- Ordinateurs et électronique
- Logiciel
- Services informatiques
- Logiciel de base de données
- MACROMEDIA
- BREEZE ET LA SCURIT
- Manuel du propriétaire
Manuel du propriétaire | MACROMEDIA BREEZE ET LA SCURIT Manuel utilisateur
Ajouter à Mes manuels12 Des pages
▼
Scroll to page 2
of
12
Macromedia Breeze et la sécurité Marques de commerce Afterburner, AppletAce, Attain, Attain Enterprise Learning System, Attain Essentials, Attain Objects for Dreamweaver, Authorware, Authorware Attain, Authorware Interactive Studio, Authorware Star, Authorware Synergy, Backstage, Backstage Designer, Backstage Desktop Studio, Backstage Enterprise Studio, Backstage Internet Studio, Contribute, Design in Motion, Director, Director Multimedia Studio, Doc Around the Clock, Dreamweaver, Dreamweaver Attain, Drumbeat, Drumbeat 2000, Extreme 3D, Fireworks, Flash, Fontographer, FreeHand, FreeHand Graphics Studio, Generator, Generator Developer's Studio, Generator Dynamic Graphics Server, Knowledge Objects, Knowledge Stream, Knowledge Track, LikeMinds, Lingo, Live Effects, le logo et le graphisme MacRecorder, Macromedia, Macromedia Contribute, Macromedia Coursebuilder for Dreamweaver, le logo et le graphisme Macromedia M, Macromedia Flash, Macromedia Xres, Macromind, Macromind Action, MAGIC, Mediamaker, Multimedia is the Message, Object Authoring, Power Applets, Priority Access, Roundtrip HTML, Scriptlets, SoundEdit, ShockRave, Shockmachine, Shockwave, shockwave.com, Shockwave Remote, Shockwave Internet Studio, Showcase, Tools to Power Your Ideas, Universal Media, Virtuoso, Web Design 101, Whirlwind et Xtra sont des marques déposées ou des marques commerciales de Macromedia, Inc. aux États-Unis ou dans d'autres pays, y compris au niveau international. D'autres noms de produit, logos, conceptions, titres, mots ou expressions mentionnés dans cette publication peuvent constituer des marques de commerce, des marques de service ou des dénominations commerciales de Macromedia, Inc. ou d'autres entités et sont déposées dans certains pays. Ce guide contient des liens vers des sites Web tiers qui ne sont pas contrôlés par Macromedia et Macromedia ne peut en aucun cas être tenu responsable de leur contenu. Si vous accédez à l’un de ces sites, vous le faites à vos propres risques. Macromedia ne mentionne ces liens qu'à titre pratique et leur inclusion n'implique en aucun cas que Macromedia peut être tenu pour responsable du contenu de ces sites. Avis de non-responsabilité d’Apple APPLE COMPUTER, INC. EXCLUT TOUTE GARANTIE, EXPRESSE OU IMPLICITE, DE QUALITÉ MARCHANDE ET D'ADÉQUATION A UN USAGE PARTICULIER, RELATIVE AUX LOGICIELS JOINTS. L'EXCLUSION DE GARANTIES IMPLICITES N'EST PAS AUTORISÉE DANS CERTAINS PAYS. L'EXCLUSION CI-DESSUS PEUT NE PAS S’APPLIQUER À VOTRE CAS. CETTE GARANTIE VOUS DONNE DES DROITS JURIDIQUES SPÉCIFIQUES ET VOUS POUVEZ BÉNÉFICIER D’AUTRES DROITS JURIDIQUES QUI VARIENT D'UN ÉTAT A L'AUTRE. Copyright © 2004 Macromedia, Inc. Tous droits réservés. Ce manuel ne peut pas être copié, photocopié, reproduit, traduit ou converti sous forme électronique ou informatique, en partie ou en totalité, sans l’autorisation écrite préalable de Macromedia, Inc. Première édition : janvier 2004 Macromedia, Inc. 600 Townsend St. San Francisco, CA 94103 TABLE DES MATIERES Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Niveaux de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Sécurité de l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Solutions de sécurisation de l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Sécurité au niveau de l’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Sécurité physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Recommandations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Références et ressources sur la sécurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3 4 Table des matières Macromedia Breeze et la sécurité Présentation Ce document est destiné aux administrateurs systèmes et aux responsables de programme dont la fonction comprend la sécurisation de l’utilisation de Breeze. Si vous