Mac OS X Server - Modification des réglages de sécurité

background image

Modification des réglages de sécurité

Utilisez la sous-fenêtre Sécurité de Préférences du serveur pour protéger votre serveur
des utilisateurs provenant d’autres réseaux ou d’Internet.

background image

196

Chapitre 10

Gestion des informations du serveur

Vous pouvez soit configurer un coupe-feu, soit gérer une borne d’accès AirPort Extreme
(802.11n) ou une Time Capsule pour protéger votre réseau local (sous-réseau IP).
Dans tous les cas, il est possible de spécifier quels services acceptent des connexions
entrantes provenant d’ordinateurs extérieurs au réseau local de votre serveur (sous-
réseau IP). Si vous utilisez la sécurité par coupe-feu (et non le gestionnaire AirPort),
vous pouvez autoriser des connexions entrantes externes au réseau local de votre
serveur à tous vos services.

Si la sous-fenêtre Sécurité précise que vous utilisez le coupe-feu d’applications, vous
pouvez le gérer dans Préférences Système ; vous pouvez aussi le désactiver dans
Préférences Système, puis gérer le coupe-feu du serveur à l’aide de Préférences du
serveur. Pour en savoir plus, consultez la rubrique suivante « À propos de la sécurité par
coupe-feu ».

Si votre serveur se connecte à Internet grâce à un routeur réseau autre qu’une borne
d’accès AirPort Extreme ou une Time Capsule, vous pouvez utiliser le logiciel de
configuration du routeur pour protéger votre serveur et votre réseau local. Dans ce cas,
vous pouvez désactiver la sécurité par coupe-feu dans la sous-fenêtre Sécurité. Pour
obtenir des informations sur la configuration de votre routeur, consultez la rubrique
« Protection de votre réseau au moyen d’un routeur » à la page 43.

Pour contrôler les services exposés à Internet :

1

Si vous disposez d’une borne d’accès AirPort Extreme ou d’une Time Capsule et si

un bouton « Activer le gestionnaire AirPort » apparaît dans la sous-fenêtre Sécurité,
cliquez dessus pour utiliser la borne d’accès AirPort Extreme ou la Time Capsule afin de
contrôler la sécurité.

background image

197

Chapitre 10

Gestion des informations du serveur

Pour vous identifier, saisissez le mot de passe de la borne d’accès ou de la Time Capsule
(et non le mot de passe du réseau sans fil).
Si vous avez modifié les options NAT de votre borne d’accès AirPort Extreme ou de
votre Time Capsule pour utiliser votre serveur en tant qu’hôte par défaut, vous devez
utiliser le coupe-feu du serveur et non le gestionnaire AirPort pour contrôler la sécurité.
Dans ce cas, ne cliquez pas sur « Activer le gestionnaire AirPort » dans la sous-fenêtre
Sécurité. Par défaut, pour une borne d’accès AirPort Extreme ou une Time Capsule,
l’option hôte par défaut est désactivée.
Si vous utilisez les options NAT par défaut sur votre borne d’accès AirPort ou votre Time
Capsule, ne cliquez pas sur le bouton « Activer la sécurité par coupe-feu » si celui-ci
apparaît dans la sous-fenêtre Sécurité. Cliquez sur ce bouton seulement si vous avez
changé les options d’hôte par défaut dans la sous-fenêtre NAT de l’application Utilitaire
AirPort.

2

Dans la sous-fenêtre Sécurité de Préférences du serveur, cliquez sur le commutateur

Activer/Désactiver pour activer le contrôle de la sécurité.

3

Pour autoriser un service à accepter des connexions entrantes provenant de tous les

réseaux, y compris Internet, cliquez sur le bouton Ajouter (+) et sélectionnez le service
dans le menu local.
Si le service que vous souhaitez ajouter n’est pas répertorié dans le menu local,
sélectionnez Autre et saisissez ensuite le nom et le port du service. Pour obtenir la liste
des noms et ports de services, ouvrez Admin Serveur et utilisez le menu Aide pour
rechercher « référence du port UDP et TCP ».

background image

198

Chapitre 10

Gestion des informations du serveur

4

Pour empêcher un service répertorié d’accepter des connexions entrantes provenant

de tous les réseaux, y compris Internet, sélectionnez le service et cliquez sur le bouton
Supprimer (–).
Lorsque le contrôle de la sécurité est activé, les services qui ne sont pas répertoriés
dans la sous-fenêtre Sécurité peuvent uniquement accepter des connexions entrantes
provenant du réseau local du serveur.

