Skip to main content

Skillber v1.0 is here!

Learn more

Gestion des Sessions

Checking access...

La gestion des sessions privilégiées est la capacité d’enregistrer, surveiller et contrôler les sessions actives des administrateurs sur les systèmes critiques. C’est la seule façon de savoir exactement ce qu’un administrateur a fait pendant une session privilégiée.

Architecture Proxy PAM

Flux de Session Proxy

┌─────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐
| Admin |──────>| PAM Proxy|──────>| Serveur | | Stockage |
| (SSH/ | | (RDP/ | | Cible | | Sessions |
| RDP) |<──────| SSH/ |<──────| | | (S3/WORM)|
└─────────┘ | HTTP) | └──────────┘ └──────────┘
└──────────┘ │
│ Enregistrement
│ (vidéo, texte,
Contrôle d'accès frappe)
(MFA, politique)

Composants du Proxy PAM

ComposantFonctionConsidération de Performance
Proxy de connexionPoint d’entrée pour les connexions RDP/SSH/HTTP~50ms de latence ajoutée par saut proxy
Enregistreur de sessionCapture et stocke l’activité de la session~1-100 KB/s selon la méthode d’enregistrement
Moteur d’alerte temps réelAnalyse les commandes et actions en directTraitement sous 100ms pour ne pas impacter la session
Moteur de filtrageBloque ou permet les commandes selon la politiqueVérification avant exécution de la commande
Terminaison de sessionDéconnecte la session sur déclencheurAction immédiate (< 1s)

Méthodes d’Enregistrement

MéthodeTaille de Stockage (par heure)Niveau de DétailRecherchableRelecture
Vidéo (RDP)~500 MB - 2 GB (selon résolution)Écran complet (pixels)NonOui (comme une vidéo)
Texte (SSH/CLI)~3.6 MB (1 KB/s)Commandes et sortie texteOui (grep)Oui (relecture texte)
Frappe (Keystroke)< 1 MBChaque frappe, copie, clicOui (recherche de chaîne)Oui (rejeu de frappes)
Métadonnées< 0.1 MBDébut, fin, durée, utilisateur, cibleOuiNon

Recommandations par Type de Session

Type de SessionMéthode d’EnregistrementRétentionStockage Est. (50 admins)
SSH (Linux)Texte + Frappe1 an~15 GB
RDP basse résolutionVidéo (1024x768, 5fps)1 an~4 TB
RDP haute résolutionVidéo (1920x1080, 15fps)1 an~18 TB
HTTP/HTTPS (console web)Vidéo + Métadonnées1 an~8 TB
Base de donnéesTexte (requêtes SQL)1 an~5 GB

Alertes Temps Réel

Règles d’Alerte

RègleDéclencheurActionSéverité
Commande dangereuserm -rf /, shutdown, userdelAlerte + notification SOCCritique
Accès hors heuresSession après 20h ou avant 6hAlerte + journalisationMoyenne
Pays inhabituelIP source d’un pays non autoriséAlerte + terminaison de sessionCritique
Téléchargement de fichierSCP/SCP de fichier vers IP inconnueAlerte + blocageÉlevée
Élévation de privilège suspectesudo su -, utilisation de rootAlerte + notificationÉlevée
Plusieurs sessions>3 sessions simultanéesAlerte + verificationMoyenne

Filtrage de Commandes

PolitiqueComportementExemple
Allowlist (liste blanche)Seules les commandes autorisées sont exécutéesPermettre : systemctl restart app, tail -f log
Blocklist (liste noire)Les commandes interdites sont bloquéesBloquer : rm -rf /, shutdown, passwd
Approbation requiseCertaines commandes nécessitent une approbationApprouver : chmod 777, useradd admin
Double commandeDeux admins doivent exécuter la commande simultanémentExiger : wall -n “Confirmez-vous cette action ?”

Terminaison de Session

Critères de Terminaison

CritèreDescriptionDélai
Violation de politiqueCommande interdite détectéeImmédiat (< 1s)
InactivitéPas d’activité pendant une période définie5-30 minutes (configurable)
Expiration de duréeDurée maximale de session atteinte2-8 heures (configurable)
Fin de fenêtre JITFenêtre d’élévation JIT expirée5 minutes (grace period)
Détection d’anomalieComportement anormal détectéImmédiat
Déconnexion manuelleAdministrateur PAM met fin à la sessionImmédiat

Forensique des Sessions

Enquête Post-Incident

Élément de PreuveSource PAMAnalyse
Quand ?Horodatage début/fin de sessionChronologie de l’incident
Qui ?Identifiant utilisateur PAM + MFAAttribution de l’action
Quoi ?Enregistrement texte, vidéo, commandesReconstruction de l’action
Où ?IP source, serveur cible, portPérimètre de l’incident
Comment ?Méthode d’authentification, élévationVecteur d’attaque

Points Clés à Retenir

  • La gestion des sessions PAM utilise une architecture proxy intermédiaire (l’admin se connecte au proxy, le proxy se connecte au serveur cible) — le proxy contrôle l’accès, enregistre l’activité et peut terminer la session en temps réel
  • Les méthodes d’enregistrement varient : texte/CLI pour SSH (3.6 MB/h, recherchable), vidéo pour RDP (500 MB-2 GB/h, rejouable comme une vidéo), frappe pour l’analyse granulaire — choisissez la méthode en fonction du type de session et des exigences de conformité
  • Les alertes temps réel analysent les commandes pendant la session et peuvent déclencher des notifications, des blocages de commandes, ou des terminaisons de session — les règles incluent les commandes dangereuses, les horaires inhabituels, les IP suspectes, les téléchargements de fichiers et les élévations de privilège
  • Le filtrage de commandes permet quatre politiques : allowlist (seules les commandes autorisées), blocklist (commandes interdites), approbation requise (pour les commandes sensibles), double commande (deux admins nécessaires)
  • La terminaison de session est déclenchée par violation de politique, inactivité, expiration de durée, fin de fenêtre JIT, détection d’anomalie ou déconnexion manuelle — l’action est immédiate (< 1s)
  • La forensique des sessions utilise les enregistrements PAM pour répondre à cinq questions clés : quand, qui, quoi, où, comment — c’est la source de preuve la plus fiable pour les enquêtes post-incident