installez Breeze pour une utilisation sur votre intranet, il est recommandé d’étudier et d’implémenter les recommandations de cet article. Toutefois, si vous installez Breeze pour une utilisation sur l’Internet, vous devez implémenter les recommandations de cet article, faute de quoi la sécurité de votre application Breeze et des informations qu’elle contient ne serait pas assurée. Macromedia Breeze est une application Web basée sur un serveur. Elle s’intègre à une base de données pour offrir une puissante solution de formation et de conférence en ligne. L’hébergement de l’application Breeze sur votre intranet ou sur l’Internet offre à vos utilisateurs toute la flexibilité requise pour accéder aux informations en tout lieu et à tout moment. De par sa nature même, toute application exécutée sur un réseau, en particulier sur l’Internet, est sujette à des risques en matière de sécurité. C’est aussi le cas de Macromedia Breeze. Toutefois, il est possible de réduire ces risques en matière de sécurité en implémentant soigneusement un modèle de sécurisation de Macromedia Breeze. Trois niveaux de sécurité doivent être pris en considération pour Macromedia Breeze : • Sécurité au niveau de l’application • Sécurité physique • Sécurité de l’infrastructure Breeze prend en charge la sécurité au niveau de l’application, grâce à son modèle de sécurité de type ACL (Access Control List) qui permet de contrôler le degré d’accès des utilisateurs aux fonctionnalités de l’application Breeze. La sécurité physique consiste essentiellement à placer le serveur physique sur un site protégé. Le troisième niveau de sécurité, l’infrastructure, est la partie la plus importante puisqu’elle concerne la sécurisation du serveur et du réseau. C’est pourtant l’aspect le plus négligé de la sécurisation de Breeze. Ce livre blanc comporte quatre sections : • • • • Niveaux de sécurité Exemples Recommandations Références supplémentaires 5 Niveaux de sécurité Lors de la planification d’une stratégie de sécurité, il est important de prendre en compte les diverses couches qui représentent l’environnement déployé d’un serveur et de planifier la sécurisation de chaque couche. En général, une stratégie de sécurité bien conçue se compose des éléments suivants : • Sécurité de l’infrastructure • Sécurité au niveau de l’application • Sécurité physique Sécurité de l’infrastructure La sécurité de l’infrastructure est de loin l’aspect le plus important mais le plus négligé de la sécurisation de Breeze. L’équipe informatique est entièrement responsable de la sécurisation de l’infrastructure utilisée par Breeze. La sécurisation de l’infrastructure utilisée par Breeze se décompose en trois parties : • Sécurisation du réseau • Sécurisation du serveur Web de Breeze • Sécurisation du serveur de base de données Les sections ci-dessous décrivent une infrastructure sécurisée. Les mesures de sécurité à implémenter varient selon que le système Breeze se compose d’un simple serveur exécuté dans la zone protégée (DMZ) ou d’un système sophistiqué faisant appel à plusieurs serveurs exécutés dans plusieurs zones de confiance. Sécurisation du réseau Le modèle de communication de Breeze repose sur plusieurs services TCP/IP privés. Ces services ouvrent plusieurs ports et canaux pour prendre en charge les communications privées. Ces ports doivent donc être protégés contre tout accès extérieur. La conception de Breeze nécessite que la sécurité des communications soit assurée par l’environnement. Il est très fortement recommandé de placer les ports « sensibles » derrière un pare-feu les séparant des ordinateurs situés à l’extérieur des zones de confiance. Voici la liste des ports utilisés par Macromedia : • • • • Ports d’entrée (depuis l’Internet) : 80, 443, 1935 Ports de sortie (vers la base de données) : 1433 Ports de sortie (vers le serveur de messagerie) : 25 Ports locaux (de et vers les autres membres du cluster) : 8505, 8510, 8520 Si les utilisateurs doivent pouvoir accéder à Breeze sur votre intranet, il est fortement conseillé de placer les serveurs Breeze et la base de données Breeze sur un sous-réseau séparé protégé par un pare-feu. Cette configuration du pare-feu doit prendre en compte les ports indiqués ci-dessus, ainsi que la possibilité de les utiliser en entrée ou en sortie. 