Manuel De MOVEit DMZ. v7.5

Transcription

1 Manuel De MOVEit DMZ v7.5

2 Matières Matières Introduction... 3 Mise en route Connexion... 8 Informations générales Sécurité Réglementations Confidentialité/sécurité/contrôle ~2~

3 Introduction Introduction MOVEit DMZ Enterprise et un serveur de transfert de fichiers sécurisé. C'est un composant vital de la gamme MOVEit de produits de traitement, stockage et transfert sécurisés de fichiers développés par Ipswitch, Inc.. Ces produits proposent des solutions complètes et intégrées basées sur des normes de traitement des informations sensibles, notamment fichiers financiers, dossiers médicaux, documents juridiques et renseignements personnels. MOVEit DMZ collecte, stocke, gère et distribue des informations sensibles entre votre entreprise et des entreprises externes. Les navigateurs Web et des clients FTP sécurisé à bas coût ou gratuits peuvent échanger rapidement, facilement et en toute sécurité des fichiers avec MOVEit DMZ via des connexions codées utilisant les protocoles HTTP sur SSL (https), FTP sur SSL (ftps) et FTP sur SSH (sftp). Tous les fichiers reçus par MOVEit DMZ sont stockés en lieu sûr par cryptage AES validé FIPS 140-2, la norme de cryptage des gouvernements des États-Unis et du Canada. En outre, une interface Web facilite l'administration et la surveillance en ligne des activités MOVEit DMZ et une interface programmable (via MOVEit API Windows et MOVEit API Java) rend MOVEit DMZ accessible aux applications personnalisées. MOVEit DMZ inclut un plug-in en option - MOVEit Wizard - qui fonctionne avec Internet Explorer, Firefox et Mozilla pour aider les utilisateurs basés sur le Web à télécharger et télédécharger rapidement des fichiers volumineux et/ou multiples et des arborescences de dossiers à destination et à partir de MOVEit DMZ. Les capacités de cryptage à travers le produit MOVEit sont fournies par MOVEit Crypto. Le cryptage AES dans MOVEit Crypto h été validé FIPS 197. L'ensemble du module cryptographique a été validé FIPS après examen rigoureux par de spécialistes cryptographiques du National Institute of Standards and Technology (NIST - États-Unis) et du Communications Security Establishment (CSE - Canada). MOVEit DMZ dispose également d'un certificat de validité sur Internet (Certificate of Networthiness) délivré par l'armée américaine. Ce certificat implique la vérification de la conformité de MOVEit DMZ aux exigences de l'armée en matière de sécurité du réseau, d'intégration, d'interopérabitilité ainsi qu'une gestion et un support facilités. Configuration minimum recommandée Le logiciel MOVEit DMZ réside sur une plate-forme Microsoft Windows Server renforcée contre les menaces Internet et les réseaux de confiance. Les entreprises devant prendre en charge des transferts de fichiers très volumineux et/ou de nombreux utilisateurs pourront exiger du matériel supplémentaire, mais pour de nombreuses entreprises, la configuration minimum recommandée pour un MOVEit DMZ ~3~

4 Introduction devrait suffire: Processeur 2 GHz compatible Pentium Disque dur 80 GB SATA ou SAS 1 GO RAM interface ethernet 100/1000 Mo capable d'utiliser TCP/IP Les dernières recommandations de production se trouvent dans notre base de données en ligne. Spécifications réseau Dans une topologie de réseau typique, il est préférable de placer MOVEit DMZ sur un segment DMZ sécurisé accessible aux utilisateurs internes et externes. DMZ est l'abréviation de l'anglais DeMilitarized Zone (zone démilitarisée) - une sorte de «no man's land» sur le réseau où les hôtes internes et Internet ont le droit de se connecter. Par défaut, les connexions partant d'un segment de réseau DMZ ne sont pas sûres et ne sont généralement pas autorisées sauf cas de force majeure pour permettre le passage d'un service particulier. Des clients Web et FTP sécurisés peuvent télédécharger et télécharger des fichiers à partir et à destination de MOVEit DMZ à partir de réseaux internes et externes. Pour des raisons de sécurité, MOVEit DMZ n'a PAS le droit d'établir une connection ni de pousser des fichiers vers des systèmes de votre réseau interne ou un réseau externe. (Si une solution «proxy push» ou «proxy store-and-forward» est recherchée, MOVEit Central pourra être utilisée avec MOVEit DMZ pour remplir ce rôle.) Avantages de MOVEit DMZ sur des solutions FTP sûres en matière de sécurité Il existe trois zones où les fichiers sont à risque lors d'un transfert entre un réseau externe (comme Internet) et votre réseau interne : ~4~

