Stratégies de sécurité - Accès distant

Comprendre les règles d'accès par défaut aux machines et au réseau

La stratégie d'accès distant définit la liste des adresses IP et/ou les noms d'hôte à partir desquels les utilisateurs et les administrateurs ont accès à l'organisation.

Règles pour l'utilisateur administrateur système

L'accès des administrateurs système est configuré dans la section Remote Access (Accès distant) des System Settings (Paramètres système).

Utilisateurs ad hoc ou invités

Pour la configuration des utilisateurs non enregistrés ou invités, reportez-vous à la section Web Interface - Settings - Ad Hoc Transfer - Access - Unregistered Senders > Unregistered Sender Remote Access Rules (Interface Web - Paramètres - Ad Hoc Transfer - Accès - Expéditeurs non inscrits > Règles d'accès distant de l'expéditeur non inscrit)

Ces paramètres peuvent également être remplacés par des règles d'IP/de nom d'hôte personnalisées pour des utilisateurs particuliers. (Certaines organisations peuvent vouloir laisser ces paramètres vides par défaut et permettre UNIQUEMENT un accès IP spécifique à chaque utilisateur.)

Par défaut, les administrateurs et les utilisateurs peuvent uniquement se connecter à partir de la console locale. C'est pourquoi il y a un rappel sur la page d'accueil des administrateurs d'étendre cet accès lorsque les valeurs par défaut sont définies, et c'est également pourquoi les administrateurs système peuvent étendre la plage d'adresses autorisées lors de la création d'une nouvelle organisation. Également par défaut, les utilisateurs WebPost anonymes peuvent soumettre des informations à MOVEit Transfer, mais ne peuvent pas créer de nouveaux dossiers WebPost.

En plus des règles d'accès pour les hôtes, vous pouvez spécifier une liste d'hôtes de confiance pour une organisation. Un hôte dans la liste Trusted Hosts (Hôtes de confiance) contournera le verrouillage IP normal et les contrôles de cohérence IP de la session. En effet, lorsqu'un utilisateur se connecte à l'organisation à partir d'un hôte de confiance, cela fonctionne comme une connexion à partir de l'hôte local. Pour plus d'informations, reportez-vous à la section Hôtes de confiance de ce document.

La liste de règles Remote Access (Accès distant) est constituée de :

• Administrator and FileAdmin Remote Access Rules (Règles d'accès distant d'administrateur et d'administrateur fichier) : Une liste d'accès qui contrôle à partir de quelles adresses IP ou de noms d'hôtes les administrateurs ou les administrateurs fichier peuvent se connecter par défaut.
• User Remote Access Rules (Règles d'accès distant d'utilisateur) : Une liste d'accès qui contrôle à partir de quelles adresses IP ou de noms d'hôtes les utilisateurs finals peuvent se connecter par défaut.
• Webpost Remote Access Rules (Règles d'accès distant Webpost) : Une liste d'accès qui contrôle à partir de quelles adresses IP ou de noms d'hôtes les utilisateurs anonymes peuvent POSTER des webposts à partir de et/ou AJOUTER DES DOSSIERS de. (Les nouveaux dossiers webpost peuvent être ajoutés automatiquement si un nouveau type de formulaire commence à soumettre les informations Web - reportez-vous à la section d'aide WebPost pour plus d'informations.)

Chaque section contient toutes les règles actives. Au moment de l'exécution, les règles sont traitées de haut en bas.

Chaque règle se compose des éléments suivants :

• Règle : La règle autorise ou refuse l'accès.
• Nom d'hôte/IP : L'adresse IP ou le nom d'hôte de chaque règle (voir la rubrique intitulée Utilisation de la syntaxe attendue).
• Commentaire : Toutes les astuces ou notes que l'administrateur veut fournir. Tout ce qui est saisi ici sert d'informations uniquement et n'affecte pas les autres parties de la règle.

En plus, un bouton Edit Access Rules (Modifier les règles d'accès) pour chaque section (sous la dernière règle de la section) ouvre une page distincte pour chaque section, une page pour les règles d'accès distant d'administrateurs et d'administrateurs système, une page pour les règles d'accès distant d'utilisateur et une page pour les règles d'accès distant Webpost.

Actions de règle

Le fait de cliquer sur Edit Access Rules (Modifier les règles d'accès) pour n'importe quelle section de règles ouvre une page distincte pour cette section. Il existe des pages distinctes pour les Administrator Remote Access Rules (Règles d'accès distant administrateur) et FileAdmin Remote Access Rules (Règles d'accès distant administrateur fichier), User Remote Access Rules (Règles d'accès distant utilisateur) et Webpost Remote Access Rules (Règles d'accès distant webpost).

