Novell Documentation: Novell eDirectory 8.7.3 - Opérations iMonitor sécurisées

Opérations iMonitor sécurisées

La sécurisation des accès à votre environnement iMonitor implique la procédure de protection suivante :

Utilisez un pare-feu et assurez un accès VPN (réseau virtuel privé). (Cela s'applique également à Novell iManager et aux autres services Web dont l'accès doit être retreint.)

Qu'un pare-feu soit ou non en place, limitez le type d'accès autorisé via iMonitor pour améliorer la protection contre les attaques de refus de service.

Bien que des efforts considérables aient été entrepris pour s'assurer que iMonitor valide les données reçues via des requêtes d'URL, il est pratiquement impossible de garantir le rejet de toutes les entrées non valides éventuelles. Pour réduire le risque d'attaques de refus de service via des URL non valides, il existe trois niveaux d'accès que vous pouvez contrôler au moyen du fichier de configuration de iMonitor et de l'option LockMask:.

Niveau d'accès	Description
0	Pas d'authentification requise avant le traitement des URL par iMonitor. Dans ce cas, les droits eDirectory de l'identité .[Public]. sont appliqués à toutes les requêtes et les informations affichées par iMonitor sont limitées par les droits de l'utilisateur .[Public]. Cependant, étant donné qu'aucune authentification n'est requise pour l'envoi d'URL à iMonitor, ce dernier peut être vulnérable aux attaques de refus de service basées sur la transmission d'informations incohérentes dans les URL.
1 (par défaut)	Authentification requise sous une identité eDirectory avant le traitement des URL par iMonitor. Dans ce cas, les droits eDirectory de cette identité sont appliqués à toutes les requêtes et sont donc restreints. Il existe une vulnérabilité aux attaques de refus de service identique à celle du niveau 0, à cette exception près que l'attaque doit être lancée par une personne qui s'est réellement authentifiée sur le serveur. Tant que l'authentification n'aboutit pas, iMonitor, lorsqu'il est configuré dans cet état, répond aux requêtes d'URL par une boîte de dialogue de login afin de se protéger contre les attaques lancées par des utilisateurs non authentifiés.
2	Avant le traitement des URL par iMonitor, authentification requise sous une identité eDirectory disposant de droits équivalents à ceux d'un superviseur sur le serveur auprès duquel iMonitor s'authentifie. Il existe une vulnérabilité aux attaques de refus de service identique à celle du niveau 1, à cette exception près que l'attaque doit être lancée par une personne qui s'est réellement authentifiée en tant que superviseur du serveur. Tant que l'authentification n'aboutit pas, iMonitor, lorsqu'il est configuré dans cet état, répond aux requêtes d'URL par une boîte de dialogue de login afin de se protéger contre les attaques lancées par des utilisateurs non authentifiés qui ne sont pas des superviseurs.

Le niveau 1 est le niveau par défaut car de nombreux administrateurs n'ont pas d'accès Superviseur à chaque serveur de l'arborescence mais peuvent avoir besoin d'utiliser le service iMonitor sur un serveur qui interagit avec les leurs.

REMARQUE : plusieurs fonctions de iMonitor telles que Repair et Trace requièrent une équivalence de superviseur pour les accès, quel que soit le paramètre LockMask.