5 Introduction lors d'un transfert sur Internet vers un système votre DMZ ; lors d'un stockage temporaire sur un système situé dans votre DMZ ; lors d'un transfert du système situé dans votre DMZ vers un système de votre réseau interne. Les produits de transfert de fichiers Web et FTP les plus sûrs résident sur un système situé dans une DMZ et utilisent la norme industrielle SSL ou SSH pour fournir un transfert sûr entre l'internet et la DMZ. (C'est également le cas de MOVEit DMZ.) Malheureusement, la plupart des produits ne vont pas plus loin ; ils ne sont pas capables de sécuriser les fichiers stockés dans la DMZ (fichiers à risque si la DMZ fait les frais d'un hacker) ni de sécuriser les fichiers transférés entre la DMZ et MY ORG (fichiers à risque si un hacker installe un renifleur à l'intérieur de la DMZ). MOVEit DMZ sécurise les trois zones par le biais de transferts codés SSL/SSH pour TOUS les transferts et par cryptage AES validé FIPS pour sécuriser des fichiers sur disque. En outre, MOVEit DMZ est le seul produit à assurer l'intégrité complète des fichiers d'un bout à l'autre sur FTP. En d'autres termes, les fichiers transférés au moyen de clients FTP ou Web sécurisés qui prennent en charge les contrôles d'intégrité des fichiers à travers le système MOVEit peuvent démontrer qu'ils sont 100 % identiques aux fichiers sources via l'utilisation de hachurages cryptographiques SHA-1. (Lorsqu'elle est combinée avec l'authentification, l'intégrité complète des fichiers assure la non-répudiation.) Accès à MOVEit DMZ L'accès client à MOVEit DMZ est disponible via plusieurs interfaces, notamment HTTPS, FTP sur SSL et FTP sur SSH. L'interface web incorporée fournit l'accès à tous avec un navigateur internet (voir la liste complète des navigateurs supportés). Les administrateurs autorisés pourront configurer le serveur MOVEit DMZ à partir d'emplacements autorisés tandis que clients et partenaires utilisent un portail plus simple pour transférer les fichiers au système MOVEit DMZ ou à partir de celui-ci. Également disponible via l'interface Web, l'assistant Télédéchargement/téléchargement MOVEit en option permet des transferts de fichiers plus rapides et plus fiables à l'aide du Web que normalement disponible via HTTP standard. L'assistant MOVEit est par ailleurs le seul client basé sur navigateur à prendre en charge le contrôle d'intégrité des fichiers. Une interface FTP sécurisée est également disponible sur le serveur MOVEit DMZ pour les personnes ou programmes dotés de clients FTP sécurisés. La gamme MOVEit offre deux logiciels gratuits de lignes de commande pouvant être transcrites dans un script: MOVEit Freely (FTP) et MOVEit Xfer (HTTPS). Les deux prennent en charge le contrôle d'intégrité du fichier. Ipswitch offre également WS_FTP Professional, un logiciel de transfert de fichier sous Windows avec un jeu de réglages robustes, qui prends également en charge le contrôle d'intégrité du fichier. Plusieurs sociétés tierce commercialisent des client FTP sécurisés pour les ordinateurs de bureau et les serveurs qui ont aussi une interface avec le FTP sécurisé de MOVEit DMZ sur du SSL et du FTP sur des serveurs SSH. Pour les services informatiques désirant plus de contrôle sur l'environnement MOVEit DMZ que le protocole FTP peut permettre, les produits MOVEit DMZ API apportent un accès et un contrôle facile de MOVEit DMZ via un objet COM (pour Windows) ou les classes Java (pour *nix, Windows, IBM, etc.). MOVEit DMZ API prends également en charge les transferts de fichiers avec un contrôle complet d'intégrité et possèdent plusieurs utilitaires de lignes de commande pour les administrateurs qui préfèrent rédiger des scripts au lieu de programmer. ~5~

