Sécurité réseau
Connectivité réseau
Configurer le DNS manuellement
R1 |
Configurer le DNS manuellement |
P2 |
En manipulant les entrées DNS, il est possible d’affecter les opérations qui s’appuient dessus (tel que potentiellement l’établissement des tunnels VPN ou l’obtention des mises à jour). Si les serveurs DNS sont définis par DHCP, il n’est plus possible de garantir les informations DNS. Afin de restreindre le risque lié à la manipulation d’enregistrements DNS, les serveurs DNS utilisés par les équipements doivent être des serveurs de confiance. Il est recommandé d’utiliser des serveurs DNS statiques et déterminés de confiance (idéalement internes ou ceux du FAI). |
||
Application |
Dans le menu : Accueil > Configuration > Interface WAN Il est recommandé d’utiliser des serveurs DNS internes afin d’éviter les divulgations de noms de domaines internes sur des DNS externes.
|
|
Désactiver le serveur DHCP
R2 |
Désactiver le serveur DHCP |
P1 |
L’allocation d’adresses par DHCP sans contrôles complémentaires (par exemple NAC) permet d’intégrer une machine exogène au réseau, sous seule condition de disposer d’un accès physique. Pour limiter les accès non autorisés au réseau, il est recommandé de ne pas activer les fonctionnalités de serveur DHCP sur les routeurs « distants ». Si toutefois le DHCP doit être activé pour des contraintes terrain, il est nécessaire de contrôler les terminaux qui se connectent sur le réseau. |
||
Application |
Dans le menu : Accueil > Configuration > Interface LAN > Serveur DHCP Décocher la paramètre Activer le serveur Si toutefois le DHCP doit être activé pour des contraintes terrain, il est possible d’associer les IP allouées en DHCP par adresse MAC. Veillez à entrer une plage d’adresse IP cohérente avec le nombre d’actifs gérés par le DHCP. |
|
Réduire la surface d’exposition
Désactiver le serveur d’application
R3 |
Désactiver le serveur d’application |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès Décocher le paramètre Activer le serveur d’applications HTTPS |
|
Désactiver l’agent SNMP
R4 |
Désactiver l’agent SNMP |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. |
||
Application |
Dans le menu : Accueil > Configuration > Système > SNMP Décocher le paramètre Activer |
|
Désactiver le serveur NTP
R5 |
Désactiver le serveur NTP |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Système > Réglage date et heure > NTP Décocher le paramètre Activer le service NTP |
|
Désactiver EticFinder
R6 |
Désactiver EticFinder |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Droits d’administration Décocher le paramètre Activer EticFinder |
|
Désactiver le portail WEB
R7 |
Désactiver le portail WEB |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Interface LAN > Portail WEB Décocher les paramètres Afficher le portail web et Afficher le portail sur la page d’accueil |
|
Désactiver M2Me_Connect
R8 |
Désactiver M2Me_Connect |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Accès distant > M2Me_Connect Décocher le paramètre Actif |
|
Désactiver le serveur Modbus TCP
R9 |
Désactiver le serveur Modbus TCP |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Système > Serveur Modbus Décocher le paramètre Activer |
|
Désactiver le serveur OPC-UA
R10 |
Désactiver le serveur OPC-UA |
P1 |
Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Afin de restreindre l’exposition de l’équipement, il doit être désactivé. |
||
Application |
Dans le menu : Accueil > Configuration > Système > Serveur OPC UA Décocher le paramètre Actif |
|
Bloquer les ports non utilisés
R11 |
Bloquer les ports non utilisés |
P3 |
L’accès physique à l’équipement peut parfois être compromis, il convient alors de bloquer les ports inutilisés physiquement, afin qu’une personne mal intentionnée ayant un accès physique à l’équipement ne puisse pas utiliser ces ports. |
||
Application |
Utiliser des verrous de ports physiques afin de bloquer les ports RJ45 ou USB non utilisés. |
|
Désactiver les interfaces non utilisées
R12 |
Désactiver les interfaces non utilisées |
P3 |
L’accès physique à l’équipement peut parfois être compromis, il convient alors de désactiver les interfaces inutilisées, afin qu’une personne mal intentionnée ayant un accès physique à l’équipement ne puisse pas utiliser ces interfaces. |
||
Application |
Dans le menu : > Accueil > Configuration > Interface LAN > Ethernet et IP Dans la partie "Paramètres avancés", chaque port LAN à sa configuration : Configuration port 1/2/3/4, Mettre la valeur de ce paramètre à Désactivé pour désactiver les ports inutilisés. Dans le menu : > Accueil > Configuration > Interfaces WAN > Ethernet, pour le paramètre Type de connexion mettre la valeur Désactivée si c’est inutilisé. Dans le menu : > Accueil > Configuration > Interfaces WAN > Wi-Fi, décocher le paramètre Activer le WAN Wi-Fi si c’est inutilisé. Dans le menu : > Accueil > Configuration > Interfaces WAN > Cellulaire, décocher le paramètre Actif si c’est inutilisé. |
|
Firewall
Blocage des flux entrants WAN vers LAN
R13 |
Blocage des flux entrants WAN vers LAN |
P1 |
Tout service exposé sur internet est susceptible d’être la cible d’une attaque, qu’elle soit ciblée ou générique, opportuniste ou automatisée. Les flux entrants depuis un réseau public (Internet/WAN) devraient être limités au maximum. Dans le contexte de VPN site à site sans accès direct sur les sites distants, aucun flux direct WAN vers LAN ne doit être autorisé. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Pare-feu Bloquer par défaut les flux entrants WAN vers LAN : Politique par défaut WAN→LAN à Interdire |
|
Blocage des flux sortants LAN vers WAN
R14 |
Blocage des flux sortants LAN vers WAN |
P1 |
