Votre organisation peut être tenue de n’utiliser que des équipements et des logiciels conformes aux normes de sécurité établies par le Département de la défense des États-Unis ou d’autres organismes de certification gouvernementaux. Une fois certifié par une autorité de certification appropriée et configuré conformément aux documents d’orientation propres à la certification, défense contre les menaces est conçu pour se conformer aux normes de certification suivantes :

• Critères communs (CC) : Norme mondiale établie par l’accord international de reconnaissance des critères communs, définissant les exigences applicables aux produits de sécurité.

• Liste des produits approuvés du réseau d’information du ministère de la Défense (DoDIN APL) : Liste de produits répondant aux exigences de sécurité établies par la Defense Information Systems Agency (DISA) des États-Unis.

  Remarque

  Le gouvernement américain a changé le nom de la liste des produits approuvés pour les capacités unifiées (UCAPL) en APL DODIN. Les références à UCAPL dans cette documentation et dans l’interface Web centre de gestion peuvent être interprétées comme des références à DODIN APL.

• Normes fédérales de traitement de l’information (FIPS) 140 : Un cahier des charges pour les modules de chiffrement.

Les documents d’orientation sur la certification sont disponibles séparément une fois que les certifications des produits sont terminées; la publication de ce guide de renforcement ne garantit pas l’achèvement des certifications de ces produits.

Les paramètres de configuration décrits dans ce document ne garantissent pas une conformité stricte avec toutes les exigences actuelles de l’entité de certification. Pour en savoir plus sur les procédures de renforcement requises, se référer aux lignes directrices relatives à ce produit fournies par l’organisme de certification.

Ce document fournit des conseils pour renforcer la sécurité de votre centre de gestion, mais certaines fonctions du centre de gestion ne permettent pas d’assurer la conformité à la certification, même en utilisant les paramètres de configuration décrits dans le présent document. Pour plus d’informations, voir « Recommandations de conformité pour les certificats de sécurité » dans le guide d’administration de Cisco Secure Firewall Management Center, 7.2. Nous nous sommes efforcés de veiller à ce que ce guide de renforcement et le guide d’administration de Cisco Secure Firewall Management Center, 7.2 n’entrent pas en conflit avec les directives spécifiques à la certification. Si vous observez des contradictions entre la documentation de Cisco et les directives de certification, utilisez les directives de certification ou consultez le propriétaire du système.

Cisco publie régulièrement des centre de gestionmises à jour du logiciel afin de résoudre les problèmes et d’apporter des améliorations. La mise à jour des logiciels de votre système est essentielle au maintien d’un système renforcé. Assurez-vous que votre logiciel système est correctement mis à jour. Pour plus d’informations, consultez le chapitre « Mises à jour du système » du guide d’administration du Cisco Secure Firewall Management Center, 7.2, et le guide de mise à niveau du Secure Firewall Management Center .

Cisco publie également des mises à jour périodiques des bases de données utilisées par centre de gestionpour protéger votre réseau et vos ressources. Pour assurer une protection optimale, les bases de données de géolocalisation, de règles d’intrusion et de vulnérabilités doivent être mises à jour. Avant de mettre à jour un composant de votre déploiement , vous devez lire les notes de mise à jour de Cisco Secure Firewall Threat Defense qui accompagnent la mise à jour. Elles fournissent des informations critiques et propres à la version, notamment sur la compatibilité, les conditions préalables, les nouvelles capacités, les changements de comportement et les avertissements. Certaines mises à jour peuvent être volumineuses et prendre un certain temps. Il est conseillé d’effectuer ces mises à jour pendant les périodes de faible utilisation du réseau afin de réduire l’impact sur les performances du système.

Base de données de géolocalisation

La base de données de géolocalisation (GeoDB) est une base de données géographiques (telles que les coordonnées du pays et de la ville) et de données relatives à la connexion (telles que le fournisseur d’accès à Internet, le nom de domaine, le type de connexion) associées aux adresses IP routables. Lorsque centre de gestion détecte des informations GeoDB correspondant à une adresse IP détectée, vous pouvez afficher les informations de géolocalisation associées à cette adresse IP. Pour afficher des détails de géolocalisation autres que le pays ou le continent, vous devez installer la GeoDB sur votre système.

Pour mettre à jour la GeoDB à partir de l’interface Web centre de gestion, utilisez Système > Mises à jour > Mises à jour de géolocalisation, et choisissez l’une des méthodes suivantes :

• Mettre à jour la GeoDB sur un centre de gestion sans accès à l’internet.

• Mettre à jour la GeoDB sur un centre de gestion disposant d’un accès à Internet.

• Programmer des mises à jour automatiques récurrentes de la GeoDB sur un centre de gestion disposant d’un accès à nternet.

Pour plus d’informations, voir « Mettre à jour la base de données de géolocalisation (Update the Geolocation Database) » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2.