6 Introduction Si l'automatisation bureau-serveur ou l'accès à MOVEit DMZ comme dossier local est souhaitée, considérez l'utilisation de MOVEit EZ. MOVEit EZ est une application à icône de barre des tâches système qui synchronise le contenu entre le bureau d'un utilisateur et MOVEit DMZ et qui programme les transferts Couplé avec MOVEit Central et la license appropriée, MOVEit DMZ prends en charge les transferts de fichiers AS2 et AS3. (MOVEit DMZ peut être utilisé comme serveur AS3 autonome, mais sans MOVEit Central, il est dans l'incapacité de coder ou de décoder des messages spécifiques.) Pour plus d'informations sur ces clients et les douzaines de clients tiers qui peuvent être également utilisés pour l'échange de fichiers en toute sécurité avec MOVEit DMZ, reportez-vous au document «Assistance client». Tranfert Ad Hoc Le module Ad Hoc Transfer, qui exige une licence séparée, offre un mode de transfert de fichiers sécurisé de personne à personne. Les fichiers volumineux et les pièces jointes multiples peuvent être envoyés rapidement et en toute sécurité, ce qui évite les limitations d'un serveur de courriels. Les utilisateurs MOVEit DMZ inscrits peuvent utiliser un navigateur Web ou un plug-in Outlook pour envoyer des fichiers et/ou un message (appelé «paquet») à une adresse électronique. La composition d'un paquet MOVEit qui inclut des fichiers revient à composer un courriel avec des pièces jointes. Il existe toutefois des différences. Les fichiers en pièces jointes envoyés dans le cadre d'un paquet sont télédéchargés vers un serveur MOVEit DMZ. Un courriel de notification de nouveau paquet sera envoyé aux destinataires pour les informer qu'un paquet les attend. Les destinataires peuvent cliquer sur le lien dans cette notification, se connecter à MOVEit DMZ et afficher le paquet, à partir duquel ils peuvent télécharger les fichiers. Si cette fonction est activée, un destinataire peut aussi répondre à un paquet et envoyer des pièces jointes supplémentaires, qui seront également télédéchargées vers le serveur de transfert de fichiers. L'administrateur de l'entreprise peut régler les options déterminant qui peut envoyer ou recevoir des paquets. Une option permet aux utilisateurs non enregistrés d'être destinataires at une autre option permer aux utilisateurs non enregistrés de s'auto-enregistrer et d'envoyer des paquets. Ces options comprennet des quotas de niveau d'utilisateur ainsi que de niveau, de date d'expiration de paquet et de limites de téléchargement. MOVEit Central Si plus de dix transferts de fichiers sont planifiés, des mouvements immédiats de fichiers de/vers des serveurs à partir de MOVEit DMZ, ou une connectivité vers d'autres serveurs est désirée, MOVEit Central est le meilleur outil pour celà. MOVEit Central peut prendre en charge des milliers de tâches de transfert de fichiers et est utilisé dans la production pour transférer en toute sécurité des centaines de milliers de fichiers par jour dans les centres majeurs de données. MOVEit Central sait instantanément quand un fichier est arrivé dans MOVEit DMZ ou un système de fichiers Windows et peut immédiatement commencer le transfert de ce fichier à sa destination finale. MOVEit Central prend en charge les protocoles sécurisés les plus populaires utilisés dans toutes les industries, notamment FTP, SSH, FTP sur SSL, SMIME, PGP, courriel et AS1/AS2/AS3. En bref, lorsqu'il est associé à MOVEit DMZ, MOVEit Central crée un système de transfert sécurisé qui peut recevoir, enregistrer et envoyer en toute sécurité des fichiers à destination ou à partir de quasiment ~6~

7 Introduction tout point prenant en charge un protocole de transfert sécurisé. ~7~

8 Mise en route - Connexion Mise en route - Connexion La page Connexion est la première que vous verrez à partir du site MOVEit DMZ. Cette page contient les champs Nom d'utilisateur et Mot de passe et un bouton de connexion pour envoyer ces informations à MOVEit DMZ. Un clic sur les icônes de clavier à côté des champs de nom d'utilisateur et de mot de passe ouvre un clavier virtuel utilisable pour entrer vos informations d'authentification. L'utilisation du clavier virtuel peut aider à contrecarrer les keyloggers. Si vous vous connectez au site MOVEit DMZ à partir d'un ordinateur public, nous vous recommandons vivement d'utiliser le clavier virtuel pour entrer votre nom d'utilisateur et votre mot de passe. Si votre entreprise prend en charge plusieurs langues, MOVEit DMZ fournira des liens pour changer la langue d'affichage. Un clic sur l'un de ces liens engendrera l'affichage de la page Connexion dans cette langue et définira un cookie pour que votre choix de langue soit utilisé lors de votre connexion suivante. ~8~

