Introduction
Axis Communications s'efforce d'appliquer les bonnes pratiques de cybersécurité dans la conception, le développement et le test de nos dispositifs. L'objectif est de réduire le risque d'un défaut qui pourrait être exploité par des pirates informatiques lors d'une attaque. Toutefois, l'ensemble de la chaîne logistique du fournisseur et de l'organisation de l'utilisateur final doivent être impliqués dans la sécurisation d'un réseau, de ses périphériques et des services pris en charge. La sécurité d’un environnement dépend de ses utilisateurs, de ses processus et de sa technologie. L'objectif de ce guide est de vous aider à sécuriser votre réseau, vos périphériques et vos services.
Les menaces les plus évidentes pour un périphérique Axis sont la destruction physique, le vandalisme et le sabotage. Pour protéger un produit contre ces menaces, il est important de choisir un modèle ou un boîtier anti-vandalisme, de le monter dans les règles de l'art et de protéger les câbles.
Les périphériques Axis sont des points de terminaison en réseau comme les ordinateurs et les téléphones mobiles. Nombre d'entre eux sont dotés d'une interface Web qui peut présenter des vulnérabilités aux systèmes connectés. Dans ce guide, nous expliquons comment vous pouvez réduire ces risques.
Le présent guide fournit des conseils techniques à tous ceux qui sont chargés du déploiement des solutions Axis. Il comprend une configuration de base recommandée ainsi qu'un guide de renforcement qui prend en compte l'évolution des menaces. Vous devrez peut-être consulter le manuel d'utilisation du produit pour apprendre à configurer des paramètres spécifiques. Notez que les périphériques Axis ont reçu une mise à jour de l'interface Web dans AXIS OS 7.10 et 10.9, qui a modifié le chemin d'accès à la configuration.
Configuration de l'interface Web
Le guide fait référence à la configuration des paramètres des périphériques dans l'interface Web du périphérique Axis. Le chemin d'accès à la configuration est différent selon la version du système d'exploitation AXIS installée sur le périphérique :
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Sécurité > IEEE 802.1X |
| 7.10 | Paramètres > Sécurité > Système |
| ≥ 10.9 | Système > Sécurité |
Portée
Ce guide s'applique à tous les produits basés sur AXIS OS exécutant AXIS OS (suivi LTS ou actif) ainsi qu'aux produits existants des versions 4.xx et 5.xx.
Niveaux de protection CIS
Nous appliquons les méthodes décrites dans les contrôle de sécurité du Center for Internet Safety (CIS) version 8 pour structurer nos recommandations en matière de cybersécurité. Les contrôles CIS, anciennement connus sous le nom de SANS Top 20 Critical Security Controls, fournissent 18 catégories de contrôles de sécurité critiques (CSC) centrés sur la gestion des catégories de risques de cybersécurité les plus courantes au niveau d'une organisation.
Ce guide fait référence aux contrôles de sécurité critiques en ajoutant le numéro CSC (n° CSC) pour chaque sujet de renforcement. Pour plus d'informations sur les catégories CSC, consultez la section 18 CIS Critical Security Controls à l'adresse cisecurity.org.
Protection par défaut
Les périphériques Axis sont protégés par défaut. Il existe plusieurs contrôles de sécurité que vous n'avez pas besoin de configurer. Ces contrôles offrent un niveau de base de protection des périphériques et servent de base pour un renforcement plus étendu.
Le diagramme de l'architecture de sécurité d'AXIS OS présente les capacités de cybersécurité d'AXIS OS à travers différentes couches. Il donne un aperçu complet de la base de sécurité, de la sécurité assistée par silicium, du système d'exploitation AXIS OS et de la couche d'application et de contrôle d'accès.
Faites un clic droit et ouvrez l'image dans un nouvel onglet pour une meilleure expérience visuelle.
Désactivé par défaut
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
Le périphérique Axis ne fonctionne pas tant que le mot de passe administrateur n'a pas été défini.
Une fois le mot de passe administrateur configuré, l'accès aux fonctions d'administrateur et/ou aux flux de données vidéo n'est possible qu'au moyen de l'authentification des identifiants nom d'utilisateur et mot de passe valides. Il est déconseillé d'utiliser des fonctionnalités permettant un accès non automatique, notamment le visionnage anonyme et la multidiffusion permanente.
Pour savoir comment configurer l'accès aux périphériques, consultez la section relative à l'accès aux périphérique dans AXIS OS Knowledge base.
Stockage local
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
À partir Axis OS 12.0, l'option de montage noexec a été ajoutée en tant qu'option de défaut pour les partages de réseau montés. Ceci désactivera toute exécution directe de fichiers binaires à partir du partage réseau monté. Cette option a déjà été ajoutée aux cartes SD dans les versions antérieures d'AXIS OS.
Protocoles réseau
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
Seul un nombre minimal de protocoles et services réseau sont activés par défaut sur les périphériques Axis. Ceux-ci sont répertoriés dans ce tableau.
| Protocole | Port | Transport | Remarques |
|---|---|---|---|
| HTTP | 80 | TCP | Trafic HTTP général tel que l'accès à l'interface Web, l'interface API VAPIX et ONVIF ou la communication bord à bord.* |
| HTTPS | 443 | TCP | Trafic HTTPS général tel que l'accès à l'interface Web, l'interface API VAPIX et ONVIF ou la communication bord à bord.* |
| RTSP | 554 | TCP | Utilisé par le périphérique Axis pour le flux vidéo/audio. |
| RTP | Plage de ports éphémère* | UDP | Utilisé par le périphérique Axis pour le flux vidéo/audio. |
| UPnP | 49152 | TCP | Utilisé par des applications tierces pour détecter le périphérique Axis via le protocole de détection UPnP. REMARQUE : Désactivé par défaut depuis AXIS OS 12.0. |
| Bonjour | 5353 | UDP | Utilisé par des applications tierces pour détecter le périphérique Axis via le protocole de détection mDNS (Bonjour). |
| SSDP | 1900 | UDP | Utilisé par des applications tierces pour détecter le périphérique Axis via SSDP (UPnP). REMARQUE : Désactivé par défaut depuis AXIS OS 12.0. |
| WS-Discovery | 3702 | UDP | Utilisé par des applications tierces pour détecter le périphérique Axis via le protocole WS-Discovery (ONVIF). |
* Pour plus d'informations sur la technologie bord à bord, consultez le livre blanc Technologie bord à bord.
* *Attribution automatique dans une plage prédéfinie de numéros de port conformément à la norme RFC 6056. Pour plus d'informations, consultez l'article Wikipedia sur les ports éphémères.
Nous vous recommandons de désactiver, si possible, les protocoles et services réseau inutilisés. Pour obtenir une liste complète des services utilisés par défaut ou qui peuvent être activés en fonction de la configuration, voir Ports couramment utilisés dans AXIS OS Knowledge base.
Par exemple, vous devez activer manuellement l'E/S audio et la fonctionnalité de microphone dans les produits de vidéosurveillance Axis tels que les caméras réseau, alors que dans les interphones et les haut-parleurs réseau Axis, l'E/S audio et la fonctionnalité de microphone sont des fonctionnalités essentielles et donc activées par défaut.
Interface UART/de débogage
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
Chaque périphérique Axis est équipé d'une interface physique UART (Universal Asynchronous Receiver Transmitter), parfois appelée « port de débogage » ou « console série ». L'interface elle-même n'est physiquement accessible qu'après un démontage approfondi du périphérique Axis. L'interface UART/de débogage est utilisée uniquement à des fins de développement et de débogage du produit dans le cadre de projets d'ingénierie de R&D internes au sein d'Axis.
L'interface UART/de débogage est activée par défaut sur les périphériques Axis dotés d'AXIS OS 10.10 et versions antérieures, mais elle nécessite un accès authentifié et n'expose aucune information sensible tout en étant non authentifiée. À compter de la version 10.11 d'AXIS OS, l'interface UART/de débogage est désactivée par défaut. Le seul moyen d'activer l'interface est de la déverrouiller via un certificat personnalisé unique fourni par Axis.
