Introduction
Faites un exercice, demandez à cinq techniciens informatiques – de n’importe quel profil – ce que signifie SNMP. S’il est possible que vous ayez confiance en eux, pour que la première chose qu’ils fassent ne soit pas d’aller sur Wikipédia pour présumer. J’espère qu’ils pourront vous dire ce qu’ils m’ont dit lorsque je faisais du réseautage :
« La sécurité n’est pas mon problème »
Compte tenu du fait que le protocole SNMP est l’une des bases de la supervision, et un système qui est utilisé depuis plus de trente ans, cette réponse, « La sécurité n’est pas mon problème », résume assez bien la situation de la supervision dans le panorama actuel : ignorance, paresse et manque d’intérêt pour le contrôle de la sécurité.
Au fait, nous avons parlé de SNMP dans un autre article de notre blog et j’anticipe déjà que ce signifie Simple Network Management Protocol et qu’il vient de 1987.
Considérant que la supervision est « clé du royaume », puisqu’elle permet d’accéder à tous les systèmes et même d’y accéder plusieurs fois avec des identifiants d’administration, ne devrions-nous pas prendre la sécurité un peu plus au sérieux lorsque nous en parlons ?
Des vulnérabilités récentes dans des systèmes de supervision bien connus tels que Solarwinds ou Centreon rendent la nécessité de prendre la sécurité dans la mise en œuvre des systèmes de supervision au sérieux de plus en plus urgente, puisqu’ils ont une intégration très forte avec les systèmes.
Dans de nombreux cas, les problèmes de sécurité ne concernent pas qu’un logiciel est beaucoup plus sécurisé qu’un autre, mais une mauvaise configuration et/ou architecture. Il faut tenir compte du fait qu’un système de supervision est complexe, extensif et, en général, hautement adapté à chaque organisation. Aujourd’hui c’était Solarwinds, demain ça pourrait être Pandora FMS ou Nagios.
Aucune application n’est sécurisée à 100 %, ni aucun réseau d’entreprise protégé contre les intrusions, quel qu’en soit le type. C’est un fait de plus en plus évident et la seule chose qui peut être faite à ce sujet est de connaître les risques et d’assumer ceux que nous pouvons affronter, ceux que nous ne pouvons pas, et de travailler sur ces derniers.
Architecture de supervision sécurisée
Il est essentiel de garder à l’esprit à tout moment qu’un système de supervision contient des informations clés pour un éventuel intrus. Si la supervision tombe entre de mauvaises mains, votre système sera compromis. C’est pourquoi il est si important de consacrer du temps à l’architecture de votre système de supervision, quel qu’il soit.
Réalisez une première analyse, en collectant les exigences et la portée de votre stratégie de supervision :
- Identifiez les systèmes que vous allez superviser et cataloguez leurs niveaux de sécurité.
- Identifiez les profils qui auront accès au système de supervision.
- Identifiez la manière dont vous obtiendrez les informations de ces systèmes, que ce soit via des sondes/agents ou des données distantes.
- Identifiez les responsables des systèmes que vous allez superviser.
L’architecture d’un système comportera, quel que soit le logiciel choisi, les éléments suivants et devra prendre en compte sa topologie de réseau, ses ressources et la manière de les protéger correctement :
- Interface d’affichage des informations (console Web, application lourde).
- Stockage de données (généralement une base de données relationnelle).
- Collecteurs d’informations (serveurs intermédiaires, sondeurs, collecteurs, etc.).
- Agents (facultatif).
- Système de notification (alertes, avis, etc.).
Sécurisation du système de supervision
Quelle que soit la correction de l’implémentation d’un système, de son architecture et de sa conception dans son ensemble, si l’un des éléments qui le composent est violé, les dommages causés par une attaque malveillante compromettent l’ensemble de la structure. Pour cette raison, en matière de sécurité, il y a un dicton : « La sécurité est une chaîne et votre vraie sécurité dépend toujours de son maillon le plus faible ».
Cette liste de concepts de sécurité appliqués à l’architecture d’un système de supervision peut être résumée comme fonctionnalités qu’un produit de supervision doit posséder pour assurer une sécurité maximale dans une implémentation :
- Trafic crypté entre tous ses composants.Haute disponibilité de tous ses composants.
- Sauvegarde intégrée.
- Double authentification d’accès.
- Système d’authentification déléguée (LDAP, AD, SAML, Kerberos, etc.).
- ACL et profilage des utilisateurs.
- Audit interne.
- Politique de mot de passe.
- Cryptage de données sensibles.
- Conteneurs d’identifiants.
- Supervision des zones restreintes/accès indirect.
- Installation sans superutilisateur.
- Architecture agent/serveur sécurisé (passive).
- Système de mise à jour centralisé et distribué.
