Cet article décrit les bonnes pratiques de sécurité pour l’utilisation et la configuration d’Alert.
1. Utilisation des mots de passe dans Alert
1.1. Mot de passe opérateur
L’accès à la configuration et à l’exploitation du logiciel Alert est protégé par identification et authentification des opérateurs qui interagissent avec le logiciel.
Pour n’autoriser l’accès au logiciel qu’aux personnes qualifiées, il est conseillé de définir pour chaque opérateur un code secret numérique ou alphanumérique. Ce code sera utilisé pour authentifier l'opérateur lors d'un accès local ou par téléphone.
1.2. Authentification Active Directory
L’authentification des opérateurs peut être renforcée et sécurisée en utilisant les services d’annuaire LDAP de l’entreprise (Active Directory).
Pour activer l’authentification via Active Directory, ouvrir la boite de dialogue Options (menu Configuration / Options), sélectionner l’onglet Général et définir dans le groupe Active Directory les paramètres de l’annuaire LDAP d’Active Directory à utiliser.
Lorsque l’option Authentification Active Directory est cochée, l'accès de chaque opérateur déclaré dans ALERT sera contrôlé par le serveur Active Directory du domaine et le mot de passe à saisir sera obligatoirement celui déclaré dans le serveur Active Directory et non le code défini dans le champ « mot de passe » de la fiche opérateur.
Lorsque l’option Authentification sécurisée est cochée, l'authentification de l'opérateur auprès du serveur LDAP est sécurisée via le mécanisme d'authentification "DIGEST-MD5". Le mot de passe n'est pas transmis en clair sur le réseau.
Si cette option n'est pas cochée, l'authentification de l'opérateur auprès du serveur LDAP n'utilise pas de mécanisme sécurisé (authentification simple). Le mot de passe étant transmis en clair sur le réseau, il est préférable dans ce cas d'utiliser une connexion sécurisée (option Connexion SSL validée).
2. AlertMobile
AlertMobile propose 3 modes de connexion différents :
- AlertMobile WIFI via le réseau WIFI de l’entreprise (Android uniquement), pour la communication avec les mobiles présents sur le site.
- AlertMobile WEB via la passerelle AlerMobile Gateway et le réseau 3G/4G (Android & iOS), pour la communication « WorldWide » avec les mobiles.
- AlertMobile SMS via un modem GSM. Ce mode de connexion n’est pas supporté par iOS et n’est pas autorisé sur le Play Store. Un fichier d’installation de version compatible avec ce mode de connexion peut être fournie à la demande pour les téléphones Android.
2.1. AlertMobile Wifi
AlertMobile Wifi utilise, par défaut, le port 8123 et 8124 pour le SSL.
Pour plus de sécurité, optez pour une connexion SSL et n’ouvrez que le port utilisé.
2.2. AlertMobile Gateway
Cette solution utilise le service de notification push via la passerelle AlertMobile Gateway et AlertMobile installé sur un smartphone. Pour opérer cette communication le smartphone doit disposer d’une connexion Internet.
Veillez à n’ouvrir que les ports utilisés. Voici les ports par défaut :
Entre ALERT et le service AlertMobile Gateway (uniquement, si les deux ne sont pas installés sur la même machine)
- Port TCP 8732 dans les deux sens (entrant et sortant) sur les deux ordinateurs
Entre le service AlertMobile Gateway et Internet / Web
- Port TCP 8080 sortant sur l'ordinateur Alert et entrant sur l'ordinateur AlertMobile Gateway
- Port TCP 443 dans le cas d’une connexion sécurisée HTTPS
Service de notification push :
- Port TCP 5228 en sortie
Entre AlertMobile et ALERT ou AlertMobile Gateway
- Port TCP 8080 en entrée.
Vous pouvez aussi autoriser l'utilisation du protocole SSL dans les paramètres du pare-feu.
Rapprochez vous de votre service IT pour suivre les recommandations de votre architecture.
3. Modems GSM
Beaucoup de modems GSM sont en mesure de se connecter aux bandes 3G et/ou 4G. Pour prévenir toute connexion à internet entrante ou sortante, nous vous préconisons d’utiliser des cartes/forfaits SIM sans Data.
Rapprochez vous de votre opérateur téléphonique pour vous informer des possibilités.
4. Ports TCP et UDP
Pour plus de sécurité n’ouvrez que les ports utilisés dans votre configuration. Voici un récapitulatif des ports TCP et UDP utilisés par Alert :
4.1. Alert
Module | Type | Protocol | Direction | Port | Modifiable |
---|---|---|---|---|---|
Client/serveur | TCP | Propriétaire | in/out | 2495 | yes |
Redondance | TCP | Propriétaire | in/out | 2495 | yes |
Web | TCP | HTTP / HTTPS | in | 80 / 443 | yes |
LDAP | TCP | LDAP | in | 389 / 636 | yes |
4.2. Connecteurs d’acquisition de données
Module | Type | Protocol | Direction | Port | Modifiable |
---|---|---|---|---|---|
Bacnet |
UDP | Bacnet | in/out | 47808 | yes |
Modbus | UDP / TCP | Modbus | out | 502 | yes |
4.3. Drivers de communication (principaux)
Module | Type | Protocol | Direction | Port | Modifiable |
---|---|---|---|---|---|
Driver Email (emission) |
TCP | SMTP | out | 25 / 587 | yes |
Driver Email (reception) | TCP | POP3 | in | 110 / 993 | yes |
Serveur SMTP |
TCP | SMTP | in | 25 | yes |
VoIP |
UDP or TCP | SIP | out | 5060 | yes |
UDP or TCP | SIP | in | 5080 | yes | |
UDP | RTP | in | 16384-32767 | yes | |
UDP | RTP | out | fixed by proxy | ||
SMPP | TCP | SMPP | out | 2775 | yes |
AlertMobile Wifi | UDP | out | 8500 | yes | |
AlertMobile Wifi | TCP | HTTP | in | 8123 | yes |
AlertMobile Web | TCP | HTTP/HTTPS | out | 8080/8443 | yes |
La liste de tous les ports IP / UDP utilisés par Alert est disponible ici : Ports TCP ou UDP utilisés par Alert