Explication : Décider s'il faut autoriser l'utilisation d'une connexion SSH
Le paramètre Connexion serveur SSH spécifie s'il est possible d'utiliser une connexion SSH quand la console communique avec un poste client. L'utilisation d'une connexion SSH présente des risques potentiels de sécurité. Aussi, avant de prendre une décision, il est important de comprendre quand et comment SSH est utilisé dans Security Controls.
Informations générales
La première chose à savoir, c'est que le protocole SMB sert à Security Controls à communiquer avec les machines Windows et que le protocole SSH lui sert à communiquer avec les machines Linux. Lorsqu'elle tente de découvrir les machines inconnues et de communiquer avec elles, la console essaie d'abord SMB. Si cela échoue, elle utilise SSH. SSH assure des communications sécurisées entre deux postes client. Si un poste client répond à la demande SSH, le système tente de s'authentifier sur le poste client avec les références d'authentification fournies par la console.
Bien que SSH crypte le transport, toutes les données envoyées via SSH, y compris les mots de passe et les noms d'utilisateur, sont visibles et disponibles pour le serveur SSH. Pour garantir la sécurité des données transmises via une connexion SSH, de nombreuses entreprises exigent que le client vérifie l'authenticité du système distant auquel il se connecte, avant tout envoi de données. Security Controls ne prend actuellement pas en charge l'authentification serveur SSH. Cela signifie que vous devez choisir entre bloquer les connexions SSH et autoriser la console à ignorer le processus d'authentification serveur SSH.
Comment choisir
Votre décision concernant le mode de configuration du paramètre Connexion serveur SSH dépend du fait que les machines que vous configurez sont ou non des machines de confiance sur votre réseau. Ce paramètre apparaît à deux endroits dans l'interface utilisateur Security Controls, et son étendue et son impact varient de l'un à l'autre.
- Dans un groupe de machines, dans les onglets Nom de la machine, Nom de domaine, Adresse IP/Plage et Unité organisationnelle
- Dans la boîte de dialogue Propriétés de la machine
Lors de l'exécution d'opérations de découverte sur les machines définies dans un groupe de machines, vous ignorez souvent quel type de machine écoute de l'autre côté. Vous pouvez parfois savoir que les machines définies par une plage IP spécifique sur votre réseau sont des machines Linux de confiance. Pour ces machines, vous pouvez choisir d'autoriser la connexion SSH en sautant le processus d'authentification ou en exigeant que chaque machine passe par une étape de validation. Lorsque vous ajoutez des domaines ou des unités organisationnelles à un groupe de machines, cependant, vous ne connaîtrez probablement pas le type de système d'exploitation des machines ni leur niveau de confiance. Dans ce cas, il faut choisir de bloquer les connexions SSH. L'inconvénient, bien sûr, est que vous ne pourrez pas gérer vos machines Linux de façon normale. Mais il existe des solutions de contournement.
Contrairement aux machines d'un groupe de machines qui reste à découvrir, les machines de la vue Machine ou de la vue Analyse sont connues de la console. Toutefois, la quantité d'informations disponibles sur une machine peut être limitée, si l'opération de découverte a été exécutée alors que les connexions SSH étaient bloquées. Vous pouvez avoir des indices sur la machine, comme une adresse que vous reconnaissez comme adresse IP statique, qui vous aident à déterminer s'il s'agit d'une machine de confiance. Dans cette situation, vous pouvez utiliser la boîte de dialogue Propriétés de la machine pour changer le paramètre Connexion serveur SSH afin de passer de Bloquer à Valider par rapport au fichier des hôtes connus ou à Ignorer l'authentification serveur. Cela vous permet d'exécuter une analyse de l'état d'alimentation complète, puis d'installer un agent en mode Push sur la machine Linux.
Récapitulatifs de vos options de connexion serveur SSH
- Bloquer : Choisissez cette option si :
- Vous n'avez aucune machine Linux dans votre environnement
- Vous avez des machines Linux, mais vous ne savez pas si tous les serveurs SSH de votre réseau sont sécurisés et de confiance
- Vous ne connaissez pas le type d'OS des machines qui vont être découvertes
- Valider par rapport au fichier des hôtes connus : Choisissez cette option si vous voulez utiliser le fichier known_hosts pour valider chaque machine cible avant d'autoriser la connexion SSH. Le fichier known_hosts réside sur la machine de console et est propre à l'utilisateur actuellement connecté à cette console. Le processus de validation appliqué par Security Controls est le suivant :
- Recherchez le fichier known_hosts sur la machine de console.
- Si le fichier known_hosts existe et contient une entrée pour la machine cible, envoyez une requête à cette machine pour connaître sa clé SSH. Security Controls compare cette clé avec celle qui figure dans le fichier known_hosts. Si les deux clés sont identiques, la connexion est autorisée.
- Ignorer l'authentification serveur : Choisissez cette option uniquement si vous êtes certain que les machines sont des machines Linux de confiance sécurisées.
Vous ne pourrez pas exécuter d'analyse de l'état d'alimentation des machines, ni y installer un agent en mode Push. Le choix de l'option Bloquer n'a aucun effet sur les commandes d'agent d'écoute ni sur les résultats renvoyés à la console.
Pour que vous puissiez utiliser ce processus, un client SSH doit être installé sur la console Security Controls. Vous pouvez avoir besoin de télécharger et installer manuellement un client SSH si votre console fonctionne sous une ancienne version de Windows ou Windows Server.
Ce fichier se trouve sur le chemin C:\Users\<username>\.ssh path. Si le fichier n'existe pas, la connexion SSH est bloquée.
Vous pouvez créer le fichier known_hosts en ouvrant une invite PowerShell sur la console Security Controls et en lançant manuellement une connexion SSH avec la machine cible. Au cours du processus, la clé d'hôte de la machine cible est reconnue, puis ajoutée à un fichier known_hosts nouvellement créé.
La clé que connaît Security Controls est initialement créée à l'aide du nom d'utilisateur et du mot de passe spécifiés pour la machine.
Solutions de contournement si vous choisissez Bloqué
Analyses de l'état d'alimentation
Si la machine Linux fait partie d'un groupe de machines, elle est découverte, mais l'analyse ne détecte aucune information sur son système d'exploitation. Si vous savez que la machine est un périphérique connu de votre réseau et qu'elle est sûre, vous pouvez accéder à la boîte de dialogue Propriétés de la machine afin de changer le paramètre Connexion serveur SSH en Valider par rapport au fichier des hôtes connus ou en Ignorer l'authentification serveur. Les analyses suivantes de la machine se déroulent comme prévu et fournissent des détails complets sur cette machine.
Installation d'un agent Linux
Vous ne pourrez pas installer un agent en mode Push sur une machine Linux si la connexion SSH à cette machine est bloquée. Vous pouvez cependant installer manuellement un agent sur cette machine. Après cela, l'agent fonctionne normalement, car la communication standard avec la console n'utilise pas la connexion SSH.