- Assistance 24/7.
- Politique claire de gestion des vulnérabilités par le fabricant.
Sécurisation de base de l’infrastructure de supervision
La console de gestion, les serveurs de supervision et les autres éléments ne doivent jamais se trouver sur un réseau public accessible. La console doit toujours être protégée sur un réseau interne, protégée par des pare-feu et, si possible, sur un réseau indépendant des autres systèmes de gestion.
Les systèmes d’exploitation qui hébergent l’infrastructure de supervision ne doivent pas être utilisés à d’autres fins : par exemple, pour réutiliser la base de données pour d’autres applications, ni les systèmes d’exploitation de base pour exécuter d’autres applications.
Trafic sécurisé et chiffré
Vous devez vous assurer que votre système prend en charge le cryptage SSL/TLS et les certificats aux deux extrémités à tous les niveaux : fonctionnement de l’utilisateur, communication entre les composants ou envoi de données de l’agent aux serveurs.
Si vous prévoyez d’employer des agents dans des endroits non sécurisés, il est fortement recommandé de forcer tous les agents externes à utiliser l’authentification par certificat aux deux extrémités, pour éviter de recevoir des informations de sources non autorisées et pour empêcher que les informations collectées par les agents ne voyagent visibles.
D’un autre côté, il est très important que vous activiez le chiffrement sur votre serveur Web pour fournir une console d’administration chiffrée et empêcher tout attaquant de voir les identifiants d’accès, le mot de passe des systèmes distants ou des informations confidentielles.
Haute disponibilité totale
Pour tous les éléments : base de données, serveurs, agents et console.
Sauvegarde intégrée
L’outil lui-même doit rendre cela aussi simple que possible, car les paramètres et les données sont souvent hautement distribués et une sauvegarde cohérente est complexe.
Politique claire de gestion des vulnérabilités par le fabricant
Chaque jour, des dizaines d’auditeurs indépendants testent les forces et les faiblesses de toutes sortes d’applications métier. Ils cherchent à s’implanter dans le secteur en publiant une défaillance inconnue qui élève leur réputation. De nombreux clients, dans le cadre de leurs processus internes de gestion de la sécurité, exécutent des audits de sécurité externes et internes qui ciblent leur infrastructure informatique.
Quoi qu’il en soit, tous les produits présentent des failles de sécurité, la question est : comment ces failles sont-elles gérées ? La transparence, la diligence et la communication sont essentielles pour éviter que les clients ne rencontrent des problèmes liés aux vulnérabilités des logiciels qu’ils utilisent. Il est essentiel qu’il y ait une politique claire à cet égard, afin que l’on sache quelles vulnérabilités publiques ont été signalées, quand elles ont été corrigées et si une nouvelle est détectée, les étapes à suivre pour la notification, l’atténuation et la distribution au client final.
Système d’authentification double
Pandora FMS dispose d’un système -optionnel- basé sur google authenticator qui permet de forcer son utilisation à tous les utilisateurs par une politique de sécurité. Cela rendra l’accès des utilisateurs à la console d’administration beaucoup plus sécurisé, empêchant qu’à cause d’une élévation des privilèges il soit possible d’accéder au système en tant qu’administrateur, ce qui est, au mieux, le plus grand risque qui puisse être couru.
Système d’authentification déléguée
En complément le précédent, vous pouvez déléguer l’authentification de la console de gestion pour vous authentifier par rapport à LDAP, Active Directory ou SAML. Il vous permettra une gestion centralisée des accès, et en combinaison avec le système de double authentification, vous rendra votre accès beaucoup plus sécurisé.
ACL et profilage des utilisateurs
Identifiez et attribuez différents utilisateurs à des personnes spécifiques. N’utilisez pas d’utilisateurs génériques, n’attribuez que les autorisations nécessaires et n’utilisez pas de « super-administrateurs ». Ce sont de bonnes pratiques non seulement pour les outils de supervision, mais pour toute implémentation de logiciel d’entreprise avec accès à des informations sensibles.
De nos jours, tout outil professionnel permettant de définir un profil d’accès pour chaque utilisateur le fera de telle sorte qu’aucun utilisateur n’ait un « contrôle absolu », mais ne dispose que du minimum d’accès requis à ses fonctions.
Système d’audit interne
Un système doit être mis en place pour enregistrer toutes les actions de l’utilisateur, y compris les informations sur les champs modifiés ou supprimés. Ledit système doit pouvoir être exporté à l’étranger afin que même l’utilisateur administrateur ne puisse modifier lesdits enregistrements.
Politique de mot de passe
Un élément de base qui nous permet d’appliquer une politique stricte de gestion des mots de passe pour l’accès aux utilisateurs de l’application : taille minimale des mots de passe, type de mot de passe, réutilisation de ceux-ci, changement forcé à chaque certain intervalle, etc.