Règles en matière d’intrusion

Au fur et à mesure que de nouvelles vulnérabilités sont connues, le groupe Cisco Talos Security Intelligence and Research Group (Talos) publie des mises à jour de règles d’intrusion (également connues sous le nom de Snort Rules Updates, ou SRU) que vous pouvez importer sur votre centre de gestion, puis mettre en œuvre en déployant la configuration modifiée sur vos appareils gérés. Ces mises à jour ont une incidence sur les règles d’intrusion, les règles du préprocesseur et les politiques qui utilisent ces règles.

L’interface Web centre de gestion propose trois approches pour mettre à jour des règles d’intrusion, toutes sous Système > Mises à jour > Mises à jour des règles :

• Mettre à jour les règles d’intrusion sur un centre de gestion sans accès Internet.

• Mettre à jour les règles d’intrusion sur un centre de gestion disposant d’un accès Internet.

• Programmer des mises à jour automatiques récurrentes des règles d’intrusion sur un centre de gestion disposant d’un accès à Internet.

Pour plus d’informations, voir « Mise à jour des règles d’intrusion (Update the Intrusion Rules) » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2.

Vous pouvez également importer des règles d’intrusion locales en utilisant Système > Mises à jour > Mises à jour des règles. Vous pouvez créer des règles d’intrusion locales en suivant les instructions du manuel de l’utilisateur de Snort (disponible à l’adresse http://www.snort.org). Avant de les importer dans votre centre de gestion, consultez les « Bonnes pratiques pour l’importation de règles d’intrusion locales » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2 et assurez-vous que votre processus d’importation de règles d’intrusion locales est conforme à vos politiques de sécurité.

Base de données des vulnérabilités

La base de données des vulnérabilités (VDB) est une base de données des vulnérabilités connues auxquelles les hôtes peuvent être sensibles, ainsi que des empreintes digitales pour les systèmes d’exploitation, les clients et les applications. Le système utilise la VDB pour déterminer si un hôte particulier augmente le risque de compromission.

L’interface Web centre de gestion propose deux approches pour mettre à jour la VDB :

• Mettre à jour manuellement la VDB (Système > Mises à jour > Mises à jour de produits).

• Planifier les mises à jour de la VDB (Système > Outils > Planification).

Pour plus d’informations, voir « Mise à jour de la base de données des vulnérabilités (Update the Vulnerability Database) » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2.

Listes et flux de renseignements sur la sécurité

Les listes et les flux de renseignements sur la sécurité sont des collections d’adresses IP, de noms de domaine et d’URL que vous pouvez utiliser pour filtrer rapidement le trafic correspondant à l’entrée d’une liste ou d’un flux.

Il existe des flux fournis par le système et des listes prédéfinies. Vous pouvez également utiliser des flux et des listes personnalisés. Pour afficher ces listes et ces flux, choisissez Objects > Object Management > Security Intelligence (Objets > Gestion des objets > Security Intelligence). Dans le cadre des flux fournis par le système, Cisco fournit les flux suivants en tant qu’objets de renseignements sur la sécurité :

• Les flux de renseignements sur la sécurité sont régulièrement mis à jour avec les derniers renseignements sur les menaces de Talos :

  • Cisco-DNS-and-UR-Intelligence-Feed (sous DNS Lists and Flows)

  • Flux de renseignements Cisco (pour les adresses IP, sous Network Lists and Flows)

  Vous ne pouvez pas supprimer les flux fournis par le système, mais vous pouvez modifier (ou désactiver) la fréquence de leurs mises à jour. Le centre de gestion peut maintenant mettre à jour les données de Cisco-Intelligence-Feed toutes les 5 ou 15 minutes.

• Cisco-TID-Feed (sous Network Lists and Feeds [Listes et flux de réseaux])

  Vous devez activer et configurer Threat Intelligence Director pour utiliser ce flux, qui est une collection de données observables TID.

Pour plus d’informations, voir « Listes et flux de renseignements sur la sécurité (Security Intelligence Lists and Feeds) » dans le guide de configuration Cisco Secure Firewall Management Center Device, 7.2.

Pour appliquer plusieurs changements de configuration de renforcement avec un seul paramètre, choisissez le mode CC ou UCAPL pour le centre de gestion. Ce paramètre paraît sous System (système) > Configuration > UCAPL/CC Compliance (conformité) dans l’interface Web centre de gestion.

Le choix de l’une de ces options de configuration entraîne les modifications répertoriées sous « Caractéristiques de la conformité de la certification de sécurité » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2. Sachez que tous les appareils de votre déploiement doivent fonctionner dans le même mode de conformité aux certifications de sécurité.

Mise en garde

Une fois ce paramètre activé, vous ne pouvez plus le désactiver. Consultez « Conformité des certifications de sécurité » dans le guide d’admnistration de Cisco Secure Firewall Management Center, 7.2 pour obtenir des informations complètes avant d’activer le mode CC ou UCAPL. Si vous devez inverser ce paramètre, contactez le Centre d’assistance technique de Cisco pour obtenir de l’aide.

