Certificats Et Clés - Siemens SIMATIC NET SCALANCE X-200 Instructions De Service

• Si une personne non autorisée a eu connaissance du mot de passe ou s'il faut craindre qu'ele
en ait eu connaissance, il convient de changer de mot de passe.
• Si l'identification a lieu via RADIUS, veuillez vous assurer que toutes les communications ont
bien lieu au sein du périmètre de sécurité ou sont protégées par une voie sûre.
• Méfiez-vous des protocoles Link-Layer qui ne possèdent pas de propre authentification entre
les nœuds d'extrémité, tels que ARP ou Ipv4. Il se pourrait qu'un cyberpirate exploite les
points faibles de ces protocoles pour attaquer les hôtes, commutateurs et routeurs connectés
à votre réseau de couche 2 et pour empoisonner les caches ARP de systèmes du sous-réseau
et intercepter ensuite le trafic de données. En présence de protocoles de couche 2 peu sûrs,
il convient de mettre en place des mesures de sécurité appropriées pour empêcher toute
intrusion dans le réseau. Il est possible entre autres d'empêcher un accès physique au réseau
local ou d'utiliser des protocoles sûrs des couches supérieures.
Certificats et clés
• Le firmware version V5.2.5 marque le passage des certificats RSA aux certificats pour
cryptographie sur courbes elliptiques ("ECDSA"). Utilisez uniquement des certificats ECDSA
générés au format PEM avec les courbes suivantes :
– secp256r1 (NIST P-256)
– secp384r1 (NIST P-384)
– secp521r1 (NIST P-521)
À partir de cette version de firmware, les certificats RSA ne sont plus pris en charge. Les
certificats RSA se trouvant sur l'appareil sont automatiquement remplacés par des certificats
ECDSA autosignés.
• Il existe sur l'appareil un certificat SSL prédéfini avec une clé d'une longueur de 256 bits pour
la cryptographie sur courbes elliptiques. Remplacez ce certificat par un certificat avec clé que
vous avez créé vous-même. Nous vous conseillons d'utiliser un certificat signé par une
autorité externe ou interne digne de confiance.
• Utilisez une autorité de certification, incluant la révocation et gestion de clés, pour signer les
certificats.
• Veuillez vous assurer que les clés privées définies par l'utilisateur sont protégées et
inaccessibles à toute personne non autorisée.
• Vérifiez les certificats et empreintes digitales côté serveur et côté client pour empêcher des
attaques de type "homme du milieu".
• Modifiez immédiatement les clés et certificats si vous craignez qu'ils soient compromis.
SCALANCE X-200
Instructions de service, 11/2021, C79000-G8977-C284-15
Recommandations relatives à la sécurité du réseau
15