec la technologie VPN, il est possible de créer un « tunnel » sécurisé entre deux périphériques, et de bénéficier ainsi de communications sûres et sécurisées via Internet. Dans ce type de configuration, le paquet d’origine est crypté (y compris les données et leur en-tête, qui peut contenir des informations telles que les adresses source et de destination, le type d’informations envoyées, le numéro de paquet dans la séquence de paquets et la longueur du paquet). Le paquet crypté est ensuite encapsulé dans un autre paquet qui n’affiche que l’adresse IP des deux périphériques communicants (par exemple des routeurs). Cette technique protège le trafic contre tout accès non autorisé, et seuls les périphériques possédant la bonne « clé » seront en mesure de fonctionner sur le VPN. Les périphériques réseau entre le client et le serveur ne pourront ni accéder aux données, ni les consulter.

La différence entre HTTPS (SSL/TLS) et VPN est qu’avec le protocole HTTPS, seules les données d’un paquet sont cryptées. Avec un VPN, l’ensemble du paquet peut être crypté et encapsulé de manière à créer un « tunnel » sécurisé. Les deux technologies peuvent être utilisées en parallèle, mais cela n’est pas recommandé car chaque technologie ajoute une charge utile et réduit les performances du système.

Rubrique suivante : Technologies sans fil