Axis Edge Vault
Axis Edge Vault offre une plate-forme de cybersécurité matérielle qui protège les périphériques Axis. Elle repose sur des bases solides constituées de modules de calcul cryptographique (élément sécurisé et TPM) et d'une sécurité SoC (TEE et démarrage sécurisé), associés au savoir-faire en matière de sécurité des dispositifs périphériques. Axis Edge Vault repose sur une racine de confiance solide établie par un démarrage sécurisé et un firmware signé. Ces fonctions permettent une chaîne ininterrompue de logiciels validés de manière cryptographique pour la chaîne de confiance qui sécurise toutes les opérations qui dépendent d'elle.
Avec Axis Edge Vault, les périphériques Axis réduisent l'exposition des clients aux risques de sécurité en empêchant l'espionnage et l'extraction malveillante d'informations sensibles. Axis Edge Vault garantit également que le périphérique Axis est une unité fiable et de confiance au sein du réseau du client.
Firmware signé
CSC n°2 : Inventaire et contrôle des ressources logicielles
AXIS OS est signé à partir de la version 9.20.1. Chaque fois que vous mettez à niveau la version d'AXIS OS sur le périphérique, ce dernier vérifie l'intégrité des fichiers de mise à jour via la vérification de la signature cryptographique et rejette tout fichier falsifié. Cela permet d'éviter que des personnes malveillantes leurrent les utilisateurs pour qu'ils installent des fichiers compromis.
Pour plus d'informations, consultez le livre blanc Axis Edge Vault.
Démarrage sécurisé
CSC n°2 : Inventaire et contrôle des ressources logicielles
La plupart des périphériques Axis ont une séquence de démarrage sécurisée pour garantir l'intégrité du périphérique. Le démarrage sécurisé vous permet d'éviter le déploiement de périphériques Axis qui ont été sabotés.
Pour plus d'informations, consultez le livre blanc Axis Edge Vault.
Fichier de clés sécurisé
CSC n°6 : Gestion du contrôle d'accès
Le fichier de clés sécurisé fournit un stockage matériel des informations cryptographiques protégé contre le sabotage. Il protège l'identifiant de périphérique Axis ainsi que les informations cryptographiques téléchargées par le client, tout en empêchant tout accès non autorisé et toute extraction malveillante en cas de faille de sécurité. Selon les exigences de sécurité en vigueur, un périphérique Axis peut être doté d'un ou de plusieurs modules de ce type, tels qu'un module Trusted Platform Module (TPM 2.0) ou un élément sécurisé, et/ou un environnement TEE de confiance intégré sur un processeur (SoC).
Pour plus d'informations, consultez le livre blanc Axis Edge Vault.
Système de fichiers crypté
CSC n° 3 : Protection des pertes de données
Une personne malveillante pourrait essayer d'extraire des informations du système de fichiers en démontant la mémoire flash et en y accédant via un périphérique de lecteur flash. Cependant, le périphérique Axis peut protéger le système de fichiers contre l'exfiltration de données malveillantes et le sabotage de configuration si quelqu'un accède physiquement à celui-ci ou essaie de le voler. Lorsque le périphérique Axis est mis hors tension, les informations du système de fichiers sont cryptées sur le système de fichiers avec AES-XTS-Plain64 256 bits. Au cours du processus de démarrage sécurisé, le système de fichiers en lecture-écriture est décrypté et peut être monté et utilisé par le périphérique Axis.
Pour plus d'informations, consultez le livre blanc Axis Edge Vault.
HTTPS activé
CSC n° 3 : Protection des pertes de données
À compter de la version 7.20 d'AXIS OS, HTTPS est activé par défaut avec un certificat auto-signé qui permet de définir le mot de passe du périphérique de manière sécurisée. Dans la version 10.10 d'AXIS OS et les versions ultérieures, le certificat auto-signé a été remplacé par le certificat d'ID sécurisé IEEE 802.1AR.
AXIS OS dispose des en-têtes HTTP(S) de sécurité les plus courants, activés par défaut pour améliorer le niveau de base de la cybersécurité dans l'état d'usine par défaut. Dans la version 9.80 d'AXIS OS et les versions ultérieures, vous pouvez utiliser l'API VAPIX d'en tête HTTP personnalisée pour configurer des en-têtes HTTP(S) supplémentaires.
Pour plus d'informations sur l'API VAPIX d'en tête HTTP, consultez la bibliothèque VAPIX.
Pour en savoir plus sur les en-têtes HTTP(S) par défaut, consultez la section concernant les en-têtes HTTP(S) par défauts dans Axis OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Sécurité > HTTPS |
| 7.10 | Paramètres > Système > Sécurité > HTTP et HTTPS |
| ≥ 10.9 | Système > Réseau > HTTP et HTTPS |
Authentification Digest
CSC n° 3 : Protection des pertes de données
Les clients accédant au périphérique s'authentifiera avec un mot de passe qui doit être crypté lors de son envoi sur le réseau. Nous vous recommandons donc d'utiliser l'authentification Digest uniquement au lieu d'une authentification de type Base ou à la fois de type Base et Digest. Cela réduit le risque que des renifleurs réseau s'emparent du mot de passe.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > Réseau > Politique d'authentification HTTP réseau |
| 7.10 | Paramètres > Système > Configuration ordinaire > Réseau > Politique d'authentification HTTP réseau |
| ≥ 10.9 | Système > Configuration ordinaire > Réseau > Politique d'authentification HTTP réseau |
Protection contre les attaques par relecture ONVIF
CSC n° 3 : Protection des pertes de données
La protection contre les attaques par relecture est une fonction de sécurité standard activée par défaut sur les périphériques Axis. Son objectif est de sécuriser suffisamment l'authentification des utilisateurs basée sur ONVIF en ajoutant un en-tête de sécurité supplémentaire, qui inclut le Nom d'utilisateur, un horodatage valide, la circonstance et le Digest de mot de passe. Le Digest de mot de passe est calculé à partir du mot de passe (qui est déjà stocké dans le système), la circonstance et l'horodatage. Le Digest de mot de passe a pour objectif de valider l'utilisateur et d'empêcher les attaques de relecture, ce qui explique pourquoi les Digests sont mis en cache. Nous vous recommandons de conserver ce paramètre activé.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > Système > Activer la protection contre les attaques par relecture |
| 7.10 | Paramètres >Système > Configuration ordinaire > Service Web > Protection contre les attaques par relecture |
| ≥ 10.9 | Système > Configuration ordinaire > Service Web > Protection contre les attaques par relecture |
Empêcher les attaques par force brute
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
CSC n°13 : Surveillance et défense réseau
Les périphériques Axis disposent d'un mécanisme de prévention permettant d'identifier et de bloquer les attaques par force brute en provenance du réseau, par exemple la découverte de mot de passe. Cette fonction, appelée protection contre les attaques par force brute, est disponible dans AXIS OS 7.30 et ultérieur.
La protection contre les retards dus aux attaques par force brute est activée par défaut à partir d'AXIS OS 11.5. Pour des exemples de configuration détaillés et des recommandations, voir Protection contre les retards dus aux attaques par force brute dans la base de connaissances d'AXIS OS.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | Paramètres > Système > Configuration ordinaire > Système > Prévention des attaques par déni de service (DoS) |
| ≥ 10.9 | Système > Sécurité > Prévenir les attaques par force brute |
Mise hors exploitation
CSC n° 3 : Protection des pertes de données
Les périphériques Axis utilisent à la fois une mémoire volatile et non volatile, et si cette mémoire volatile est effacée dès que vous débranchez le périphérique de sa source d'alimentation, les informations stockées dans la mémoire non volatile sont conservées et à nouveau disponibles au démarrage. Nous évitons la pratique courante de simplement supprimer les pointeurs de données pour rendre les données stockées invisibles au système de fichiers, raison pour laquelle une réinitialisation aux paramètres d'usine est nécessaire. La fonction UBI de suppression de volume est utilisée pour la mémoire Flash de type NAND ; la fonction équivalente est utilisée pour la mémoire Flash eMMC qui signale que les blocs de stockage ne sont plus utilisés. Le contrôleur de stockage supprime ensuite ces blocs en conséquence.