Remarque

L’activation de la conformité aux certifications de sécurité ne garantit pas le respect strict de toutes les exigences du mode de sécurité sélectionné. Les paramètres supplémentaires recommandés pour renforcer votre déploiement au-delà de ceux fournis par les modes CC ou UCAPL sont décrits dans ce document. Pour des informations complètes sur les procédures de renforcement requises pour une conformité totale, se référer aux lignes directrices pour ce produit fournies par l’entité de certification.

Votre déploiement Secure Firewall peut interagir avec d’autres ressources réseau pour un certain nombre de raisons. Le renforcement de ces autres services peut protéger votre système Secure Firewall, ainsi que tous les actifs de votre réseau. Pour identifier tout ce qui doit être traité, essayez de schématiser le réseau et ses composants, les actifs, la configuration du pare-feu, la configuration des ports, les flux de données et les points de connexion.

Établir et respecter un processus de sécurité opérationnelle pour votre réseau qui prend en compte les questions de sécurité.

Utilisateurs internes et externes

Le centre de gestion prend en charge deux types d’utilisateurs :

• Utilisateurs internes - le système consulte une base de données locale pour l’authentification des utilisateurs.

• Utilisateurs externes - Le système interroge un serveur d'authentification LDAP ou RADIUS externe si l'utilisateur n'est pas présent dans la base de données locale.

Vous pouvez envisager d’établir l’accès des utilisateurs par le biais d’un mécanisme d’authentification externe tel que LDAP ou RADIUS, afin d’intégrer la gestion des utilisateurs à l’infrastructure existante de votre environnement réseau, ou d’exploiter des fonctionnalités telles que l’authentification à deux facteurs. L’établissement d’une authentification externe nécessite la création d’un objet d’authentification externe dans l’interface Web centre de gestion; les objets d’authentification externe peuvent être partagés pour authentifier les utilisateurs externes pour le centre de gestion, ainsi que les appareils gérés.

Types d’accès utilisateur

Le centre de gestion prend en charge deux types d’accès utilisateur :

• Une interface web (HTTP) - Disponible pour les comptes d'utilisateurs internes et externes.

• Accès aux lignes de commande par SSH, série ou connexion par clavier et moniteur - disponible pour le compte administrateur d’accès CLI/shell, et peut être mis à la disposition des utilisateurs externes.

Sur le centre de gestion, vous pouvez utiliser des listes d’accès pour limiter l’accès au système par adresse IP et par port. Par défaut, les ports suivants sont activés pour toute adresse IP :

• 443 (HTTPS) – Utilisé pour l’accès à l’interface Web

• 22 (SSH) – Utilisé pour l’accès à l’interface de ligne de commande ou à l’interpréteur de commandes

Vous pouvez également ajouter l’accès à l’interrogation des informations SNMP sur le port 161.

Important

Bien que vous puissiez établir une connexion sécurisée avec un serveur SNMP à partir de Management Center, le module d’authentification n’est pas conforme à la norme FIPS.

Pour opérer dans un environnement plus sûr, configurez votre centre de gestion pour autoriser ces formes d’accès qu’à des adresses IP précises, et désactivez les règles par défaut qui autorisent l’accès HTTPS ou SSH à n’importe quelle adresse IP. Ces options paraissent sous System > Configuration > Access List (système > Configuration > Liste d’accès) dans l’interface Web Management Center. Pour plus d'informations, voir « Liste d'accès » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center, 7.2.

Une correction est un programme que Management Center lance en réponse à une violation de la politique de corrélation. Vous pouvez configurer plusieurs types de corrections sur le centre de gestion, mais elles exigent toutes que le centre de gestion communique avec des entités extérieures de manière non sécurisée. Pour cette raison, nous recommandons de ne pas configurer un système centre de gestion renforcé pour utiliser des corrections. Pour en savoir plus, consultez « Corrections » dans le Guide d’administration du Cisco Secure Firewall Management Center, 7.2.

Sécurisez les informations transmises entre le centre de gestion et votre ordinateur local en utilisant des certificats HTTPS client et serveur pour sécuriser la connexion entre le centre de gestion et le navigateur qui exécute l’interface Web. Le centre de gestion utilise un certificat auto-signé par défaut, mais nous recommandons de le remplacer par un certificat généré par une autorité de certification mondialement connue et fiable.

Pour configurer les certificats HTTPS pour votre centre de gestion, utiliser System (système) > Configuration > HTTPS Certificate (certificat HTTPS) dans l'interface web centre de gestion ; voir « Certificats HTTPS » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

Vous pouvez verrouiller une politique de contrôle d’accès pour empêcher d’autres administrateurs de la modifier. Le verrouillage de la stratégie garantit que vos modifications ne sont pas invalidées si un autre administrateur modifie la stratégie et enregistre les modifications avant vous. Sans verrouillage, si plusieurs administrateurs modifient la stratégie simultanément, le premier utilisateur qui enregistre les modifications écrase les modifications de tous les autres utilisateurs. Le verrouillage est pour la stratégie de contrôle d’accès et ne s’applique pas aux objets utilisés dans la stratégie. Lorsqu'elle est verrouillée, les autres administrateurs ont un accès en lecture seule à la politique. Cependant, d’autres administrateurs peuvent affecter une politique verrouillée à un périphérique géré. Nous vous recommandons de verrouiller une stratégie de contrôle d’accès lorsque vous modifiez la stratégie :