Cryptage de données sensibles
Le système doit permettre de stocker de manière cryptée et sécurisée les données les plus sensibles, telles que les identifiants d’accès, les champs personnalisés des éléments de supervision, etc. Même si le système lui-même contient la « graine » de chiffrement, il sera toujours beaucoup plus difficile pour un attaquant potentiel d’accéder à ces informations.
Conteneurs d’identifiants
Ou un système équivalent pour pouvoir déléguer l’utilisation des informations d’identification par l’administrateur à d’autres utilisateurs qui utilisent lesdites informations d’identification pour superviser des éléments sans voir les mots de passe contenus dans le conteneur.
Supervision des zones réglementées
Dans ces systèmes, les informations seront collectées à distance par un serveur satellite et seront disponibles pour être collectées à partir du système central (dans Pandora FMS via un composant spécifique appelé serveur Sync). De cette manière, les données peuvent être collectées à partir d’un réseau sans accès à l’extérieur, idéal pour les environnements très restrictifs où l’impact est considérablement réduit si un attaquant prend le contrôle du système.
Système de verrouillage de gestion à distance de l’agent
Pour les environnements de sécurité critiques, où l’agent ne peut pas être géré à distance une fois configuré. Ceci est particulièrement critique dans la supervision, car si un système est violé et que son administration est accédée, par l’essence même du système, il aura accès à tous les systèmes d’où il reçoit des informations. Dans ces systèmes critiques, la capacité de gestion à distance devra être désactivée, même si cela rend l’administration plus inconfortable. Il en va de même pour les mises à jour automatiques sur l’agent.
Conception d’une architecture sécurisée pour la communication avec les agents
Parfois appelée communication passive. De cette manière, les agents n’écoutent pas un port ou n’auront pas d’accès à distance depuis la console. Ce sont eux qui se connectent au système central pour demander des instructions.
Installation sans root
Pandora FMS peut être installé dans des environnements avec des chemins personnalisés sans s’exécuter avec root. Dans certains environnements bancaires, c’est une exigence que nous remplissons.
Système de notification (alertes, avis, etc.)
Un système de supervision n’est utile que s’il affiche des informations précises lorsque cela est nécessaire. La réception d’une alerte ou du rapport hebdomadaire est l’aboutissement de tous les travaux antérieurs et pour cela vous devrez prendre en compte certains points « évidents » mais qui sont généralement négligés. Protégez ces systèmes, où qu’ils se trouvent.
Mises à jour périodiques
Tous les fabricants distribuent désormais des mises à jour régulières, qui incluent à la fois des corrections de bogues et des problèmes de sécurité. Dans notre cas, nous publions des mises à jour environ toutes les cinq semaines. Il est essentiel de mettre à jour les systèmes le plus tôt possible, car lorsqu’une vulnérabilité est signalée, les chefs de produit demandent aux chercheurs en sécurité externes qui ont signalé le bogue, de ne rien publier sur la vulnérabilité tant qu’un correctif n’a pas été publié. Une fois le correctif publié, le chercheur publiera les informations de manière plus ou moins détaillée, ce qui peut être utilisé pour exploiter et attaquer des versions de logiciels non mises à jour.
Pandora FMS a une politique publique de communication de vulnérabilité ainsi qu’un catalogue public de vulnérabilités connues et signalées. Notre politique est une transparence maximale et une communication totale avec les chercheurs en sécurité, toujours pour atténuer l’impact de tout problème de sécurité et être en mesure de protéger nos clients en priorité.
Assistance 24/7
Dans notre support, le technicien qui répond au téléphone a toute l’équipe derrière lui. S’il y a un incident de sécurité et qu’un correctif de sécurité doit être publié dans les heures. Nous avons non seulement la technologie pour diffuser le patch à tous nos clients, mais aussi à l’équipe pour le développer en un temps record.
Sécurisation du système de base
Le hardening ou la sécurisation des systèmes est un point clé de la stratégie de sécurité globale d’une entreprise. En tant que fabricants, nous émettons une série de recommandations pour effectuer une installation sûre de tous les composants Pandora FMS, sur la base d’une plate-forme standard RHEL7 ou son équivalent CentOS 7. Ces mêmes recommandations sont valables pour tout autre système de supervision :
Liste de contrôle de hardening pour le système de base de supervision :
- Identifiants d’accès au système.
- Gestion d’accès superutilisateur.
- Audit d’accès au système.
- Sécurisation SSH.
- Sécurité du serveur web.
- Sécurité du serveur base de données.
- Minimisation des services.
- Supervision locale.
