Services d'administration

Configuration des adresses IP d'administration

Un accès non restreint aux interfaces d’administration du pare-feu SNS augmente les risques de tentative d’intrusion et de manipulation par un équipement illégitime qui y aurait accès.

R11 | SNS | Définir explicitement les sous-réseaux d'administration
Il est recommandé de définir explicitement les adresses IP ou les sous-réseaux d'administration autorisés à accéder aux interfaces d’administration d’un pare-feu SNS dans le menu Configuration > Système > Configuration > Administration du Firewall.

Les adresses IP et les sous-réseaux d’administration doivent être configurés à l’aide d’objets spécifiques, regroupés dans un groupe d’objets. Conformément au chapitre Politique de filtrage, l’utilisation de tels groupes d’objets permet une meilleure gestion des autorisations, en cohérence avec les règles de filtrage.

R12 | SNS | Utiliser un groupe d'objets d'administration
Il est recommandé d’utiliser un groupe d’objets contenant l’ensemble des sous-réseaux et adresses IP autorisés à administrer le pare-feu SNS.

Interface web d'administration dédiée

Une interface web d’administration mutualisée avec le réseau d’opérations augmente le nombre de personnes et d’équipements capables d’accéder à l’interface web d’administration du pare-feu SNS et augmente la charge de trafic que l’interface doit gérer. Le risque de voir l’interface web d’administration attaquée ou injoignable est alors important. De plus, l’utilisation de VLAN ne garantit pas une étanchéité totale entre les réseaux configurés.

R13 | SNS | Dédier une interface Ethernet à l'administration
Il est recommandé d’administrer un pare-feu SNS sur une interface Ethernet dédiée raccordée à un réseau d’administration, également dédié à ces opérations. Le filtrage mis en œuvre devra être le plus restrictif possible.

Le guide Recommandations relatives à l'administration sécurisée des systèmes d'information publié par l’ANSSI détaille les mesures recommandées concernant une administration sécurisée des SI.

Sécurité de l'interface web d'administration

La sécurité de l’interface web d’administration des pare-feux SNS et du serveur SMC participe à leur sécurité en protégeant en confidentialité et en intégrité les flux légitimes d’administration.

Pour le pare-feu SNS, le mode sslparanoiac est activé par défaut, imposant l’utilisation de TLS 1.3 ou TLS 1.2 avec des suites cryptographiques robustes. Il est possible de vérifier la configuration du paramétrage TLS de l’interface web d’administration à l’aide de la commande NSRPC config auth show. Les suites cryptographiques proposées par défaut sont les suivantes :

ECDHE-ECDSA-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384

R14 | SNS | Conserver les suites cryptographiques
Conserver la configuration par défaut des suites cryptographiques permet d’être conforme aux Recommandations de sécurité relatives à TLS de l’ANSSI ainsi qu’à l’annexe B1 du RGS.

R14+ | SNS | Durcir les paramètres TLS de l'interface web d'administration
Il est recommandé de conserver uniquement les suites TLS avec ECDHE comme préconisé par le guide Recommandations de sécurité relatives à TLS.

La restriction des suites cryptographiques peut s’effectuer à l’aide des commandes NSRPC :

config auth https cipherlist="ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384"
config auth activate

Modification du certificat de l'interface web d'administration

Par défaut, le certificat présenté à l’administrateur lorsqu’il se connecte à l’interface web d’administration d'un pare-feu SNS est un certificat signé par l’AC (Autorité de Certification) Stormshield. Dans le cas du serveur SMC, il s'agit d'un certificat auto-signé. Dans les deux cas, la clé privée utilisée n’est alors pas maîtrisée, ni sur les critères de génération, ni sur l’utilisation qui peut en être faite.

R15 | SNS | Remplacer le certificat de l'interface web
Il est recommandé de remplacer le certificat de l’interface web d’administration par un certificat issu d’une IGC (équivalent de PKI en anglais - Public Key Infrastructure) maîtrisée afin de renforcer la sécurité de son accès.
Se référer aux recommandations du RGS, en particulier les annexes A4 et B1.

