Limiter l'accès aux interfaces d'administration
Introduction
Aujourd'hui, protéger les zones où on se connecte en tant qu'administrateur sur un site est plus important que jamais. Ces zones sont comme les portes principales de votre maison sur le web : si elles ne sont pas bien verrouillées, n'importe qui pourrait entrer et fouiner ou/et voler vos données. Ce guide est là pour vous montrer comment bien verrouiller ces portes, en utilisant des méthodes simples et efficaces pour garder les intrus à distance et assurer que votre site reste votre espace sûr.
Abordons maintenant deux exemples de zones particulièrement sensibles qu'on rencontre souvent lors de nos analyses de surface externe mais essentielles pour la gestion et la sécurité de vos systèmes.
I. Comment sécuriser la page de connexion d’administrateur WordPress:
La page de connexion d'administrateur WordPress est la porte d'entrée principale vers la gestion de votre site. Sa sécurité est donc essentielle pour protéger votre site contre les accès non autorisés et les cyberattaques.
Changement de l’URL de l’accès à l’administration:
Pour augmenter la sécurité de votre site WordPress, une bonne pratique est de personnaliser l'URL de votre page de connexion admin. Ceci rend plus difficile pour les intrus de trouver cette porte d'entrée.
Installation rapide :
- Rendez-vous dans l'espace d'administration WordPress et naviguez vers Extensions > Ajouter.
- Recherchez une extension adaptée à cette fonctionnalité, installez-la puis activez-la.
Configuration :
Une fois l'extension activée, vous devrez accéder à ses réglages via le tableau de bord pour définir votre nouvelle URL de connexion et configurer les redirections selon vos besoins.
Cette démarche rendra votre page de connexion moins visible pour les attaquants potentiels, ajoutant une couche supplémentaire de sécurité à votre site.
Sécuriser les portails de connexion pour VPN/SSL
Objectif : Protéger les accès à distance pour éviter les intrusions, les vols de données, et les interruptions de service.
Contexte : Pourquoi Sécuriser les portails VPN/SSL ?
Les portails VPN/SSL sont les portes d'entrée vers vos systèmes. Si ces accès ne sont pas sécurisés, ils peuvent être exploités par des attaquants pour infiltrer votre réseau, voler des informations ou perturber votre activité.
Comment un attaquant peut infiltrer votre portail VPN ?
Étape 1 : Découverte du portail
- L'attaquant identifie l'adresse de votre portail VPN en scannant les adresses IP de votre organisation. Si votre portail utilise le port standard 443, il est facilement repérable par des outils d’analyse.
Étape 2 : Lancement d'une attaque automatisée
- Une fois le portail détecté, l'attaquant utilise un programme automatisé pour tester des milliers de combinaisons de mots de passe, une technique appelée attaque par brute-force.
- Sans limite de tentatives de connexion, l’attaquant peut essayer continuellement jusqu’à trouver le bon couple identifiant/mot de passe.
Étape 3 : Compromission des accès
- Après plusieurs essais, l’attaquant finit par trouver un mot de passe valide. Il se connecte alors au portail VPN en tant qu’utilisateur légitime.
- À ce stade, l’attaquant a un accès direct au réseau de votre organisation.
Étape 4 : Exploitation des données et systèmes
- Accès aux données sensibles : L'attaquant peut consulter, copier ou même supprimer des informations confidentielles.
- Perturbation des services : Il peut désactiver certains services ou provoquer des dysfonctionnements qui bloquent l’activité de vos équipes.
- Élargissement de l’attaque : L’attaquant utilise cet accès pour infiltrer d’autres systèmes connectés, augmentant l’ampleur des dommages potentiels.
Impact sur le Système d'Information (SI)
Une attaque réussie exploitant votre portail VPN peut engendrer des conséquences graves pour votre système d’information :
-
Fuite de données sensibles : L’attaquant peut accéder à des informations confidentielles (données clients, informations financières, documents internes), entraînant une violation de la confidentialité et exposant l’organisation à des risques de divulgation.
