Contrôle d’accès basé sur les rôles sécurisé

Les rôles d’utilisateur sont assortis de privilèges qui définissent ce que peut faire l’utilisateur dans le système. Le système contient les rôles d’utilisateur suivants :

Administrateur

Accès complet en lecture et écriture à l’ensemble du système. Le compte admin par défaut se voit attribuer ce rôle par défaut et ne peut pas être modifié.

Lecture seule

Accès en lecture seule à la configuration du système sans privilège de modification de l’état du système.

Opérations

Accès en lecture-écriture à la configuration NTP, à la configuration de Smart Call Home pour les licences Smart et aux journaux du système, y compris les serveurs et les défaillances Syslog. Accès en lecture au reste du système.

Administrateur AAA

Accès en lecture-écriture aux utilisateurs, aux rôles et à la configuration AAA. Accès en lecture au reste du système.

À l’aide de l’interface Web de FXOS Chassis Manager ou de l’interface de ligne de commande de FXOS, vous pouvez configurer les paramètres suivants pour chaque compte d’utilisateur du système :

  • User Role (Rôle d’utilisateur) : le rôle qui représente les privilèges que vous souhaitez attribuer au compte d’utilisateur.

    Tous les utilisateurs se voient attribuer le rôle en lecture seule par défaut et ce rôle ne peut pas être désélectionné. Pour attribuer plusieurs rôles, maintenez la touche Ctrlenfoncée et cliquez sur les rôles souhaités.

  • Date d’échéance du compte

  • Account Status (État du compte) : si l’état est défini sur Actif, l’utilisateur peut se connecter au Firepower Chassis Manager et à l’interface de ligne de commande FXOS avec son identifiant de connexion et son mot de passe.

Pour une sécurité maximale sur les comptes authentifiés localement, configurez le protocole SSH pour les sessions chiffrées.

Gestion des mots de passe

Les mots de passe contrôlent l’accès aux ressources ou aux périphériques, et les administrateurs définissent les mots de passe pour authentifier les demandes. Lorsque FXOS reçoit une demande d’accès à une ressource ou à un périphérique, la demande est contestée pour la vérification du mot de passe et de l’identité, et l’accès est accordé, refusé ou limité en fonction du résultat. Les bonnes pratiques de sécurité exigent que les mots de passe soient gérés avec un serveur d’authentification LDAP, TACACS+ ou RADIUS. Cependant, un mot de passe configuré localement pour l’accès est toujours requis en cas de défaillance des services LDAP, TACACS+ ou RADIUS. Un appareil peut également avoir d’autres renseignements de mot de passe dans sa configuration, comme une clé NTP ou une chaîne de communauté SNMP.

Renforcement de la protection des comptes d’utilisateurs authentifiés localement

Lors de la configuration des rôles individuels des utilisateurs internes, les utilisateurs du compte administrateur peuvent utiliser les paramètres suivants pour renforcer le système contre les attaques par le biais des mécanismes de connexion à l’interface Web :

  • Définissez le nombre maximal de tentatives de connexion infructueuses autorisées avant qu’un utilisateur ne soit bloqué hors du châssis Firepower 4100/9300 pendant une durée déterminée (définir max-login-attempts)

  • Définissez la durée pendant laquelle l’utilisateur doit rester verrouillé hors du système après avoir dépassé le nombre maximal de tentatives de connexion (set user-account-unlock-time)

  • Appliquez une longueur de mot de passe minimale (set min-password-length)

  • Précisez le nombre minimal d’heures qu’un utilisateur authentifié localement doit attendre avant de modifier un mot de passe nouvellement créé (set no-change-interval)

  • Définissez le nombre de jours pendant lesquels les comptes des utilisateurs locaux sont valides (définir l’expiration)

  • Exigez des mots de passe sécurisés (set enforce-strong-password yes)

  • Attribuer à l’utilisateur des privilèges d’accès correspondant uniquement au type d’accès dont il a besoin (créer un rôle).

Renforcer les comptes d’utilisateurs authentifiés à distance

Un compte d’utilisateur authentifié à distance est tout compte d’utilisateur authentifié par LDAP, RADIUS ou TACACS+. L’authentification à distance permet un maximum de 16 serveurs TACACS+, de 16 serveurs RADIUS et de 16 fournisseurs LDAP pour un total de 48 fournisseurs.

AAA est un ensemble de services destinés à contrôler l’accès aux ressources informatiques, à appliquer des politiques, à évaluer l’utilisation et à fournir les renseignements nécessaires pour facturer les services. Ces processus sont considérés comme importants pour une gestion et une sécurité efficaces du réseau.

Notez que si un utilisateur gère un compte d’utilisateur local et un compte d’utilisateur distant simultanément, les rôles définis dans le compte d’utilisateur local remplacent ceux maintenus dans le compte d’utilisateur distant.

TACACS+ est un protocole d’authentification que le châssis FXOS peut utiliser pour authentifier les utilisateurs de gestion sur un serveur AAA distant. Ces utilisateurs de gestion peuvent accéder au châssis FXOS par SSH, HTTPS, Telnet ou HTTP. Nous recommandons le protocole SSH pour une sécurité maximale lors de l’accès au châssis FXOS. De nombreuses méthodes d’authentification offrent une sécurité renforcée.

L’authentification TACACS+, ou plus généralement l’authentification AAA, permet d’utiliser des comptes d’utilisateurs individuels pour chaque administrateur réseau. Lorsque vous ne dépendez pas d’un seul mot de passe partagé, la sécurité du réseau est améliorée et votre responsabilité est renforcée.

RADIUS est un protocole similaire à TACACS+; Cependant, il chiffre uniquement le mot de passe envoyé sur le réseau. En revanche, TACACS+ chiffre l’ensemble des données utiles TCP, qui comprend le nom d’utilisateur et le mot de passe. Pour cette raison, nous vous recommandons d’utiliser TACACS+ de préférence à RADIUS lorsque TACACS+ est pris en charge par le serveur AAA.

LDAP est un protocole client-serveur pour l’accès aux services d’annuaire, tels que Microsoft Active Directory. LDAP n’exige aucune sécurité entre le client et le serveur. Cependant, au moyen du protocole SSL, LDAP peut chiffrer les sessions d’utilisateur entre le client et le serveur. Ainsi, toutes les informations transférées dans les transactions LDAP sur le réseau sont sécurisées. Pour cette raison, nous vous recommandons fortement d’utiliser LDAP de préférence à TLS.

Pour en savoir plus et pour les procédures détaillées sur la configuration de RADIUS, TACAS+ et LDAP sur votre châssis FXOS, consultez la section Configuration de AAA dans le chapitre des paramètres de la plateforme du Guide de configuration de l’interface de ligne de commande Cisco Firepower 4100/9300 FXOS.