Après avoir vu comment fonctionnait un firewall, vous allez, dans ce chapitre, apprendre à vérifier, par des exemples, les protocoles à risque. S’ils sont à risque, c’est qu’ils sont soit utilisés par vos utilisateurs, soit par les pirates qui tentent de rentrer dans votre réseau. Allez, c’est parti. :)
Ne bloquez pas tous les accès
Vous vous demandez sûrement pourquoi je ne vous fais pas une liste de services et de ports dangereux, que vous bloqueriez dès l’installation de votre firewall.
La raison est simple, ces services sont utilisés par les utilisateurs de votre réseau. Vous ne pouvez donc pas les interdire, car ils sont nécessaires au bon fonctionnement de l’entreprise. Ils devraient donc apparaître dans la politique de sécurité si celle-ci a été bien conçue.
Il faut ajouter à cela deux choses, la première, qui n'est pas une fatalité, est qu'il n'existe pas de sécurité absolue. La seule sécurité absolue serait de fermer votre LAN de l'accès Internet, ce que vous ne voulez évidemment pas. La deuxième est qu'il existe, en plus des architectures que nous avons vues, des solutions pour sécuriser ces services laissés ouverts.
Voyons cela, service par service.
Autorisez et sécurisez vos accès
Service par service, vous allez voir comment ouvrir les accès et les sécuriser.
SMTP (Simple Mail Transfert Protocol)
C'est le protocole qui permet à vos utilisateurs d'envoyer et recevoir des mails. Il est donc fort probable que vous soyez amené à devoir l’ouvrir.
Si vous hébergez un serveur SMTP, vous devrez donc ouvrir les différents ports qu’il utilise (25, 465, 587).
Pour sécuriser ce protocole, vous avez néanmoins quelques solutions :
Utilisez une architecture proxy, ce qui vous permet de vérifier le service SMTP.
Utilisez des connexions chiffrées et sécurisées avec TLS ou SSL.
Configurez votre serveur de mail, pour qu’il ne relaie que vos mails, et ce afin que les spammeurs n’utilisent pas votre serveur pour envoyer des mails (problème assez courant).
Protégez-vous contre les attaques DoS (déni de service), qui vous empêche d’utiliser votre serveur mail, en configurant fail2ban.
Configurez l’authentification, afin qu’un utilisateur sans login et mot de passe ne puisse utiliser le serveur SMTP.
Mettez à jour vos listes noires grâce aux DNSBL (Domain Name System Blacklists). Il s’agit de liste de nom de domaine reconnue comme spammeur.
Utilisez un antispam comme SpamAssassin.
HTTP
Sans ce protocole, pas de navigation Internet. Aucun doute que vos utilisateurs en aient besoin.
Pour le sécuriser :
Utiliser une architecture proxy, avec firewall type DPI.
Accès à distance
Il s’agit des méthodes de connexion à vos serveurs et autres appareils :
N’autorisez que SSH et indiquez les adresses IP sources ayant le droit de se connecter.
Le transfert de fichier
Si vos utilisateurs en ont le besoin, ou si un de vos serveurs utilise FTP, il vous faudra :
Utilisez FTPS qui est une combinaison de FTP et de SSL ou TLS
Utilisez une architecture proxy
Si seulement certaines personnes ou serveurs ont accès au serveur FTP, configurez les adresses sources dans vos règles firewall. Ainsi, aucune personne non autorisée n'y aura accès.
Avec cette petite liste des services les plus utilisés en entreprise, et certaines des solutions à mettre en œuvre pour vous défendre, vous avez déjà un bon aperçu de ce qui vous attend le jour où vous serez amené à configurer un firewall. Vous serez sûrement amené à en configurer d’autres selon les utilisations de l’entreprise.
Dans le prochain chapitre, vous apprendrez à écrire ces règles en prenant en exemple Iptables.
Ce qu’il faut retenir
La seule façon de se prémunir de toute attaque est de fermer tous les accès. Dans la majorité des cas, cela n’est pas envisageable.
Il n’y a pas de sécurité garantie à 100 %.
Vous devrez ouvrir les protocoles utilisés par vos utilisateurs et serveurs. Ceux-ci devraient coïncider avec la politique de sécurité.
Afin de sécuriser les accès laissés ouverts, vous avez plusieurs façons de procéder :
Sécuriser les accès serveur.
Utiliser une architecture proxy.
Utiliser des antispams.
Configurer les adresses IP source ayant le droit de se connecter.
Utiliser fail2ban, pour les attaques DoS.