Les caméras de sécurité IP doivent-elles être sur un réseau séparé
C'est une question courante :est-il préférable de placer les caméras de sécurité IP dans un réseau séparé ? Il existe de nombreuses raisons pour lesquelles vous devriez regrouper les caméras IP sur un réseau séparé et, ce faisant, vous augmenterez la sécurité et les performances du système.
Pour faire court :Oui, il est recommandé de regrouper toutes vos caméras de sécurité IP sur un réseau local distinct. De cette façon, les caméras seront dans une zone de sécurité différente, augmentant les performances globales, la sécurité et réduisant les risques de piratage.
Les informations recueillies par les caméras de sécurité sont compressées puis transmises (avec ou sans fil) sur le réseau à un enregistreur vidéo réseau (NVR) qui stocke les vidéos sur ses disques durs internes.
L'un des avantages des caméras IP est qu'elles génèrent des images haute résolution et utilisent un cryptage avancé des données pour réduire le risque de piratage ou de compromission.
Les caméras IP piratées peuvent exposer toutes les entreprises telles que les institutions financières, les bâtiments, les magasins et les usines à de graves problèmes de sécurité susceptibles d'entraver le travail ou même de tout fermer.
Les caméras IP sont accessibles à distance et les pirates peuvent l'utiliser à leur avantage. Dans ce guide, nous énumérerons la raison pour laquelle vous devriez "cacher" votre caméra de sécurité IP dans un réseau séparé.
Raisons d'isoler les caméras de sécurité IP dans un réseau séparé
L'accès à un réseau de caméras IP séparé est plus sûr et plus facile à gérer
Tout d'abord, si vous isolez les caméras IP sur un réseau séparé et dédié, les caméras n'auront aucun impact sur les autres systèmes qui fonctionnent sur le réseau principal.
Les réseaux d'entreprise (ou même résidentiels) peuvent contenir plusieurs appareils intelligents et si vous ajoutez des caméras IP (disons 10, 15, 20), le réseau peut être encombré et les performances globales diminueront.
De plus, en isolant les caméras IP dans un réseau séparé, vous limitez davantage qui accède à ces caméras. Disons que les caméras sont connectées au réseau principal, cela signifie que les caméras sont vues et éventuellement accessibles par toute personne pouvant accéder au réseau principal.
Mais, si vous regroupez ces caméras sur un réseau séparé, les caméras ne peuvent pas être vues/scannées via le réseau principal. Seules les personnes qui gèrent la sécurité IP au sein de l'entreprise peuvent accéder et localiser ces caméras.
En d'autres termes, lorsqu'il est placé sur un réseau séparé, vous réduisez considérablement le nombre d'éléments externes qui "voient" les caméras. Enfin, les caméras IP ne seront pas directement exposées à l'extérieur et seul le personnel autorisé pourra s'y connecter.
Plus facile de pratiquer des activités inhabituelles sur le réseau
Il est plus facile de suivre l'utilisation, les activités suspectes, les schémas inhabituels et d'autres paramètres lorsqu'un nombre limité d'utilisateurs accèdent à votre réseau. Plus il y a d'utilisateurs, plus il devient difficile de suivre correctement les comportements suspects.
Si un pirate accède à un système de caméra de sécurité, l'administrateur du système remarquera des schémas inhabituels tels que des transferts de fichiers, des changements de bande passante en cours et sortants, et d'autres problèmes qui peut être étudié plus avant.
Lorsque les caméras sont placées dans un réseau séparé, il est beaucoup plus facile de remarquer ces témoins que d'avoir le système de sécurité dans un réseau régulier encombré.
Meilleures performances
En séparant les caméras IP sur un réseau séparé, vous vous assurez que le trafic élevé de la caméra n'aura pas d'impact sur le LAN normal.
Lorsque vous utilisez tous les appareils sur le même réseau sans séparer les appareils en sous-réseaux, il peut y avoir des problèmes de bande passante, en particulier les caméras haute résolution qui transmettent beaucoup de données à l'enregistreur.
Selon la configuration, en plaçant les caméras IP sur un réseau séparé, vous pouvez les couper d'Internet et ainsi supprimer le risque qu'elles envoient des informations sensibles sur Internet ou qu'elles soient piratées.
Comment isoler les caméras de sécurité IP dans un réseau séparé ?
Un réseau de caméras IP local distinct fonctionne sur la couche 2. Vous trouverez ci-dessous la manière dont les appareils communiquent :
- Couche 1 (Couche physique) :bits de données sur supports physiques
- Couche 2 (couche de liaison) :trames de données entre nœuds connectés sur la couche physique
- Couche 3 (couche réseau) :adresse le routage et le contrôle du trafic sur un réseau multi-nœuds.
La configuration VLAN pour les systèmes de caméras de sécurité est très importante pour protéger les caméras IP contre les accès non autorisés et également pour séparer le système de caméras de sécurité des autres appareils connectés au réseau local (LAN).
Vous vous demandez peut-être si le VLAN et le sous-réseau sont la même chose ? À un niveau élevé, les sous-réseaux et les VLAN sont analogues en ce sens qu'ils traitent tous deux de la segmentation ou du partitionnement d'une partie du réseau.
