Sécurité, SSH & Maintenance Distante
Ce document détaille les mesures de sécurité réseau appliquées au SentiView Bridge pour le chiffrement des flux et la maintenance à distance sécurisée.
1. Sécurité des Connexions Web & WebSockets
Chiffrement SSL/TLS
- Toutes les communications vers la plateforme cloud et les flux vidéo sont chiffrés. Les certificats SSL/TLS des serveurs SentiView sont renouvelés périodiquement.
- L'accès à l'interface d'administration exige un navigateur moderne supportant au minimum les protocoles de chiffrement TLS 1.2 et TLS 1.3.
WebSockets locaux : WSS (Chiffré) vs WS (En clair)
Pour la communication locale sur le LAN entre le bridge et d'autres logiciels ou serveurs locaux :
- WSS (port 8443) : Chiffre les trames échangées. C'est le protocole recommandé pour interdire l'écoute passive et prévenir les attaques de type Man-in-the-Middle.
- WS (port 8080) : Transmet les informations en clair. Ce port est disponible mais son utilisation doit rester temporaire ou réservée à des environnements réseau totalement isolés.
Recommandation Privilégiez systématiquement le protocole WSS sur le port 8443 pour préserver la confidentialité et l'intégrité de vos données de supervision locales.
2. Maintenance SSH & Tunnels Distants
Accès SSH direct
- L'accès SSH direct au SentiView Bridge est désactivé pour l'utilisateur root pour des raisons de sécurité.
- La connexion requiert l'usage d'un utilisateur technique spécifique disposant d'un mot de passe unique et personnalisé par équipement.
Tunnel de maintenance (mirror1.sentiview.ai)
- Plage 22000-23000 : Une redirection de port (port forwarding) vers le serveur relais
mirror1.sentiview.aiest utilisée pour permettre l'assistance technique et le débogage à distance par nos équipes. - Sécurisation : Le trafic SSH entrant sur le port 22 du bridge doit être strictement limité aux paquets en provenance de
mirror1.sentiview.ai.
Attribution dynamique des ports
La gestion de cette plage de ports est entièrement automatisée par le logiciel interne du bridge. Chaque service (SSH, HTTP, etc.) se voit attribuer dynamiquement un port unique lors de l'établissement du tunnel.
Vous pouvez consulter la liste des tunnels actifs à tout moment dans l'interface web locale du bridge sous Système > Tunnel.