Lors du démantèlement d'un périphérique Axis, nous vous recommandons de réinitialiser le périphérique aux paramètres d'usine par défaut, ce qui effacera toutes les données stockées dans la mémoire non volatile du périphérique.
Notez que l'émission d'une commande de Remise en paramètres d'usine n'effacera pas immédiatement les données. Le périphérique redémarrera et l'effacement des données se produira pendant le démarrage du système. Il ne suffit donc pas d'émettre la commande « Remise en paramètres d'usine », il faut également laisser le périphérique redémarrer et terminer son amorçage avant de l'éteindre pour garantir que l'effacement des données est terminé.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options du système > Maintenance > Par défaut. |
| 7.10 | Paramètres > Système > Maintenance > Par défaut |
| ≥ 10.9 | Maintenance > Par défaut |
Ce tableau contient plus d'informations sur les données stockées dans la mémoire non volatile.
| Informations et données | Effacées après paramètres d'usine par défaut |
| Nom d'utilisateur et mot de passe VAPIX et ONVIF | Oui |
| Certificats et clés privées | Oui |
| Certificat auto-signé | Oui |
| Informations stockées TPM et Axis Edge Vault | Oui |
| Paramètres WLAN et utilisateurs/mots de passe | Oui |
| Certificats personnalisés* | Non |
| Clé de cryptage de la carte SD | Oui |
| Données de carte SD** | Non |
| Paramètres de partage réseau et utilisateurs/mots de passe | Oui |
| Données de partage réseau** | Non |
| Configuration utilisateur*** | Oui |
| Applications téléchargées (ACAP)**** | Oui |
| Données de production et statistiques de durée de vie***** | Non |
| Images et incrustations chargées | Oui |
| Données d'horloge RTC | Oui |
* Le processus de firmware signé utilise des certificats personnalisés qui permettent aux utilisateurs de télécharger (entre autres) AXIS OS.
** Les enregistrements et les images stockés sur le stockage edge (carte SD, partage réseau) doivent être supprimés séparément par l'utilisateur. Pour plus d'informations, voir Formatage des cartes SD Axis dans la base de connaissances AXIS OS.
*** Toutes les configurations faites par l'utilisateur, de la création de comptes aux configurations du réseau, d'O3C, d'événements, d'images, de PTZ et du système.
**** Le périphérique conserve toutes les applications préinstallées mais supprime toutes les configurations faites par l'utilisateur.
***** Les données de production (étalonnage, certificats de production 802.1AR) et les statistiques de durée de vie comprennent des informations non sensibles et non liées à l'utilisateur.
Exporter le cryptage d'enregistrement
CSC n° 3 : Protection des pertes de données
À compter de la version 10.10 d'AXIS OS, les périphériques Axis prennent en charge l'exportation cryptée des enregistrements périphériques. Nous vous recommandons d'utiliser cette fonction pour éviter que des personnes non autorisées puissent lire du matériel vidéo exporté.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | N/A |
| ≥ 10.9 | Enregistrements |
Renforcement de base
Le renforcement de base est le niveau de protection minimal recommandé pour les périphériques Axis. Les rubriques de renforcement de base sont « configurables en périphérie ». Cela signifie qu'elles peuvent être directement configurées sur le périphérique Axis sans dépendances supplémentaires des infrastructures réseau, de la vidéo ou de systèmes de gestion des preuves (VMS, EMS), d'équipements ou d'applications.
Paramètres d’usine
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
Avant de configurer votre périphérique, assurez-vous qu'il est dans l'état d'usine par défaut. Il est également important de réinitialiser le périphérique aux paramètres d'usine par défaut lorsque vous devez l'effacer de données utilisateur ou le démanteler. Pour en savoir plus, consultez Mise hors exploitation.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options du système > Maintenance > Par défaut. |
| 7.10 | Paramètres > Système > Maintenance > Par défaut |
| ≥ 10.9 | Maintenance > Par défaut |
Mise à niveau vers la dernière version d'AXIS OS
CSC n°2 : Inventaire et contrôle des ressources logicielles
Les correctifs de logiciels sont un élément essentiel de la cybersécurité. Les pirates essaient souvent d'exploiter les vulnérabilités communément connues et peuvent réussir si ils accèdent au réseau à un service non corrigé. Assurez-vous d'utiliser toujours l'AXIS OS le plus récent, car il peut inclure des correctifs de sécurité pour les vulnérabilités connues. Les notes de version d'une version spécifique peuvent mentionner de façon explicite un correctif de sécurité critique, mais pas tous les correctifs généraux.
Axis gère deux types de pistes AXIS OS : la piste active et la piste de support à long terme (LTS). Bien que les deux types incluent les derniers correctifs de vulnérabilité critiques, les suivis LTS n'incluent pas de nouvelles fonctionnalités, car l'objectif est de minimiser le risque de problèmes de compatibilité. Pour plus d'informations, consultez la section concernant le cycle de vie d'AXIS OS dans AXIS OS Information.
Axis fournit des prévisions sur les versions à venir avec notamment des informations sur les nouvelles fonctionnalités importantes, les résolutions de bogues et les correctifs de sécurité. Pour en savoir plus, consultez la section sur les versions à venir dans AXIS OS Information. Consultez la section relative au firmware sur axis.com afin de télécharger AXIS OS pour votre périphérique.
Ce graphique illustre l'importance de tenir les périphériques Axis à jour.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Maintenance > Mettre le serveur à niveau |
| 7.10 | Paramètres > Système > Maintenance > Mise à niveau du firmware |
| ≥ 10.9 | Maintenance > Mise à niveau du firmware |
Créer des comptes dédiés
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
CSC n° 5 : Gestion des comptes
Les périphériques Axis peuvent avoir deux types de comptes : un compte administrateur et un compte utilisateur client. Le compte administrateur est le compte principal pour la gestion de votre périphérique, et il est essentiel de le réserver aux seules tâches administratives. Lors de la configuration de votre périphérique, vous devrez créer un nom d'utilisateur et un mot de passe pour le compte administrateur.
En plus du compte de l'administrateur, créez un compte utilisateur client avec des privilèges limités pour le fonctionnement quotidien. Vous pouvez ainsi gérer votre périphérique en toute sécurité, en réduisant le risque de compromettre le mot de passe de l'administrateur du périphérique. Vous devez utiliser le compte utilisateur client pour les tâches qui ne requièrent pas de privilèges d'administration complets.
Lorsque vous créez des mots de passe pour l'un ou l'autre compte, nous vous recommandons d'appliquer des directives telles que les recommandations du NIST ou du BSI en matière de mots de passe, qui exigent que les nouveaux mots de passe soient suffisamment longs et complexes. Les périphériques Axis peuvent prendre en charge des mots de passe jusqu'à 64 caractères. Les mots de passe d'une longueur inférieure à 8 caractères sont considérés comme faibles.
Pour plus d'informations, consultez la section relative au système de gestion des identités et des accès dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Configuration de base > Utilisateurs |
| 7.10 | Paramètres > Système > Utilisateurs |
| ≥ 10.9 | Système > Utilisateurs |
| ≥ 11.6 | Système > Comptes |
Désactiver l'accès à l'interface Web
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
CSC n° 5 : Gestion des comptes
Les périphériques Axis disposent d'un serveur Web qui permet aux utilisateurs d'accéder au périphérique via un navigateur Web standard. L'interface Web est destinée à la configuration, à la maintenance et au dépannage. Elle n'est pas destinée aux opérations quotidiennes, par exemple en tant que client pour visionner des vidéos.
Les seuls clients qui doivent être autorisés à interagir avec les périphériques Axis au cours des opérations quotidiennes sont les systèmes de gestion vidéo (VMS) ou les outils d'administration et de gestion des périphériques tels que AXIS Device Manager. Les utilisateurs du système ne doivent jamais être autorisés à accéder directement aux périphériques Axis.