1. Sélectionnez Policies (politiques) > Access Control (contrôle d'accès).

2. Cliquez sur Modifier à côté de la stratégie de contrôle d’accès que vous souhaitez verrouiller ou déverrouiller.

3. Cliquez sur l’icône de verrouillage à côté du nom de la politique pour verrouiller ou déverrouiller la politique.

Pour déverrouiller une politique verrouillée par un autre administrateur, vous devez mettre à jour l'autorisation suivante : Stratégies > Contrôle d'accès > Stratégie de contrôle d'accès > Modifier la stratégie de contrôle d'accès > Ignorer le verrouillage de la stratégie de contrôle d'accès. Par défaut, cette autorisation est activée pour le rôle d’utilisateur administrateur. Nous vous recommandons de ne pas activer cette permission. Pour plus d'informations, voir « Verrouillage d'une stratégie de contrôle d'accès » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center, 7.2.

Pour protéger les données du système et leur disponibilité, effectuez des sauvegardes régulières de votre centre de gestion. La fonction de sauvegarde paraît sous Système > Outils > Sauvegarde et restauration dans l’interface Web Management Center. Pour plus d'informations, voir « Sauvegarder le centre de gestion » dans le Guide d'administration du Secure Firewall Management Center, 7.2.

Le centre de gestion permet de stocker automatiquement les sauvegardes sur un appareil distant. L’utilisation de cette fonction n’est pas recommandée pour un système renforcé car la connexion entre le centre de gestion et l’appareil de stockage à distance ne peut pas être sécurisée.

Si vous apprenez que la défense contre les menaces est vulnérable aux attaques dans les trente jours suivant une mise à niveau, vous pouvez revenir en arrière si vous avez enregistré un instantané de restauration pendant la mise à niveau (méthode recommandée). Le rétablissement de la défense contre les menaces ramène le logiciel à l'état qu'il avait avant la dernière mise à niveau majeure ou de maintenance. Le rétablissement après l’application d’un correctif supprime également les correctifs.

Pour en savoir plus sur la restauration, y compris les configurations qui sont et ne sont pas restaurées, des directives pour le rétablissement des périphériques à haute disponibilité et en grappe, et toute exigence supplémentaire, consultez le guide de mise à niveau de la version actuellement en cours d’exécution sur le centre de gestion : http://www.cisco.com/go/ftd-fmc-upgrade.

Le centre de gestion permet d’exporter un certain nombre de configurations du système (telles que les stratégies, les tables personnalisées et les modèles de rapport) vers un fichier. Vous pouvez importer ces configurations sur un autre centre de gestion exécutant la même version. Cette fonction peut faire gagner du temps aux administrateurs qui ajoutent de nouveaux appareils à un déploiement, mais elle doit être utilisée avec précaution pour éviter les failles de sécurité. Les précautions suivantes doivent être prises lors de l’utilisation de la fonction d’exportation/importation :

• Sécuriser les communications entre le centre de gestion et le navigateur Web pour protéger les informations de configuration transférées. Consultez Communications sécurisées entre Centre de gestion et le navigateur Web.

• Sécuriser l'accès à l’ordinateur local où est stocké le fichier de configuration exporté; la protection de ce fichier est importante pour la sécurité de votre déploiement Firepower.

• Sachez que si vous exportez une configuration qui utilise des objets PKI contenant des clés privées, le système déchiffre les clés privées avant l’exportation; les clés privées exportées sont stockées en texte clair. Lors de l’importation, le système chiffre les clés à l’aide d’une clé générée de manière aléatoire.

Les fonctions d’exportation et d’importation de la configuration paraissent dans l’interface Web Management Center sous Système > Outils > Importer/Exporter. Pour plus d'informations sur cette fonctionnalité, voir » « Import/Export » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

Vous pouvez activer la restauration automatique de la configuration si un déploiement entraîne l’arrêt de la connexion de gestion entre le centre de gestion et la solution de défense contre les menaces. La restauration automatique du déploiement se produit si vous utilisez l’interface de données pour l’accès au centre de gestion et si vous configurez mal l’interface de données.

Nous vous recommandons d’activer les paramètres de restauration automatique à l’aide de Périphériques > Gestion des périphériques > Périphérique > Paramètres de déploiement) et de configurer l’intervalle de surveillance de la connectivité. La fonctionnalité de restauration automatique n'est pas pris en charge pour les déploiements en haute disponibilité ou en grappe, ni pour les modes transparents. Pour plus d'informations, voir « Modifier les paramètres de déploiement » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center, 7.2.

