Recommandation de sécurité pour la mise en service de la passerelle PowerTag Link
Comptes utilisateur par défaut
Les comptes utilisateur par défaut visent à prendre en charge les connexions initiales au produit, une condition nécessaire pour effectuer les étapes de mise en service.
 AVERTISSEMENT |
|---|
|
RISQUES POUVANT AFFECTER LA DISPONIBILITÉ, L'INTÉGRITÉ
ET LA CONFIDENTIALITÉ DU SYSTÈME
Modifiez les mots de passe par défaut à la première
utilisation, afin d'empêcher tout accès non autorisé
aux réglages, contrôles et informations des appareils.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou
des dommages matériels.
|
Les comptes et les mots de passe associés sont fournis dans la documentation utilisateur. Pour des raisons de sécurité, il est déconseillé d'utiliser ces comptes pendant le fonctionnement.
Pendant l'étape de mise en service, ces comptes doivent être remplacés par des nouveaux lors de l'utilisation ou de la maintenance du produit. Le compte doit être sécurisé par un mot de passe fort.
Configuration des services de sécurité du produit
Par défaut, la plupart des services du produit sont désactivés pour réduire la vulnérabilité et minimiser l'exposition. Il est donc recommandé de n'activer que les services strictement nécessaires au fonctionnement du produit. Lorsque HTTPS est activé, toutes les communications transitant sur le port HTTP sont automatiquement redirigées sur le port HTTPS.
Certains services de sécurité tels que HTTPS peuvent être configurés pour désactiver la couche de sécurité et utiliser le protocole HTTP sans sécurisation de la communication par exemple. Cette fonctionnalité n'est fournie qu'à des fins d'interopérabilité avec les produits et appareils réseau existants. Il est vivement recommandé de ne pas désactiver les options de sécurité. Lorsque HTTPS est activé, toutes les communications transitant sur le port HTTP sont automatiquement redirigées sur le port HTTPS.
Communications Modbus TCP
La passerelle PowerTag Link prend en charge les communications réseau Modbus TCP. Lorsque le service Modbus TCP est activé, il est vivement recommandé de sécuriser l'utilisation du protocole en activant et en configurant le filtrage IP Modbus.
Cette fonction vous permet de limiter l'accès du service Modbus PowerTag Link aux seuls points d'accès réseau explicitement configurés dans les filtres.
Certificat de serveur Web du produit
Pour prendre en charge les communications sécurisées HTTP dès l'installation du produit, la passerelle PowerTag Link est équipée par défaut d'un certificat X.509v3 auto-signé.
Ce certificat vous permet de configurer une communication HTTPS qui garantit l'intégrité et la confidentialité des échanges, mais pas une authentification complète de la communication (comme indiqué par la plupart des navigateurs Web via un message d'avertissement de sécurité).
Dans la plupart des installations sensibles, il est recommandé de remplacer ce certificat et d'importer la passerelle PowerTag Link avec un certificat signé par une autorité bien connue.
Communications sécurisées avec des capteurs et appareils sans fil
Le contrôle d'utilisation des communications sans fil entre la passerelle PowerTag Link et les capteurs/appareils sans fil est assuré par un mécanisme d'appariement. Seuls les capteurs et appareils sans fil qui ont été appariés avec la passerelle PowerTag Link peuvent accéder au réseau sans fil de celle-ci.
De plus, les communications sans fil sont sécurisées par des mécanismes de chiffrement qui assurent l'intégrité et la confidentialité des données échangées sur le réseau sans fil.
Une fois l'appariement effectué, il est recommandé de vérifier régulièrement la liste des appareils appariés configurés dans la passerelle PowerTag Link pour s'assurer qu'elle ne contient aucun appareil inattendu ou suspect.