6 Macromedia Breeze et la sécurité Toutefois, si les utilisateurs doivent pouvoir accéder à Breeze via l’Internet, il est extrêmement important de séparer les serveurs Breeze de l’Internet au moyen d’un pare-feu. Si vous ne prenez pas toutes les mesures nécessaires pour protéger vos serveurs Breeze, vous laissez littéralement la porte ouverte au vol de vos précieuses informations. Des références de ressources sur la sécurisation du réseau sont indiquées dans la section Références et ressources sur la sécurisation, page 12. Sécurisation du serveur Web de Breeze Macromedia Breeze comporte son propre serveur Web sécurisé. Celui-ci est partiellement basé sur Macromedia JRun Enterprise Server et a été spécifiquement conçu pour servir du contenu dynamique pour Breeze : réunions Breeze Live, présentations Breeze et autres contenus enrichis. En raison des besoins spécifiques de Breeze, aucun autre serveur Web ne doit être utilisé avec Breeze, faute de quoi les performances de Macromedia Breeze seraient dégradées. Mais le plus important est que Breeze a été conçu pour assurer la sécurité. Le serveur Web incorporé est fourni dans une configuration très restrictive qui interdit d’exécuter d’autres services Web à partir du même ordinateur. De plus, grâce à son architecture, Breeze n’est pas menacé par les « exploits » dont ont souffert d’autres serveurs Web (saturation des tampons, etc.) Pour l’hébergement de contenu, Breeze est donc un environnement très sécurisé. Sécurisation du serveur de base de données Que la base de données soit hébergée ou non sur le même serveur que Breeze, il est nécessaire de la sécuriser. Les ordinateurs hébergeant une base de données doivent être physiquement placés en un lieu protégé. Les bases de données doivent être installées dans la zone sécurisée de l’intranet de l’entreprise, et ne doivent jamais être directement connectées à l’Internet. Des copies de sauvegarde seront régulièrement effectuées et conservées en lieu sûr, hors site. Le site Web de Microsoft consacré à la sécurité contient des informations qui s’appliquent à la fois à la sécurisation de SQL Server 2000 et de la base de données de Breeze : www.microsoft.com/sql/ techinfo/administration/2000/security/ Le lien suivant représente un excellent point de départ pour vous assurer de la sécurisation de votre base de données : www.microsoft.com/sql/techinfo/administration/2000/security/ securingsqlserver.asp Veuillez noter que Macromedia Breeze ne prend pas en charge le mode d’authentification de Windows, seul le mode mixte est pris en charge. De plus, si vous exécutez la base de données incorporée de Breeze, veuillez noter que le mot de passe par défaut de celle-ci est « breeze ». Il est fortement recommandé de changer ce mot de passe. Pour ce faire, tapez la commande suivante dans la ligne de commande : osql -E -Q "sp_password @new='{nouveau_mot_de_passe}',@loginame='sa'" où {nouveau_mot_de_passe} est un mot de passe difficile à décrypter. Solutions de sécurisation de l’infrastructure La plupart des configurations Breeze correspondent à l’un de ces deux types de configuration : • configuration à un seul serveur • configuration à plusieurs serveurs Niveaux de sécurité 7 Cette section étudie ces deux types de configuration et fournissent des exemples de sécurisation de ces environnements. Configuration à un seul serveur La solution la plus facile pour sécuriser un système dédié Breeze à un seul serveur consiste à bloquer tous les ports de l’ordinateur Breeze à l’exception des ports 80, 1935 (et 443 pour les serveurs SSL). Si votre service informatique applique scrupuleusement tous les patchs de sécurité de Microsoft au serveur Windows, il est facile de configurer un pare-feu logiciel pour assurer la sécurité des applications. Un pare-feu matériel externe peut offrir un niveau supplémentaire de protection, y compris pour pallier les défectuosités du