Avant d’installer LiveCycle, vous pouvez appliquer des solutions de sécurité à la couche réseau et au système d’exploitation. Cette section décrit certains problèmes et propose des conseils pour réduire les vulnérabilités de la sécurité correspondantes.
Installation et configuration sous UNIX et LinuxEvitez d’installer ou de configurer LiveCycle en utilisant un shell racine. Par défaut, les fichiers sont installés sous le répertoire /opt et l’utilisateur qui effectue l’installation a besoin de disposer de toutes les autorisations de fichier sous /opt. De même, cet utilisateur peut parfaitement exécuter une installation sous un répertoire /user dans lequel il dispose de toutes les autorisations de fichier.
Installation et configuration sous WindowsSous Windows, il est préférable d’effectuer l’installation en tant qu’administrateur si vous installez LiveCycle sur JBoss en utilisant la procédure d’installation clé en main ou si vous installez LiveCycle PDF Generator. Par ailleurs, lorsque vous installez PDF Generator sous Windows avec prise en charge des applications natives, vous devez exécuter l’installation sous la même identité que l’utilisateur Windows ayant installé Microsoft Office. Pour plus d’informations sur les droits d’installation, voir le document Installation et déploiement de LiveCycle pour votre serveur d’applications.
3.1.1 Sécurité de la couche réseauLes vulnérabilités de sécurité réseau comptent parmi les premières menaces qui affectent les serveurs d’applications accessibles par Internet ou par un intranet. Cette section décrit le processus de renforcement des hôtes du réseau contre ces vulnérabilités. Elle traite de la segmentation du réseau, du renforcement de la pile TCP/IP (Transmission Control Protocol/Internet Protocol) et de l’utilisation de pare-feu pour protéger les hôtes.
Le tableau suivant décrit des processus classiques qui permettent de réduire les vulnérabilités de la sécurité réseau :
Problème
|
Description
|
Zones démilitarisées
|
Déployez des serveurs LiveCycle dans une zone démilitarisée. Une segmentation doit avoir été définie dans au moins deux niveaux avec le serveur d’applications utilisé pour exécuter LiveCycle placé derrière le pare-feu interne. Séparez le réseau externe de la zone démilitarisée qui contient les serveurs Web, lesquels doivent par ailleurs être séparés du réseau interne. Utilisez des pare-feu pour implémenter les couches de séparation. Classez et contrôlez le trafic passant par chaque couche réseau pour vous assurer que le minimum absolu de données requises est autorisé.
|
Adresses IP privées
|
Utilisez la technique NAT (Network Address Translation) avec des adresses IP privées RFC 1918 sur les serveurs d’applications LiveCycle Attribuez des adresses IP privées (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) pour rendre plus difficile, pour un attaquant, le routage du trafic depuis et vers un hôte interne NAT via Internet.
|
Pare-feu
|
Utilisez les critères suivants pour choisir une solution de pare-feu :
Implémentez des pare-feu qui prennent en charge les serveurs proxy et/ou la vérification avec état plutôt que de simples solutions de filtrage des paquets.
Utilisez un pare-feu qui prend en charge un paradigme de sécurité de type refuser tous les services hormis ceux autorisés explicitement.
Implémentez une solution de pare-feu à double hébergement ou à hébergement multiple. Cette architecture propose le meilleur niveau de sécurité et contribue à empêcher les utilisateurs non autorisés de contourner le pare-feu.
|
Ports de base de données
|
N’utilisez pas les ports d’écoute par défaut pour les bases de données (MySQL - 3306, Oracle - 1521, MS SQL - 1433). Pour plus de détails sur la redéfinition des ports de base de données, reportez-vous à la documentation de votre base de données.
L’utilisation d’un port de base de données différent affecte la configuration globale de LiveCycle Si vous redéfinissez les ports par défaut, vous devez modifier en conséquence la configuration et, notamment, les sources de données de LiveCycle.
Pour plus d’informations sur la configuration des sources de données dans LiveCycle, voir le document Installation etdéploiement de LiveCycle ou Mise à niveau vers LiveCycle pour votre serveur d’applications dans la Documentation LiveCycle.
|
3.1.2 Sécurité du système d’exploitationLe tableau suivant décrit plusieurs approches utilisables pour réduire au minimum les vulnérabilités de sécurité du système d’exploitation :
Problème
|
Description
|
Correctifs de sécurité
|
Le risque de voir un utilisateur non autorisé accéder au serveur d’applications sera d’autant plus important que les correctifs de sécurité et les mises à niveau du revendeur n’auront pas été appliqués en temps utile. Testez les correctifs de sécurité avant de les appliquer sur les serveurs de production.
De même, créez des règles et des procédures pour contrôler et installer régulièrement les correctifs.
|
Logiciels de protection antivirus
|
Les programmes antivirus identifient les fichiers infectés en recherchant des signatures ou en repérant les comportements inhabituels. Ces programmes conservent la signature des virus dans un fichier, qui est généralement stocké sur le disque dur local. De nouveaux virus étant découverts régulièrement, mettez fréquemment à jour ce fichier pour permettre au programme antivirus d’identifier tous les virus actuels.
|
NTP (Network Time Protocol)
|
Pour les analyses légales, veillez à ce que l’heure des serveurs LiveCycle soit toujours exacte. Utilisez le protocole NTP pour synchroniser l’heure sur tous les systèmes connectés directement à Internet.
|
Pour plus de sécurité d’informations de votre système d’exploitation, voir 2.1.1 Informations sur la sécurité des systèmes d’exploitation.
|
|
|