Protocoles réseau
Data Reviewer doit être configuré pour utiliser :
- HTTPS pour la communication avec les navigateurs
- LDAP (sur TLS) pour la communication avec un Active Directory.
- SFTP pour la communication avec les appareils, dans la mesure du possible (tous les appareils ne prennent pas en charge SFTP).
Vulnérabilités du HTTP et atténuation des risques
- Vulnérabilités de HTTP
HTTP présente peu de sécurité intrinsèque et peut être utilisé comme mécanisme de transport pour les agresseurs et les vers. Les attaques courantes sont de type « man-in-the-middle » et « eavesdropping ». - Atténuation des risques liés à HTTP
Si le serveur HTTP n'est pas nécessaire, il faut le désactiver. Sinon, utilisez HTTPS au lieu de HTTP si possible et autorisez uniquement le trafic vers des périphériques spécifiques.
Vulnérabilités du FTP et atténuation des risques
- Vulnérabilités de FTP
- FTP utilise un mot de passe de connexion qui n'est pas crypté
- FTP est vulnérable aux attaques par débordement de tampon et par rebond FTP. L'attaque par rebond FTP utilise un serveur FTP en mode passif pour transmettre des informations à n'importe quel appareil du réseau. Pour lancer le processus d'attaque par rebond, l'attaquant se connecte au serveur FTP qui servira d'intermédiaire. Une fois connecté au serveur FTP, le pirate envoie la commande PORT pour diriger toutes les connexions de données vers l'adresse IP et le port TCP de destination illégitimes.
- Atténuation des risques liés à FTP
- N'autorisez les communications FTP que pour les sessions sortantes, à moins qu'elles ne soient sécurisées par une authentification multifactorielle supplémentaire basée sur des jetons et un tunnel crypté.
- Si possible, utilisez des protocoles plus sécurisés tels que :
- FTP sécurisé (SFTP)
- Configurez chaque connexion de serveur individuellement
- Utilisez le filtrage des paquets pour autoriser uniquement l'accès au serveur FTP.