À compter de la version 9.50 d'AXIS OS, il est possible de désactiver l'interface Web d'un périphérique Axis. Dès qu'un périphérique Axis est déployé sur un système (ou que vous l'ajoutez à AXIS Device Manager), nous vous recommandons de supprimer l'option pour que le personnel de l'organisation accède au périphérique via un navigateur Web. Cela crée en effet un niveau de sécurité supplémentaire si le mot de passe du compte périphérique est partagé au sein de l'organisation. L'option la plus sûre consiste à configurer exclusivement l'accès aux périphériques Axis à l'aide d'applications dédiées qui offrent une architecture de gestion des accès aux identités (IAM) avancée, un meilleur suivi et des protections pour éviter les fuites de compte.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | Paramètres > Système > Configuration ordinaire > Système > Interface Web désactivée |
| ≥ 10.9 | Système > Configuration ordinaire > Système > Interface Web désactivée |
Configurer les paramètres de réseau, de date et d'heure
CSC n°4 : CSC n°8 : Gestion des journaux d'audit
CSC n°12 : Gestion de l'infrastructure réseau
Il est important de configurer correctement les paramètres du réseau, de la date et de l'heure du périphérique afin de garantir le bon fonctionnement et la sécurité de votre périphérique Axis. Ces paramètres affectent divers aspects du comportement du périphérique, notamment la communication réseau, la connexion et la validation des certificats.
La configuration IP du périphérique dépend de la configuration du réseau, telle que IPv4/IPv6, l'adresse réseau statique ou dynamique (DHCP), le masque de sous-réseau et le routeur par défaut. Révisez la topologie de votre réseau chaque fois que vous ajoutez de nouveaux composants. Nous vous recommandons d'utiliser une configuration d'adresse IP statique afin de garantir l'accessibilité du réseau et de minimiser les dépendances vis-à-vis des serveurs réseau susceptibles d'être vulnérables aux attaques, tels que les serveurs DHCP.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Configuration de base > TCP/IP |
| 7.10 | Paramètres > Système > TCP/IP |
| ≥ 10.9 | Système > Réseau |
La précision de l'horloge est essentielle pour maintenir les journaux du système, valider les certificats numériques et activer des services tels que HTTPS, IEEE et 802.1x. Nous vous recommandons de synchroniser l'horloge de votre périphérique avec des serveurs NTP (Network Time Protocol) ou NTS (Network Time Security). Network Time Security (NTS), une variante cryptée et sécurisée de Network Time Protocol (NTP), a été ajoutée à AXIS OS 11.1. Nous vous recommandons de configurer plusieurs serveurs NTP pour une plus grande précision et pour tenir compte des défaillances potentielles. Si vous ne pouvez pas héberger de serveurs de synchronisation locale, envisagez d'utiliser des serveurs NTP ou NTP publics. Pour plus d'informations sur les NTP/NTS sur les périphériques Axis, voir la section concernant NTP et NTS dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Configuration de base > Date et heure |
| 7.10 | Paramètres > Système > Date et heure |
| ≥ 10.9 | Système > Date et heure |
| ≥ 11.6 | Système > Heure et emplacement |
Cryptage du stockage périphérique
CSC n° 3 : Protection des pertes de données
Carte SD
Si le périphérique Axis prend en charge et utilise des cartes SD (Secure Digital) pour stocker des enregistrements vidéo, nous vous recommandons d'appliquer un cryptage. Cela permettra d'éviter que des personnes non autorisées puissent lire la vidéo stockée à partir d'une carte SD retirée.
Pour en savoir plus sur le cryptage d'une carte SD sur les périphériques Axis, voir la section concernant la prise en charge d'une carte SD sur AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Stockage |
| 7.10 | Paramètres > Système > Stockage |
| ≥ 10.9 | Système > Stockage |
Partage de réseau (NAS)
Si vous utilisez un espace de stockage réseau (NAS) comme dispositif d'enregistrement, nous vous recommandons de le conserver dans une zone verrouillée avec accès limité et d'activer le cryptage sur disque dur. Les périphériques Axis utilisent le protocole SMB comme protocole réseau pour la connexion à un espace de stockage réseau NAS pour stocker les enregistrements vidéo. Bien que les versions antérieures de SMB (1.0 et 2.0) ne fournissent aucune sécurité ou cryptage, les versions suivantes (2.1 et ultérieures) le font, raison pour laquelle nous vous recommandons d'utiliser des versions ultérieures pendant la production.
Pour en savoir plus sur la configuration SMB appropriée lorsque vous connectez un périphérique Axis à un partage réseau, voir la section relative au partage réseau dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Stockage |
| 7.10 | Paramètres > Système > Stockage |
| ≥ 10.9 | Système > Stockage |
Applications (ACAP)
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
Vous pouvez charger des applications sur le périphérique Axis pour étendre sa fonctionnalité. Nombre d'entre elles sont dotées de leur propre interface utilisateur pour interagir avec une fonction. Les applications peuvent utiliser les fonctionnalités de sécurité fournies par AXIS OS.
Les périphériques Axis sont préchargés avec plusieurs applications développées par Axis conformément au modèle ASDM (Security Development Model) d'Axis. Pour plus d'informations sur les applications Axis, consultez la section concernant les analyses sur axis.com.
Pour les applications tierces, nous vous recommandons de contacter le fournisseur pour obtenir éléments probants concernant la sécurité de l'application en termes de fonctionnement et de tests et si elle a été développée selon les modèles de développement de sécurité les plus courants. Les vulnérabilités trouvées dans les applications tierces doivent être directement signalées au fournisseur tiers.
Nous vous recommandons de n'utiliser que les applications de confiance et de supprimer les applications inutilisées des périphériques Axis.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Applications |
| 7.10 | Paramètres > Applications |
| ≥ 10.9 | Applications |
Désactiver les services/fonctions inutilisés
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
Même si les services et fonctions inutilisés ne sont pas une menace immédiate pour la sécurité, il est pratique de les désactiver afin de minimiser les risques inutiles. Poursuivez la lecture afin d'en apprendre davantage sur les services et les fonctions que vous pouvez désactiver lorsqu'ils ne sont pas utilisés.
Ports réseau physiques non inutilisés
À compter de la version 11.2 d'AXIS OS, les périphériques avec plusieurs ports réseau, tels qu'AXIS S3008, sont dotés d'une fonction de désactivation de PoE et du trafic réseau sur leur ports réseau. Si les ports réseau non inutilisés sont laissés sans surveillance et qu'ils sont actifs, cela représente un risque sérieux pour la sécurité.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | N/A |
| ≥ 11.2 | Système > Power over Ethernet |
Protocoles de découverte de réseau
Les protocoles de détection, tels que Bonjour, UPnP, ZeroConf, WS-Discovery et LLDP/CDP, sont des services d'assistance qui facilitent la recherche du périphérique Axis et de ses services sur le réseau. Une fois le périphérique déployé et ajouté à VMS, nous vous recommandons de désactiver le protocole de détection pour empêcher le périphérique Axis d'annoncer sa présence sur le réseau.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > Réseau > Réseau Bonjour activé, réseau UPnP activé, réseau ZeroConf activé, réseau UPnP NATTraversal activé* |
| N/A | |
| 7.10 | Paramètres > Système > Configuration ordinaire > Réseau > Réseau Bonjour activé, réseau UPnP activé, réseau ZeroConf activé, réseau UPnP NATTraversal activé* |
| Paramètres > Système > Configuration ordinaire > Service Web > Mode de détection | |
| ≥ 10.9 | Paramètres > Configuration ordinaire > Réseau > Réseau Bonjour activé, réseau UPnP activé, réseau ZeroConf activé |
| Système > Configuration ordinaire > Service Web > Mode de détection > Activer le mode détectable WS-Discovery | |
| ≥ 11.11 | Système > Réseau > Protocoles de détection réseau > LLDP et CDP** |
*La fonctionnalité a été supprimée d'Axis OS 10.12 et n'est pas disponible dans les versions ultérieures.