Les accès Internet non contrôlés peuvent être source de menaces sur le réseau ou d’exfiltration de données. Dans le contexte de VPN site à site sans accès direct sur les sites distants, aucun flux direct depuis le réseau local (LAN) de ces sites vers Internet (WAN) ne doit être autorisé. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Pare-feu Bloquer par défaut les flux entrants LAN vers WAN : Politique par défaut LAN→WAN à Interdire |
|
Blocage des flux entrants VPN vers LAN
R15 |
Blocage des flux entrants VPN vers LAN |
P1 |
Les flux provenant du VPN à destination du LAN sont également à sécuriser, car la zone d’origine n’est pas forcément une zone de confiance. Il convient de maîtriser tous les flux à destination du LAN afin d’éviter toute tentative d’attaque provenant d’un actif compromis hors LAN. Des besoins de communications entre les équipements du LAN et ceux de l’infrastructure centrale peuvent être nécessaires (supervision, sauvegarde, etc). Il est donc primordial de les lister, de les renseigner dans un référentiel, puis de les implémenter de manière claire et précise. Toute règle trop permissive abaisse le niveau de sécurité globale du SI. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Pare-feu Bloquer par défaut les flux entrants VPN vers LAN : Politique par défaut VPN→LAN à Interdire |
|
Blocage des flux sortants LAN vers VPN
R16 |
Blocage des flux sortants LAN vers VPN |
P1 |
Les flux provenant du LAN à destination du VPN doivent être précis et non pas ouverts sans restriction. En cas de compromission, des flux précis permettent de ralentir la propagation d’un attaquant au travers du SI. Un important travail d’identification des flux est à faire en amont afin d’éviter toute interruption de service dû à des règles trop strictes ou à un oubli. Il est nécessaire de lister les communications entre le LAN et les réseaux distants, de les renseigner dans un référentiel, puis de les implémenter de manière claire et précise. Toute règle trop permissive abaisse le niveau de sécurité globale du SI. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Pare-feu Bloquer par défaut les flux entrants VPN vers LAN : Politique par défaut LAN→VPN à Interdire |
|
Activer le filtre anti Déni de Service
R17 |
Activer le filtre anti Déni de Service |
P1 |
L’acheminement excessif de paquets vers le port d’administration peut entraîner un potentiel déni de service (DoS), entraînant ainsi une indisponibilité de la page web. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Pare-feu Cocher le paramètre Activer le filtre anti Déni de Service (DoS) |
|
Désactiver les conntrack helpers
R18 |
Désactiver les conntrack helpers |
P1 |
Un problème de contournement des règles iptables fixées par utilisateur peut survenir avec l’utilisation de règles firewall RELATED,ESTABLISH trop génériques et le chargement de helper de service non présent ou non utilisé sur la machine (par exemple FTP actif, SIP, IRC …). |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Pare-feu Décocher le paramètre Activer les 'conntrack helpers' (Non recommandé) |
|
Gestion des certificats
Usage d’une PKI de confiance
R19 |
Usage d’une PKI de confiance |
P1 |
L’identification des équipements et les authentifications VPN s’appuient sur les certificats. Une compromission de la PKI peut donc remettre en cause la totalité de la chaîne de confiance. La gestion des certificats doit être effectuée par une PKI maîtrisée par l’entreprise ou reconnue de confiance. Cela permet une définition fine de l’usage et du format des certificats. Les certificats doivent de plus être créés avec des algorithmes de chiffrement à l’état de l’art, afin d’éviter les faiblesses des algorithmes obsolètes (cassage…) (SDE-NT-35/ANSSI/SDE/NP). |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Magasin de certificats L’ajout et la suppression de Certificats, de clés privées et de certificats d’autorité de certification sont possibles dans les différents tableaux. Voir la partie « Router firmware / Certificate Store » du guide de configuration pour de plus amples informations. Nous recommandons : une fonction de hachage utilisée pour la signature des certificats doit être de la famille SHA-2 et la clé de signature des certificats doit être au moins de 3072 bits pour RSA et de 256 pour ECC. Pour une gestion fine d’une PKI, se reporter aux annexes B du RGS (Annexes B1 et B2 du RGS). |
|
Certificats des équipements
R20 |
Certificats des équipements |
P1 |
La réutilisation d’un certificat pour plusieurs clients empêche d’identifier celui qui l’utilise, augmente l’exposition du certificat, et en cas de compromission de celui-ci, la révocation/réémission du certificat impacte plusieurs clients. Les certificats doivent être uniques et individuels par machine pour une meilleure traçabilité et permettre la révocation sans effets de bords en cas de besoin. Utilisés pour les communications HTTPS, ils doivent avoir une durée de validité de 13 mois maximum. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Magasin de certificats L’ajout et la suppression de Certificats, de clés privées et de certificats d’autorité de certification sont possibles dans les différents tableaux. Voir la partie « Router firmware / Certificate Store » du guide de configuration pour de plus amples informations. L’ensemble des services nécessitant un certificat du routeur viendront les récupérer dans le magasin de certificats. |
|
Révocation des certificats
R21 |
Révocation des certificats |
P1 |
Un certificat qui n’est plus utilisé est potentiellement moins protégé, et représente donc une source de risque tant qu’il est valide. Les certificats dont l’objet n’a plus lieu d’être doivent être révoqués. L’objectif est de garder le contrôle sur son parc de certificat. |
||
Application |
Dans le menu : Accueil > Configuration > Sécurité > Magasin de certificats : Onglet Liste des CRL Nous recommandons, de votre côté, de mettre à jour la liste des certificats attribués aux utilisateurs et de garder un historique des certificats révoqués. Quelques cas d’usages classiques où les certificats doivent être révoqués :
|
|