Caméras dans un réseau privé

Matériels nécessaires

  • Swann caméra kit (DVR4-4575 et 2x pro-1080MSB).
  • Switch Netgear Managable (16 Ports GS116Ev2).
  • Firewall (C'est PFSense dans une VM qui est utilisé).
  • Proxmox pour déployer les VMs (C'est la technologie qui est utilisée pour ce projet).

Objectif

Ceci n'est pas un review des produits Swann seulement un use case (Site du fabricant: swann.com).

  • Brancher le kit de caméra dans un environnement sécurisé et contrôlé.
  • Recevoir les Push Notifications et email sur une application mobile (Homesafe view).
  • Se connecter au réseau sans exposer les caméras à internet directement.

Étape 1 - Configurer le Firewall

Mon setup utilise une VM de PFSense, l'interface dédiée pour le réseau des caméras est taggée sur le VLAN 70.
Pour faciliter le branchement j'utilise le PVID 70 sur la switch physique (Équivalent du native vlan).

Configuration Proxmox

Capture de l'interface vmbr5 et de l'interface physique de proxmox:

Capture de la configuration de l'interface pour la VM PFSense:

Voici le chemin réseau:

 

Création de l'interface dédiée

Nous allons créer une nouvelle interface réseau dans PFSense pour l'associer à vmbr5.

  1. Interface -> Assignments
    1.  
  2. Choisir l'interface qui est associée au VLAN 70 et Cliquer "Add"
    1. Vous devrez voir quelque chose comme OPTx, sauvegarder le tout.
    2. L'example montre CAM au lieu de OPTx
  3. Cliquer sur "OPTx"
    1. Cliquer sur Enable pour activer l'interface
    2. Entrer le nom de l'interface "CAM"
    3. Choisir l'option static IPv4
    4. Entrer l'adresse du router, ici on utilise 192.168.70.1/24
    5. Entrer le masque réseau : /24
    6. Ne pas définir de Gateway, sauf si vous avez un setup différent.
    7. Voici une capture:

Configuration du DHCP

Le DVRx-4575 a besoin d'une adresse réseau pour pouvoir fonctionner. Vous pouvez entrer les adresses manuellement ou utiliser un serveur DHCP.

  1. Services -> DHCP Server
  2. Choisir l'onglet "CAM"
  3. Configurer le serveur DHCP
    1. Cocher : "Enable DHCP Server"
    2. Cocher "Ignore BOOTP Queries"
    3. Entrer le range d'adresse disponible sur le réseau.
    4. Voici une capture
      1.  
    5. Ensuite il faut entrer une adresse pour le serveur DNS et une adresse Gateway.
      1. Pour le DNS vous pouvez prendre celui que vous voulez
        1. Les adresses : 8.8.8.8 & 8.8.4.4 sont recommandées.
      2. Pour le gateway, il faut mettre l'adresse du routeur lui-même.
  4. Maintenant que le service DHCP est configurer, le router/firewall devrait donner des adresses au nouveau client.

Configuration des règles Firewall

Après quelque heures de scan, pour obtenir un accès le plus restreint possible, il faut faire ceci.

Il faut créer deux alias dans PFSense et des règles pour autoriser le traffic.

  1. Firewall -> Aliases
  2. Créer les entrés comme l'image le montre.
    1. Il se peut que les adresses IP changent, donc dans ce cas vous pouvez ouvrir le port 80 sans autres protection.
    2.  J'utilise le service sendgrid pour envoyer les alertes. (Site du fournisseur: sendgrid.com)
    3. (2018-07-28) L'adresse 123.125.115.27 semble être un API Chez baidu pour le service de push notification il utilise le port 80 (Je montre la configuration dans quelque instant.)

Appliquer les règles du firewall

  1. Firewall -> Rules
  2. Aller sur l'onglet "CAM"
  3. Créer les règles comme l'image le montre, J'active le log sur chacune d'elle pour voir le traffic qui passe.
  4. Cliquer "Save" Pour appliquer les changements.

Je ne vais pas plus loin pour la configuration du router.

Les autres étapes:

  • Création d'un VPN (OpenVPN fonctionne très bien)
  • Le réseau local peut accéder au stream des caméras (Pour le bloquer, il faut configurer les autres interfaces et bloquer le traffic.)
  • Configurer Snort pour avoir un IDS/IPS en place.

Étape 2 - Configurer la switch

La switch possède un interface web facile à configurer.

Pour que le tout fonctionne, il faut activer les VLANs.

Voici les captures de ma configuration de switch.

  • En résumé, il faut activer les VLANs avec l'option 802.1q.
  • Associer le port de caméra en PVID 70 untagged VLAN.
  • Associer le port 13 en PVID comme on veut, et le mettre en tagged dans le VLAN 70 (Comme ça il devient un port trunk, car ce port se connecte dans le serveur physique de proxmox.)

Maintenant, si vous brancher quelque chose dans le port 16 de la switch, vous devriez avoir un adresse DHCP dans le réseau 192.168.70.0/24.

Étape 3 - Configurer le DVRx-4575

J'épargne tous les détails de configuration pour ce qui est de système lui-même.

Il faut se connecter sur l'interface de management du DVR.

Pour connaitre l'adresse IP:
Sur PFSense : Status -> DHCP Leases et regarder si une adresse dans le réseau 192.168.70.x/24 apparait.

http://192.168.70.13:85/

  • Remote Setting -> Email
    • Voici ma config:
  • Remote Setting ->Alarm -> Motion
    • Cet onglet permet de configurer pour chaque caméra les notifications.
      • Voir ma configuration, elle permet l'envoie de email et de push notification sur l'app mobile lorsque la caméra 4 détecte quelque chose.

Étape 4 - Configurer l'application sur le mobile

L'application de Swann Communication permet de recevoir des push notifications. Il faut ajouter son DVRx-4575 manuellement (car il est isoler par le router).

Dès que vous avez accès au live stream, vous pouvez aller dans le menu et choisir Push -> Cliquer sur l'image d'option -> activer les push sur votre DVR.

Maintenant, cela a pris environ 6 heures avant que je reçoives une notification. Sinon les courriels ont fonctionné du premier coup. Alors il faut être un peu patient. Sinon avec l'aide de tcpdump vous pouvez voir les problèmes potentiels, comme le changement de l'adresse IP pour l'API des push notifications.

Étape 5 - Tester le tout

Si vous passer devant la caméra vous devriez recevoir un courriel dans les secondes/minutes suivantes et une push notification live/ presque live.

 

Prochain projet

Rediriger le flux vidéo en utilisant rtsp et analyser ce que les caméras voient. Par exemple: Youtube Video

Laisser un commentaire