**La désactivation de LLDP et CDP a pu avoir une incidence sur la négociation de puissance PoE.
Versions TLS obsolètes
Nous vous recommandons de désactiver les versions TLS anciennes, obsolètes et non sécurisées avant de mettre votre périphérique Axis en production. Les versions TLS obsolètes sont généralement désactivées par défaut, mais il est possible de les activer sur les périphériques Axis pour permettre une rétrocompatibilité avec les applications tierces qui n'ont pas encore implémenté TLS 1.2 et TLS 1.3.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > HTTPS > Autoriser TLSv1.0 et/ou Autoriser TLSv1.1 |
| 7.10 | Paramètres > Système > Configuration ordinaire > HTTPS > Autoriser TLSv1.0 et/ou Autoriser TLSv1.1 |
| ≥ 10.9 | Système > Configuration ordinaire > HTTPS > Autoriser TLSv1.0 et/ou Autoriser TLSv1.1 |
Environnement d’édition de scripts
Nous vous recommandons de désactiver l'accès à l'environnement d'éditeur de scripts. L'éditeur de script est utilisé à des fins de dépannage et de débogage uniquement.
L'éditeur de script a été supprimé d'Axis OS 10.11 et n'est plus disponible dans les versions ultérieures.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | Paramètres > Système > Configuration ordinaire > Système > Activer l'éditeur de script (editcgi) |
| ≥ 10.9 | Système > Configuration ordinaire > Système > Activer l'éditeur de script (editcgi) |
En-têtes de serveur HTTP(S)
Par défaut, les périphériques Axis annoncent leurs versions Apache et OpenSSL actuelles pendant lors des connexions HTTP(S) avec des clients sur le réseau. Ces informations sont utiles lorsque vous utilisez régulièrement des scanners de sécurité réseau, car elles fournissent un rapport plus détaillé des vulnérabilités exceptionnelles dans une version d'OS AXIS spécifique.
Il est possible de désactiver les en-têtes de serveur HTTP(S) pour réduire l'exposition aux informations lors des connexions HTTP(S). Cependant, nous vous recommandons uniquement de désactiver les en-têtes si vous utilisez votre périphérique conformément à nos recommandations et que vous le conservez à jour à tout moment.
L'option de désactivation des en-têtes de serveur HTTP(S) est disponible à compter de la version 10.6 d'AXIS OS.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | Paramètres > Système > Configuration ordinaire > Système > Commentaires d'en-tête de serveur HTTP |
| ≥ 10.9 | Système > Configuration ordinaire > Système > Commentaires d'en-tête de serveur HTTP |
Audio
Dans les produits de vidéosurveillance Axis, tels que les caméras réseau, l'E/S audio et la fonctionnalité de microphone sont désactivés par défaut. Si vous avez besoin de fonctionnalités audio, vous devez les activer avant de les utiliser. Dans les produits Axis où l'E/S audio et la fonctionnalité de microphone sont des fonctions essentielles, comme dans les interphones et les haut-parleurs réseau Axis, les fonctionnalités audio sont activées par défaut.
Nous vous recommandons de désactiver les fonctionnalités audio si vous ne les utilisez pas.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avance > Configuration ordinaire > Audio > Audio A* > Activé |
| 7.10 | Paramètres > Audio > Autoriser l'audio |
| ≥ 10.9 | Audio > Paramètres du périphérique |
Emplacement(s) pour carte SD
Les périphériques Axis prennent généralement en charge au moins une carte SD pour le stockage edge des enregistrements vidéo. Nous vous recommandons de désactiver complètement l'emplacement pour carte SD si vous n'utilisez pas de cartes SD. L'option de désactivation de l'emplacement pour carte SD est disponible à compter de la version 9.80 d'AXIS OS.
Pour plus d'informations, consultez la section concernant la désactivation de la carte SD dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | Paramètres > Système > Configuration ordinaire > Stockage > Disque SD activé |
| ≥ 10.9 | Système > Configuration ordinaire > Stockage > Disque SD activé |
Accès FTP
FTP est un protocole de communication non sécurisé utilisé uniquement à des fins de dépannage et de débogage. L'accès FTP a été supprimé dans AXIS OS 11.1 et n'est pas disponible dans les versions ultérieures. Nous vous recommandons de désactiver l'accès FTP et d'utiliser l'accès SSH sécurisé aux fins de dépannage.
Pour plus d'informations sur SSH, consultez la section concernant l'accès SSH dans AXIS OS Portal. Pour plus d'informations sur les options de débogage à l'aide de FTP, consultez la section concernant l'accès FTP dans AXIS OS Portal.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Configuration ordinaire > Réseau > FTP activé |
| 7.10 | Paramètres > Système > Configuration ordinaire > Réseau > FTP activé |
| ≥ 10.9 | Système > Configuration ordinaire > Réseau > FTP activé |
Accès SSH
Le protocole SSH est un protocole de communication sécurisé utilisé à des fins de dépannage et de débogage uniquement. Il est pris en charge par les périphériques Axis à partir d'AXIS OS 5.50. Nous vous recommandons de désactiver l'accès SSH.
Pour plus d'informations sur les options de débogage à l'aide de SSH, consultez la section concernant l'accès SSH dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Configuration ordinaire > Réseau > SSH activé |
| 7.10 | Paramètres > Système > Configuration ordinaire > Réseau > SSH activé |
| ≥ 10.9 | Système > Configuration ordinaire > Réseau > SSH activé |
Accès Telnet
Telnet est un protocole de communication non sécurisé utilisé à des fins de dépannage et de débogage uniquement. Il est pris en charge par les périphériques Axis dont la version est antérieure à AXIS OS 5.50. Nous vous recommandons de désactiver l'accès Telnet.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 5.50 | Pour plus d'instructions, consultez la section concernant l'accès aux périphériques dans AXIS Knowledge base. |
| < 7.10 | N/A |
| 7.10 | N/A |
| ≥ 10.9 | N/A |
ARP/Ping
ARP/Ping était une méthode permettant de définir l'adresse IP du périphérique Axis à l'aide d'outils comme AXIS IP Utility. Cette fonctionnalité a été supprimée d'Axis OS 7.10 et n'est plus disponible dans les versions ultérieures. Nous vous recommandons de désactiver la fonction sur les périphériques Axis dotés d'AXIS OS 7.10 et versions antérieures.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > Réseau > ARP/Ping |
| 7.10 | N/A |
| ≥ 10.9 | N/A |
USB
À partir du système d'exploitation AXIS OS 12.1, l'AXIS D1110 offre la possibilité de désactiver le port USB. Si les ports USB non inutilisés sont laissés sans surveillance et qu'ils sont actifs, cela représente un risque sérieux pour la sécurité.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | N/A |
| ≥ 12.1 | Système > > Accessories > Configuration USB |
Pare-feu basé sur l'hôte
CSC n°1 : Inventaire et contrôle des ressources d'entreprise
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
CSC n°13 : Surveillance et défense réseau
Introduit dans AXIS OS 11.9, le pare-feu basé sur l'hôte est une fonction de sécurité qui vous permet de créer des règles régissant le trafic entrant par adresse IP et/ou numéros de port TCP/UDP. Cela permet d'éviter tout accès non autorisé au périphérique ou à ses services.
Si vous définissez la politique par défaut sur « Deny » (Refuser), veillez à ajouter tous les clients autorisés (clients VMS et administratifs) et/ou les ports à votre liste.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
| ≥ 11.9 | Configuration > Sécurité > Pare-feu |
Filtrage d’adresses IP
Les périphériques équipés d'AXIS OS 11.8 et des versions antérieures utilisent le filtrage des adresses IP pour empêcher l'accès des clients non autorisés. Nous vous recommandons de configurer votre périphérique de manière à autoriser les adresses IP autorisées des hôtes réseau ou à refuser celles qui ne sont pas autorisées.
Si vous choisissez d'autoriser les adresses IP, assurez-vous d'ajouter tous les clients autorisés, y compris les serveurs VMS et les clients d'administration à votre liste.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Sécurité > Filtrage d'adresses IP |
| 7.10 | Configuration > Système > TCP/IP >Filtrage d'adresses IP |
| 10.9 — 11.8 | Configuration > Sécurité > Filtrage d'adresses IP |
Vous pouvez activer des journaux plus détaillés des tentatives d'accès au réseau pour vous aider à identifier les tentatives d'accès indésirables provenant d'autres hôtes du réseau. Pour ce faire, allez à l'adresse suivante : Système > Configuration ordinaire > Réseau et au journal de filtrage du réseau.
