Gérer les accès administrateurs

Formation Stormshield Network Security

Tutorial Thumbnail

Comme évoqué précédemment, il vous est possible de désactiver le compte administrateur (admin), créé par défaut sur le pare-feu. L'ANSSI recommande aux administrateurs de désactiver ce compte et d'utiliser des comptes nominatifs.


Gestion des comptes Administrateurs

L'avantages de privilégier ce genre de pratique est de personnaliser les différents accès pour chaque administrateur disposant des droits de connexion sur l'interface d'administration, mais également de savoir précisément quels utilisateurs ont effectué une configuration (édition d'un paramètre, modification règle de filtrage...).




Cette première section vous permets d'affecter des droits administrateurs personnalisés d'accès à l'interface d'administration du pare-feu. Seul le compte admin peut gérer ces droits d'administrations. Cependant, l'ajout des droits d'accès se font sur des utilisateurs précédemment créé dans une base utilisateur LDAP (Active Directory ou serveur OpenLDAP interne au Stormshield) configurée sur le pare-feu (nous verrons la partie LDAP plus tard dans la formation).


Lors de l'attribution des autorisations, Stormshield propose des règles d'administrations prédéfinies afin de gagner du temps sur l'attributions des droits. Bien évidemment, il vous sera possible, par la suite, de personnaliser les droits par module.



Ajouter un administrateur et modèles prédéfinis d'autorisation



Les significations des modèles prédéfinis par Stormshield sont les suivants :

  • Administrateur sans droits : l’utilisateur n’a aucun droit sur aucun module. Ce modèle fait office « de base » sans aucun droit.
  • Administrateur avec accès en lecture seule : l’utilisateur n’a que les droits de lecture sur tous les modules.
  • Administrateur avec tous les droits : l’utilisateur a tous les droits présents sur tous les modules.
  • Administrateur des comptes temporaires : l’utilisateur n’a le droit que de créer et modifier des comptes temporaires ; il n’a aucun droit sur le reste des modules. D’ailleurs, quand il s’authentifie, il est directement renvoyé dans le menu des comptes temporaires, tandis que le reste des menus est grisé. Il faut, au préalable, activer cette méthode de configuration dans Utilisateurs - Authentification - Méthodes disponibles.
  • Administrateur avec accès aux données personnelles : l’utilisateur a accès en lecture aux journaux, aux rapports et, évidemment, aux données personnelles.
  • Administrateur sans accès aux données personnelles : l’utilisateur a accès en lecture aux journaux et aux rapports, sans avoir accès aux données personnelles, par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données). Dans ce cas, il ne peut accéder à des données telles que le nom d’une source et son adresse IP dans les fichiers journaux. Cependant, cet administrateur peut effectuer une demande d'accès aux données personnelles depuis les tickets (voir juste après). Le déroulement de l'action est la génération d'un code d'autorisation à usage unique fourni au préalable. Pour activer le droit d'accès aux données personnelles, l'administrateur doit cliquer sur le lien Logs : accès restreint puis saisir le code fourni.


Une fois le modèle d'autorisation ajouté, saisissez ensuite l'utilisateur existant dans la base à l'aide du champ de saisie ou déroulez le menu des Utilisateurs - groupes d'utilisateurs :



Ajout d'un utilisateur souhaitant devenir administrateur de l'interface SNS



Vous pouvez personnaliser les autorisations définies en choisissant de les activer ou non en double cliquant dans la case correspondante au niveau d'autorisation. Vous avez également le choix, encadré en violet, de copier/coller les droits à l'identique sur une autre case ou un autre compte présent dans la liste des administrateurs ; donner tous les droits, encadré en bleu, à l'utilisateur sélectionné en autorisant l'accès à tous les modules.




L'affichage des permissions sont affichés par défaut d'une manière simplifiée. Encadré en vert, la fonctionnalité "Passer en vue simple/détaillée" vous permets de personnaliser dans les détails chaque module personnalisé pour le compte administrateur.


Les icônes de la grille ont la signification suivante :

  •  : L’ensemble des droits sont attribués.
  •  : L’ensemble des droits ne sont pas accordés.
  •  : Une partie des droits sont accordés, d'autres non.


