ANALYSE
Sommaire Sécurité 
Paramétrer son pare-feu : 8 bonnes pratiques à suivre
Garantir la pérennité d'un réseau passe notamment par une optimisation initiale et continue de la configuration du firewall. Check-list des principales consignes techniques et organisationnelles à appliquer.   (04/12/2006)
  En savoir plus
 8 conseils pour configurer son IPS

Dossiers
Failles
Virus

Elément incontournable de la sécurité périmétrique, le pare-feu constitue la première ligne de défense d'un réseau informatique. Placé entre le WAN et le LAN (ou avant et après une DMZ), le firewall doit assurer un filtrage des flux aussi bien en entrée qu'en sortie.

De par l'importance de sa fonction dans la politique de sécurité, il convient de s'assurer du respect d'un certain nombre de bonnes pratiques lors du paramétrage d'un pare-feu. Le système d'information d'une entreprise n'étant pas figé, la configuration du pare-feu doit elle aussi bénéficier de mises à jour et d'un suivi afin de garantir son optimisation.

1) Bien segmenter au préalable le réseau
Sans relever directement du paramétrage du pare-feu, cette première étape sera garante d'une plus grande facilité dans la définition des règles de filtrage et leur évolution. Ainsi, la répartition des utilisateurs par groupes permettra de concevoir les règles sur les différents réseaux et non sur des IP uniques.

2) Réaliser un travail d'ingénierie en amont
Effectuée avant la mise en place des règles, cette phase permet de valider la matrice de flux (en s'appuyant sur TCP Dump ou Wireshark), mais aussi de dresser une nomenclature des objets réseau. Le niveau de filtrage est spécifique à chaque entreprise. Il ne pourra en effet être similaire entre un datacenter et une filiale. Une analyse jusqu'à la couche 7 (application), de conformité protocolaire ou de détection par signature ne sont ainsi pas toujours justifiées.

"C'est également à ce stade qu'il doit être décidé si un seul firewall ou plusieurs seront déployés. Ce choix se fera sur la base d'une analyse de risques. Il est ensuite possible de partir sur une base de règles unique ou spécifique à chaque boîtier, ou encore de spécifier des règles de filtrage communes à chacun", explique Julien Petiot, responsable de l'offre sécurité pour Silicomp.

"Il est recommandé en principe de ne pas excéder 100 règles"
(B. Bonfils - Linagora)
3) Interdire tout par défaut en entrée et sortie
Cette méthode consiste à bloquer dans un premier temps l'ensemble des flux. Ensuite, selon les besoins identifiés en amont, des permissions seront accordées au niveau protocolaire et applicatif.

Après activation du pare-feu, d'autres droits seront également accordés si cela s'avère nécessaire. Ces derniers pourront concerner des connexions aussi bien entrantes que sortantes.

4) Faire le plus simple possible
Pour Bruno Bonfils, expert sécurité pour Linagora, "il est recommandé en principe de ne pas excéder 100 règles afin que celle-ci soient facilement maintenables. On doit presque pouvoir les citer de mémoire".

"Maîtriser l'inflation des règles du pare-feu contribuera en outre à éviter les redondances. Deux règles très proches peuvent ainsi se court-circuiter mutuellement si l'une d'elles étaient par malheur plus ouverte", rappelle également Brice Vigueur, ingénieur en sécurité pour PCO Cegedim.

5) Faire du suivi de session
Cette notion d'état (ou statefull) permet d'effectuer un suivi des échanges au niveau TCP-IP. Une fois la connexion initialisée et acceptée, les paquets seront filtrés et autorisés de manière automatique.

"Cela apporte un gain au niveau de la performance du pare-feu et permet aussi à un autre pare-feu de pouvoir reprendre l'état d'une connexion en cas de surcharge", précise l'architecte sécurité de Linagora, Yannick Quenec'hdu.

6) Suivre l'activité du pare-feu
Une configuration est évolutive et s'optimise au fil de l'eau. Mais encore faut-il pour cela étudier les flux transitant par le pare-feu. Le suivi pourra ainsi s'appuyer sur un module de reporting tiers ou sur l'analyse des logs. Les remontées d'alertes peuvent en outre être définies selon des scénarios d'attaques auxquels correspondront des politiques de réaction.

"Il faut journaliser ce qui est risqué et anormal. Il est inutile d'activer la journalisation sur des attaques connues. Ce dont on a besoin, ce sont des statistiques pour dresser des tendances. Le détail n'est pertinent que sur des attaques plus poussées, menées en règle générale sur le long terme dans le but de débusquer les failles", prévient toutefois Julien Petiot.

"Il faut journaliser ce qui est risqué et anormal. Ce dont on a besoin, ce sont des statistiques pour dresser des tendances"
(J. Petiot - Silicomp)
7) Sécuriser le firewall et son accès
Cette protection devra être aussi bien de nature physique que logique. Le ou les pare-feu seront ainsi isolés électriquement et situés dans une salle de préférence inaccessible, hormis aux équipes habilitées.

La sécurité logique s'opérera notamment par du bridging consistant à rendre un firewall invisible au niveau IP. Ainsi, sauf faille critique de sécurité, il est impossible d'interagir avec celui-ci. De plus, l'administration s'effectuera par le biais d'un accès distinct de ceux d'entrée et sortie afin que les flux d'administration ne circulent pas par les mêmes interfaces de données.

Enfin, pour assurer la continuité de l'activité de l'entreprise, redonder le pare-feu peut être incontournable. Les solutions envisageables sont de recourir à des firewalls en haute disponibilité ou de basculer sur un boîtier de secours sur lequel les règles auront été dupliquées. Il faudra alors veiller à reproduire automatiquement la politique de sécurité sur le pare-feu de secours.

8) Définir les périmètres de responsabilité
Pour les entreprises constituées de différents sites et dont l'infrastructure est distribuée, plusieurs administrateurs peuvent avoir en charge la gestion des droits. Julien Petiot recommande ainsi "de définir précisément les périmètres de responsabilité de chacun, aussi bien au niveau géographique, qu'en termes de machines, de droits d'accès aux jeux de règles, etc."
  En savoir plus
 8 conseils pour configurer son IPS

Dossiers
Failles
Virus


Enfin, il est préférable de référencer dans des notes de procédure l'ensemble des règles de filtrage et leur justification. Cette formalisation garantira un meilleur suivi et l'assurance d'une certaine continuité en cas de changement dans l'équipe d'administration réseau.

Christophe AUFFRAY, JDN Solutions Sommaire Sécurité
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters