Publicité
• Il est instamment recommandé de laisser la protection contre les attaques par force brute
(BFA, Brute-force-attack) activée pour empêcher toute intrusion à l'appareil.
Pour plus d'informations, voir "Documentation complémentaire (Page 8)".
• Si vous communiquez via des réseaux non sûrs, utilisez des appareils complémentaires
compatibles VPN, permettant de crypter et d'authentifier les communications.
• Si vous établissez une communication sécurisée à un serveur (pour une mise à niveau sûre
par exemple), veillez à ce que le serveur utilise des méthodes de cryptage et des protocoles
robustes.
• Mettez correctement fin aux liaisons de gestion (HTTP, HTTPS, SSH p. ex.).
• Veuillez vous assurer que l'appareil a été intégralement mis hors tension avant de le mettre
hors service.
Pour plus d'informations, voir "Documentation complémentaire (Page 8)".
Protocoles sûrs/peu sûrs
• Utilisez des protocoles sûrs si l'appareil n'est pas sécurisé par des mesures de protection
physiques.
• Désactivez ou limitez la mise en œuvre de protocoles non sûrs. Certains protocoles sont
effectivement sûrs (par ex, HTTPS, SSH, 802.1X, etc.), d'autre en revanche n'ont pas été
développés dans le but de sécuriser des applications (par ex. SNMPv1/v2c, RSTP etc.).
En présence de protocoles peu sûrs, il convient de mettre en place des mesures de sécurité
appropriées pour empêcher toute intrusion dans l'appareil/e réseau.
• Si l'utilisation de protocoles peu sûrs s'impose, veuillez vous assurer que l'appareil est exploité
dans une zone protégée du réseau.
• S'il existe une alternative sûre pour un protocole, utilisez cette dernière. Exemple :
– Utilisez HTTPS au lieu de HTTP.
– Utilisez SNMPv3 au lieu de SNMPv1/V2c.
• Évitez ou limitez la mise en œuvre de :
– protocoles non authentifiés ou non cryptés
– Link Layer Discovery Protocol (LLDP)
• Veuillez vous assurer, après la mise en service, que les droits d'accès paramétrés du Discovery
and Configuration Protocol (DCP) sont "lecture uniquement".
Matériel/Logiciel
• Limitez la mise en œuvre d'applications critiques et l'accès aux services d'administration aux
réseaux privés. La connexion d'un appareil SINEC OS à Internet est possible. Il faut cependant
faire preuve des plus grandes précautions en protégeant l'appareil et le réseau auquel il est
connecté par des mécanismes sûrs tels pare-feu ou IPsec.
• Utilisez autant que faire se peut des VLAN pour vous protéger contre les attaques de déni de
service (DoS) et intrusions.
• Des services choisis sont activés par défaut dans SINEC OS. Il est recommandé de n'activer
que les services qui sont indispensables pour votre installation.
Pou plus d'informations sur les services disponibles, voir "Documentation complémentaire
(Page 8)".
SCALANCE XRH-300/XRM-300
Manuel, 10/2022, C79000-G8977-C546-01
Recommandations de sécurité
3.1 Recommandations de sécurité
17
Publicité