Management Center propose plusieurs types de rapports, qui contiennent tous des informations sensibles qu’il convient de protéger contre l’accès par du personnel non autorisé. Vous pouvez télécharger tous les types de rapports du centre de gestion sur votre ordinateur local sous forme non chiffrée. Avant de télécharger des rapports, sécurisez les communications entre le centre de gestion et le navigateur Web afin de protéger les informations transférées. (Consultez « Secure Communications Between the FMC and the Web Browser » [communications sécurisées entre le FMC et le navigateur Web]). En outre, un accès sécurisé à l’ordinateur local où sont stockés les rapports.

• Les rapports standard sont des rapports détaillés et personnalisables sur tous les aspects de votre système, disponibles aux formats HTML, CSV et PDF. Les rapports sur les risques sont des résumés au format HTML des risques trouvés dans votre organisation.

  Sur l’interface Web centre de gestion, les rapports standard et les rapports de risque paraissent sous Overview (aperçu) > Reporting (rapports). Pour ces rapports, il existe deux options de stockage en plus du téléchargement local, chacune présentant un risque de sécurité :

  • Vous pouvez envoyer automatiquement le rapport par courrier électronique à un serveur sélectionné. Nous ne recommandons pas l’utilisation de cette fonction dans un système renforcé, car le courrier électronique ne peut pas être sécurisé.

  • Vous pouvez enregistrer automatiquement les rapports sur un appareil distant. Nous ne recommandons pas l’utilisation de cette fonction pour un système renforcé, car la connexion entre le centre de gestion et l’appareil de stockage à distance ne peut pas être sécurisée.

  Pour obtenir des informations complètes sur la conception et la génération de rapports standard et de rapports sur les risques, voir « Rapports » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

• Les rapports de surveillance de l’état de santé pour le dépannage contiennent des informations que Centre d’assistance technique Cisco peut utiliser pour diagnostiquer les problèmes du système s’ils surviennent. Pour générer ces rapports à partir de centre de gestion l'interface Web Système > Intégrité > Surveillance, utilisez et suivez les instructions sous « Rapports de surveillance de l'intégrité pour le dépannage » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2. Le centre de gestion produit des fichiers de dépannage aux formats .tar et .gz.

• Les rapports sur les polices sont des fichiers PDF qui fournissent des détails sur la configuration actuelle sauvegardée d’une politique. Pour générer un rapport de stratégie, accédez à la page de gestion de la stratégie pour laquelle vous voulez un rapport et cliquez sur l'icône de rapport (. ) Pour une liste complète des stratégies qui prennent en charge les rapports, voir « Générer les rapports sur les stratégies appliquées » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center, 7.2.

• Utilisez les rapports de comparaison pour vérifier la conformité des changements de politique avec les normes de votre organisation ou pour optimiser les performances du système. Vous pouvez examiner les différences entre deux politiques ou entre une politique sauvegardée et la configuration en cours d’exécution. Pour générer un rapport de comparaison (disponible au format PDF uniquement), accédez à la page de gestion du type de polices que vous souhaitez comparer et sélectionnez Compare Policies (comparer les politiques). Voir « Comparer les stratégies » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center, 7.2.

Vous pouvez configurer le centre de gestion pour qu’il envoit des notifications appelées réponses d’alerte vers des serveurs externes lorsque des événements sélectionnés se produisent. Si ces alertes peuvent être utiles pour surveiller l’activité du système, elles peuvent présenter un risque pour la sécurité si la connexion au serveur externe ne peut pas être sécurisée.

Le centre de gestion permet d’envoyer des réponses aux alertes sous trois formes différentes :

• Les réponses aux alertes envoyées à syslog peuvent ne pas être sécurisées. Choisissez Politiques > Actions > Alerts (alertes) > Create Alert (créer l’alerte) > Create Syslog Alert (créer une alerte syslog) dans l’interface Web Management Center; nous ne recommandons pas de configurer votre centre de gestion pour envoyer de telles alertes dans un environnement renforcé.

• Les informations que le centre de gestion envoie à un serveur externe par courrier électronique peuvent être sécurisées si vous configurez la connexion avec l’hôte du relais de courrier de manière à utiliser le chiffrement (TLS ou SSLv3) et à exiger un nom d’utilisateur et un mot de passe. Effectuez cette opération via l’interface Web Management Center en utilisant System > Configuration > Email Notification (système > Configuration > Notification par courrier électronique). Pour plus d'informations, voir « Configurer un hôte de relais de messagerie et une adresse de notification » dans le Guide d'administration du Cisco Secure Firewall Management Center Administration Guide, 7.2.

  Une fois que vous avez sécurisé la connexion avec l’hôte du relais de messagerie, les données transmises par le centre de gestion sont protégées par les fonctions suivantes :

  • Réponses aux alertes par courrier électronique, décrites dans « Création d'une réponse à une alerte par courriel » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2. (Configurer ce paramètre en utilisant Policies (Politiques) > Actions > Alerts (alertes) > Create Alert (créer l’alerte) > Create Email Alert (créer une alerte courriel) dans l’interface Web Management Center).