système d'exploitation. Exemple : sécurisation d’une configuration avec un seul serveur Supposons que vous installez Breeze Live et Breeze Presentation sur un même serveur. De plus, vous installez également la base de données sur ce serveur. Vos utilisateurs doivent pouvoir accéder à Breeze par l’Internet. La sécurisation de Breeze sur un seul serveur se compose des étapes suivantes : Dans la mesure où vous permettez à vos utilisateurs d’accéder à Breeze via l’Internet, votre serveur Breeze est susceptible d’être attaqué par des pirates. Un parefeu vous permettra de bloquer l’accès à vos serveurs et de contrôler les communications entre ceux-ci et l’Internet. Configuration du pare-feu Après avoir installé un pare-feu, configurez-le comme indiqué cidessous : ■ Ports d’entrée (depuis l’Internet) : 80, 443, 1935 ■ Ports de sortie (vers le serveur de messagerie) : 25 Puisque la base de données se trouve sur le même serveur que Breeze, il n’est pas nécessaire d’ouvrir le port 1433 sur le pare-feu. Installation de Breeze Pour toutes informations sur l’installation de Breeze, consultez le Guide d'installation de Breeze. Vérification du bon fonctionnement de Breeze Après avoir installé Breeze, vérifiez qu’il fonctionne correctement, à la fois à partir de l’Internet et de votre réseau local. Consultez le Guide d'installation de Breeze pour plus d’informations. Test du pare-feu Après avoir installé et configuré le pare-feu, vérifiez qu’il fonctionne correctement. Testez le pare-feu en tentant d’utiliser les ports bloqués. 1 Installation d’un pare-feu 2 3 4 5 Solutions sur plusieurs serveurs Par nature, les solutions multi-serveurs sont plus complexes et différent d’une installation à l’autre. Il est très important de comprendre comment sécuriser une installation multi-serveurs. Voici des suggestions de sécurisation des solutions multi-serveurs. • 8 Réseaux privés Pour les solutions reposant sur plusieurs serveurs implantés dans les mêmes locaux, la solution la plus simple consiste à créer un sous-réseau réservé au système Breeze. Le pont vers le réseau client est assuré à travers un pare-feu qui ne laisse passer le trafic qu’en direction des serveurs Web. Cette solution assure un niveau de sécurité très élevé mais peut s’avérer coûteuse. Macromedia Breeze et la sécurité • • Pour les serveurs Breeze installés en cluster mais partageant un réseau public avec d’autres serveurs accessibles aux utilisateurs, il peut être approprié d’installer un pare-feu logiciel sur chaque serveur. La méthode la plus simple consiste à autoriser les communications entre les serveurs Breeze tout en réservant aux serveurs Web l’accès à l’extérieur. Réseaux privés virtuels Pour des installations multi-serveurs dans lesquelles plusieurs systèmes Breeze sont physiquement implantés dans des lieux différents, il peut être intéressant d’envisager un tunnel crypté entre les systèmes distants. Cette configuration est certes peu répandue, mais de nombreux fournisseurs proposent des technologies de VPN permettant de sécuriser les communications avec les serveurs Breeze. Si le trafic de données doit être crypté, Breeze se fie à cette sécurité externe. Pare-feu logiciels locaux Sécurité au niveau de l’application L’application Breeze comporte un modèle de sécurité de type ACL (Access Control List) qui permet d’accorder différentes autorisations d’accès aux diverses fonctionnalités de Breeze. Par exemple, il est possible de définir les utilisateurs ayant l’autorisation de publier des présentations en les ajoutant au groupe Auteurs, et ce contrôle s’étend également aux dossiers dans lesquels les utilisateurs individuels peuvent transférer leurs publications. Breeze comporte quatre groupes de base permettant de définir le niveau d’accès à des fonctionnalités spécifiques de Breeze. En ajoutant des utilisateurs à ces groupes, vous pouvez contrôler le rôle de chaque utilisateur au sein du compte Breeze. Ces groupes sont les suivants : Administrateurs Les membres du groupe Administrateurs peuvent accéder à toutes les fonctionnalités du compte Breeze. Ils peuvent créer et gérer