Identifiants d’accès
Pour accéder au système, des utilisateurs d’accès nommés seront créés, sans privilèges et avec un accès limité à leurs besoins. Idéalement, l’authentification de chaque utilisateur devrait être intégrée à un système d’authentification double, basé sur un jeton. Il existe des alternatives gratuites et sécurisées comme Google Authenticator qui peuvent être facilement intégrées à Linux, bien qu’en dehors de la portée de ce guide. Considérez sérieusement son utilisation.
S’il est nécessaire de créer d’autres utilisateurs pour les applications, ils doivent être des utilisateurs sans accès à distance (pour cela, il est nécessaire de désactiver leur Shell ou une méthode équivalente).
Accès superutilisateur via sudo
Dans le cas où certains utilisateurs doivent disposer d’autorisations d’administrateur, SUDO sera utilisé.
Audit d’accès au système de base
Il est nécessaire d’avoir le journal de sécurité /var/log/secure actif et de superviser ces journaux avec de la supervision (que nous verrons plus tard).
Par défaut, CentOS est fourni avec cette option activée. Sinon, vérifiez simplement le fichier /etc/rsyslog.conf ou /etc/syslog.conf.
Nous vous recommandons de prendre les journaux du système d’audit et de les collecter avec un système de gestion de journaux externe. Pandora FMS peut le faire facilement et il sera utile d’établir des alertes ou de les revoir de manière centralisée en cas de besoin.
Sécurisation du serveur SSH
Le serveur SSH vous permet de vous connecter à distance à vos systèmes Linux pour exécuter des commandes, c’est donc un point critique et doit être sécurisé en faisant attention aux points suivants :
- Modifier le port par défaut.
- Désactivez la connexion root.
- Désactivez la redirection de port.
- Désactiver le tunneling.
- Supprimez les clés SSH pour l’accès root à distance.
- Recherchez l’origine des clés pour l’accès à distance. Pour ce faire, regardez le contenu du fichier /home/xxxx/.ssh/authorized_keys et voyez de quelles machines ils proviennent. Supprimez-les si vous pensez qu’il ne devrait pas y en avoir.
- Établissez une bannière d’accès à distance standard qui explique clairement que le serveur est d’accès privé et que toute personne sans identifiants doit se déconnecter.
Sécurité du serveur MySQL
Port d’écoute. Si le serveur MySQL doit fournir un service à l’extérieur, vérifiez simplement que les identifiants root sont sécurisés. Si MySQL ne dessert qu’un élément interne, assurez-vous qu’il n’écoute que sur localhost.
Sécurité du serveur web.
Modififiezla configuration pour masquer la version d’Apache et du système d’exploitation dans les en-têtes des informations du serveur.
Si vous utilisez SSL, désactivez les méthodes non sécurisées. Nous vous recommandons d’utiliser uniquement TLS 1.3.
Minimisation des services dans le système
Cette technique, qui peut être très exhaustive, consiste simplement à supprimer tout ce qui n’est pas nécessaire dans le système. De cette façon, vous évitez d’éventuels problèmes à l’avenir avec des applications mal configurées dont vous n’avez pas vraiment besoin et qui pourraient être vulnérables à l’avenir.
Supervision locale
Tous les systèmes de supervision internes doivent être supervisés au plus haut niveau, en particulier les enregistrements d’informations. Dans notre cas, les contrôles actifs suivants sont toujours recommandés en plus des contrôles standards :
- Plugin de sécurité actif.
- Inventaire complet du système (en particulier les utilisateurs et les packages installés).
- Journaux système et sécurité du serveur.
Souhaitez-vous en savoir plus sur ce que Pandora FMS peut vous offrir ? Découvrez-le en cliquant ici .
Si vous avez à superviser plus de 100 appareils, vous pouvez également profiter d’un ESSAI GRATUIT de 30 jours de Pandora FMS Enterprise. Installation dans le Cloud ou sur site, vous choisissez !! Obtenez-le ici .
Sachez également que si vous avez un petit nombre de périphériques à surveiller, vous pouvez utiliser la version OpenSource de Pandora FMS. Trouvez plus d’informations ici .
N’hésitez pas à nous envoyer vos questions. La grande équipe derrière Pandora FMS se fera un plaisir de vous aider !
Et si vous souhaitez suivre toutes nos actualités et que vous aimez l’informatique, la sortie et bien sûr le monitoring, nous vous attendons dans ce notre blog et dans nos différents réseaux sociaux, de Linkedin à Twitter en passant par l’inoubliable Facebook . Nous avons même une chaîne YouTube , et avec de meilleurs conteurs que El Rubius et AuronPlay.
Sancho is the creator and founder of Pandora FMS. Among his many hobbies, besides technology and internet in general, are reading, playing the guitar and sports such as fencing and boxing. In his personal blog he dares to write about business and technology topics when he has time, which is almost never.