Optimisation de la sécurité

Introduction

Relution est un outil puissant avec lequel les utilisateurs disposent parfois d’autorisations étendues sur les appareils gérés. Le système doit donc être protégé de manière optimale contre les accès non autorisés. Le portail Relution peut être optimisé en termes de sécurité à différents endroits grâce à des fonctions intégrées. A cela s’ajoute la distribution ciblée des autorisations nécessaires.

Utiliser un mot de passe sûr

Lorsqu’un nouveau compte utilisateur est créé dans Relution, un mot de passe complexe est proposé. Celui-ci peut être accepté ou modifié. Dans tous les cas, veillez à respecter la [recommandation de complexité du BSI]. recommandation de complexité du BSI →

Ajouter un deuxième facteur d’authentification

Relution prend en charge la connexion avec un deuxième facteur. Les utilisateurs doivent le configurer eux-mêmes pour leur propre compte. Pour ce faire, cliquez sur le nom de l’utilisateur > Profil en haut à droite. Un jeton MFA pour une application d’authentification ou une vérification par email peut être stocké à cet endroit. Veillez à utiliser cette fonction !

Utiliser le jeton d’accès

Dans Relution, un jeton d’accès pour l’utilisation de l’API peut également être stocké dans le profil du compte utilisateur. Ce jeton offre l’avantage qu’aucune combinaison nom d’utilisateur/mot de passe ne doit être stockée en texte clair dans les scripts. En outre, une date d’expiration peut être attribuée au jeton afin de s’assurer qu’il n’est pas actif plus longtemps que nécessaire.

Configuration des règles d’accès IP & Fail2Ban

Dans la Global Organisation, il est possible de configurer à la fois les règles d’accès IP et Fail2Ban sous
Paramètres → Sécurité du système.

Cela permet par exemple de définir qu’une adresse IP sera bloquée pendant une certaine durée après un nombre défini de tentatives de connexion échouées (par ex. 10).

Les règles d’accès IP contrôlent de manière générale depuis quelles adresses IP ou quels réseaux une connexion est autorisée ou bloquée. Il est possible de définir à la fois des IP individuelles et des plages complètes.

Remarque importante
Avant toute configuration, il convient de vérifier quelle adresse IP est utilisée pour se connecter au serveur afin d’éviter tout blocage involontaire.

Signification des statuts

Autorisé

  • La connexion est actuellement possible
  • Est défini automatiquement dès qu’une tentative de connexion a lieu (même en cas d’échec)
  • Sert principalement à la visibilité et à la journalisation

Autorisé de manière permanente

  • L’adresse IP est explicitement autorisée
  • A priorité sur les autres règles
  • Reste active de manière permanente
  • Recommandé pour les emplacements de confiance (par ex. bureau ou VPN)

Bloqué

  • L’adresse IP est bloquée temporairement
  • Peut être débloquée à tout moment

Bloqué de manière permanente

  • L’adresse IP est bloquée définitivement
  • Plus aucune connexion possible
  • Utile pour les accès clairement indésirables

Utilisation des plages IP

Le préfixe CIDR permet de définir la taille de la plage d’adresses IP concernée par une règle.

PréfixeSignification
/32Une seule adresse IP
/24Un réseau typique (par ex. réseau interne)

Règle de base :
Plus le nombre est petit, plus la plage d’adresses IP est grande.

Exemples CIDR

  • 192.168.1.10/32
    → Concerne un seul appareil

  • 192.168.1.0/24
    → Concerne tous les appareils de 192.168.1.1 à 192.168.1.254

Exemple : bloquer tout sauf les IP autorisées

Définir les IP de confiance

  • Définir les réseaux connus ou internes
  • Les configurer comme « Autorisé de manière permanente »
  • Exemples :
    • Réseau de bureau
    • Accès VPN

Créer une règle de blocage globale

  • Créer une règle couvrant toutes les autres adresses IP
  • Exemple : 0.0.0.0/0 (couvre toutes les IP dans le monde)
  • Statut : « Bloqué de manière permanente »

Remarque importante
Avant d’activer la règle de blocage globale, s’assurer que votre propre adresse IP est correctement définie comme autorisée de manière permanente.

Gérer les autorisations

Relution propose douze préconfigurations d’autorisation en standard. Vérifiez quelles fonctions sont actives dans chaque préconfiguration d’autorisation. Pour ce faire, cliquez sur Utilisateurs > Autorisations et faites attention aux entrées qui ont été créées par le système. Ces rôles ne peuvent pas être modifiés. Vous pouvez toutefois créer de nouvelles autorisations à tout moment et activer les fonctions nécessaires pour les utilisateurs individuels de manière très précise. Les autorisations correspondent aux groupes d’utilisateurs créés par Relution.