Sécurisation des caméras IP accessibles à distance qui ne prennent pas en charge HTTPS

Je vais supposer que votre routeur n'est pas assez intelligent pour configurer lui-même un proxy inverse chiffré.

Conventions utilisées ci-dessous

• Adresse IP personnelle: 1.2.3.4 ( Google recherche mon IP pour trouver la vôtre )
• Adresse IP/port WebCam: 192.168.0.123 sur le port 456.
• Ordinateur Linux/Unix exécutant le proxy inverse: 192.168.0.101

Vérifications initiales

Sur le réseau local, pouvez-vous voir la webcam à http://192.168.0.123:456? Génial. Ne pouvez-vous pas vous connecter à la webcam depuis le monde extérieur (c'est-à-dire http://1.2.3.4:456 le pare-feu est-il désactivé)? Génial. Sinon, reconfigurez votre webcam et les règles de redirection de port/pare-feu sur votre routeur.

Ensuite, installez un serveur Web sur un ordinateur de votre réseau local qui est allumé chaque fois que vous souhaitez vous connecter à votre webcam. Je vais supposer linux/unix et donner des instructions pour nginx.

Comme test initial, configurez un proxy inverse sans chiffrement. Installez la dernière version de nginx, éditez le fichier de configuration (/etc/nginx/conf.d/default.conf) et ajoutez des lignes similaires à:

server {
  listen 8080;
  location / {
      proxy_pass http://192.168.0.123:456; 
  } # replace with your webcam's local IP address and port.
}

Redémarrez maintenant nginx (Sudo /etc/init.d/nginx restart) et essayez de vous connecter au proxy (http://192.168.0.101:8080) et cela devrait fonctionner comme si vous alliez à http://192.168.0.123:456. Si vous avez des problèmes, vérifiez à nouveau tout ou consultez la documentation nginx .

Obtention d'un certificat TLS/SSL

Vous devez maintenant ajouter un certificat SSL et la clé privée associée. Vous pouvez en générer un signé par une autorité de certification (par exemple, à partir de startssl.com gratuitement) ou en générer un vous-même qui est auto-signé (et qui ne sera pas initialement approuvé par les navigateurs Web). La configuration d'un certificat signé par une autorité de certification sera plus compliquée pour un réseau domestique où vous devrez obtenir un nom de domaine (que vous pouvez prouver à l'autorité de certification que vous possédez), configurer un DNS dynamique avec ce nom de domaine, etc. (si vous essayez de démarrer avec Dynamic DNS - https://freedns.afraid.org/ est un excellent point de départ).

Pour générer un certificat auto-signé, utilisez d'abord openssl pour créer une clé privée (dans ce cas, une clé privée RSA 4096 bits):

# openssl genrsa -out private.key 4096

Si vous êtes curieux, vous pouvez afficher le contenu avec openssl rsa -in private.key -text -noout. Ensuite, vous devez générer un certificat basé sur cette clé privée, ce qui peut être fait avec:

# openssl req -new -x509 -key private.key -out yourcert.crt -days 3650

Le 3650 indique qu'il expirera dans 3650 jours (~ 10 ans). Openssl vous demandera plus de détails, n'hésitez pas à les laisser vides ou à y mettre des informations. (Vous pouvez afficher le contenu de votre certificat avec openssl x509 -in yourcert.crt -text -noout).

Placez maintenant votre clé privée et votre certificat dans un endroit sûr (par exemple, dans /etc/ssl/private/private.key et /etc/ssl/certs/yourcert.crt), restreignez leurs autorisations (assurez-vous qu'elles appartiennent à root et que personne d'autre n'a les autorisations de lecture/écriture).

Activer SSL dans le proxy inverse

Modifiez ensuite votre fichier de configuration du serveur nginx pour activer SSL comme suit:

server {
   listen 443; # doesn't have to be port 443 - could be any port (say 8080) if you 
               # connect via https://192.168.0.101:8080 .  But on port 443
               # you can just use https://192.168.0.101
   ssl on;
   ssl_certificate  /etc/ssl/certs/yourcert.crt;
   ssl_certificate_key  /etc/ssl/private/private.key;
   # certificate and private key where you just placed them

   ssl_session_timeout  5m;    
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_prefer_server_ciphers on;
   ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
   # reasonable SSL configuration, disable some known weak ciphers.

   location / {
     proxy_pass http://192.168.0.123:456;
     proxy_redirect http://192.168.0.123:456/ $scheme://$Host:$server_port/;
 # If your webcam (or other proxied application) ever gives URLs in the HTTP headers
 # (e.g., in a 302 or 304 HTTP redirect),
 # the proxy_redirect line changes the URL in the HTTP header field
 # from http://192.168.0.123:456/some/path to https://192.168.0.1:8080/some/path
   }
}

Redémarrez nginx et vous devriez maintenant pouvoir vous connecter à votre webcam sur votre réseau local à https://192.168.0.101 (vous obtiendrez des avertissements concernant le certificat non approuvé car il s'agit d'un certificat auto-signé).

Configurez la redirection de port dans votre routeur

La dernière étape consiste à configurer votre routeur pour effectuer la redirection de port. C'est lorsque vous vous connectez à https://1.2.3.4 (port 443) du monde extérieur, configurez-le pour rediriger vers 192.168.0.101 (port 443). Configurer éventuellement un DNS dynamique, donc si votre adresse IP personnelle change, elle pointe toujours au bon endroit. Certains FAI bloquent les ports 80 et 443, vous devrez donc peut-être le changer pour un autre port.

Faites attention à la façon dont vous vous connectez. J'ai remarqué que de nombreux programmes de caméras IP ne vérifient pas la confiance des certificats (car ils sont souvent auto-signés), donc un attaquant pourrait éventuellement faire une attaque MitM en insérant un certificat auto-signé différent. Il est préférable d'ajouter votre certificat auto-signé pour faire confiance à votre propre navigateur et de le rejeter s'il change.