Table des Matières
Publicité
•
•
•
•
•
Accès physique/à distance
•
•
•
•
•
•
•
RUGGEDCOM ROS v5.5
Manuel de configuration, 10/2020, C79000-G8977-1471-01
Assurez-vous que les mots de passe sont protégés et ne sont pas partagés avec
des personnes non autorisées.
Les mots de passe ne doivent pas être utilisés pour différents noms d'utilisateur
et systèmes ou quand ils ont expiré.
Si l'authentification RADIUS est effectuée à distance, assurez-vous que toutes
les communications se trouvent dans le périmètre de sécurité ou sur une voie
sécurisée.
Générez et mettez en œuvre un certificat SSL et une paire de clés hôtes SSH
personnalisées avant de mettre l'appareil en service. Pour plus d'informations,
voir
"Gestion des clés et des certificats SSH/SSL (Page
Utilisez une authentification avec clé publique SSH. Pour plus d'informations, voir
"Gestion de clés publiques SSH (Page
Ne connectez pas l'appareil à Internet. Ne déployez l'appareil que dans un
périmètre de réseau sécurisé.
Limitez l'accès physique à l'appareil à un personnel autorisé uniquement. Une
personne malveillante pourrait extraire des informations sensibles telles que des
certificats, des clés, etc. (les mots de passe utilisateur sont protégés par un code
de hachage) ou reprogrammer l'appareil.
Contrôlez l'accès à la console série dans la même mesure que l'accès physique
à l'appareil. L'accès à la console série permet un accès non autorisé potentiel au
chargeur de démarrage RUGGEDCOM ROS, qui comprend des outils pouvant être
utilisés pour obtenir un accès complet à l'appareil. Pour plus d'informations sur
la restriction d'accès au chargeur de démarrage (Boot Loader), voir
l'accès à l'interface du chargeur de démarrage (Boot Loader) (Page
N'activez que des services qui seront utilisés sur l'appareil, notamment des ports
physiques. Les ports physiques non utilisés peuvent être potentiellement utilisés
pour obtenir un accès au réseau sous-jacent de l'appareil.
Les ports miroir permettent le trafic bidirectionnel, c.-à-d. que l'appareil ne
bloque pas le trafic entrant vers le(s) port(s) miroir. Pour une sécurité accrue,
configurez le filtrage à l'entrée pour contrôler le flux de trafic lorsque la mise
en miroir de port est activée. Pour plus d'informations sur l'activation de la
fonction miroir pour les ports, voir
(Page
68)". Pour plus d'informations sur l'activation du filtrage à l'entrée, voir
"Configuration globale de VLAN (Page
Pour une sécurité accrue, activez le filtrage d'entrée sur tous les ports. Pour plus
d'informations sur l'activation du filtrage à l'entrée, voir
de VLAN (Page
153)".
Si SNMP est activé, limitez le nombre d'adresses IP pouvant se connecter à
l'appareil et modifiez les noms de communauté. Configurez également SNMP
de manière à générer un trap en cas d'échec d'authentification. Pour plus
d'informations, voir
"Gestion de SNMP (Page
1.2 Recommandations relatives à la sécurité
134)".
136)".
"Configuration de la mise en miroir de ports
153)".
247)".
Introduction
"Gestion de
40)".
"Configuration globale
5
Publicité
Table des Matières
