Comptes administrateurs

Utilisation de comptes nominatifs

Il est important de pouvoir assurer la traçabilité de l’ensemble des actions réalisées sur le pare-feu SNS et sur le serveur SMC (voir le chapitre Journalisation pour les recommandations liées à la journalisation) afin de s’assurer qu’elles ont été menées par un administrateur légitime et autorisé.

R1 | SNS-SMC | Utiliser des comptes nominatifs
Il est recommandé d’utiliser des comptes nominatifs pour les administrateurs, quels que soient leurs privilèges, lors d’une connexion à l’interface web, au serveur NSRPC ou en SSH.

Certaines opérations exceptionnelles sont réalisables avec un compte nominatif depuis l’interface web, la console locale ou par SSH, comme la modification manuelle de fichiers de configuration.

Un compte administrateur local non nominatif (admin) est présent sur le pare-feu SNS et peut également réaliser ces actions. Toutefois, seul ce compte peut modifier les droits accordés aux administrateurs.

Sur le serveur SMC, certaines opérations avancées ou de maintenance ne sont disponibles qu'en ligne de commande (via SSH ou le mode console).

R2 | SNS-SMC | Protéger le compte administrateur local
Le compte administrateur présent sur le pare-feu SNS doit disposer d’un mot de passe fort (se référer au guide Recommandations relatives à l'authentification multifacteur et aux mots de passe) et ne doit être utilisé qu'afin d’établir l’accès aux comptes nominatifs. Son mot de passe doit être conservé au coffre-fort et son utilisation doit être supervisée et limitée à un ensemble déterminé de personnes.

R3 | SNS | Limiter l'administration par SSH
Le service SSH doit être limité qu'aux seuls comptes administrateurs nécessaires et ne doit être activé qu’à titre exceptionnel à partir du menu Configuration > Système > Configuration > Administration du Firewall.

R4 | SNS | Utiliser une authentification par clé SSH
Lorsque l’accès SSH est activé à titre exceptionnel, il est recommandé d’utiliser une authentification par clé SSH conformément au guide Recommandations pour un usage sécurisé d’(Open)SSH.

Authentification locale

Les pare-feux SNS offrent la possibilité de créer un annuaire interne (menu Configuration > Utilisateurs > Configuration des annuaires) permettant une authentification locale. Cette authentification est utilisée pour la connexion aux serveurs web, NSRPC et SSH. Dans ce cas, le pare-feu SNS stocke les éventuels mots de passe ou leurs dérivés. Une compromission du pare-feu SNS compromet alors ces éléments secrets. Par ailleurs, il est également possible de s’authentifier sur l’interface web d’administration à l’aide d’un certificat. Leur utilisation permet de ne stocker que des données publiques au sein du pare-feu SNS. Les recommandations associées à l’utilisation de certificats sur des pare-feux SNS sont présentées dans le chapitre Certificats et PKI. En revanche, l’accès au serveur NSRPC n’autorise qu’une authentification par mot de passe.

R5 | SNS | Authentifier localement par certificat
Si l’authentification locale est utilisée, il est recommandé d’utiliser des certificats utilisateurs nominatifs comme moyen d’authentification à l’interface web d’un pare-feu SNS.

Les autorités de certification doivent alors avoir été ajoutées dans le menu Configuration > Objets > Certificats et PKI. La méthode d’authentification Certificat SSL doit avoir été configurée dans le menu Configuration > Utilisateurs > Authentification > Méthodes disponibles avec les autorités souhaitées.

R6 | SNS | Définir une politique de mots de passe adaptée
Si un accès au serveur NSRPC est nécessaire à un administrateur, son mot de passe doit suivre une politique conforme au guide Recommandations relatives à l'authentification multifacteur et aux mots de passe. La configuration se fait dans le menu Configuration > Système > Configuration > Configuration générale.

Authentification centralisée

Cette fonctionnalité n’est pas couverte par la cible de sécurité.

Les solutions SNS et SMC supportent l’utilisation d’une solution d’authentification centralisée permettant la gestion des utilisateurs sur un pare-feu SNS distant. L’utilisation d’une telle solution vise à limiter le nombre de données sensibles stockées localement et de simplifier les procédures d’administration. Dans le cas de l’utilisation d’un annuaire externe, la configuration du pare-feu SNS est détaillée dans le chapitre Utilisation d'un annuaire externe.

R7 | SNS | Dédier un annuaire externe aux administrateurs
Conformément au guide Recommandations relatives à l'administration sécurisée des systèmes d'information, il est recommandé d’utiliser un annuaire externe et dédié à l’administration pour authentifier les administrateurs.

R8 | SNS | Utiliser un compte d'accès restreint et sécurisé
Le compte utilisé par le pare-feu SNS pour accéder à la solution d’authentification centralisée doit être limité à cette fonction, dédié au pare-feu SNS et faire l’objet d’attentions particulières en termes de configuration. En particulier, il ne doit avoir que des droits en lecture afin d’éviter toute modification des données de l’annuaire à partir du pare-feu SNS.

Droits d'accès

Un pare-feu SNS offre de nombreuses fonctionnalités : filtrage, tunnels VPN, etc. Un administrateur dédié à une tâche précise ne doit avoir qu’un périmètre d’action limité. Cela permet de cloisonner les risques en cas de compromission de son compte, ainsi que limiter les modifications involontaires de configuration. Afin de réduire les risques liés à une compromission d’un compte d’administration, voire d’un pare-feu SNS, il est recommandé, dans l’idéal, de dédier un pare-feu SNS pour chaque fonction et un compte d’administration afférent.

Si la mutualisation de plusieurs pare-feux SNS est impérative, il convient alors de créer des comptes d’administration pour chaque fonctionnalité comme préconisé dans le guide Recommandations relatives à l'administration sécurisée des systèmes d'information.

R9 | SNS | Ajuster les droits d'administration au strict nécessaire
Il est recommandé de ne positionner que les droits strictement nécessaires aux tâches des différents administrateurs dans le menu Configuration > Système > Administrateurs > Administrateurs.

Il n’est pas possible d’utiliser la valeur d’un attribut de l’annuaire afin de discriminer les différents profils de droits (administrateur complet, administrateur dédié à une fonction, superviseur, etc.). Il est cependant possible de déclarer des groupes d’utilisateurs au sein de l’annuaire et de leur appliquer un profil de droits sur le pare-feu SNS. Chaque groupe doit correspondre à un besoin fonctionnel et bénéficier des droits adaptés sur le pare-feu SNS. L’attribution de droits à un administrateur est alors effectuée par son affectation à un groupe. Cela se réalise dans l’annuaire de manière centralisée.

R10 | SNS-SMC | Utiliser les groupes pour gérer les droits
Il est recommandé d’utiliser les groupes pour gérer les droits d’accès aux pare-feux SNS.

ATTENTION
Seul le compte administrateur non nominatif peut modifier les droits des utilisateurs et groupes d’utilisateurs. Cette action doit donc rester exceptionnelle conformément au chapitre Utilisation de comptes nominatifs.