Aller au contenu principal

Sécurité, SSH & Maintenance Distante

Ce document détaille les mesures de sécurité réseau appliquées au SentiView Bridge pour le chiffrement des flux et la maintenance à distance sécurisée.


1. Sécurité des Connexions Web & WebSockets

Chiffrement SSL/TLS

  • Toutes les communications vers la plateforme cloud et les flux vidéo sont chiffrés. Les certificats SSL/TLS des serveurs SentiView sont renouvelés périodiquement.
  • L'accès à l'interface d'administration exige un navigateur moderne supportant au minimum les protocoles de chiffrement TLS 1.2 et TLS 1.3.

WebSockets locaux : WSS (Chiffré) vs WS (En clair)

Pour la communication locale sur le LAN entre le bridge et d'autres logiciels ou serveurs locaux :

  • WSS (port 8443) : Chiffre les trames échangées. C'est le protocole recommandé pour interdire l'écoute passive et prévenir les attaques de type Man-in-the-Middle.
  • WS (port 8080) : Transmet les informations en clair. Ce port est disponible mais son utilisation doit rester temporaire ou réservée à des environnements réseau totalement isolés.
astuce

Recommandation Privilégiez systématiquement le protocole WSS sur le port 8443 pour préserver la confidentialité et l'intégrité de vos données de supervision locales.


2. Maintenance SSH & Tunnels Distants

Accès SSH direct

  • L'accès SSH direct au SentiView Bridge est désactivé pour l'utilisateur root pour des raisons de sécurité.
  • La connexion requiert l'usage d'un utilisateur technique spécifique disposant d'un mot de passe unique et personnalisé par équipement.

Tunnel de maintenance (mirror1.sentiview.ai)

  • Plage 22000-23000 : Une redirection de port (port forwarding) vers le serveur relais mirror1.sentiview.ai est utilisée pour permettre l'assistance technique et le débogage à distance par nos équipes.
  • Sécurisation : Le trafic SSH entrant sur le port 22 du bridge doit être strictement limité aux paquets en provenance de mirror1.sentiview.ai.
info

Attribution dynamique des ports

La gestion de cette plage de ports est entièrement automatisée par le logiciel interne du bridge. Chaque service (SSH, HTTP, etc.) se voit attribuer dynamiquement un port unique lors de l'établissement du tunnel.

Vous pouvez consulter la liste des tunnels actifs à tout moment dans l'interface web locale du bridge sous Système > Tunnel.