• Si vous soupçonnez une violation de sécurité, modifiez immédiatement tous les certificats et
toutes les clés.
• Utilisez des certificats au format "PKCS #12", protégés par mot de passe.
• Vérifiez les certificats à l'aide de l'empreinte digitale côté serveur et côté client pour bloquer
des attaques de type "homme du milieu". Utilisez pour ce faire une deuxième voie de
transmission sûre.
• Avant de retourner l'appareil à Siemens pour réparation, remplacez les clés et certificats
courants par des clés et certificats temporaires jetables que vous pourrez détruire lorsque
l'appareil vous sera retourné.
Accès physique/ distant
• Exploitez les appareils uniquement dans une zone protégée du réseau. Si le réseau interne
est découplé du réseau externe, un attaquant n'a pas accès aux données internes.
• Réservez l'accès physique à l'appareil exclusivement au personnel digne de confiance.
La carte mémoire ou le PLUG (C-PLUG, KEY-PLUG, CLP) contient des données sensibles telles
que certificats et clés, qui pourraient être lues ou modifiées. Un attaquant qui se serait
procuré les supports amovibles de l'appareil pourrait en extraire des informations sensibles
telles que certificats, clés, etc. ou reprogrammer les supports.
• Bloquez les ports physiques inutilisés de l'appareil. Les ports inutilisés peuvent servir à un
accès illicite à l'installation.
• Il est instamment recommandé de laisser la protection contre les attaques par force brute
(BFA, Brute-force-attack) activée pour empêcher toute intrusion à l'appareil. Pour plus
d'informations, voir les manuels de configuration, chapitre "Brute Force Prevention (Page 8)".
• Si vous communiquez via des réseaux non sûrs, utilisez des appareils complémentaires
compatibles VPN, permettant de crypter et d'authentifier les communications.
• Si vous établissez une communication sécurisée à un serveur (pour une mise à niveau sûre
p. ex.), veillez à ce que le serveur utilise des méthodes de cryptage et des protocoles robustes.
• Mettez correctement fin aux liaisons de gestion (HTTP, HTTPS, SSH p. ex.).
• Veuillez vous assurer que l'appareil a été intégralement mis hors tension avant de le mettre
hors service. Pour plus d'informations, voir "Mise hors service (Page 11)".
• Il est recommandé de formater tout PLUG inutilisé.
Matériel/ Logiciels
• Utilisez autant que faire se peut des VLAN pour vous protéger contre les attaques de déni de
service (DoS) et intrusions.
• Restreignez l'accès à l'appareil par des règles de pare-feu ou par des règles dans une liste de
contrôle d'accès (ACL – Access Control List).
• Des services choisis sont activés par défaut dans le firmware. Il est recommandé de n'activer
que les services qui sont indispensables pour votre installation.
Pou plus d'informations sur les services disponibles, voir "Liste des services disponibles".
SCALANCE XR-300
Instructions de service, 02/2024, C79000-G8977-C586-04
Recommandations de sécurité
3.1 Recommandations de sécurité
17