Nous pouvons visualiser les différentes autorisations sous forme simplifiée :



Visualisation de la vue simplifiée des droits des administrateurs



Et également sous forme détaillée afin de personnaliser les droits d'administrations du pare-feu en fonction de l'utilisateur :



Visualisation de la vue détaillée des droits des administrateurs



Les différents droits

Parmi les modules disponibles, l'administrateur peut définir les modules d'accès personnalisés soit en lecture (L), en écriture (E) ou objets globaux qui sont les suivants :



Récapitulatif des droits d'administrations d'un compte de connexion au pare-feu



Lors de la connexion sur un compte avec des droits personnalisé, l'utilisateur en question se voit afficher une alerte regroupant les droits manquant à la gestion du pare-feu. De plus, dans certain cas, le menu est gris si les droits d'écritures ne sont pas accessibles pour le compte actuellement connecté ou alors si un autre administrateur utilise les droits de lecture.



Message d'information en haut de l'écran lors de la connexion nous informant que nous n'avons pas obtenu tous les droits spécifiques


Gérer le compte Administrateur par défaut

Le compte "admin" créé lors de la première configuration du pare-feu est le seul compte a disposer de tous les droits d'administrations. Il s'agit du compte propriétaire au pare-feu SNS. La section "Compte admin" vous permets de modifier le mot de passe du compte "admin".



Le mot de passe doit respecter les stratégies de complexité tels que celui-ci doit comporter au moins 8 caractères, par défaut, et doit être conforme à la politique de mots de passe. Cette politique est définie dans le menu SYSTEME > Configuration > Politique de mots de passe. Le meilleur moyen d'assurer la fiabilité d'un mot de passe est qu'il doit être constitué de plusieurs majuscule, minuscules, chiffres et caractères spéciaux. Un indicateur de mots de passe indique la complexité du mot de passe et épaule l'administrateur dans la création de son nouveau mot de passe.


Dans la section "Exports", vous pouvez exporter les clés privées et publiques dans le cadre d'une connexion avec l'échange de clé SSH entre le client et le pare-feu. Pour rappel, l'activation de la connexion uniquement par clé SSH est caractérisé par l'activation de l'option "Activer l'accès par SSH". Plus d'information dans le chapitre : Configuration système du pare-feu



La gestion des tickets RGPD

Le menu de gestions des tickets est une fonctionnalité qui peut s'avérer nécessaire dans le cadre où un utilisateur souhaite accéder aux données personnelles présentes dans les fichiers journaux ou dans la supervision dans une durée limitée. Ce module a été ajouté dans le cadre du respect de la loi RGPD.


La création d'un nouveau ticket s'effectue en cliquant sur le bouton "Ajouter un ticket". Ensuite, une fenêtre vous invite a renseigner les dates de début et de fin de validité du ticket.



On définit la durée valide du ticket RGPD



Après création, un identifiant et un code unique est attribué et ces informations seront nécessaires dans le cadre de la connexion à saisir lors de la demande des droits d'accès aux données personnelles. Dès sa création, le début de validité est décompté.



Le menu de la gestion des tickets RGDP créés au préalable



Prenons l'exemple d'un compte créé au préalable (par exemple : walter.white), ajouté en tant qu'administrateur du pare-feu mais ne dispose d'aucun droit, dont ceux aux données personnelles.




C'est pour cela que le responsable informatique créé avec son compte "admin" un ticket RGPD générique (par exemple celui que nous avons créé au dessus). En se connectant avec le compte "walter.white", Une fois connecté sur le compte, rendez-vous dans la partie MONITORING > LOGS - JOURNAUX D'AUDIT > Trafic réseau (l'aspect de la gestion du monitoring et des logs seront abordés plus tard dans la formation).



Menu de gestion des fichiers journaux



Vous pouvez constater que les sources sont anonymisée (surligné en jaune). Dans notre cas, nous souhaitons demander l'accès aux données personnelles. Cliquer sur "LOGS : ACCÈS RESTREINTS" afin de demander l'accès. En cliquant sur le lien, une fenêtre vous invite a saisir le code d'accès aux données personnelles, communiqué par l'administrateur (dans cet exemple, le code d'accès est : "JNYGWESTOCABEYK9").



Saisie du code d'accès aux données personnelles



En obtenant les droits, nous remarquons que nous avons l'accès total aux données personnelles.



Droits d'accès aux données personnelles obtenu



Un message vous informe que vous avez obtenu un accès complet aux données personnelles dans les logs. Il est à noter que le code peut être utilisable autant de fois que souhaité, dans la seule limite où le ticket RGPD n'expire pas.

Dans les évènements systèmes (section MONITORING > LOGS - JOURNAUX D'AUDITS > Evènements système), nous distinguons bien le droit d'accès obtenu aux données personnelles pour l'utilisateur "walter.white" sur l'adresse IP locale 192.168.0.17.



Logs listant les actions systèmes effectuées sur le pare-feu, à savoir le droit d'accès obtenu avec un ticket RGPD

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mercredi 22 Décembre 2021