9 Mise en route - Connexion Si vous cliquez sur le bouton Connexion, votre nom d'utilisateur et votre mot de passe sont transmis de manière sécurisée (via HTTPS) jusqu'à MOVEit DMZ. Si votre connexion échoue, un message d'erreur s'affichera. Si vous essayez de vous connecter trop de fois dans un court délai, vous risquez d'être verrouillé du système. Pour une assistance, utilisez le lien Assistance technique de la page Connexion pour contacter quelqu'un qui vous aidera. La page qui s'affiche juste après votre connexion dépend de la manière dont vous avez accédé à la page Connexion. Si vous avez cliqué sur un lien sur votre navigateur Web ou tapé une courte URL dans votre navigateur, vous avez de grandes chances de voir s'afficher la page d'accueil. Si vous avez cliqué sur un lien dans un courriel de notification, vous avez maintenant un paquet ou un fichier sous les yeux. Motifs courants de refus d'accès Pour des motifs de sécurité, le MÊME message s'affiche pour quiconque ne parvient pas à se connecter pour l'une des raisons suivantes. (On vous indiquera uniquement qu'il y a eu refus d'accès, mais pas POURQUOI!) Le nom d'utilisateur est incorrect Le mot de passe est incorrect Le compte a été suspendu (à cause de trop d'essais de mauvaises connexions, vieillissement de mot de passe, ou action manuelle de l'administrateur) Compte n'est pas autorisé à se connecter à cette adresse IP. L'adresse IP a été bloquée (pour cause de plusieurs mauvaises tentatives de connexion, la pupart du temps avec des noms d'utilisateurs différents) Aucun certificat client n'a été fourni alors qu'un tel certificat est obligatoire ou un certificat client incorrect a été fourni. Demande de changement de mot de passe ~9~

10 Mise en route - Connexion Certaines entreprises pourront vous autoriser à demander un changement de mot de passe automatique si vous avez oublié votre mot de passe, ce afin d'éviter un échange avec le personnel d'assistance technique. Si cette option est activée, le lien Demandez un changement de mot de passe sera présent en bas de la page de connexion. Un clic sur ce lien ouvrira la page Demande de changement de mot de passe. Cette page vous invitera à fournir votre nom d'utilisateur et vous fournira les instructions de changement de mot de passe. Une fois que vous aurez entré votre nom d'utilisateur et cliqué sur le bouton «Demandez un changement de mot de passe», un courriel sera envoyé à votre adresse électronique enregistrée, si votre compte en a une, avec les instructions de changement de mot de passe ou un avis de refus de changement de mot de passe. Demande de changement de mot de passe Cette page s'affiche lorsque vous cliquez sur le lien «Demander un changement de mot de passe» en bas de la page de connexion. Entrez votre nom d'utilisateur dans le champ puis cliquez sur le bouton «Demande de changement de mot de passe». Un courriel contenant des informations sur la procédure de modification du mot de passe vous sera envoyé par courriel à l'adresse enregistrée. Ce message pourra vous demander de cliquer sur un lien pour redéfinir votre mot de passe. Vous aurez un délai limité pour effectuer le changement avant que le ~10~

11 Mise en route - Connexion lien n'expire. Si aucun lien n'est fourni dans le message ou si vous ne recevez pas de message dans les 15 minutes, vous devrez contacter votre administrateur pour redéfinir votre mot de passe. Enregistrement et envoi de fichiers Certaines entreprises peuvent vous permettre de vous auto-enregistrer afin d'envoyer un paquet. Les utilisateurs auto-enregistrés sont traités selon la configuration de l'entreprise qu'ils soient utilisateurs invités une seule fois ou utilisateurs temporaires à durée limitée. Si cette option est activée, le lien «Demandez un changement de mot de passe» sera présent en bas de la page de connexion. Cliquer sur ce lien ouvrira la page Enregistrement et Envoi de fichiers. Cette page a des champs pour entrer l'adresse de courriel de votre destinataire ainsi que la votre. Selon la configuration décidée par l'entreprise, la page peut également avoir un Captcha pour vérifier que vous êtes une personne physique et non un processus automatisé. ~11~

12 Mise en route - Connexion Une fois que vous avez entré les informations demandées et cliqué sur le bouton Enregistrer et Envoi de fichiers, vous serez soit immédiatement connecté soit vous recevrez une page vous expliquant qu'un courriel a été envoyé à votre adresse électronique avec des informations et des instructions pour complèter votre enregistrement Certificats client Votre entreprise pourra exiger que vous vous authentifiiez auprès de MOVEit DMZ à l'aide d'un certificat client SSL (X.509) («cert. client»). Ceci est courant quand une «authentification à deux facteurs» est requise. Tous les certificats client sont soit «auto-signés», soit «CA signés». «CA» indique qu'une «autorité de certification» a signé le certificat client et garantit l'identité du détenteur. En outre, les CA sont divisés en deux catégories : les «CA commerciaux», qui vendent des services d'émission et de signature de certificats client au grand public (par ex., Thawte, GeoTrust, etc.) et les «CA d'entreprise», qui exécutent les mêmes fonctions de certification client pour leurs propres utilisateurs. ~12~