HTTPS
CSC n° 3 : Protection des pertes de données
HTTP et HTTPS sont activés par défaut dans les périphériques Axis à partir d'AXIS OS 7.20. Alors que l'accès HTTP n'est pas sécurisé en l'absence de tout cryptage, HTTPS crypte le trafic entre le client et le périphérique Axis. Nous vous recommandons d'utiliser HTTPS pour toutes les tâches d'administration sur le périphérique Axis.
Pour les instructions de configuration, consultez les sections HTTPS uniquement et Cryptogrammes HTTPS.
HTTPS uniquement
Nous vous recommandons de configurer votre périphérique Axis pour la seule utilisation du protocole HTTPS (sans accès HTTP possible). Cela activera automatiquement le protocole HSTS (HTTP Strict Transport Security) et améliorera encore davantage la sécurité du périphérique.
À compter de la version 7.20 d'AXIS OS, les périphériques Axis sont signés avec un certificat auto-signé. Bien qu'un certificat auto-signé ne soit pas fiable dès la conception, il est approprié d'accéder en toute sécurité au périphérique Axis pendant la configuration initiale et lorsqu'aucune infrastructure de clé publique (PKI) n'est disponible. Si disponible, le certificat auto-signé doit être supprimé et remplacé par des certificats client signés correctement et émis par une autorité KPI. À compter de la version 10.10 d'AXIS OS, le certificat auto-signé a été remplacé par le certificat d'ID sécurisé IEEE 802.1AR.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Sécurité > HTTPS |
| 7.10 | Paramètres > Système > Sécurité > HTTP et HTTPS |
| ≥ 10.9 | Système > Réseau > HTTP et HTTPS |
Cryptogrammes HTTPS
Les périphériques Axis prennent en charge et utilisent les suites cryptographiques TLS 1.2 et TLS 1.3 pour crypter en toute sécurité les connexions HTTPS. La version TLS et la suite de cryptogramme spécifiques utilisées dépendent du client qui se connecte au périphérique Axis et elle est négociée en conséquence. Au cours des mises à jour régulières du système d'exploitation Axis, la liste des cryptogrammes disponibles du périphérique Axis peut être mise à jour sans que la configuration réelle du cryptogramme ne soit modifiée. Une modification des configurations de cryptogramme doit être initiée par l'utilisateur, soit en réinitialisant les valeurs par défaut des périphériques Axis, soit en procédant à une configuration manuelle. À partir d'Axis OS version 10.8 et ultérieure, la liste des cryptogrammes est automatiquement mise à jour lorsque l'utilisateur exécute une mise à jour d'AXIS OS.
TLS 1.2 et antérieur
Avec TLS 1.2 ou une version antérieure, vous pouvez spécifier les cryptogrammes HTTPS à utiliser par le périphérique Axis lors de son redémarrage. Il n'y a pas de restriction concernant les cryptogrammes que vous pouvez choisir, mais il est recommandé de sélectionner l'un ou l'ensemble des cryptogrammes forts suivants :
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > HTTPS > Cryptogrammes |
| 7.10 | Paramètres > Système > Configuration ordinaire > HTTPS > Cryptogrammes |
| ≥ 10.9 | Système > Configuration ordinaire > HTTPS > Cryptogrammes |
TLS 1.3
Par défaut, seules les suites cryptographiques puissantes répondant aux spécifications TLS 1.3 sont disponibles :
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384
Ces suites ne peuvent pas être configurées par l'utilisateur.
Journal d’accès
CSC n°1 : Inventaire et contrôle des ressources d'entreprise
CSC n°8 : Gestion des journaux d'audit
Le journal d'accès fournit les journaux détaillés des utilisateurs accédant au périphérique Axis, ce qui facilite les vérifications et la gestion du contrôle d'accès. Nous vous recommandons d'activer cette fonction et de la combiner à un serveur syslog distant pour que le périphérique Axis puisse envoyer ses journaux à un environnement de journalisation central. Cela simplifie le stockage des messages journaux et leur durée de conservation.
Pour plus d'informations, consultez la section concernant la journalisation des accès aux périphériques dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Système > Système avancé > Configuration ordinaire > Système > Journal d'accès |
| 7.10 | Paramètres > Système > Configuration ordinaire > Système > Journal d'accès |
| ≥ 10.9 | Système > Configuration ordinaire > Système > Journal d'accès |
Accessoires physiques anti-sabotage
CSC n°1 : Inventaire et contrôle des ressources d'entreprise
CSC n°12 : Gestion de l'infrastructure réseau
Axis propose des commutateurs d'intrusion physique et/ou de sabotage comme accessoires en option pour améliorer la protection physique des périphériques Axis. Ces commutateurs peuvent déclencher une alarme qui permet aux périphériques Axis d'envoyer une notification ou une alarme à des clients sélectionnés.
Pour plus d'informations sur les accessoires anti-sabotage disponibles, consultez :
Renforcement étendu
Les instructions relatives à un renforcement étendu s'appuient sur les rubriques de renforcement décrites dans Protection par défaut et dans Renforcement de base. Mais même si vous pouvez appliquer les instructions de renforcement par défaut et de base directement sur votre périphérique Axis, ce renforcement étendu nécessite une participation active de l'ensemble de la chaîne logistique des fournisseurs, de l'organisation de l'utilisateur final et de l'infrastructure IT sous-jacente et /ou réseau.
Limiter l'exposition à internet et aux réseaux
CSC n°12 : Gestion de l'infrastructure réseau
Nous vous recommandons d'éviter d'exposer un périphérique Axis en tant que serveur web public ou d'autoriser de quelque manière que ce soit des clients inconnus à accéder au périphérique en réseau. Pour les petites sociétés et les particuliers qui n'utilisent pas de logiciel de gestion vidéo (VMS) ou qui ont besoin d'accéder à la vidéo à partir de lieux distants, l'AXIS Camera Station Edge est une bonne option.
Disponible gratuitement sur Windows, iOS et Android, AXIS Camera Station Edge offre un moyen simple d'accéder à la vidéo en toute sécurité sans exposer son périphérique à internet. Pour plus d'informations, rendez-vous sur axis.com/products/axis-camera-station-edge.
Si votre société utilise un VMS, consultez votre fournisseur de VMS pour connaître les meilleures pratiques en matière d'accès vidéo distant.
L'isolation des périphériques réseau ainsi que de l'infrastructure et des applications connexes réduit le risque d'exposition du réseau.
Nous vous recommandons d'isoler les périphériques Axis, les infrastructures et les applications connexes sur un réseau local séparé de votre réseau de production et d'entreprise.
Pour appliquer un renforcement de base, protégez le réseau local et son infrastructure (routeur, commutateurs) contre tout accès non autorisé en utilisant plusieurs mécanismes de sécurité réseau. Il peut s'agir d'une segmentation VLAN, de capacités de routage limitées, d'un VPN pour l'accès site à site ou WAN, d'un pare-feu de couche réseau 2/3 et de listes de contrôle d'accès (ACL).
Pour étendre le renforcement de base, appliquez des techniques avancées d'inspection des réseaux, telles que l'inspection approfondie des paquets et la détection des intrusions. La protection contre les menaces au sein du réseau s'en trouve renforcée. Notez qu'un renforcement étendu du réseau nécessite généralement des logiciels et/ou du matériel spécialisés.
Analyse de détection des vulnérabilités
CSC n°1 : Inventaire et contrôle des ressources d'entreprise
CSC n°12 : Gestion de l'infrastructure réseau
Vous pouvez utiliser des scanners de sécurité réseau pour exécuter des évaluations de vulnérabilité de vos périphériques réseau. L'objectif d'une évaluation des vulnérabilité est de permettre un examen systématique des vulnérabilités de sécurité et des erreurs de sécurité potentielles.