Les actions comprennent :

• Prioritize (Privilégier). Déplacez la règle vers le haut ou vers le bas dans la liste des priorités - les règles en haut de la liste sont traitées en premier. (Ces boutons apparaissent uniquement lorsqu'il existe deux règles ou plus.)
• Edit (Modifier). Permet aux administrateurs de modifier les détails d'une règle, ouvre la page Edit Remote Access Rule (Modifier la règle d'accès distant).
• Supprimer. Supprime la règle de la liste d'accès.

De plus, le lien Add Remote Access Rule (Ajouter une règle d'accès distant) (sous la dernière règle) ouvre la page Add Remote Access Rule (Ajouter une règle d'accès distant) où de nouvelles règles peuvent être ajoutées.

Utilisation de la syntaxe attendue

Pour appliquer une règle d'accès par nom d'hôte/IP, utilisez la syntaxe attendue.

Syntaxe des adresses IP

<1ère partie>.<2ème partie>.<3ème partie>.<4ème partie>

– Où une partie représente un octet de l'adresse IP.

Exemples

198.51.100.1 (applique la règle à une adresse, comme indiqué)

203.0.113-255 (applique la règle à 112 adresses, comme indiqué)

198.51.100.1-29 (applique la règle à une plage de 29 adresses, comme indiqué)

198.51.100.* (étend la règle à 256 adresses, comme indiqué)

– Où un octet (ou une partie) peut représenter 256 adresses IP individuelles.

Syntaxe des plages d'adresses

<1ère partie>.<2ème partie>.<3ème partie>.<début de plage de 4ème partie>-<fin de plage>

– Et où la plage peut être spécifiée dans n'importe quel octet d'une adresse IP.

Exemples

198.51.100.1-29

198.51.100-101.1

Syntaxe des noms d'hôtes et de réseaux

<partie hôte du sous-domaine>.<partie du domaine de second niveau>.<domaine de premier niveau>

Exemples

test.example.com (Applique la règle uniquement aux demandes de clients provenant du sous-domaine/hôte test.)

*.example.com (Applique la règle aux demandes des clients provenant du domaine example.com – le sous-domaine est ignoré.)

test.example.com,*.example.net (Applique la règle à un sous-domaine sur example.com et à n'importe quel sous-domaine sur example.net.)

Pages Add Remote Access Rule (Ajouter une règle d'accès distant) et Edit Remote Access Rule (Modifier une règle d'accès distant)

Ces champs définissent une adresse IP/un nom d'hôte ou une combinaison d'intervalle et s'il sera autorisé ou refusé. Vous pouvez attribuer une priorité à une règle, afin qu'elle soit appliquée avec d'autres règles d'accès. Dans le cas d'une nouvelle règle, remplissez les champs pour créer une nouvelle règle d'accès distant, puis cliquez sur le bouton Add Entry (Ajouter l'entrée). De même, dans le cas d'une règle existante, modifiez les champs, puis cliquez sur le bouton Update Entry (Mettre à jour l'entrée).

Les champs et boutons sur cette page sont :

• Règle : Les valeurs que vous pouvez sélectionner sont Autoriser ou Refuser.
• Nom d'hôte/IP : Valeur d'un nom d'hôte unique ou d'une adresse IP. Vous pouvez inclure un caractère générique (« * ») pour appliquer votre règle Allow (Autoriser) ou Deny (Refuser) à une plage donnée. Vous trouverez ci-après quelques exemples : 11.22.33.44 (hôte unique), et 11.22.33.* (où * signifie toutes les machines du réseau 11.22.33 ) et *.example.edu (où « * » signifie tous les hôtes utilisant le domaine example.edu).
• Priority (Priorité) : (Affiché pour la page Add... (Ajouter...) uniquement, pas pour la page Edit... (Modifier...). Pour spécifier le placement initial dans la liste (en haut, en bas ou au milieu). Les valeurs que vous pouvez sélectionner sont En haut, Au milieu, En bas.
• Commentaire (facultatif) : Champ d'entrée texte.
• Add Entry / Update Entry (Modifier/Mettre à jour une entrée) : Cliquez sur ce bouton pour fermer cette page et ajouter une nouvelle règle ou mettre à jour une règle existante dans la liste des règles.

Masques de nom d'hôte/IP

Les entrées Nom d'hôte/IP peuvent être des noms d'hôte individuels, des adresses IP numériques individuelles ou des masques qui permettent la correspondance avec une plage de noms d'hôtes ou d'adresses. Un astérisque (*) placé à un endroit particulier de la requête correspond à n'importe quelle valeur. Par exemple, 2* correspond à 23 ou 213, *cat correspond à tomcat et bobcat et * correspond à toutes les valeurs ci-avant.