13 Mise en route - Connexion MOVEit DMZ prend en charge les certificats auto-signés, les certificats CA-signés commerciaux et les certificats CA-signés d'entreprise, mais seule votre entreprise peut vous indiquer quels certificats client elle acceptera pour authentification. Votre certificat client pourra vous être livré sous la forme d'un fichier *.pfx avec un mot de passe ou il pourra vous incomber de demander un certificat client auprès d'une CA; là encore, votre entreprise connaît les détails de ce processus. Divers navigateurs ont différentes manières d'installer des certificats client. Internet Explorer (IE) utilise le Windows Certificate Store ; vous pouvez installer et gérer les certificats client via la boîte de dialogue «Certificat» d'ie (sous l'onglet «Contenu» du menu Outils d'ie7). Windows lancera également un assistant Importation de certificats client qui installera automatiquement la plupart des certificats client dans IE si vous double-cliquez simplement sur le fichier de certificat client *.pfx. La gamme Mozilla/Firefox de navigateurs utilise son propre stockage de certificats client. Pour installer des certificats client dans ces navigateurs, vous devez utiliser leur gestionnaire de certificats. Dans Mozilla (1.7), cette fonction se trouve dans l'arborescence d'options Confidentialité et sécurité. Dans Firefox (2.0), cette fonction se trouve sous l'onglet Cryptage (bouton Afficher les certificats). Divers navigateurs ont par ailleurs différentes manières de sélectionner des certificats client pour authentification. Le plus couramment, le navigateur vous demande simplement (dans une boîte de dialogue) quel certificat client utiliser. Lorsque vous vous connectez à un serveur MOVEit DMZ, vous pourrez être invité via votre navigateur à sélectionner un certificat client après avoir fourni vos nom d'utilisateur et mot de passe ou avant l'affichage de l'écran de connexion. Toutefois, la plupart des navigateurs ont aussi des options de présentation automatique d'un certificat client si vous n'en avez qu'un seul installé ou de non-demande de sélection d'un certificat client si vous n'en avez présenté aucun. Dans ces cas, vous pourrez être en train d'utiliser une authentification de certificat client en coulisses (dans le cas «un certificat, donc ne pas demander») ou pas du tout (dans le cas «aucun certificat installé, donc ne pas demander»). Enfin, la clé privé de votre certificat client pourra être protégée par un mot de passe. Si c'est le cas, il est possible que vous deviez taper le mot de passe que vous avez créé lorsque vous avez choisi de protéger ce certificat client ou le stockage de clés également. (Généralement, une telle invite a lieu une fois par session.) ~13~

14 Informations générales - Sécurité Informations générales - Sécurité Les fonctions suivantes de sécurité sont des fonctions du logiciel MOVEit DMZ et viennent s'ajouter au durcissement du système d'exploitation et des services d'application associés. Cryptage de transport Durant le transport, MOVEit DMZ utilise SSL ou SSH pour crypter des communications. La puissance minimum de cryptage utilisée durant le transport sur Web (à savoir 128 bits) est configurable dans l'interface MOVEit DMZ. Cette valeur doit être définie par l'entreprise. Pour définir cette valeur pour une entreprise particulière, connectez-vous comme Administrateur système, affichez l'entreprise pour laquelle cette valeur doit être définie, puis cliquez sur le lien Demande de changement. REMARQUE : Si vous définissez la valeur minimum de cryptage de l'entreprise Système (0), vous pourrez appliquer votre paramètre à TOUTES les entreprises du système. Cryptage des données stockées MOVEit DMZ stocke tous les fichiers sur disque selon l'aes 256 bits FIPS validé ( la nouvelle norme fédérale américaine de cryptage. MOVEit Crypto, le module de cryptage dont dépend MOVEit DMZ, est seulement le dixième produit à avoir été validé et certifié par les gouvernements des États-Unis et du Canada pour son adaptation cryptographique en vertu des directives strictes FIPS MOVEit DMZ écrase par ailleurs les fichiers juste supprimés par des octets aléatoires pour empêcher que même les fichiers cryptés ne séjournent sur un disque physique alors que les utilisateurs pensaient les avoir détruits. Précautions durant le transport/l'échange pour stockage Si des fichiers reçus par MOVEit DMZ ont simplement été copiés dans un grand tampon de texte en clair, des chevaux de Troie risquent de «renifler» les fichiers sensibles et de les subtiliser. À la place, MOVEitDMZ met en spoule les morceaux de fichiers reçus dans des tampons plus petits, les code et les enregistre sur disque quasi immédiatement. Le spooling des fichiers réduit l'exposition globale de deux manières : 1) réduit la quantité d'informations exposée et 2) réduit la durée d'exposition des informations. (Cette technique se traduit également par des gains de performance importants.) (Une question fréquemment posée par rapport à ce problème est «pourquoi ne pas uniquement enregistrer le fichier en utilisant SSL ou SSH» - une réponse brève à cette question est: SSL ou SSH utilise des clés temporaires qui sont renégociées à chaque fois qu'un client établit une nouvelle connexion et des clés «plus permanentes» s'imposent pour le stockage.) Contrôle d'intégrité Lorsque certains clients de transfert de fichiers sont utilisés avec un serveur MOVEit DMZ, l'intégrité des fichiers transférés est confirmée. Tous les clients MOVEit secure FTP, API et Web (y compris l'assistant Télédéchargement/téléchargement) prennent en charge le contrôle d'intégrité. D'autres clients FTP ~14~