Nous vous recommandons d'exécuter des analyses régulières des vulnérabilités de vos périphériques Axis et de leur infrastructure associée. Avant de commencer les analyses, assurez-vous que les périphériques Axis ont été mis à jour vers la dernière version d'AXIS OS disponible, soit sur le LTS, soit sur le suivi actif.
Nous vous recommandons également de passer en revue le rapport d'analyse et de filtrer les faux positifs connus pour les périphériques Axis, que vous pouvez trouver dans le manuel OS Vulnerability Scanner Guide. Soumettez le rapport et toute autre remarque supplémentaire sous la forme d'un ticket d'assistance à l'assistance technique d'Axis sur axis.com.
Infrastructure de clé publique (PKI) fiable
CSC n° 3 : Protection des pertes de données
CSC n°12 : Gestion de l'infrastructure réseau
Nous vous recommandons de déployer des certificats serveur et client Web sur vos périphériques Axis, fiables et signés par une autorité de certification publique ou privée (CA). Un certificat signé par une autorité de certification avec une chaîne de confiance validée permet de supprimer les avertissements de certificat du navigateur lorsque vous vous connectez via HTTPS. Un certificat signé par une autorité de certification garantit également l'authentification du périphérique Axis lors du déploiement d'une solution de contrôle d'accès réseau (NAC). Cela atténue le risque d'attaque d'un ordinateur se faisant passer pour un périphérique Axis.
Vous pouvez utiliser AXIS Device Manager, qui est fourni avec un service CA intégré, pour émettre des certificats signés sur les périphériques Axis.
Contrôle d'accès réseau IEEE 802.1X
CSC n°6 : Gestion du contrôle d'accès
CSC n°13 : Surveillance et défense réseau
Les périphériques Axis prennent en charge le contrôle d'accès réseau basé sur les ports IEEE 802.1X via la méthode EAP-TLS. Pour une protection optimale, nous vous recommandons d'utiliser les certificats client signés par une autorité de certification de confiance (CA) lorsque vous authentifiez votre périphérique Axis.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Sécurité > IEEE 802.1X |
| 7.10 | Paramètres > Sécurité > Système > IEEE 802.1X |
| ≥ 10.9 | Système > Sécurité > IEEE 802.1X |
IEEE 802.1AE MACsec
CSC n° 3 : Protection des pertes de données
CSC n°6 : Gestion du contrôle d'accès
Les périphériques AXIS prennent en charge IEEE 802.1AE MACsec qui est un protocole réseau bien défini qui sécurise cryptographiquement les liaisons Ethernet point à point sur la couche réseau 2. Il garantit la confidentialité et l'intégrité des transmissions de données entre deux hôtes. Comme MACsec agit au niveau de la couche basse 2 de la pile réseau, il ajoute une couche de sécurité supplémentaire aux protocoles réseau qui n'offrent pas les capacités de cryptage natif (ARP, NTP, DHCP, LLDP, CDP...) ainsi qu'à ceux qui en disposent déjà (HTTPS, TLS).
La norme IEEE 802.1AE MACsec décrit deux modes de fonctionnement : une clé pré-partagée (PSK) configurable manuellement / un mode CAK statique et une session maître automatique / un mode CAK dynamique utilisant les sessions IEEE 802.1X EAP-TLS. Le périphérique Axis prend en charge les deux modes.
Pour plus d'informations sur la norme 802.1AE MACsec et la manière de la configurer sur les périphériques OS AXIS, voir IEEE 802.1AE dans la base de connaissances du système d'exploitation AXIS.
Identité des périphériques sécurisés IEEE 802.1AR
CSC n°1 : Inventaire et contrôle des ressources d'entreprise
CSC n°13 : Surveillance et défense réseau
Les périphériques Axis équipés d'Axis Edge Vault prennent en charge la norme réseau IEEE 802.1AR, ce qui permet d'embarquer automatiquement et en toute sécurité les périphériques Axis dans le réseau grâce à l'identifiant de périphérique Axis, un certificat unique installé dans le périphérique au cours de la production. Pour un exemple d'intégration sécurisée de périphérique, consultez le guide d'intégration sécurisée des périphériques Axis sur les réseaux Aruba.
Pour plus d'informations, consultez le livre blanc Axis Edge Vault. Pour télécharger la chaîne de certificats de l'identifiant de périphérique Axis, utilisée pour valider l'identité des périphériques Axis, consultez la section concernant le référentiel d'infrastructure de clé publique sur axis.com.
Journal système distant
CSC n°8 : Gestion des journaux d'audit
Vous pouvez configurer un périphérique Axis pour l'envoi de tous ses messages journaux cryptés à un serveur syslog central. Les audits sont ainsi plus faciles et empêchent la suppression des messages journaux sur le périphérique Axis, que ce soit de manière intentionnellement et/ou malveillante. Selon les politiques de l'entreprise, il peut également fournir une durée de conservation étendue des journaux des périphériques.
Pour plus d'informations sur la façon d'activer le serveur syslog distant dans les différentes versions d'AXIS OS, consultez la section concernant Syslog dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Pour plus d'instructions, consultez la section concernant Syslog dans AXIS OS Portal |
| 7.10 | Paramètres > Système > TCP/IP |
| ≥ 10.9 | Système > Journaux |
Flux vidéo sécurisé (SRTP/RTSPS)
CSC n° 3 : Protection des pertes de données
À partir d'AXIS OS 7.40, les périphériques Axis prennent en charge le flux vidéo sécurisé sur RTP, également appelé SRTP/RTSPS. SRTP/RTSPS utilise une méthode de transport sécurisée et chiffrée de bout en bout pour s'assurer que seuls les clients autorisés reçoivent le flux vidéo du périphérique Axis. Nous vous recommandons d'activer SRTP/RTSPS si votre système de gestion vidéo (VMS) le prend en charge. Si possible, utilisez SRTP au lieu du flux vidéo RTP non crypté.
SRTP/RTSPS crypte uniquement les données de flux vidéo. Pour les tâches de configuration d'administration nous vous recommandons d'activer HTTPS uniquement pour crypter ce type de communication.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | Configuration > Options système > Avancé > Configuration ordinaire > Réseau > RTSPS |
| 7.10 | Configuration > Système > Configuration ordinaire > Réseau > RTSPS |
| ≥ 10.9 | Système > Configuration ordinaire fil > Réseau > RTSPS |
Vidéo signée
CSC n° 3 : Protection des pertes de données
À compter de la version 10.11 d'AXIS OS, les périphériques Axis avec Axis Edge Vault prennent en charge la vidéo signée. Avec la vidéo signée, les périphériques peuvent ajouter une signature à leur flux vidéo pour s'assurer que la vidéo est intacte et pour vérifier son origine en la traçant jusqu'au périphérique Axis qui l'a produite. La vidéo signée permet au système de gestion vidéo (VMS) ou au système de gestion des preuves (EMS) permet également de vérifier l'authenticité de la vidéo fournie par un périphérique Axis.
Pour plus d'informations, consultez le livre blanc Axis Edge Vault. Pour trouver les certificats racine Axis utilisés pour valider l'authenticité de la vidéo signée, consultez la section concernant l'accès au périphérique dans AXIS OS Knowledge base.
| Version d'AXIS OS | Chemin de configuration de l'interface Web |
|---|---|
| < 7.10 | N/A |
| 7.10 | N/A |
| ≥ 10.9 | Système > Configuration ordinaire > Image > Vidéo signée |
Guide de prise en main
Le guide de démarrage rapide fournit une brève vue d'ensemble des paramètres que vous devez configurer lorsque vous renforcez les périphériques Axis avec les versions AXIS OS 5.51 et ultérieures. Il couvre les sujets relatifs au renforcement présentés dans Renforcement de base ; cependant, il ne couvre pas les sujets présentés dans Renforcement étendu car ils nécessitent une configuration étendue et spécifique au client au cas par cas.
