F.2 Résultats de l'analyse Nessus

L'analyse Nessus des ports a signalé les problèmes suivants :

  • Les serveurs LDAP qui ne sont pas configurés correctement autorisent les utilisateurs à se connecter au serveur et à demander des informations

    Explication : la liaison NULL est activée par défaut sur le serveur LDAP eDirectory, mais elle peut être désactivée. Afin d'améliorer la sécurité du serveur, désactivez la liaison NULL sur le port 389 du serveur LDAP. Pour plus d'informations, reportez-vous à la Section 14.5, Configuration des objets LDAP.

    Solution: désactivez la liaison NULL sur le serveur.

  • Les serveurs LDAP qui ne sont pas configurés correctement définissent la base de l'annuaire comme nulle

    Explication : des informations peuvent être obtenues même sans connaître au préalable la structure de l'annuaire. Par le biais de la liaison NULL, un utilisateur anonyme peut interroger le serveur LDAP à l'aide d'outils tels que « LdapMiner ».

    Solution: bien qu'il n'existe aucun moyen pour éliminer ce type de menaces de sécurité, il est possible de les limiter en désactivant la liaison NULL.

  • Le service à distance prend en charge l'utilisation de suites de chiffrement SSL faibles

    Explication : l'hôte distant prend en charge des ciphers SSL qui assurent un chiffrement faible, voire nul.

    Solution: si possible, reconfigurez l'application concernée, afin d'éviter l'utilisation de ciphers faibles.

  • Le serveur d'annuaire à distance laisse passer des informations

    Explication : cet hôte est un serveur NetIQ eDirectory et possède des droits Parcourir sur l'objet PUBLIC.

    Solution: si les applications qui utilisent eDirectory n'ont pas besoin de disposer de droits PUBLIC, assignez les droits accordés à PUBLIC uniquement aux utilisateurs authentifiés (ROOT). S'il s'agit d'un système externe, il est recommandé de bloquer l'accès au port 524 à partir d'Internet.

  • Le certificat SSL est signé par une autorité de certification inconnue

    Explication : le certificat X.509 de l'hôte distant n'est pas signé par une autorité de certification publique connue. Si l'hôte à distance est un hôte public en production, cela annule l'utilisation de SSL étant donné que n'importe qui peut établir une connexion entre les deux et attaquer l'hôte distant.

    Solution: cela se produit lorsque l'application cliente ne dispose pas du certificat de l'autorité de certification qui a signé le certificat du serveur dans son emplacement de stockage des certificats approuvés. Procurez-vous un certificat pour le serveur auprès d'une autorité de certification connue et déployez-le. Si le certificat du serveur a été émis par l'autorité de certification organisationnelle de l'arborescence ou par une autorité de certification externe ou tierce, vous pouvez également importer ou ajouter le certificat de l'autorité de certification à l'emplacement de stockage des certificats approuvés des applications.

    Pour plus d'informations, reportez-vous à la Section 25.3.1, Choix du type d'autorité de certification à utiliser.