Vous savez donc maintenant, comment fonctionne un firewall et quels protocoles sont à risque. Il est temps de regarder comment écrire une règle firewall. Je vous montrerai la façon générale d’écrire ses règles afin que vous puissiez l’adapter à n’importe quel firewall.
Allez c’est parti !
Apprenez la sémantique des règles firewall
Les règles firewall, bien qu’il existe des logiciels variés, ont sensiblement la même sémantique. Ceci est dû au fait qu’elles prennent comme argument les différentes parties des en-têtes IP et UDP ou TCP. Voici les trois étapes à suivre :
Définissez si vous autorisez ou interdisez le trafic.
Définissez les adresses sources et destinations.
Définissez les ports sources et destinations.
C’est ici les trois arguments minimums qu’il vous faut pour créer une règle. Il est évidemment possible de contrôler beaucoup d’autres choses sur les en-têtes.
Ouvrez-vous à la toile
Prenons le cas de l’ouverture des ports HTTP et HTTPS qui permettront aux utilisateurs de votre réseau.
Voici une règle qui autoriserait le trafic HTTP et HTTPS.
Règles | IP source | Port Source | IP destination | Port destination | Protocole de transport |
Autorise | * | * | * | 80 | TCP |
Autorise | * | * | * | 443 | TCP |
Interdit | * | * | * | * | * |
La première règle autorise donc tout le monde (*) depuis n’importe quel port à se diriger vers n’importe quelle adresse vers le port 80.
La dernière règle interdit tout autre type de trafic. C’est la politique par défaut qui est appliquée.
Autorisez la connexion à distance entre deux serveurs
Supposons maintenant que vous deviez rendre possible la connexion de votre serveur en SSH. Vous configurez, dans cet exemple, l’accès d’un administrateur qui se trouve à distance du serveur.
Règles | IP Source | Port Source | IP Destination | Port Destination | Protocole de transport |
Autorise | IP admin | * | IP serveur | 22 | TCP |
Interdit | * | * | * | * | * |
Ici vous autorisez donc deux serveurs à communiquer l’un avec l’autre grâce au port SSH. Tout autre IP tentant de se connecter à votre serveur en SSH sera rejeté.
Avec ces notions, sur le fonctionnement interne d’un firewall, sur les services à contrôler et enfin sur la sémantique des règles, vous êtes fin prêt à passer aux choses sérieuses. Dès le prochain chapitre, vous mettrez en pratique cela avec un firewall open source pfSense, ainsi que le firewall Linux Iptables.
Ce qu’il faut retenir
Les firewalls respectent une sémantique générale, car ils contrôlent tous les mêmes données, à savoir les en-têtes IP.
Pour créer une règle firewall, il faut au minimum renseigner :
Si vous autorisez ou interdisez le trafic.
Les adresses et ports sources.
Les adresses et ports de destination.
Tous les autres champs des en-têtes IP peuvent être renseignés.
Les règles générales doivent être placées en dernière position, et les règles les plus fines en première position. Dans le cas contraire, elles ne seront jamais lues.:(