Nous vous recommandons d'utiliser AXIS Device Manager pour renforcer plusieurs périphériques Axis de façon rapide et économique. Si vous devez utiliser une autre application pour la configuration des périphériques ou uniquement pour renforcer quelques périphériques Axis, nous vous recommandons d'utiliser l'API VAPIX.
Erreurs de configuration courantes
Périphériques exposés à Internet
CSC n°12 : Gestion de l'infrastructure réseau
Il est déconseillé d'exposer le périphérique Axis en tant que serveur Web public ou d'accorder à des clients inconnus un accès au réseau au périphérique. Pour en savoir plus, consultez .
Mot de passe commun
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
CSC n° 5 : Gestion des comptes
Nous vous recommandons fortement d'utiliser un mot de passe unique pour chaque périphérique au lieu d'un mot de passe générique pour tous les périphériques. Pour des instructions, voir et Créer des comptes dédiés.
Accès anonyme
CSC n°4 : Configuration sécurisée des ressources et logiciels d'entreprise
CSC n° 5 : Gestion des comptes.
Il est déconseillé d'autoriser des utilisateurs anonymes à accéder aux paramètres vidéo et de configuration sur le périphérique sans avoir à fournir les identifiants de connexion. Pour en savoir plus, consultez .
Communication sécurisée désactivée
CSC n° 3 : Protection des pertes de données
Il est déconseillé d'utiliser le périphérique en employant des méthodes de communication et d'accès non sécurisées, telles que HTTP ou l'authentification de base lorsque les mots de passe sont transférés sans cryptage. Pour en savoir plus, consultez HTTPS activé. Pour des recommandations de configuration, consultez la section concernant consultez la section Authentification Digest.
Version d'AXIS OS obsolète
CSC n°2 : Inventaire et contrôle des ressources logicielles
Nous vous recommandons vivement d'utiliser le périphérique Axis avec la dernière version d'AXIS OS disponible, soit sur le LTS, soit sur la piste active. Ces deux pistes fournissent les derniers correctifs de sécurité et résolutions de bogues. Pour en savoir plus, consultez Mise à niveau vers la dernière version d'AXIS OS.
Renforcement de base via API VAPIX
Vous pouvez utiliser l'API VAPIX pour renforcer vos périphériques Axis en vous basant sur les rubriques couvertes dans Renforcement de base. Dans ce tableau, vous pouvez trouver tous les paramètres de base d'une configuration de renforcement, indépendamment de la version AXIS OS de votre périphérique Axis.
Il est possible que certains paramètres de configuration ne soient plus disponibles dans la version AXIS OS de votre périphérique, car certaines fonctionnalités ont été supprimées au fil du temps pour renforcer la sécurité. Si vous recevez une erreur lors de l'émission de l'appel VAPIX, cela peut indiquer que la fonctionnalité n'est plus disponible dans la version d'AXIS OS.
| Objectif | Appel API VAPIX |
|---|---|
| Désactiver POE dans les ports réseau inutilisés* | http://ip-address/axis-cgi/nvr/poe/setportmode.cgi?port=X&enabld=no |
| Désactiver le trafic réseau dans les ports réseau inutilisés** | http://ip-address/axis-cgi/network_settings.cgi |
| Désactiver le protocole de détection Bonjour | https://ip-address/axis-cgi/param.cgi?action=update&Network.Bonjour.Enabled=no |
| Désactiver le protocole de détection UPnP | https://ip-address/axis-cgi/param.cgi?action=update&Network.UPnP.Enabled=no |
| Désactiver le protocole de détection WebActiver | https://ip-address/axis-cgi/param.cgi?action=update&WebService.DiscoveryMode.Discoverable=no |
| Désactiver le service one-click cloud connection (O3C) | https://ip-address/axis-cgi/param.cgi?action=update&RemoteService.Enabled=no |
| Désactiver l'accès à la maintenance SSH du périphérique | https://ip-address/axis-cgi/param.cgi?action=update&Network.SSH.Enabled=no |
| Désactiver l'accès à la maintenance FTP du périphérique | https://ip-address/axis-cgi/param.cgi?action=update&Network.FTP.Enabled=no |
| Désactiver la configuration de l'adresse IP ARP-Ping | https://ip-address/axis-cgi/param.cgi?action=update&Network.ARPPingIPAddress.Enabled=no |
| Désactiver la configuration de l'adresse IP Zero-Conf | http://ip-address/axis-cgi/param.cgi?action=update&Network.ZeroConf.Enabled=no |
| Activer HTTPS seulement | https://ip-address/axis-cgi/param.cgi?action=update&System.BoaGroupPolicy.admin=https |
| Activer TLS 1.2 et TLS 1.3 uniquement | https://ip-address/axis-cgi/param.cgi?action=update&HTTPS.AllowTLS1=no |
| Configuration de cryptogrammes TLS 1.2 | https://ip-address/axis-cgi/param.cgi?action=update&HTTPS.Ciphers=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 |
| Activer la protection contre les attaques par force brute*** | https://ip-address/axis-cgi/param.cgi?action=update&System.PreventDoSAttack.ActivatePasswordThrottling=on |
| Désactiver l'environnement d'éditeur de scripts | https://ip-address/axis-cgi/param.cgi?action=update&System.EditCgi=no |
| Activer les journalisations d'accès utilisateur améliorées | https://ip-address/axis-cgi/param.cgi?action=update&System.AccessLog=On |
| Activer la protection contre les attaques par relecture ONVIF | https://ip-address/axis-cgi/param.cgi?action=update&WebService.UsernameToken.ReplayAttackProtection=yes |
| Désactiver l'accès à l'interface Web du périphérique | https://ip-address/axis-cgi/param.cgi?action=update&System.WebInterfaceDisabled=yes |
| Désactiver l'en-tête de serveur HTTP/OpenSSL | https://ip-address/axis-cgi/param.cgi?action=update&System.HTTPServerTokens=no |
| Désactiver la consultation anonyme et l'accès PTZ | https://ip-address/axis-cgi/param.cgi?action=update&root.Network.RTSP.ProtViewer=password |
| Empêcher l'installation du privilège racine exigeant des applications ACAP | http://ip-address/axis-cgi/applications/config.cgi?action=set&name=AllowRoot&value=false |
| Empêcher l'installation d'applications ACAP non signées | http://ip-address/axis-cgi/applications/config.cgi?action=set&name=AllowUnsigned&value=false |
* Remplacez « X » par le numéro de port réel dans « port=X ». Exemples : « port=1 » désactivera le port 1 et « port=2 » désactivera le port 2.
** Remplacez « 1 » par le numéro de port réel dans « eth1.1 ». Exemples : « eth1.1 » désactivera le port 1 et « eth1.2 » désactivera le port 2.
*** Après 20 tentatives de connexion échouées en l'espace d'une seconde, l'adresse IP du client est bloquée pendant 10 secondes. Chaque demande en échec suivante dans l'intervalle de 30 secondes de la page entraîne l'extension de 10 secondes de la période de blocage DoS.
Renforcement de base via AXIS Device Manager (extension)
Vous pouvez utiliser AXIS Device Manager et AXIS Device Manager Extend pour renforcer vos périphériques Axis en vous aidant des informations présentées dans Renforcement de base. Utilisez ce fichier de configuration, qui se compose des mêmes paramètres de configuration répertoriés dans Renforcement de base via API VAPIX.
Il est possible que certains paramètres de configuration ne soient plus disponibles dans la version AXIS OS de votre périphérique, car certaines fonctionnalités ont été supprimées au fil du temps pour renforcer la sécurité. AXIS Device Manager et AXIS Device Manager Extend suppriment automatiquement ces paramètres de la configuration de renforcement.
Une fois le fichier de configuration chargé, le périphérique Axis est configuré sur HTTPS uniquement et l'interface Web est désactivée. Vous pouvez modifier le fichier de configuration en fonction de vos besoins, par exemple en supprimant ou en ajoutant des paramètres.
Notifications de sécurité
Nous vous recommandons de vous inscrire au service de notification de sécurité Axis pour recevoir des informations sur les vulnérabilités récemment découvertes dans les produits, solutions et services Axis, ainsi que sur la manière de sécuriser vos périphériques Axis.