Publicité
Protocoles sûrs/peu sûrs
• Utilisez des protocoles sûrs si l'appareil n'est pas sécurisé par des mesures de protection
physiques.
• Désactivez ou limitez la mise en œuvre de protocoles non sûrs. Certains protocoles sont
effectivement sûrs (par ex, HTTPS, SSH, 802.1X, etc.), d'autre en revanche n'ont pas été
développés dans le but de sécuriser des applications (par ex. SNMPv1/v2c, RSTP etc.).
Prendre des mesures de sécurité appropriées contre les protocoles non sécurisés afin
d'empêcher tout accès non autorisé au réseau.
• Utiliser si possible le protocole de transfert de fichiers sécurisé (SFTP) pour la transmission de
fichiers. Il existe bien d'autres protocoles (p. ex. File Transfer Protocol, TFTP, Hypertext
Transfer Protocol), toutefois SFTP est le seul protocole à crypter les fichiers transmis. Les
autres protocoles ne sont pas protégés contre les interceptions et manipulations.
• Si l'utilisation de protocoles peu sûrs s'impose, veuillez vous assurer que l'appareil est exploité
dans une zone protégée du réseau.
• S'il existe une alternative sûre pour un protocole, utilisez cette dernière. Exemple :
– Utilisez HTTPS au lieu de HTTP.
– Utilisez SNMPv3 au lieu de SNMPv1/V2c.
• Évitez ou limitez la mise en œuvre de :
– protocoles non authentifiés ou non cryptés
– Link Layer Discovery Protocol (LLDP)
• Veuillez vous assurer, après la mise en service, que les droits d'accès du Discovery and basic
Configuration Protocol (DCP) sont automatiquement paramétrés en lecture seulement. Si
votre environnement n'exige pas de DCP, il est recommandé de désactiver le protocole
complètement.
Pour plus d'informations, voir "DCP (Page 480)".
Matériel/Logiciel
• Limitez la mise en œuvre d'applications critiques et l'accès aux services d'administration aux
réseaux privés. La connexion d'un appareil SINEC OS à Internet est possible. Il faut cependant
faire preuve des plus grandes précautions en protégeant l'appareil et le réseau auquel il est
connecté par des mécanismes sûrs tels pare-feu ou IPsec.
• Utilisez autant que faire se peut des VLAN pour vous protéger contre les attaques de déni de
service (DoS) et intrusions.
• Des services choisis sont activés par défaut dans SINEC OS. Il est recommandé de n'activer
que les services qui sont indispensables pour votre installation.
Pou plus d'informations sur les services disponibles, voir "Services disponibles (Page 37)".
• Utilisez la version de navigateur Internet la plus récente compatible SINEC OS pour vous
assurer que les méthodes de cryptage mises en œuvre sont les plus sûres. En outre, la
répartition d'enregistrements 1/n-1 est activée dans les versions les plus récentes des
navigateurs Internet Mozilla Firefox, Google Chrome et Microsoft Edge ce qui réduit le risque
d'attaques telles que SSL/TLS Protocol Initialization Vector Implementation Information
Disclosure Vulnerability (BEAST p. ex.).
Command Line Interface (CLI) SINEC OS V2.4
Manuel de configuration, 10/2023, C79000-G8977-C498-07
2.2 Recommandations de sécurité des données
Introduction
33
Publicité