  • Notifications d'élagage des données, décrites dans « Configuration des limites d'événements de la base de données » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2. (Configurer ce paramètre sous System (système) > Configuration > Database (base de données) dans l’interface Web Management Center).

• Les alertes envoyées à un serveur SNMP peuvent être sécurisées en utilisant les options suivantes sous Politiques > Actions > Alerts (alertes) > Create Alert (créer l’alerte) > Create SNMP Alert (créer une alerte SNMP) dans l’interface Web Management Center :

  • Choisissez SNMP v3 pour la Version. Ce protocole prend en charge :

    • Algorithmes d’authentification tels que SHA, SHA224, SHA256 et SHA384.

    • Chiffrement avec AES256, AES192 et AES128.

    • Utilisateurs en lecture seule.

  • Choisissez un protocole d’authentification pour sécuriser la connexion (MD5 ou SHA) et fournissez un mot de passe.

  • Choisissez DES, AES ou AES128 comme protocole de confidentialité et fournissez un mot de passe. Une clé plus longue offre une sécurité plus élevée, mais une réduction des performances.

  • Fournir un Engine ID (identifiant du moteur) que le système utilisera pour coder les messages. Il est recommandé d’utiliser la version hexadécimale de l’adresse IP du centre de gestion. Par exemple, si le centre de gestion a une adresse IP de 10.1.1.77, utilisez 0a01014D0.

  Vous devez limiter votre liste d’accès SNMP aux hôtes précis auxquels le centre de gestion enverra des alertes SNMP. Choisissez System (système) > Configuration > Access List (liste d’accès). Voir « Configurer la liste d'accès » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

  Le centre de gestion prend également en charge l’interrogation SNMP. Pour sécuriser cette fonction, consultez « Secure SNMP Polling » (Interrogation SNMP sécurisée).

Important

Bien que vous puissiez configurer des connexions sécurisées à un serveur SNMP ou SMTP à partir de Management Center, le module d’authentification n’est pas conforme à la norme FIPS.

Pour plus d'informations sur les alertes externes, voir « Alertes externes avec réponses aux alertes » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2

Le centre de gestion conserve des journaux en lecture seule de l’activité des utilisateurs, configurés par le biais du System (système) > Configuration > Audit Log (journalisation d’audit). Pour économiser les ressources mémoire du centre de gestion, vous pouvez stocker ces journaux en externe (flux vers le Syslog ou vers un serveur HTTP). Toutefois, cela peut présenter un risque pour la sécurité, à moins que vous ne sécurisiez le canal de diffusion des journaux d’audit en activant TLS et en établissant une authentification mutuelle à l’aide de certificats TLS. Pour en savoir plus, consultez « Diffusion en flux continu sécurisé des journaux d'audit » dans le Guide d’administration du Cisco Secure Firewall Management Center, 7.2.

L’Event Streamer (eStreamer) vous permet de transmettre plusieurs types de données d’événements d’un centre de gestion à une application client développée sur mesure. Pour en savoir plus, consultez le Guide d’intégration de Secure Firewall eStreamer pour votre version.. Si votre organisation choisit de créer et d’utiliser un client eStreamer, prenez les précautions suivantes :

• Développez votre application en utilisant les meilleures pratiques de l’industrie en matière de sécurité

• Configurez la connexion entre le centre de gestion et le client eStreamer pour que les données soient transmises en toute sécurité. Faites-le dans l’interface Web Management Center sous Integrations (intégrations) > Other Integrations (autres intégrations) > eStreamer > Create Client (créer client) en fournissant un mot de passe pour chiffrer le fichier de certificat qui sécurise la connexion avec l’hôte exécutant le client eStreamer. Pour plus d'informations, voir « Configurer les configurations client eStreamer » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

Vous pouvez configurer Analyses de sécurité et Consignations Cisco (sur site) pour stocker les données d’événements de défense contre les menaces afin d’augmenter le stockage pendant une période de conservation plus longue.

La requête du centre de gestion au gestionnaire de Cisco Secure Network Analytics passe par une connexion chiffrée par TLS. Par défaut, Analyses de sécurité et Consignations utilise un certificat autosigné que le centre de gestion peut télécharger automatiquement. Pour sécuriser la connexion à Analyses de sécurité et Consignations, nous vous recommandons ceci :

• Transférez le certificat manuellement sur un canal sécurisé et téléchargez-le dans le centre de gestion.

• Utilisez un certificat généré par une autorité de certification mondialement connue et fiable.

Les événements sont envoyés à Analyses de sécurité et Consignations Cisco (sur site) à l’aide de syslog. Assurez-vous de choisir des options sécurisées lors de la configuration de la fonctionnalité syslog.