des utilisateurs, des cours et des réunions, ainsi que gérer le contenu. Veuillez noter que pour être en mesure de publier du contenu, un membre du groupe Administrateurs doit également être membre du groupe Auteurs. Auteurs Les membres du groupe Auteurs ont accès aux fonctionnalités de publication. Ils peuvent publier du contenu dans le système Breeze, et utiliser Breeze plug-in for PowerPoint pour publier des présentations dans Breeze. Gestionnaires de cours Les membres du groupe Gestionnaires de cours administrent la bibliothèque des cours (création de cours, incorporation de contenu créé par les auteurs, inscription des utilisateurs, envoi de notifications aux inscrits et mise en place de rappels de cours. Ils peuvent également voir les rapports sur le contenu et sur les cours. Les membres du groupe Administrateurs des réunions peuvent effectuer toutes les tâches associées à la création des réunions (configuration d’une salle de réunion, invitation des participants, envoi des invitations et consultation des rapports). Administrateurs des réunions Vous pouvez non seulement ajouter des utilisateurs à des groupes pour leur permettre d’utiliser des fonctionnalités spécifiques de Breeze, mais aussi leur accorder des autorisations d’accès à des éléments spécifiques (dossiers, contenu, cours et réunions). Par exemple, il est possible de contrôler si un auteur précis dispose de l’autorisation de publier dans un dossier spécifique. Niveaux de sécurité 9 Pour plus d’informations sur l’utilisation des fonctionnalités de sécurité au niveau application de Breeze, consultez la présentation Breeze Configuration des utilisateurs, des groupes et des autorisations à l’adresse www.macromedia.com/go/breeze_support_fr. Pour toutes instructions sur la définition des autorisations, consultez le chapitre « À propos des autorisations » du fichier d’aide Utilisation de Breeze Manager. Cette aide est directement disponible à partir de l’application Web Breeze Manager. Pour accéder à Breeze Manager, choisissez Démarrer > Programmes > Macromedia > Macromedia Breeze <numéro de version> > Connexion à Macromedia Breeze. Sécurité physique Lorsque des informations « sensibles » sont conservées sur un serveur, il est nécessaire de veiller à la sécurité physique de ce dernier. Breeze dépend de la sécurisation de l’ordinateur hôte. Ce dernier doit donc être protégé s’il contient des données privées et confidentielles. Breeze a été conçu pour tirer parti des fonctionnalités natives de l’environnement, par exemple le cryptage du système de fichiers s’il est disponible et a été configuré par l’utilisateur. Recommandations Voici une liste des pratiques conseillées qui vous aideront à sécuriser Breeze. • • • • • 10 Protégez vos serveurs par un pare-feu Il est fortement recommandé de placer Macromedia Breeze derrière un pare-feu, en particulier si Breeze doit être utilisé sur l’Internet. Si vous ne placez pas votre serveur Breeze derrière un pare-feu, il est susceptible d’être attaqué par des pirates. Pire encore, vos informations « sensibles » risquent d’être volées. Il est conseillé de placer tous les serveurs derrière un pare-feu. Cette recommandation s’applique aux serveurs de l’application Breeze, aux serveurs Breeze Live et au serveur de la base de données. Exécutez un minimum de services Il est conseillé d’exécuter le minimum de services nécessaires à Breeze. En d’autres termes, n’exécutez pas d’applications telles qu’un contrôleur de domaine, un serveur Web ou un serveur FTP sur le même ordinateur que Breeze. En réduisant le nombre d’applications et de services exécutés sur l’ordinateur hôte de Breeze, vous limiterez le risque que l’utilisation d’une faille de sécurité d’une autre application permette d’attaquer le serveur Breeze. Appliquez les mises à jour de sécurité du système d'exploitation Sur Windows et les autres plates-formes, il est nécessaire d’appliquer tous les patchs de sécurité des failles identifiées. Un bon pare-feu permet d’éliminer certaines causes d’atteinte à la sécurité. En règle générale, il est recommandé d’appliquer à l’ordinateur