Prévention des intrusions et des attaques malveillantes

Des utilisateurs malveillants peuvent tenter de déjouer la sécurité en attaquant les processus de connexion, récupération de mot de passe oublié et auto-enregistrement, par exemple sous forme d'attaques par déni de service. Les pirates informatiques peuvent également cibler les vulnérabilités des navigateurs et du protocole HTTP pour commettre des attaques CSRF (Falsification de requête inter-site).

Robots de moteur de recherche

Par défaut, tous les serveurs connectés à Internet sont indexés par des moteurs de recherche et sont disponibles par le biais d'une recherche. Si votre serveur Maximo Asset Management est connecté à Internet, vous pouvez le masquer en déployant un fichier robots.txt sur le serveur d'applications ou sur un serveur proxy IBM® HTTP Server.

Blocage d'adresse IP

Vous pouvez configurer les propriétés système de manière à bloquer les adresses IP lorsqu'une attaque est détectée en raison d'un trop grand nombre de tentatives de connexion, de récupération de mots de passe oublié ou d'auto-enregistrements effectuées depuis la même adresse IP. Vous pouvez afficher, ajouter et supprimer des adresses IP bloquées dans la fenêtre Gérer les adresses IP bloquées de l'application Utilisateurs.

Si le nombre de tentatives successives de récupération d'un mot de passe oublié d'un utilisateur dépasse la valeur spécifiée dans la fenêtre Contrôles de sécurité des applications Utilisateurs et Groupes de sécurité, le statut de l'utilisateur associé à l'adresse électronique est défini sur BLOQUE.

Utilisez les propriétés système ci-dessous pour configurer le blocage d'adresses IP:

Propriété mxe.sec.IPblock
Active ou désactive le blocage d'adresses IP.
Propriété mxe.sec.IPblock.MatchBoth
L'adresse IP est bloquée uniquement si l'hôte et l'adresse du client de la demande entrante correspondent aux valeurs de la table LOGINBLOCK.
Propriété mxe.sec.IPblock.num
L'adresse IP est bloquée lorsque le nombre de tentatives de connexion ou de récupération de mot de passe oublié dépasse cette valeur au cours de la période spécifiée. Le nombre de connexions échouées est suivi en fonction du nombre de sessions de navigateur Web signalé. N'utilisez pas cette propriété pour contrôler le nombre de fenêtres ou sessions utilisateur. En effet, les navigateurs Web signalent les sessions de différentes façons, ce qui peut fausser les informations. Ne définissez cette propriété que pour les besoins de blocage des tentatives d'intrusion.
Propriété mxe.sec.IPblock.sec
Indique la période utilisée conjointement avec la propriété mxe.sec.IPblock.num.
Propriété mxe.sec.forgotpassword.maxsets
L'adresse IP est bloquée si le nombre de tentatives simultanées de récupération de mot de passe oublié dépasse cette valeur.
Propriété mxe.sec.addusers.maxsets
L'adresse IP est bloquée si le nombre de tentatives simultanées d'auto-enregistrement dépasse cette valeur.
Propriété mxe.sec.allowedIP
Liste séparée par des virgules d'adresses IP ne devant jamais être bloquées pour s'assurer, par exemple, que les utilisateurs peuvent toujours accéder aux serveurs chargés d'équilibrer la charge.

Prévention des attaques CSRF

Les attaques CSRF (ou falsification de requête inter-site) tentent d'utiliser les vulnérabilités des navigateurs et protocoles HTTP pour manipuler les actions de changement d'état des utilisateurs authentifiés qui risquent ainsi de réinitialiser leur mot de passe ou de transférer des fonds par inadvertance, par exemple. Utilisez toujours la version la plus récente des navigateurs afin de bénéficier des dernières mises à jour de sécurité.

Maximo Asset Management inclut des mesures de sécurité pour se prémunir contre les attaques CSRF. Lorsqu'un utilisateur se connecte à un centre de travail, une valeur générée de manière aléatoire, à savoir un jeton CSRF, est défini pour la session utilisateur. Au cours de la session, toute demande de changement d'état qui est envoyée à Base de données Maximo doit inclure ce jeton CSRF. Dans un environnement à équilibrage de charge, si un utilisateur est déplacé d'un serveur vers un autre pendant une session utilisateur, le jeton CSRF reste accessible car il est stocké dans un référentiel partagé.

Si vous échangez des données avec des applications externes par le biais d'API, vous ne pouvez pas utiliser la méthode GET pour les actions de changement d'état. Par exemple, vous pouvez vous servir de la méthode GET pour récupérer un enregistrement d'actif à partir de la base de données, mais vous ne pouvez pas l'utiliser pour ajouter un signet à un actif. Vous devez appliquer la méthode POST pour changer l'état d'un enregistrement et inclure un jeton csrftoken dans l'en-tête de la demande. Si la demande POST ne comporte pas de jeton csrftoken valide, la demande est rejetée.