Si vous utilisez le gestionnaire AirPort et effectuez des modifications dans la sous-
fenêtre Sécurité, Préférences du serveur vous demande de redémarrer votre borne
d’accès ou votre Time Capsule afin d’appliquer ces modifications. Le redémarrage
va interrompre l’accès à Internet et le service DHCP de tous les ordinateurs de votre
réseau local pendant une minute au maximum.

Si vous activez la sécurité par coupe-feu et si votre serveur se connecte à Internet grâce
à un routeur réseau, vous devez configurer votre routeur afin d’envoyer toutes les
demandes entrantes de services à votre serveur. Pour obtenir des instructions, ouvrez
« Aide Préférences du serveur » et recherchez « faire de votre serveur l’hôte par défaut
du routeur ».

Pour autoriser des demandes entrantes de services avec la sécurité par coupe-feu :
Dans la sous-fenêtre Sécurité, cliquez sur le commutateur Activer/Désactiver pour

m

désactiver la sécurité par coupe-feu.

background image

199

Chapitre 10

Gestion des informations du serveur

Une fois la sécurité par coupe-feu désactivée, le coupe-feu de votre serveur autorise
les connexions entrantes à tous les services. Mais, si votre serveur se connecte à
Internet grâce à un routeur câble, DSL ou autre, vous devez également le configurer
pour envoyer des demandes de services entrantes à votre serveur. Pour obtenir des
informations sur la configuration de votre routeur, consultez la rubrique « Protection de
votre réseau au moyen d’un routeur » à la page 43.
Si vous utilisez le gestionnaire AirPort (et non la sécurité par coupe-feu) et si vous le
désactivez, vous bloquez les connexions entrantes à tous les services.

À propos de la sécurité par coupe-feu

Vous pouvez contrôler le coupe-feu Mac OS X Server à partir de la sous-fenêtre Sécurité
de Préférences du serveur. Appelé coupe-feu IP, il accepte ou refuse le trafic entrant
ou sortant en se basant sur les attributs du trafic, tels que le port de destination ou
l’adresse IP d’origine. Pour obtenir des informations sur le coupe-feu IP, ouvrez Admin
Serveur, puis recherchez « Vue d’ensemble du service coupe-feu » dans le menu Aide.

Votre serveur dispose également du coupe-feu Mac OS X, qui fonctionne différemment.
Ce dernier est appelé coupe-feu d’applications car il accepte ou refuse les connexions
entrantes en fonction de l’application, du service ou de tout autre module de logiciel
particulier essayant d’accepter la connexion. Ce coupe-feu ne contrôle pas le trafic
réseau sortant. Vous gérez le coupe-feu d’applications avec Préférences Système et non
pas avec Préférences du serveur.

Si vous mettez à niveau votre serveur à partir de Mac OS X Server 10.5, le coupe-feu
d’applications peut être activé. Vous devez le désactiver dans la sous-fenêtre Sécurité
de Préférences Système avant de pouvoir gérer le coupe-feu IP à partir de la sous-
fenêtre Sécurité de Préférences du serveur.

background image

200

Chapitre 10

Gestion des informations du serveur

Le coupe-feu de votre serveur et le service VPN peuvent tous deux autoriser les
connexions entrantes externes à votre réseau local. Toutefois, le service VPN exige une
authentification pour autoriser l’accès, contrairement au coupe-feu. Si le service VPN est
activé, il peut être inutile d’exposer certains services à Internet via votre coupe-feu. Par
exemple, vous pouvez configurer le coupe-feu pour exposer uniquement vos services
web sur Internet si bien que le public peut afficher votre site web. Les utilisateurs
de votre serveur peuvent accéder à d’autres services (partage de fichiers, Carnet
d’adresses, iCal, iChat et messagerie) au moyen d’une connexion VPN.