qui héberge Breeze toutes les mises à jour de sécurité approuvées ou publiées par Microsoft ou les développeurs de la plate-forme appropriée. Appliquez les mises à jour de sécurité de la base de données Votre base de données peut être aussi susceptible d’une attaque malveillante que les autres composants de la solution Breeze. Il est donc important d’appliquer les patchs de sécurité du serveur de base de données. Tout comme pour le système d'exploitation, certains risques peuvent être éliminés par l’utilisation d’un bon pare-feu, mais il est néanmoins important d’appliquer tous les patchs. Sécurité physique Lorsque des informations « sensibles » sont conservées sur un serveur, il est nécessaire de veiller à la sécurité physique de ce dernier. Breeze dépend de la sécurisation de l’ordinateur hôte. Ce dernier doit donc être protégé s’il contient des données privées et confidentielles. Breeze a été conçu pour tirer parti des fonctionnalités natives de l’environnement, par exemple le cryptage du système de fichiers s’il est disponible et a été configuré par l’utilisateur. Macromedia Breeze et la sécurité • • Les utilisateurs de Breeze sont protégés par des mots de passe. Il est recommandé que tous les utilisateurs, en particulier les administrateurs, choisissent des mot de passe difficiles à décrypter pour mieux protéger leurs données. Les installations de Breeze Enterprise utilisent fréquemment des bases de données externes qu’il peut être également utile de protéger par des mots de passe difficiles à décrypter. Effectuez des audits de la sécurité Il est recommandé d’effectuer régulièrement des audits des systèmes informatiques concernés pour vérifier que toutes les fonctionnalités de sécurité installées par les utilisateurs fonctionnent comme prévu. Par exemple, il est facile de valider l’efficacité d’un pare-feu à l’aide d’un scanner de ports. Des contrôles réguliers de la sécurité peuvent contribuer à protéger le système d’erreurs d’utilisateurs pouvant à terme provoquer des problèmes de configuration. Utilisez des mot de passe difficiles à décrypter Recommandations 11 Références et ressources sur la sécurisation Voici une liste de sources d’informations et de logiciels qui peuvent contribuer à sécuriser vos serveurs Breeze. • Sécurisation du réseau (www.sans.org) Le SANS Institute (System Administration, Networking, and Security) est une organisation collaborative à vocation de recherche et d’éducation, composée d’administrateurs système, professionnels de la sécurité et administrateurs réseau. Ils proposent des cours très instructifs sur la sécurisation des réseaux, ainsi qu’une certification en sécurité réseau. Sécurisation du serveur SQL Site Web de Microsoft consacré à la sécurité (www.microsoft.com/sql/techinfo/ administration/2000/security/) Ce site de Microsoft comporte des informations et des ressources sur la sécurité de SQL Server 2000. Les informations disponibles sur ce site s’appliquent également au moteur de base de données de Breeze. Utilitaires gratuits NMap (www.insecure.org/nmap/index.html) Ce puissant programme scanner de ports indique les ports ouverts sur un ordinateur. Il est disponible gratuitement au titre de la licence publique GNU (GPL). SANS Institute • • Remarque : Veuillez noter que l’efficacité de toute mesure de sécurité dépend de nombreux facteurs dont, entre autres, les mesures de sécurité prises en charge par l’ordinateur qui héberge le serveur et par les logiciels de sécurité que vous avez installés. Vous ne devez pas prendre le logiciel Macromedia Breeze pour ce qu’il n’est pas : Macromedia Breeze n’est pas conçu pour assurer la sécurisation contre tout accès autorisé, ni contre toute interruption de service ou tentative d’interruption de service, volontaire ou non, de vos serveurs, ni contre toute tentative de vol de vos informations stockées ou déployées par vos soins sur un ordinateur, y compris sur le serveur. Merci de consulter le Dédit de garantie énoncé dans le CLUF (Contrat de Licence d’Utilisateur Final) du logiciel Macromedia Breeze. 12 Macromedia Breeze et la sécurité