Cependant, les VLAN sont des constructions de couche liaison de données (couche OSI 2) (consultez la liste ci-dessus), tandis que les sous-réseaux sont des constructions IP de couche réseau (couche OSI 3), et ils traitent différents problèmes sur un réseau.
La configuration du VLAN peut nécessiter quelques connaissances en matière de réseau, mais c'est tout à fait faisable si vous savez rechercher des problèmes sur Google.
Vous trouverez ci-dessous le schéma de connexion des caméras de surveillance sur un réseau séparé en utilisant une isolation réseau de base.
Notez les adresses IP du sous-réseau pour les autres groupes. Les caméras IP se trouvent sur un réseau différent des autres appareils du réseau (ordinateurs, imprimantes, portables, téléphones).
Configurer les sous-réseaux
La chose importante que vous devez savoir est que lorsque vous exécutez plusieurs réseaux locaux, chacun d'eux fonctionne sur un sous-réseau distinct.
L'adresse de sous-réseau est définie par les trois premiers chiffres, tandis que l'adresse IP est constituée de quatre chiffres. Par exemple, si l'adresse IP de la caméra est 192.169.1.100, le sous-réseau de ce segment est 192.168.1.
La plupart des routeurs sont configurés en mode DHCP, ce qui signifie que le routeur attribue automatiquement une adresse IP aux appareils et les place sur le masque de sous-réseau principal.
Si le routeur est 192.168.1.1, les appareils nouvellement connectés sur le réseau obtiendront une adresse IP telle que (par exemple) 192.168.1.100. Notez qu'ils sont dans le même format.
D'autre part, les caméras IP peuvent être regroupées sur un sous-réseau différent qui doit être différent du sous-réseau principal. Si le sous-réseau du routeur est 192.168.1, le sous-réseau de la caméra peut être 192.168.2.
Dans ce scénario, la caméra ne peut pas utiliser son service DHCP, ce qui signifie que vous devez définir manuellement ses adresses IP et ses paramètres et vous assurer qu'ils correspondent au format du sous-réseau.
Disons que vous utilisez le sous-réseau 192.168.2 pour les caméras. Connectez ces caméras à un commutateur PoE, puis connectez un ordinateur portable sur le même commutateur/réseau. Modifiez l'adresse IP de l'ordinateur portable en 192.168.2.1 et définissez le masque de sous-réseau sur 255.255.255.0. Laissez l'adresse IP du routeur vide.
Les images ci-dessous montrent les paramètres pour Windows :
Ceci est pour les appareils Apple (Mac).
Configurer les caméras IP
Ensuite, vous devez configurer les caméras manuellement pour qu'elles correspondent à celles de votre réseau séparé. Cela dépend du modèle et de la marque de la caméra, mais la logique est la même quel que soit le type de caméra que vous déployez.
Suivez ces étapes :
Connectez les caméras au réseau local à l'aide d'un commutateur PoE. L'ordinateur portable doit également être connecté au même commutateur/réseau.
Il est maintenant temps de connaître l'adresse IP actuelle de la caméra. Pour cela, vous pouvez utiliser un scanner IP générique, bien que nous vous recommandons celui spécialement conçu pour la marque de votre appareil photo. Chaque marque utilise son propre outil de recherche de caméra IP.
Par exemple, Hikvision utilise l'outil SADP. Cet article répertorie tous les scanners IP pour chaque modèle de caméra. Exécutez l'outil et toutes les caméras IP trouvées sur le réseau seront répertoriées.
Sélectionnez la caméra, puis (à l'aide des fonctions de l'outil) modifiez l'adresse IP de la caméra pour qu'elle corresponde à celle du sous-réseau choisi.
Si le sous-réseau est 192.168.2, vous pouvez attribuer à la caméra une adresse telle que 192.169.2.x, où x est un numéro unique compris entre 2 et 254. Une fois cette opération effectuée, la caméra ne sera plus accessible depuis le LAN principal (qui est 192.168.1).
N'oubliez pas non plus qu'il n'est pas nécessaire d'attribuer une adresse de routeur ou une adresse DNS à la caméra. Si nécessaire, ajoutez simplement 192.168.2.254 ou tous les zéros.
Connectez la caméra à l'autre commutateur (de la caméra) comme indiqué sur le schéma ci-dessus (au début de cette section).
Désormais, les caméras se trouvent sur un réseau séparé (192.168.2) et ne sont ni accessibles ni visibles depuis le réseau local principal. Cette méthode rend la caméra de sécurité plus sûre et augmente les performances globales.
Conclusion
Les systèmes de surveillance par caméra IP doivent être conçus de manière à éliminer le potentiel d'interférence avec d'autres sous-réseaux du réseau et à réduire les risques de piratage. Une méthode consiste à placer la caméra sur un réseau séparé (sous-réseau).
Pour des raisons de sécurité, nous recommandons toujours de limiter le nombre d'utilisateurs pouvant accéder à la caméra et la voir sur le réseau. Un moyen sûr d'obtenir ce résultat consiste à placer les caméras sur un réseau séparé et isolé.
Enfin, vous pouvez utiliser des NVR avec un commutateur PoE intégré qui, de par sa conception, place les caméras sur un réseau séparé auquel il n'est pas possible d'accéder individuellement (ces systèmes sont illustrés ici).