Un tiret (-) correspond aux valeurs numériques égales aux chiffres ou qui se trouvent entre les chiffres situés de part et d'autre du tiret. Par exemple, 2-4 correspond à 2, 3, 4 mais pas à 1 ni à 5.

Accepter/Refuser les décisions

Lorsqu'une adresse IP ou un nom d'hôte entrant est testé, les règles sont traitées de haut en bas. La première règle qui s'applique à l'IP ou au nom d'hôte entrant est la règle qui autorise ou refuse l'accès.

Par défaut, toutes les adresses IP et les noms d'hôtes sont refusés quand ils se trouvent au bas de la liste.

• Les adresses IP et les noms d'hôte spécifiques (par exemple, 192.168.3.4 ou test.example.com) doivent figurer en haut de la page.
• Les plages d'adresses IP et de noms d'hôtes (par exemple : 192.168.3.* ou *.example.com) doivent se situer au milieu de la liste.
• Les entrées génériques (par exemple, 192.*.*.* ou *.edu) doivent être en bas de la liste.

Connexions à la console

Lorsqu'un utilisateur se connecte au serveur MOVEit Transfer à partir d'un navigateur Web exécuté sur la même machine que le serveur MOVEit Transfer, l'utilisateur est connecté à la console s'il se connecte à MOVEit Transfer en utilisant une URL qui commence par http://localhost... ou http://127.0.0.1... plutôt que l'habituelle URL http://MOVEitDMZ.example.com ...

Ces connexions à la console ne sont pas soumises à la liste d'accès distant. Cette exception empêche les administrateurs système de se bloquer eux-mêmes l'accès avec une liste d'accès vide, puisqu'ils peuvent toujours se connecter sur la même machine, sur laquelle MOVEit Transfer est exécuté.

Hôtes de confiance

Cette fonction permet aux administrateurs Organisation de désigner un hôte comme hôte de confiance pour leur Organisation, permettant à l'hôte de disposer des mêmes privilèges que les hôtes locaux.

Dans le cadre d'opérations normales, les clients qui accèdent à MOVEit Transfer à partir de n'importe laquelle des interfaces locales, contournent le verrouillage d'IP normal et les contrôles de cohérence d'IP de session. Cela permet aux services comme le serveur FTP MOVEit Transfer et le serveur SSH MOVEit Transfer de fonctionner correctement, et de présenter l'adresse IP du client pour des besoins d'affichage et de journalisation. Un hôte de confiance ignorera également ces contrôles.

Cette fonction peut être utilisée dans les situations suivantes :

• Pour permettre aux requêtes machine provenant d'un hôte de confiance de fournir une adresse IP constituant l'adresse IP effective pour les transactions machine. (Il s'agit de l'élément XML <IPADDRESS> dans l'API MOVEit Transfer.) Cette fonction est souvent utilisée lors de l'utilisation de l'API MOVEit Transfer dans une application Web séparée visant à fournir un accès avec authentification unique à MOVEit Transfer. Cela permet à la session API d'être transférée vers le navigateur du client, et d'être retournée, et cela permet également de présenter l'adresse IP du client pour des besoins d'affichage et de journalisation.
• Pour permettre à MOVEit d'effectuer une redirection vers un hôte de confiance après qu'un téléchargement sans assistant a pris fin.
• Pour permettre aux utilisateurs de se connecter à partir d'un hôte de confiance, indépendamment des autres autorisations et/ou du jeu de verrouillage d'IP pour cet hôte.

  Si une personne tente de se connecter comme utilisateur existant plusieurs fois sans succès, l'adresse IP d'où les tentatives sont issues peut être bloquée. Les hôtes de confiance peuvent être utilisés pour remplacer le comportement de blocage. Les entrées Trusted Hosts associées à l'organisation de l'utilisateur sont consultées. Si l'adresse IP du client correspond à un hôte de confiance, cette adresse IP n'est pas bloquée. Si les tentatives en échec sont le fait d'un utilisateur non existant, et qu'aucune organisation n'est spécifiée, les entrées Hôtes de confiance pour l'organisation par défaut seront consultées.

• Pour permettre aux utilisateurs de changer leur adresse IP au cours d'une session, si l'ancienne ou la nouvelle adresse IP est de confiance, peu importe le masque de commutation d'IP.

Pour ajouter une entrée à la liste des hôtes de confiance :

1. Sous Trusted Hosts (Hôtes de confiance), cliquez sur Edit Access Rules (Modifier les règles d'accès).
2. Cliquez sur Add Remote Access Rule (Ajouter une règle d'accès distant).
3. Saisissez un nom d'hôte ou une adresse IP et une description (facultative), puis cliquez sur Ajouter une entrée.

