IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Services d'administration
Configuration des adresses IP d'administration
Un accès non restreint aux interfaces d’administration du pare-feu augmente les risques de tentative d’intrusion et de manipulation par un équipement illégitime qui y aurait accès.
R11 | Définir explicitement les sous-réseaux d'administration
Il est recommandé de définir explicitement les adresses IP ou les sous-réseaux d'administration autorisés à accéder aux interfaces d’administration d’un équipement dans le menu Système > Configuration > Administration du Firewall.
Les adresses IP et les sous-réseaux d’administration doivent être configurés à l’aide d’objets spécifiques, regroupés dans un groupe d’objets. Conformément au chapitre Politique de filtrage, l’utilisation de tels groupes d’objets permet une meilleure gestion des autorisations, en cohérence avec les règles de filtrage.
R12 | Utiliser un groupe d'objets d'administration
Il est recommandé d’utiliser un groupe d’objets contenant l’ensemble des sous-réseaux et adresses IP autorisés à administrer le pare-feu.
Interface d'administration dédiée
Une interface d’administration mutualisée avec le réseau d’opérations augmente le nombre de personnes et d’équipements capables d’accéder à l’interface d’administration du pare-feu et augmente la charge de trafic que l’interface doit gérer. Le risque de voir l’interface d’administration attaquée ou injoignable est alors important. De plus, l’utilisation de VLANs ne garantit pas une étanchéité totale entre les réseaux configurés.
R13 | Dédier une interface Ethernet à l'administration
Il est recommandé d’administrer un équipement SNS sur une interface Ethernet dédiée raccordée à un réseau d’administration, également dédiée à ces opérations. Le filtrage mis en œuvre devra être le plus restrictif possible.
Le guide Recommandations relatives à l'administration sécurisée des systèmes d'information publié par l’ANSSI détaille les mesures recommandées concernant une administration sécurisée des SI.
Sécurité de l'interface web d'administration
La sécurité de l’interface web d’administration participe à la sécurité de l’équipement en protégeant en confidentialité et en intégrité les flux légitimes d’administration.
Par défaut, le mode sslparanoiac est activé, imposant l’utilisation de TLS 1.2 et de suites cryptographiques robustes. Il est possible de vérifier la configuration du paramétrage TLS de l’interface web d’administration à l’aide de la commande NSRPC config auth show. Les suites cryptographiques proposées par défaut sont les suivantes :
ECDHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES256-SHA256
R14 | Conserver les suites cryptographiques
Conserver la configuration par défaut des suites cryptographiques permet d’être conforme aux Recommandations de sécurité relatives à TLS de l’ANSSI ainsi qu’à l’annexe B1 du RGS.
INFORMATION
L’utilisation de TLS 1.2 et de suites cryptographiques robustes nécessite un navigateur Internet récent.
R14 + | Durcir les paramètres TLS de l'interface d'administration
Il est recommandé de conserver uniquement les suites TLS avec ECDHE comme préconisé par le guide Recommandations de sécurité relatives à TLS.
La restriction des suites cryptographiques peut s’effectuer à l’aide de la commande NSRPC :
config auth https cipherlist="ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-SHA256,ECDHE-RSA- AES256-GCM-SHA384,ECDHE-RSA-AES256-SHA384"
config auth activate
Modification du certificat de l'interface web d'administration
Par défaut, le certificat présenté à l’administrateur lorsqu’il se connecte à l’interface web d’administration est un certificat signé par l’AC NetAsq. La clé privée utilisée n’est alors pas maîtrisée, ni sur les critères de génération, ni sur l’utilisation qui peut en être faite.
R15 | Remplacer le certificat de l'interface web
Il est recommandé de remplacer le certificat de l’interface web d’administration par un certificat issu d’une IGC maîtrisée afin de renforcer la sécurité de son accès.
Se référer aux recommandations du RGS, en particulier les annexes A4 et B1.
La configuration du certificat serveur utilisé par l’interface web d’administration de SNS se fait à partir du menu Configuration > Système > Configuration > Administration du Firewall > Configurer le certificat SSL du service.
INFORMATION
Afin qu’un administrateur puisse authentifier l’équipement sur lequel il se connecte, la clé publique de l’AC qui a signé le certificat doit être présente dans le magasin de certificats du navigateur utilisé par les administrateurs.
Administration via NSRPC
Dans le cas d’une connexion directe au serveur NSRPC, le pare-feu requiert l’accès en lecture à l’empreinte du mot de passe de l’utilisateur (cette information est nécessaire au bon fonctionnement du protocole d’authentification utilisé). Un détournement de l’accès du pare-feu à l’annuaire peut alors entraîner la compromission de l’ensemble des empreintes des mots de passe stockés. L’empreinte est un élément critique, une attaque par force brute peut compromettre les mots de passe. Il est donc nécessaire de surveiller l’utilisation d’un tel compte dans le système d’information (connexion issue d’un autre équipement, requêtes illégitimes, etc.).
Une console NSRPC est disponible depuis l’interface web. L’accès à cette console ne nécessite pas d’authentification supplémentaire. L’accès aux empreintes n’est pas nécessaire.
R16 | Utiliser NSRPC depuis l'interface web
Il est recommandé d’utiliser les commandes NSRPC uniquement depuis le menu Système > Console CLI de l’interface web.
R16 ⁃ | Utiliser des comptes dédiés à la connexion NSRPC directe
Dans le cas d’un accès direct à la console NSRPC, il est recommandé d’utiliser des comptes dédiés à cet usage et d’exposer uniquement les empreintes de ces comptes sur l’annuaire distant.
INFORMATION
Par défaut, les annuaires de type Active Directory et OpenLDAP n’autorisent pas la lecture des empreintes des mots de passe.
Choix des éléments de localisation
Plusieurs éléments de localisation sont présents sur l’équipement :
-
La langue de l’interface web, qui peut être choisie sur l’écran de connexion,
-
La disposition du clavier de la console, configurable dans le menu Système > Configuration,
-
La langue des traces et des journaux, également configurable dans le menu Système > Configuration.
La langue des traces et des journaux modifie les messages disponibles dans le Tableau de bord et dans les fichiers de journalisation locaux et distants. Le choix de cette langue influe sur :
-
Leur compréhension par les exploitants,
-
Les motifs recherchés par les systèmes de supervision,
-
Les recherches effectuées dans la base de connaissances disponible sur le site internet de l’éditeur.
L’ensemble des messages existants est répertorié dans le menu Notifications > Evènements systèmes et leurs traductions sont disponibles sur l'équipement dans le dossier /usr/Firewall/System/Language/. Chaque message émissible possède un numéro d’index lié à l’erreur correspondante. Ce numéro est donc identique au sein de l’ensemble des traductions.
R17 | Unifier la langue des traces et des journaux
Il est recommandé de configurer une langue identique sur l’ensemble des équipements SNS pour la langue des traces et journaux. Ceci permet d’en simplifier la lecture et facilite l’intégration dans les outils de supervision.
R18 | Utiliser une langue comprise par les exploitants
Il est conseillé de configurer un équipement dans une langue maîtrisée par les exploitants.
INFORMATION
La base de connaissances de l’éditeur Stormshield est composée en grande partie de pages en anglais. Cette base est accessible depuis l’espace personnel Stormshield.