15 Informations générales - Sécurité pourront également tirer parti des contrôles d'intégrité. Pour effectuer un contrôle d'intégrité, le client et le serveur obtiennent tous deux un hachurage cryptographique du fichier transféré comme dernière étape du transfert. Si les valeurs concordent, les deux côtés «savent» que le fichier transféré est complètement identique à l'original. Les résultats d'un contrôle d'intégrité sont non seulement visibles de l'utilisateur du client de transfert de fichiers, mais également stockés pour un accès rapide sur le serveur MOVEit DMZ. Transfert immédiat à partir du serveur Lorsqu'il est utilisé avec MOVEit Central, MOVEit DMZ prend en charge les transferts en fonction des événements pour commencer le spooling des fichiers vers des serveurs internes dès qu'ils arrivent sur un serveur MOVEit DMZ face à Internet. Ceci empêche que même les fichiers codés séjournent sur le serveur plus longtemps que nécessaire. Reprise de transfert MOVEit DMZ prend en charge la reprise de transfert de fichiers sur ses interfaces HTTPS et FTPS. Outre son utilité durant des transferts de fichiers multi-giga-octets, cette fonction est également une fonction de sécurité dans la mesure où elle rend les transferts de fichiers volumineux moins sensibles aux attaques du type déni de service. Quotas de dossier Des quotas de taille de dossier applicables peuvent être définis sur divers dossiers pour empêcher l'épuisement du stockage système. Quotas d'utilisateur Des quotas de taille d'utilisateur applicables peuvent être définis sur divers utilisateurs pour empêcher l'épuisement du stockage système. Délégation d'autorité Des utilisateurs individuels membres d'un groupe peuvent être désignés «administrateur de groupe». Ces utilisateurs peuvent ensuite administrer les utilisateurs, les droits sur les dossiers et les carnets d'adresses de leur groupe, sous réserve de divers paramètres définis par les administrateurs de l'entreprise. Alertes administratives Des notifications par courriel sont envoyées aux administrateurs lorsque des utilisateurs sont verrouillés, lorsque un contrôle d'homogénéité interne révèle quelque chose d'étrange dans la base de données, etc. Flux unidirectionnel MOVEit DMZ peut être configuré pour ne jamais autoriser les utilisateurs à télécharger ce qu'ils viennent de télédécharger dans le système. Cette configuration ne peut à elle seule empêcher les utilisateurs ~15~

16 Informations générales - Sécurité d'utiliser MOVEit DMZ de manière incorrecte comme réserve d'informations personnelles ou d'accès limité. (Une autre manière courante de traiter ce scénario consiste à utiliser des restrictions IP.) Vieillissement des mots de passe Les utilisateurs peuvent être obligés de modifier périodiquement leur mot de passe en raison de la fonction de vieillissement du mot de passe de MOVEit DMZ. Les utilisateurs peuvent être également avertis (par courriel) plusieurs jours en avance de l'expiration de leur mot de passe et seront à nouveau avertis quand celui-ci expire. Historique des mots de passe MOVEit DMZ peut être configuré pour mémoriser un certain nombre de mots de passe et empêcher les utilisateurs de les réutiliser. Exigences de puissance des mots de passe Plusieurs exigences de complexité des mots de passe peuvent être définies sur MOVEit DMZ, notamment des exigences en matière de nombres/lettres, mots tirés du dictionnaire et longueur. Verrouillage de compte Si quelqu'un essaie de se connecter à un compte valide en utilisant trop de fois un mot de passe incorrect, son compte pourra être verrouillé et les administrateurs seront prévenus par courriel. Verrouillage IP Un souci bien réel des adminstrateurs de toute ressource authentifiée qui prend en charge le verrouillage des comptes est que quelqu'un se procure la liste des noms d'utilisateur valides et les verrouillent tous. Pour atténuer ce risque, MOVEit DMZ propose une fonction qui empêche une machine associée à une adresse IP spécifique de formuler des demandes supplémentaires si MOVEit DMZ constate trop de tentatives infructueuses de connexion. Les administrateurs seront également prévenus par courriel quand ceci se produit. Accès restreint aux adresses IP et noms d'hôte Des utilisateurs ou des classes spécifiques d'utilisateurs peuvent être limités à certains intervalles d'adresses IP et/ou de noms d'hôte. Journaux d'audit détaillés inviolables MOVEit DMZ consigne non seulement les événements de connexion et de déconnexion, mais aussi les modifications d'autorisation, l'ajout de nouveaux utilisateurs et autres actions qui influent directement sur la sécurité du système. Des vues en temps réel de ce journal d'audit, de même que des outils d'interrogation détaillés, sont disponibles sur les pages Journaux et Rapport. Toutes les entrées de journal sont liées ensemble de manière cryptographique pour rendre évidente toute altération (ajout, suppression, modification) des journaux d'audit. ~16~