   Le champ Hostname/IP (Nom d'hôte/IP) peut contenir un nom d'hôte ou une adresse IP. Les deux types peuvent contenir des caractères génériques, et les adresses IP peuvent également se présenter sous la forme d'un intervalle. Par exemple : 11.22.33.44, 11.22.33.*, 11.22.33.44-55, jdupont.masociété.com, *.masociété.com.

   Remarque : Les noms d'hôtes et les adresses IP ne sont pas interchangeables. Si myhost1 correspond à 192.168.1.200, et que la liste contient myhost1 mais pas 192.168.1.200, alors les utilisateurs peuvent accéder à l'hôte via l'URL commençant par https://myhost1, mais pas via l'URL commençant par https://192.168.1.200.

Après que vous avez ajouté l'entrée, elle s'affiche dans la liste des hôtes autorisés.

1. Vous pouvez revenir à la liste des hôtes de confiance dans laquelle l'entrée sera également affichée.

Pour déplacer une entrée hôte :

Utilisez les boutons fléchés pour déplacer l'entrée vers le haut ou vers le bas dans la liste des priorités - les entrées en haut de la liste sont traitées en premier. (Ces boutons apparaissent uniquement lorsqu'il existe au moins deux entrées.)

Pour modifier une entrée hôte :

Localisez l'entrée dans la liste des hôtes autorisés et cliquez sur le bouton Edit (Modifier). Apportez les modifications souhaitées.

Pour supprimer une entrée hôte :

Localisez l'entrée dans la liste des hôtes autorisés. À côté de l'entrée, sélectionnez Delete (Supprimer), puis sélectionnez Yes (Oui) pour confirmer la suppression.

Blocages IP

Lorsqu'une adresse IP est bloquée, elle est bloquée pour toutes les organisations d'un site particulier.

Notifications déclenchées

Si une adresse IP est bloquée, les administrateurs système qui disposent de la propriété de notification définie sur On+Admin reçoivent une notification par e-mail signalant le blocage.

S'il n'existe qu'une seule organisation non système configurée, les administrateurs de cette organisation qui disposent de la propriété de notification définie sur On+Admin reçoivent également des notifications par e-mail.

Seuls les administrateurs système peuvent définir la stratégie de blocage IP. (Reportez-vous à la section Stratégie de blocage IP de la page Stratégie d'accès distant au système pour plus d'informations). Les verrouillages IP sont activés par défaut et le blocage des adresses IP intervient après 15 tentatives en l'espace de 5 minutes.

Après que vous avez débloqué une adresse IP, l'utilisateur qui a déclenché le blocage IP reste bloqué et inactif. Vous pouvez modifier le statut du compte de l'utilisateur dans le profil utilisateur.

Commutation IP

Pour éviter le piratage d'une session, MOVEit Transfer n'autorise normalement pas l'adresse IP utilisée par une session à modifier au cours de cette session. Cependant, certains pare-feu et serveurs proxy utilisent des pools d'adresses IP à attribuer aux utilisateurs qui ont accès à Internet, et peuvent parfois attribuer différentes adresses IP à un utilisateur même au cours d'une même session. Afin d'octroyer à ces utilisateurs un accès complet au serveur, la fonction IP Switching (Commutation IP) permet aux administrateurs de définir une plage valable dans laquelle une adresse IP de session peut être modifiée.

Par défaut, l'option IP Switching (Commutation IP) est définie sur None (Aucune), qui correspond à un masque de sous-réseau de 255.255.255.255 ou /32. Cela évite toute commutation d'adresse IP. Les autres valeurs disponibles sont :

• Class C (Classe C) (255.255.255.0 ou /24) : Permet à une adresse IP de session de varier dans la partie Class C (Classe C) de l'adresse. Par exemple, si l'adresse IP de session originale était 1.1.1.1, la commutation à 1.1.1.2 est autorisée, mais la commutation à 1.1.2.2 ne l'est pas.
• Class B (Classe B) (255.255.0.0 ou /16) : Permet à une adresse IP de session de varier dans la partie Class B (Classe B) de l'adresse. Par exemple, si l'adresse IP de session originale était 1.1.1.1, la commutation à 1.1.2.2 est autorisée, mais la commutation à 1.2.2.2 ne l'est pas.
• Class A (Classe A) (255.0.0.0 ou /8) : Permet à une adresse IP de session de varier dans la partie Class A (Classe A) de l'adresse. Par exemple, si l'adresse IP de session originale était 1.1.1.1, la commutation à 1.2.2.2 est autorisée, mais la commutation à 2.2.2.2 ne l'est pas.
• All (0.0.0.0 or /0) (Toutes (0.0.0.0 ou /0)) : Permet la commutation de toutes les adresses IP.