Publicité
Recommandations de sécurité
3.1 Recommandations de sécurité
• Veuillez vous assurer que les mots de passe sont protégés et uniquement communiqués au
personnel habilité.
• N'utilisez pas des mots de passe identiques pour plusieurs noms d'utilisateur et systèmes.
• Conservez les mots de passe en un endroit sûr (pas en ligne) pour les avoir sous la main en
cas de perte.
• Modifiez les mots de passe régulièrement et souvent.
• Si l'identification a lieu via RADIUS, veuillez vous assurer que toutes les communications ont
bien lieu au sein du périmètre de sécurité ou sont protégées par une voie sûre.
• Méfiez-vous des protocoles Link-Layer qui ne possèdent pas de propre authentification entre
les nœuds d'extrémité, tels que ARP ou Ipv4. Il se pourrait qu'une unité malveillante exploite
les points faibles de ces protocoles pour attaquer les hôtes, commutateurs et routeurs
connectés à votre réseau de couche 2 et pour empoisonner les caches ARP des systèmes du
sous-réseau et intercepter ensuite le trafic de données. En présence de protocoles de couche
2 peu sûrs, il convient de mettre en place des mesures de sécurité appropriées pour
empêcher toute intrusion dans le réseau. Il est possible entre autres d'empêcher un accès
physique au réseau local ou d'utiliser des protocoles sûrs des couches supérieures.
Certificats et clés
• Si vous soupçonnez une violation de sécurité, modifiez immédiatement tous les certificats et
toutes les clés.
• Des clés SSH et SSL sont à la disposition des utilisateurs Admin. Veuillez vous assurer que vous
prenez bien des mesures de sécurité appropriées lorsque vous expédiez l'appareil hors de
l'environnement habituel :
– Remplacez les clés SSH et SSL par des clés jetables avant l'expédition.
– Mettez les clés SSH et SSL existantes hors service. Créez et programmez au retour de
• Utilisez des certificats au format "PKCS #12", protégés par mot de passe.
• Utilisez des certificats possédant une longueur de clé de 4096 bits.
• Avant de retourner l'appareil à Siemens pour réparation, remplacez les clés et certificats
courants par des clés et certificats temporaires jetables que vous pourrez détruire lorsque
l'appareil vous sera retourné.
• Contrôlez les certificats et empreintes digitales sur le serveur pour éviter ainsi toute attaque
dite de l'homme du milieu (MitM, Man-in-the-Middle).
Accès physique/ distant
• Exploitez les appareils uniquement dans une zone protégée du réseau. Si le réseau interne
est découplé du réseau externe, un attaquant n'a pas accès aux données internes.
• Réservez l'accès physique à l'appareil exclusivement au personnel digne de confiance. Un
utilisateur malveillant qui se serait procuré les supports amovibles de l'appareil pourrait en
extraire des informations sensibles telles que certificats, clés, etc. (les mots de passe des
utilisateurs sont protégés par des codes de hachage) ou reprogrammer les supports.
• Contrôlez l'accès à la console série avec la même minutie que tout accès à l'appareil.
16
l'appareil de nouvelles clés pour l'appareil.
SCALANCE XRH-300/XRM-300
Manuel, 10/2022, C79000-G8977-C546-01
Publicité