17 Informations générales - Sécurité Authentification à distance Les clients RADIUS et LDAP de MOVEit DMZ prennent en charge tous les standards des serveurs RADIUS et LDAP, y compris le serveur d'authentification à Internet de Microsoft, BorderManager de Novell, Microsoft Active Directory, Novell edirectory, Sun iplanet et IBM Tivoli Access Manager (SecureWay). Dissimulation d'identité de produit et de version MOVEit DMZ ne révèle pas son nom de produit à des utilisateurs non autorisés via les interfaces SSH et FTP et il peut être configuré pour ne pas révéler cette information non plus aux utilisateurs du Web. Les numéros de version sont également cachés aux utilisateurs autorisés. La dissimulation de ces informations empêche les hackers de deviner ce qu'ils attaquent sans effectuer des recherches poussées. Certificats et clés de client Toutes les interfaces principales de MOVEit DMZ (SFTP, FTPS, HTTPS) prennent en charge l'utilisation de certificats de client SSL (X.509) et de clés de client SSH. Les certificats client SSL et les clés de client SSH sont généralement installés sur des machines individuelles, mais les certificats de client SSL sont également disponibles sous forme de jetons matériels. Authentification à facteurs multiples Utilisée avec un nom d'utilisateur, des adresses IP, des mots de passe et des clés/certifications client, offre une authentification à un, deux ou trois facteurs. Authentification externe Les entreprises soucieuses quand au stockage de combinaisons nom d'utilisateur-dièse sur la base de données protégée de MOVEit DMZ peuvent utiliser la caractéristique Authentification Externe et déplacer tous les noms et mots de passe des utilisateurs vers les serveurs RADIUS ou LDAP. (L'accès aux noms d'utilisateur administratifs peut être verrouillé et limité à certaines adresses IP internes seulement.) Options de stockage «Pas dans DMZ» Il existe un moyen de stocker les fichiers cryptés MOVEit DMZ dans un endroit hors DMZ. Celui-ci consiste à déployer MOVEit DMZ sur une partie d'un réseau de zone de stockage (SAN) existant. Protection anti-keyloggers via clavier virtuel dans le navigateur Web Pour éviter qu'un logiciel et un matériel de keylogging ne capture les touches utilisées pour une connexion à un MOVEit DMZ dans un navigateur Web, un clavier virtuel est proposé comme autre méthode d'entrée des données. Le même clavier protège également d'autres champs par mot de passe utilisés à travers l'application pour protéger d'autres utilisateurs également. Protection contre les scripts Cross-Frame ~17~

18 Informations générales - Sécurité Pour éviter les attaques de script cross-frame contre le MOVEit DMZ, l'interface web se prémunira elle même d'être chargée dans une trame ou une fenêtre iframe. Cette protection peut être annulée en utilisant l'indicateur "contenuseulement", si l'objectif consiste à intégrer MOVEit DMZ avec une application de portail existantes à l'aide de trames. ~18~