-
Interruption des opérations : Un accès non autorisé peut permettre à l’attaquant de désactiver ou altérer des systèmes critiques, provoquant des interruptions de service qui ralentissent l’activité et perturbent les processus métier.
-
Propagation de l’intrusion : Une fois dans le réseau, l’attaquant peut étendre son accès pour compromettre d’autres systèmes, mettant ainsi en danger l’intégrité du SI dans son ensemble.
-
Atteinte à la réputation : La compromission du SI et la fuite de données peuvent sérieusement affecter la réputation de l’organisation, diminuant la confiance des clients, des partenaires et des parties prenantes.
-
Coûts de récupération et risque de sanctions : Remédier aux impacts d’une attaque (récupération des données, renforcement de la sécurité) est souvent coûteux. De plus, en cas de compromission de données personnelles, l’organisation peut s’exposer à des sanctions réglementaires, notamment en vertu du RGPD.
Comment sécuriser l'interface de Connexion Web VPN/SSL Fortinet ?
Pour renforcer la sécurité, on peut appliquer une règle qui dit qui a le droit de tenter de se connecter, basée sur leur adresse IP ou leur localisation géographique.
Modifiez le port par défaut du VPN SSL 10443/443 pour un autre numéro
Cette pratique de sécurité par l'obscurité est efficace, car les attaquants ciblent souvent les ports/services bien connus. Les ports 443 et 10443, associés aux équipements Fortigate, sont particulièrement vulnérables. Bien que cela puisse restreindre l'accès pour certains utilisateurs via des réseaux Wi-Fi publics, certains opérateurs pour mobiles offrent des solutions alternatives
Dans la CLI
$ configure SSL VPN settings
$ set port 13123
Évitez d'utiliser l'authentification locale qui repose sur des comptes utilisateurs créés directement sur vos dispositifs, comme les Fortigates. Si vous choisissez malgré tout cette méthode, ne stockez pas les mots de passe directement sur l'appareil. Pensez plutôt à les placer dans un emplacement sécurisé distinct ou à activer l'authentification multi-facteurs (MFA) pour renforcer la sécurité.
⚠️ Il est important de comprendre que centraliser toutes vos informations et procédures de sécurité dans un seul point, comme un appareil Fortigate, expose votre système à des risques. En effet, si ce point est compromis, l'ensemble de votre sécurité peut être menacée.
Une meilleure approche consiste à intégrer le système d'authentification de vos utilisateurs avec une base de données utilisateur centralisée, telle que LDAP, Active Directory ou Cloud AD. Fortigate facilite cette intégration, ce qui vous permet de bénéficier d'une gestion des identités plus robuste et sécurisée, tout en tirant parti des fonctionnalités avancées de gestion des mots de passe et des politiques de sécurité de ces systèmes.
Activez le MFA pour les utilisateurs VPN
Pour sécuriser l'accès VPN, activez l'authentification multifacteur (MFA). Fortigate offre deux FortiTokens mobiles gratuits ou vous pouvez opter pour SMS (payant) ou e-mail (gratuit), ce dernier nécessitant une configuration initiale. Des solutions MFA tierces via RADIUS (ex. Okta, Azure, Duo) sont aussi supportées. Les certificats PKI client offrent une sécurité élevée mais sont complexes à mettre en place et incompatibles avec l'authentification SAML.
Limiter l'accès au portail VPN SSL à des adresses IP spécifiques
config vpn ssl settings
set source-address <source address 1> ... <source address n>
set source-address-negate {disable | enable}
end
Pour aller plus loin dans la limitation des accès : SSL/VPN Best practices in Fortinet
Bloquer le trafic provenant de Tor
Pour garder l'accès à vos portails VPN/SSL Fortinet sécurisé, il est judicieux de bloquer tout trafic provenant de Tor.
Tor peut offrir un degré d'anonymat qui, malheureusement, attire aussi ceux qui ont des intentions malveillantes.
En mettant en place des filtres sur votre FortiGate, vous empêchez ces individus de masquer leur identité et de tenter d'accéder à votre réseau. Cette étape est très importante pour protéger vos données et assure que seules les personnes autorisées peuvent accéder à votre portail de connexion à distance.