La configuration du certificat serveur utilisé par l’interface web d’administration du pare-feu SNS se fait à partir du menu Configuration > Système > Configuration > Administration du Firewall > Configurer le certificat SSL du service.

INFORMATION
Afin qu’un administrateur puisse authentifier le pare-feu SNS sur lequel il se connecte, la clé publique de l’AC qui a signé le certificat doit être présente dans le magasin de certificats du navigateur utilisé par les administrateurs.

Administration via NSRPC

Dans le cas d’une connexion directe au serveur NSRPC, le pare-feu SNS requiert l’accès en lecture à l’empreinte du mot de passe de l’utilisateur (cette information est nécessaire au bon fonctionnement du protocole d’authentification utilisé). Un détournement de l’accès du pare-feu SNS à l’annuaire peut alors entraîner la compromission de l’ensemble des empreintes des mots de passe stockés. L’empreinte est un élément critique, une attaque par force brute peut compromettre les mots de passe. Il est donc nécessaire de surveiller l’utilisation d’un tel compte dans le système d’information (connexion issue d’un autre équipement, requêtes illégitimes, etc.).

Une console NSRPC est disponible depuis l’interface web d'administration. L’accès à cette console ne nécessite pas d’authentification supplémentaire. L’accès aux empreintes n’est pas nécessaire.

R16 | SNS | Utiliser NSRPC depuis l'interface web d'administration
Il est recommandé d’utiliser les commandes NSRPC uniquement depuis le menu Configuration > Système > Console CLI de l’interface web d'administration.

R16 ⁃ | SNS | Utiliser des comptes dédiés à la connexion NSRPC directe
Dans le cas d’un accès direct à la console NSRPC, il est recommandé d’utiliser des comptes dédiés à cet usage, de changer régulièrement leurs mots de passe et d’exposer uniquement les empreintes de ces comptes sur l’annuaire distant.

INFORMATION
Par défaut, les annuaires de type Active Directory et OpenLDAP n’autorisent pas la lecture des empreintes des mots de passe.

Choix des éléments de localisation

Plusieurs éléments de localisation sont présents sur le pare-feu SNS :

  • La langue de l’interface web d'administration, qui peut être choisie sur l’écran de connexion,

  • La disposition du clavier de la console, configurable dans le menu Configuration > Système > Configuration,

  • La langue des traces et des journaux, également configurable dans le menu Configuration > Système > Configuration.

La langue des traces et des journaux modifie les messages disponibles dans le menu Monitoring > Tableau de bord et dans les fichiers de journalisation locaux et distants. Le choix de cette langue influe sur :

  • Leur compréhension par les exploitants,

  • Les motifs recherchés par les systèmes de supervision,

  • Les recherches effectuées dans la base de connaissance disponible sur le site internet de Stormshield.

L’ensemble des messages existants est répertorié dans le menu Monitoring > Logs - Journaux d'audit > Évènements système et leurs traductions sont disponibles sur le pare-feu SNS dans le dossier /usr/Firewall/System/Language/. Chaque message émissible possède un numéro d’index lié à l’erreur correspondante. Ce numéro est donc identique au sein de l’ensemble des traductions.

R17 | SNS | Unifier la langue des traces et des journaux
Il est recommandé de configurer une langue identique sur l’ensemble des pare-feux SNS pour la langue des traces et journaux. Ceci permet d’en simplifier la lecture et facilite l’intégration dans les outils de supervision.

ATTENTION
Sur le serveur SMC, les journaux ne sont disponibles qu'en anglais. Il est recommandé de configurer les traces et journaux du pare-feu SNS en anglais en cas d'administration via le serveur SMC.

R18 | SNS-SMC | Utiliser une langue comprise par les exploitants
Il est conseillé de configurer un pare-feu SNS dans une langue maîtrisée par les exploitants.

INFORMATION
Le site de Documentation technique de Stormshield est accessible en français et en anglais. La base de connaissance est accessible depuis l’espace personnel Stormshield uniquement en anglais.