Les serveurs de temps ne sont pas des équipements ou des serveurs de multi-applications classiques. Au contraire, les serveurs de temps ont une fonction unique et très spécifique : délivrer une heure fiable et précise.
Ci-dessous, les étapes recommandées pour mieux sécuriser un serveur de temps Netsilon sur un réseau privé, installé derrière un pare-feu.
Changer le mot de passe par défaut
Les serveurs de temps Netsilon sont configurés avec un mot de passe sortie d’usine. Ce mot de passe doit être modifié dès l’installation. En général, aucune autre personne que l'administrateur réseau n’a besoin de se connecter au serveur de temps.
Désactiver les protocoles inutiles
Ci-dessous, la liste des protocoles prêts à installer, configurés par défaut en sortie d’usine sur chaque serveur temps Netsilon :
- HTTP
- HTTPS
- SNMP
- SSH
- TELNET
- NTP
- PTP (vendu en option)
- TIME
- DAYTIME
Il est recommandé de désactiver tous les autres protocoles inutiles. Pour toutes informations complémentaires, se référer au guide d’utilisateur Netsilon : https://www.bodet-time.com/fr/support/base-documentaire/serveur-temps.html
Crypter les sessions
La connexion au système doit toujours se faire par SSH (Secure Shell). Par conséquent, Telnet doit être désactivé.
Utiliser l'authentification
Tous les clients NTP doivent utiliser l’authentification MD5 et désactiver l’accès NTP pour tout hôte n’utilisant pas l’authentification. Par défaut, les serveurs de temps Netsilon sont configurés pour répondre aux requêtes des clients NTP pouvant utiliser ou non l’authentification MD5. Il est recommandé de modifier les clés MD5 par défaut, paramétrées en usine, puis de configurer vos clients afin d’utiliser ensuite les mêmes clés d’authentification MD5.
Limiter l'accès
De nombreux clients NTP auront accès au serveur de temps via l'un des protocoles de synchronisation, comme par exemple, le protocole NTP. C’est pourquoi, seul l'administrateur réseau doit avoir un accès direct au serveur de temps, qui doit être limité à un ou deux clients. Pour des raisons sensibles de sécurité, il est recommandé de supprimer tous les protocoles inutiles (à l’exception du protocole NTP et de tout autre protocole de synchronisation utilisé) et d’utiliser le port local RS-232 pour configurer et surveiller le serveur de temps Netsilon.
Verrouiller l'accès au clavier
Il est recommandé de verrouiller la configuration depuis l’interface. Cela bloque tout accès non autorisé au serveur de temps Netsilon.
Firmware et logiciel
Pour garantir le meilleur fonctionnement possible, il est recommandé de mettre régulièrement à jour le serveur de temps Netsilon avec la dernière version du firmware disponible.
Pour cela, Bodet publie régulièrement de nouvelles versions de firmware qui permettent de remédier aux différentes vulnérabilités, de corriger les bugs connus et d’améliorer le produit.
De même, il faut veiller à ce que les clients NTP soient toujours à jour. Il est donc nécessaire de paramétrer tous les clients afin d’utiliser l’authentification MD5 comme décrit précédemment.
Sauvegarder les journaux d’évènements
La journalisation est essentielle pour le dépannage. Elle joue un rôle déterminant lors des investigations pour identifier les intrusions sur un équipement. Grâce à la supervision Syslog, les serveurs de temps Netsilon sont en mesure de remonter les journaux d’évènements survenus vers un serveur dédié. L’utilisation de la supervision Syslog est fortement recommandée. Un des avantages est d’enregistrer l’évènement et l’adresse IP d’une personne qui tenterait de s’introduire dans l’équipement.
