Préconisations de sécurité réseau pour SenSaaS
Cette fiche s'adresse au service informatique responsable du serveur devant accueillir le "Serveur SenSaaS". Elle détaille les mesures de sécurité réseau à mettre en œuvre avant l'installation.
Objectif
Configurer le pare-feu pour autoriser l'accès des serveurs distants nécessaires au fonctionnement du module SenSaaS. Cette configuration garantit une communication sans restriction de temps ni de volume entre les serveurs de l'infrastructure SenSaaS et le serveur hébergeant les données Sage.
Liste des serveurs à autoriser
Les serveurs suivants doivent être autorisés à communiquer avec le serveur local sur un port dédié (par exemple, le port 4000, configurable selon les besoins) :
web01.srv.sensaas.fr
web02.srv.sensaas.fr
web03.srv.sensaas.fr
web04.srv.sensaas.fr
web05.srv.sensaas.fr
web06.srv.sensaas.fr
web07.srv.sensaas.fr
web08.srv.sensaas.fr
web09.srv.sensaas.fr
web10.srv.sensaas.fr
web11.srv.sensaas.fr
web12.srv.sensaas.fr
Méthodes de configuration
Autorisation sur le pare-feu
Par adresses spécifiques : Créer une règle personnalisée pour autoriser chaque serveur de la liste ci-dessus à communiquer sur le port défini.
Par domaine :
Autoriser la communication pour le domaine global *.srv.sensaas.fr, ce qui simplifie la gestion si de nouveaux serveurs sont ajoutés.
Exemples de configuration
Pare-feu Windows :
- Créer une règle personnalisée pour autoriser le trafic entrant/sortant sur le port 4000
- Spécifier les adresses IP ou les noms de domaine des serveurs distants
- Utiliser un script PowerShell pour automatiser cette tâche
Configuration routeur (Access-List) :
- Sur un routeur physique (ex. Cisco), ajouter une règle dans l'Access-List
- Permettre la communication entre les serveurs SenSaaS et le serveur hébergeant les données
- Ajouter une permission pour un host précis en définissant le port d'écoute
Complément de configuration
Un complément de préconisations et de configuration est disponible sur : Détails d'ouverture du port
Cas particulier : Configuration sur une box Internet
Non recommandé pour un environnement professionnel
L'utilisation d'une box Internet n'est pas recommandée pour un environnement professionnel.
Dans certains cas, il peut être nécessaire de configurer le pare-feu local et le routeur intégré :
- Ouvrir le port dédié (ex. 4000)
- Ajouter des règles de routage ou d'autorisation
Conseils de configuration
Se référer aux fiches techniques du modem/routeur pour les instructions spécifiques. Si ces règles ne sont pas gérables via la box, elles peuvent l'être directement au niveau du pare-feu Windows. Attention également aux éventuelles restrictions imposées par les antivirus.
Télétravail et mobilité des consultants
Pour permettre aux consultants en déplacement ou en télétravail d'effectuer des tests sans serveur local, vérifier :
- L'ouverture des ports nécessaires au niveau de leur environnement
- Les règles de filtrage appliquées par l'antivirus ou tout autre logiciel de sécurité
Test de la configuration
Deux méthodes permettent de vérifier la communication entre app.sensaas.fr et l'Outil de Configuration SenSaaS :
- A partir de l'outil en ligne : https://portail.sensaas.fr/test.php
- A partir de l'outil de configuration SenSaaS : Bouton de "Synchronisation" des utilisateurs
Scripts PowerShell
Des scripts PowerShell sont disponibles ci-dessous à titre d'exemple, permettant de créer rapidement des règles adaptées au pare-feu Windows.
Important
Vérifiez les scripts avant de les éxécuter afin de vous assurer qu'ils sont compatible avec votre environnement et qu'ils correspondent bien à votre politique de sécurité interne.
Code PowerShell
Codes scripts Powershell
# Christophe FUNCK
# Modèle de script d'import GPO pour autorisation de serveur spécifique sur le port 4000
# Ce script crée une nouvelle GPO, ajoute des règles de pare-feu pour chaque serveur distant spécifié dans la liste, et lie la GPO à une unité d'organisation (OU) spécifique.
# Assurez-vous de remplacer les valeurs de DC=Domain,DC=com et OU=Servers par celles de votre environnement.
# Importer le module de gestion des stratégies de groupe
Import-Module GroupPolicy
# Nom de la GPO
$gpoName = "Allow Port 4000 to Remote Servers"
# Créer la GPO
New-GPO -Name $gpoName
# Liste des serveurs distants
$remoteServers = @(
"web01.srv.sensaas.fr",
"web02.srv.sensaas.fr",
"web03.srv.sensaas.fr",
"web04.srv.sensaas.fr",
"web05.srv.sensaas.fr",
"web06.srv.sensaas.fr",
"web07.srv.sensaas.fr",
"web08.srv.sensaas.fr",
"web09.srv.sensaas.fr",
"web10.srv.sensaas.fr",
"web11.srv.sensaas.fr",
"web12.srv.sensaas.fr"
)
# Port à ouvrir
$port = 4000
# Chemin de la règle de pare-feu dans la GPO
$gpoPath = "Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security - LDAP://CN=FirewallPolicy,CN=PublicProfile,CN=WindowsFirewall,CN=System,DC=Domain,DC=com"
# Ajouter la règle de pare-feu pour chaque serveur distant
foreach ($remoteServer in $remoteServers) {
$ruleName = "Allow Port 4000 to $remoteServer"
$rule = "netsh advfirewall firewall add rule name=`"$ruleName`" dir=out action=allow protocol=TCP remoteip=$remoteServer localport=$port"
Set-GPRegistryValue -Name $gpoName -Key "HKLM\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging" -ValueName "LogFilePath" -Value $rule
}
# Lier la GPO à une unité d'organisation (OU)
$ou = "OU=Servers,DC=Domain,DC=com"
New-GPLink -Name $gpoName -Target $ou
# Christophe FUNCK
# Ce script crée une nouvelle règle de pare-feu pour chaque serveur distant spécifié dans la liste, autorisant les connexions sortantes sur le port 4000.
# Liste des serveurs distants
$remoteServers = @(
"web01.srv.sensaas.fr",
"web02.srv.sensaas.fr",
"web03.srv.sensaas.fr",
"web04.srv.sensaas.fr",
"web05.srv.sensaas.fr",
"web06.srv.sensaas.fr",
"web07.srv.sensaas.fr",
"web08.srv.sensaas.fr",
"web09.srv.sensaas.fr",
"web10.srv.sensaas.fr",
"web11.srv.sensaas.fr",
"web12.srv.sensaas.fr"
)
# Port à ouvrir
$port = 4000
# Nom de la règle de pare-feu
$ruleName = "Allow Port 4000 to Remote Servers"
# Ajouter la règle de pare-feu pour chaque serveur distant
foreach ($remoteServer in $remoteServers) {
New-NetFirewallRule -DisplayName "$ruleName - $remoteServer" -Direction Outbound -RemoteAddress $remoteServer -LocalPort $port -Protocol TCP -Action Allow
}
Téléchargements
Conclusion
Une configuration correcte du pare-feu et des règles réseau est essentielle pour garantir la connectivité et la sécurité du module SenSaaS. Le service informatique doit adapter ces préconisations en fonction de l'infrastructure existante et des politiques de sécurité en place.
Besoin d'aide ?
Si vous rencontrez des difficultés lors de cette procédure, n'hésitez pas à contacter le support technique par mail à support@sensaas.fr ou par téléphone au 04 90 88 22 76