Comment bloquer le trafic provenant de Tor ?
Sécuriser le VPN SSL avec des certificats fiables sans compromettre la sécurité
Utilisez un certificat de confiance d'une autorité de certification pour votre VPN SSL, évitant de créer des certificats [Let's Encrypt](#Let's Encrypt) directement sur le FortiGate. Cela assure aux utilisateurs une connexion sécurisée et fiable. Générer des certificats Let's Encrypt sur FortiGate nécessite d'exposer le port 80, ce qui peut être risqué, et ne permet que l'émission pour des sous-domaines spécifiques, révélant ainsi votre sous-domaine VPN en ligne. Une meilleure méthode consiste à générer ces certificats sur un serveur Linux séparé et à les transférer manuellement sur FortiGate, combinant sécurité et fiabilité sans compromis.
Bloquer l'adresse IP incriminée après plusieurs tentatives infructueuses de connexion échouées pour protéger votre VPN SSL contre les attaques
Cette sécurité est déjà en place mais ne bloque que pour 60 secondes par défaut. Adaptez la durée à vos besoins. Typiquement, après 3 essais ratés, un blocage de 10 minutes dissuade les attaquants, les poussant à chercher ailleurs.
Configuration :
Vous pouvez le configurer depuis :
config vpn ssl settings
set login-attempt-limit 3
set login-block-time 600
end
Référence : Durcissement vpn ssl
Pour aller plus loin veuillez vous référer au guide du durcissement des VPN/SSL
Fortinet announcements on new vulnerabilities
Lexique des Termes Techniques Simplifié
VPN
Réseau privé virtuel qui permet de se connecter de manière sécurisée à un réseau à distance.
SSL
Protocole qui chiffre les données échangées pour une connexion sécurisée entre deux machines, par exemple entre un site web et un utilisateur.
Fortinet / FortiGate
Solution de sécurité réseau qui protège les réseaux informatiques et permet la gestion des connexions sécurisées.
CLI
Interface en ligne de commande, utilisée pour interagir avec des systèmes informatiques par commandes textuelles.
MFA
Authentification multi-facteurs, une sécurité qui demande plusieurs preuves pour confirmer l'identité (comme un mot de passe + un code SMS).
LDAP
Protocole permettant de gérer et d'accéder à une base de données d'utilisateurs, souvent utilisée dans les entreprises pour centraliser la gestion des accès.
Active Directory (AD)
Service de gestion des utilisateurs et des accès dans un réseau, souvent utilisé dans les entreprises.
Cloud AD
Version cloud d'Active Directory, permettant de gérer les utilisateurs et les accès à distance.
RADIUS
Protocole utilisé pour authentifier les utilisateurs qui se connectent à un réseau.
Tor
Réseau permettant de naviguer sur Internet de manière anonyme en passant par des serveurs intermédiaires.
PKI
Infrastructure de gestion des clés de sécurité, utilisée pour créer et gérer des certificats de sécurité pour les connexions sécurisées.
SAML
Protocole permettant l’authentification unique pour des applications, afin qu’un utilisateur puisse se connecter une seule fois pour accéder à plusieurs applications.
Let's Encrypt
Service qui délivre des certificats SSL/TLS gratuits pour sécuriser les sites Web.
IP
Adresse unique d'un appareil sur un réseau, utilisée pour le localiser et communiquer avec lui.
Port
Point d'entrée/sortie d'une connexion réseau vers une application, chaque port étant associé à un service spécifique.
Port standard (443)
Port de communication utilisé par défaut pour les connexions HTTPS sécurisées. Son utilisation rend certains services plus reconnaissables aux attaquants.
Brute-force
Méthode d'attaque qui consiste à essayer automatiquement une large combinaison de mots de passe jusqu'à trouver le bon, permettant d'accéder à un système de manière non autorisée.
Exfiltration de données
Processus par lequel des données sont copiées ou transférées hors d'un réseau sans autorisation, souvent à des fins d'exploitation ou de divulgation.
Intrusion
Accès non autorisé à un système ou un réseau, permettant à un attaquant de consulter, modifier ou supprimer des informations sans permission.