Assurez-vous que les applications clientes tierces n’ont pas accès à la base de données Management Center; dans l’interface Web Management Center, sous System (système) > Configuration > External Database Access (accès de base de données externe), assurez-vous que la case Autoriser l’accès externe à la base de données est décochée. Pour plus d'informations, voir « Paramètres d'accès à la base de données externe » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

Les utilisateurs avec et sans accès autorisé à Management Center peuvent afficher la page de connexion au système. Personnalisez votre bannière de connexion de manière à ce qu’elle n’affiche que les informations appropriées à la vue de tous. Sur l’interface Web Management Center, utilisez System (système) > Configuration > Login Banner (bannière de connexion). Pour plus d'informations, voir« Bannières de connexion » dans le Guide d'administration du Cisco Secure Firewall Management Center, 7.2.

Les politiques d’identité Management Center utilisent des sources d’identité pour authentifier les utilisateurs du réseau et collecter des données sur les utilisateurs afin de les connaître et de les contrôler. L’établissement des sources d’identité des utilisateurs nécessite une connexion entre le centre de gestion ou un appareil géré et l’un des types de serveurs suivants :

• Microsoft Active Directory

• Linux Open LDAP

• RADIUS

Important

Bien que vous puissiez établir une connexion sécurisée avec des serveurs LDAP, Microsoft AD ou RADIUS à partir de Management Center, le module d’authentification n’est pas conforme à la norme FIPS.

Remarque

Si vous choisissez d’utiliser LDAP ou Microsoft AD pour effectuer l’authentification externe, consultez les informations figurant dans Renforcer les comptes d’utilisateurs externes.

Remarque

Management Center utilise chacun de ces serveurs pour prendre en charge une combinaison différente des caractéristiques possibles de l’identité de l’utilisateur. Pour plus de détails, voir « À propos des sources d’identité des utilisateurs » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2.

Remarque

Management Center peut également utiliser des serveurs RADIUS pour fournir une capacité VPN à votre réseau. Pour plus d'informations, voir « Survol VPN » dans le Guide de configuration du Cisco Secure Firewall Management Center, 7.2.

Sécuriser les connexions avec les serveurs Active Directory et LDAP

Les objets Management Center appelés domaines décrivent les paramètres de connexion associés à un domaine sur un serveur Active Directory ou LDAP. Pour plus d’informations sur la configuration des domaines, voir « Création et gestion de domaines » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2.

Lorsque vous créez un domaine (Integration (intégration) > Other Integrations (autres intégrations) > Realms (domaines) dans l’interface Web Management Center), gardez à l’esprit les points suivants pour sécuriser les connexions avec les serveurs AD ou LDAP :

Pour les domaines associés aux serveurs Active Directory :

• Choisissez des mots de passe forts pour le mot de passe d’AD Join et le mot de passe du répertoire.

• Lors de l’ajout d’un annuaire à un domaine Active Directory :

  • Sélectionnez STARTTLS ou LDAPS comem mode de chiffrement (ne choisissez pas None [aucun]).

  • Précisez un certificat SSL à utiliser pour l’authentification auprès du contrôleur de domaine Active Directory. Nous recommandons d’utiliser un certificat généré par une autorité de certification mondialement connue et fiable.

Pour les domaines associés aux serveurs LDAP :

• Choisissez des mots de passe forts pour le mot de passe du répertoire.

• Lors de l’ajout d’un répertoire à un domaine LDAP :

  • Sélectionnez STARTTLS ou LDAPS comem mode de chiffrement (ne choisissez pas None [aucun]).

  • Précisez un certificat SSL à utiliser pour l’authentification auprès du serveur LDAP. Nous recommandons d’utiliser un certificat généré par une autorité de certification mondialement connue et fiable.

Sécuriser les connexions avec les serveurs RADIUS

Pour configurer une connexion avec un serveur RADIUS, créez un objet Groupe de serveurs RADIUS (Objects (objets) > Object Management (gestion des objets) > RADIUS Server Group (groupe de serveurs RADIUS) dans l’interface Web centre de gestion) et ajoutez un serveur RADIUS au groupe. Pour sécuriser la connexion avec le serveur RADIUS, choisissez les options suivantes dans la boîte de dialogue New RADIUS Server (nouveau serveur RADIUS) :

• Fournissez une clé et une clé de confirmation pour chiffrer les données entre l’appareil géré et le serveur RADIUS.

• Précisez une interface pour la connexion qui peut prendre en charge la transmission sécurisée des données.

Configuration de l’inscription de certificat à l’aide de l’inscription sur le transport sécurisé

Vous pouvez configurer l’inscription des certificats pour Threat Defense sur un canal sécurisé. L’appareil utilise la fonction : inscription sur le protocole de transport sécurisé, soit Enrollment over Secure Transport (EST), pour obtenir un certificat d’identité auprès de l’autorité de certification. EST utilise TLS pour assurer le transport sécurisé des messages.

Pour configurer EST :

1. Sélectionnez Objets > Gestion d’objets > PKI > Inscription de certificat.

2. Cliquez sur Add Cert Enrollment (ajouter une inscription de certificat), puis cliquez sur l’onglet CA Information (renseignements sur l’autorité de certification).