19 Informations générales - Réglementations - Confidentialité/sécurité/contrôle Informations générales - Réglementations - Confidentialité/sécurité/contrôle Ce guide apportera des réponses à certaines questions concernant la conformité attendue de MOVEit DMZ aux réglementations HIPAA, FDIC, OCC, G-L-B Act, California SB 1386, Canadian PIPEDA, Payment Card Industry («PCI»), Sarbanes-Oxley («SARBOX») et autres réglementations. Renseignez-vous auprès de Ipswitch pour obtenir les dernières informations sur la manière dont MOVEit aide ses clients soucieux de la sécurité à satisfaire leurs normes de sécurité et de confidentialité en matière de transfert et de stockage, de même que les exigences réglementaires, industrielles et contractuelles pertinentes. Données au repos - MOVEit DMZ satisfait cette exigence en cryptant tous les fichiers stockés sur disque par cryptage AES 256 bits validé FIPS MOVEit Crypto (le module de cryptage qui pilote MOVEit DMZ) est seulement le dixième produit à avoir été validé et certifié par les gouvernements des États-Unis et du Canada pour son adaptation cryptographique en vertu des directives strictes FIPS Données in Motion - MOVEit DMZ satisfait cette exigence en utilisant des canaux cryptés (SSL ou SSH) lors de l'envoi ou de la réception des données. Journal d'audit inviolable - MOVEit DMZ conserve un journal d'audit de sécurité non seulement de chaque transfert de fichier, mais aussi de chaque tâche administrative. Toutes les entrées de journal sont liées ensemble de manière cryptographique pour rendre évidente toute altération (ajout, suppression, modification des entrées). Les contrôles d'altération programmés sont automatiquement exécutés et peuvent également être exécutés manuellement en cas de besoin. Contrôle d'intégrité - Les clients de transfert de fichiers de MOVEit DMZ et MOVEit, notamment l'assistant Télédéchargement/téléchargement, EZ, Xfer, Freely, Central, API Windows et API Java, utilisent des hachurages cryptographiques pour vérifier l'intégrité des fichiers tout au long de la chaîne de transfert. Non-répudiation - L'authentification et le contrôle d'intégrité demoveit permettent de prouver que certaines personnes ont transmis et/ou reçu des fichiers spécifiques. Livraison garantie - Lorsque la non-répudiation MOVEit est conjuguée aux fonctions de redémarrage et reprise de transfert MOVEit, elle satisfati les exigences d'un concept de conglomérat appelé «livraison garantie». Destruction de données obsolètes - MOVEit DMZ écrase tous les fichiers supprimés par des données aléatoires de qualité cryptographique pour empêcher tout accès futur. Plus particulièrement, MOVEit DMZ satisfait aux exigences de NIST SP (effacement des données). Accès réservé aux besoins qui ont besoin de savoir - Les autorisations d'utilisateurs/groupes MOVEit DMZ donnent spécifiquement accès aux matériels auxquels les utilisateurs doivent avoir accès. Bonne protection par mot de passe - MOVEit DMZ exige des mots de passe inviolables, empêche les utilisateurs de réutiliser des mots de passe et les oblige périodiquement à modifier leur mot de passe. Cryptage de qualité - MOVEit DMZ utilise SSL pour communiquer à travers les réseaux. Ce protocole «négocié» peut être appliqué pour une connexion 128 bits, le maximum actuellement disponible. MOVEit DMZ utilise l'aes 256 bits FIPS validé de MOVEit Crypto pour le stockage des données sur disque. (Cet algorithme a été sélectionné par NIST pour remplacer DES et il est plus rapide et plus sûr que Triple-DES.) Déni de protection de service - MOVEit DMZ est résistant aux attaques DOS causées par un ~19~

20 Informations générales - Réglementations - Confidentialité/sécurité/contrôle épuisement des ressources par le biais de contrôles d'authentifiants ou d'autres ressources à la disposition d'utilisateurs anonymes. (Les adresses IP «malveillantes» seront verrouillées.) Durcissement - L'installation de MOVEit DMZ implique une procédure de durcissement en plusieurs étapes (et ENTIÈREMENT documentée) qui couvre le système d'exploitation, l'environnement de service Web, les autorisations et des applications étrangères. Pare-feu - MOVEit DMZ est fourni avec un guide détaillé de configuration de pare-feu pour minimiser la confusion de la part des administrateurs de pare-feu. MOVEit DMZ prend également en charge l'utilisation d'un pare-feu du pauvre IPSec natif (filtrage de paquets) comme seconde ligne de défense. Entiercement de code - Le code source complet et les instructions de création des versions majeures (3.2, par exemple) de MOVEit DMZ sont entiercées. Tests d'examen et de régression du codes - L'ensemble du code de MOVEit DMZ est soumis à un examen de code et un contrôle des modifications a lieu avec l'aide de l'application SourceSafe de Microsoft. Les tests de régression sont effectués sur chaque version en conjonction avec une batterie de tests toujours plus poussés qui se chiffrent désormais à plusieurs milliers. Authentification à facteurs multiples - Utilisée avec un nom d'utilisateur, des adresses IP, des mots de passe et des clés/certifications client, offre une authentification à un, deux ou trois facteurs. ~20~