Second article de la série : dans celui-ci nous aborderons les composants technique sur lequel s’appuie le bastion, que sont Royal Server, Royal TS et les clés Yubikeys.
Royal TS, Royal Server et Yubikey
Bastion avec Royal TS et Royal Server
Télécharger les cinq articles en PDF !
Royal TS, Royal Server et Yubikey
Royal Apps
Il s’agit d’un éditeur de logiciel spécialisé dans les outils d’administration pour les équipes informatiques. La société existe depuis plus de 10 ans et est basée en Autriche. Il s’agit d’un éditeur très actif avec un catalogue de produits à un produit abordable, ce qui en fait un candidat idéal naturel pour cette étude.
Site web : https://royalapps.com
Royal TS
Ce produit a été spécifiquement conçue a des fins de gestion centralisée d’une infrastructure informatique et adresse tout autant les machines Linux que Microsoft ou vmWare. Ce produit ne se limite pas à la prise en main à distance (ssh, rdp) mais offre également des solutions très poussées pour gérer un système sans avoir à s’y connecter (supervision, redémarrage de service, script, …).
Dans le cas particulier du bastion, ce produit nous intéresse car il permet de travailler avec des fichiers de travail qui regroupe les informations de connexion – ce fichier est chiffré en SHA256 afin de réduire le risque de vol des informations qu’il contient – à ce jour, il n’est pas possible de casser la clé mais le brute force reste possible, aussi l’utilisation d’un mot de passe force et non devinable est-il recommandé (Keepass offre une solution pertinente pour stocker le mot de passe).
Royal Server
En complément de Royal TS, Royal Apps a produit un serveur d’administration qui peut tout à la fois jouer le rôle de point central d’administration et de passerelle d’accès à distance. Toutefois, ce produit souffre d’un défaut sur son service de passerelle, ce dernier requérant de pouvoir faire de la délégation contrainte avec le compte d’un utilisateur le traversant, ce qui en exclu d’office les comptes protégés par le groupe protected users (ce qui est en réalité un plus, cela nous obligeant à accéder au Tier 0 avec un compte sans privilège sur le domaine !).
Le serveur permet également de stocker les fichiers des clients Royal TS dans un magasin central sur le serveur lui-même et de protéger ces derniers en interdisant l’export de l’information. Lorsqu’un fichier est géré par le serveur, ce dernier permet également de gérer l’accès (ou de le refuser), le niveau de l’accès (lecture, modification) et d’interdire certaines actions (export/lecture du mot de passe par exemple). Enfin, Royal Server est compatible avec les le protocole DUO, les services TOTP de Microsoft et Google et le service TOTP de Yubico (la version 5, dans sa version bêta, y a ajouter l’utilisation des clés Yubikey et de son API publique pour l’authentification).
Pour le bastion, Royal Server sera le point d’accès unique vers les systèmes du Tier 0 (le firewall bloquant tous les flux d’administration provenant des Tier 1 et 2) et assurera le contrôle des identités qui l’accède.
Yubico et sa Yubikey
Dans l’univers de la sécurisation de l’accès client, l’utilisation de clé de sécurité est un élément essentiel au renforcement de la protection des identités numériques. Yubico propose une clé permettant de combiner nos besoins dans un seul et même périphérique :
- Disposer d’une solution de TOTP simple et abordable,
- Disposer d’une solution évolutive vers de futurs besoins (Smart Card Logon, MFA, Windows Hello for Business, clé SSH, …)
La clé retenue est une Yubikey série 5, qui offre toutes les fonctions présentées dans ce schéma :
La clé se décline en plusieurs modèles : USB-A, USB-C, Lightening, NFC, … et sous plusieurs dimensions, ce qui permet d’adresser tous les cas d’usages et toutes les populations.
Ci-dessous la gamme série 5 au complète (hors clé Biométrique) :
Dans le cadre du bastion, la clé retenue devra disposer d’un contacteur pour détecter une pression courte.
Pour certaines actions de configuration, vous devrez avoir installé l’application Yubikey Manager (https://www.yubico.com/support/download/yubikey-manager/) et/ou Yubico Authenticator (https://www.yubico.com/products/yubico-authenticator/).
Plus d’informations sur le site du fabricant : https://www.yubico.com/la-cle-yubikey/yubikey-5-series/?lang=fr
Un petit mot pour les puristes du bastion…
Soyons honnête : si l’on compare Royal Server aux références du marché, nous ne sommes pas au même niveau de sécurité et de fonctionnalité. Pourtant, s’il est bien configuré, il est possible d’assurer les missions de base que sont les ruptures d’identités et de protocoles entre la source et la cible à administrer. Il y a aura nécessairement une limite fonctionnelle quant à son exploitation, qui sera directement liée à la taille de l’équipe – cela dit, la plupart des entreprises n’atteindront pas ce seuil et trouveront dans ce « bastion » une approche sécurisante pour leur travail quotidien.
Ami puriste, ne soit pas trop dur avec la solution !