3. Dans la liste déroulante Enrollment Type (type d’inscription), choisissez EST.

Si vous ne souhaitez pas que Threat Defense valide le certificat du serveur EST, nous vous recommandons de ne pas cocher la case Ignore EST Server Certificate Validations (ignorer les validations du certificat du serveur EST). Par défaut, Threat Defense valide le certificat du serveur EST. Le type d’inscription EST ne prend en charge que les clés RSA et ECDSA, et ne prend pas en charge les clés EdDSA. Pour plus d’informations, voir « Objet d’inscription au certificat Options EST » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2.

Sur les versions 7.0 et supérieures du centre de gestion et de Threat Defense, vous ne pouvez pas inscrire de certificats avec des tailles de clé RSA inférieures à 2 048 bits et des clés utilisant SHA-1. Pour ignorer ces restrictions dans le centre de gestion 7.0 gérant la défense contre les menaces exécutant des versions inférieures à 7.0, l’option Enable Weak-Crypto (Activer le chiffrement faible) est proposée (Devices > Certificates[Appareils > Certificats]). Par défaut, l’option weak-crypto est désactivée. Nous vous déconseillons d’activer des clés de cryptage faibles, car ces clés ne sont pas aussi sûres que celles dont la taille est plus élevée. Pour les versions 7.0 et supérieures de centre de gestion et défense contre les menaces , vous pouvez activer le chiffrement faible pour permettre la validation des certificats d’homologues, etc. Cependant, cette configuration ne s’applique pas à l’inscription des certificats.

Configuration des validations de certificat

Vous pouvez utiliser un certificat d’autorité de certification (CA) spécifique pour valider les clients SSL ou IPSec, et utiliser un certificat d’autorité de certification pour valider la connexion d’un serveur SSL. Pour configurer les types d’utilisation de la validation :

1. Sélectionnez Objets > Gestion d’objets > PKI > Inscription de certificat.

2. Cliquez sur Add Cert Enrollment (ajouter une inscription de certificat), puis cliquez sur l’onglet CA Information (renseignements sur l’autorité de certification).

3. Validation Usage : choisissez parmi les options pour valider le certificat lors d’une connexion VPN.

   • IPsec Client : validez le certificat de la connexion VPN entrante IPsec site vers site.

   • SSL Client : validez un certificat client SSL lors d’une tentative de connexion VPN d’accès à distance.

   • SSL Server : sélectionnez cette option pour valider un certificat de serveur SSL, par exemple en tant que certificat de serveur Cisco Umbrella.

Le périphérique étend les règles de contrôle d’accès en plusieurs entrées de liste de contrôle d’accès en fonction du contenu de tout objet de réseau ou d’interface utilisé dans la règle d’accès. Vous pouvez réduire la mémoire requise pour rechercher des règles de contrôle d’accès en activant la recherche par groupe d’objets (Périphériques > Gestionnaire d'appareil > Périphérique > Paramètres avancés). Lorsque la recherche par groupe d’objets est activée, le système ne développe pas les objets d’interface ou de réseau, mais recherche plutôt les règles d’accès pour les correspondances en fonction des définitions de ces groupes.

Il est important de noter que la recherche par groupe d'objets peut également diminuer les performances de la recherche de règles et donc augmenter l'utilisation de l'unité centrale. Vous devez équilibrer l’incidence sur le processeur et le besoin en mémoire réduits pour la stratégie de contrôle d’accès spécifique. Pour les périphériques Firepower de bas de gamme, comme les séries 1000, 2110 et 2120, l’augmentation de l’utilisation du processeur ralentira le périphérique. Dans la plupart des cas, l’activation de la recherche de groupe d’objets offre une nette amélioration opérationnelle. Par défaut, le paramètre de recherche de groupe d'objets est activé.

Si vous activez la recherche de groupe d’objets, puis configurez et utilisez le périphérique pendant un certain temps, la désactivation de la fonction par la suite pourrait entraîner des résultats indésirables. Si vous désactivez la recherche de groupe d’objets, vos règles de contrôle d’accès existantes seront développées dans la configuration du périphérique en cours d’exécution. Si l‘expansion exige plus de mémoire qu‘il en est disponible, votre appareil pourrait se trouver dans un état incohérent et cela pourrait causer un impact sur la performance. Si votre périphérique fonctionne normalement, vous ne devez pas désactiver la recherche de groupe d'objets une fois que vous l'avez activée. Pour plus d'informations, voir « Configurer la recherche de groupe d'objets » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center Device Configuration Guide, 7.2.

Le logiciel centre de gestion dépend d’un micrologiciel et d’un système d’exploitation sous-jacent complexe. Ces composants logiciels sous-jacents comportent leurs propres risques de sécurité qui doivent être pris en compte :

• Mettez en place un processus de sécurité opérationnelle pour votre réseau qui tienne compte des questions de sécurité.

• Pour les modèles centre de gestion 1000, 1600, 2000, 2500, 2600, 4000, 4500 et 4600, pour renforcer les composants de l’appareil matériel qui sous-tendent le logiciel centre de gestion, voir le guide de renforcement Cisco UCS.