Symantec France
Sites globaux
Produits et Services
Achats
Support
Partenaires/revendeurs
security response
Tlchargements
propos de Symantec
Recherche
votre avis

 

© 1995-2008 Symantec Corporation.
Tous droits réservés.
Mentions Légales
Politique de Confidentialité
Solutions PME/PMI

Firewall : pour une configuration sans peine
Par souci de simplicité, l'entreprise délègue bien souvent la configuration de son pare-feu à un prestataire. Il est pourtant utile qu'elle connaisse les principes de base d'une bonne configuration. Ne serait-ce que pour mieux préparer son déploiement.

Avec l'antivirus, le pare-feu est devenu l'une des briques incontournables de la sécurité informatique de l'entreprise. Mais contrairement au premier, sa mise en oeuvre et sa configuration exigent des connaissances spécifiques que l'entreprise va généralement chercher chez son intégrateur. Pourtant, même si ce dernier fait le plus souvent un bon travail, le projet peut rencontrer des difficultés superflues si l'entreprise n'a pas pris la peine de réfléchir au préalable à l'arrivée de son pare-feu. Cette réflexion peut se faire en interne, et elle est parfaitement du ressort du service informatique ou du responsable de l'informatique. Cette introspection n'est en outre pas dénuée d'intérêt car elle va permettre d'avoir une vision plus claire du système d'information et de ses lacunes éventuelles. Il s'agit-là pratiquement d'un "petit audit facile", à mi-chemin entre l'étude technique et organisationnelle.

Évaluer précisément ses besoins de connectivité

La première étape de l'analyse consiste pour l'entreprise à faire le compte de ses ressources et de distinguer celles qui nécessitent un accès à Internet (messagerie, navigation web...) de celles qui devront être accessibles depuis l'extérieur (serveur web, extranet...). Il s'agit d'identifier des applications, mais aussi du matériel (routeurs, switches, postes de travail) et des données. Pour chacun, il est nécessaire d'évaluer son besoin de connectivité (ce service a-t-il vraiment besoin d'être en contact avec Internet, ou bien seulement avec le réseau local ?) et le risque présenté par une ouverture sur le réseau. C'est essentiellement à partir de ces observations que seront écrites les règles du pare-feu. C'est donc une étape essentielle qu'il serait malvenu de confier dans sa totalité à un prestataire.

Il est ensuite judicieux de grouper les utilisateurs. Cela peut se faire par services ou par besoins métier, par exemple. Cette étape permet de mettre en adéquation les ressources techniques identifiées précédemment et les employés qui auront besoin de les utiliser. Le but de ce classement est de limiter les accès inutiles, potentiellement source d'insécurité.
Bien sûr, il peut y avoir des services communs à tous les groupes : l'accès à la messagerie ou même à la navigation sur Internet n'a pas besoin d'être réservé à une catégorie de personnel. En revanche, l'accès à des serveurs FTP hors de l'entreprise ou à des outils de messagerie instantanée n'est pas forcément nécessaire à tous. La plupart des pare-feu du marché permettent de créer ainsi des groupes d'utilisateurs et de leur appliquer des règles particulières.

Communiquer efficacement avec son prestataire

Lorsqu'elle dispose d'une vision claire de ses ressources et de ses utilisateurs, l'entreprise peut vouloir profiter du projet pare-feu pour modifier quelque peu l'architecture de son réseau. Elle peut se faire aider pour cela par un consultant pour la mise en oeuvre, mais elle dispose en interne de tous les éléments fonctionnels nécessaires : elle sait qui doit utiliser quoi, et à quoi accéder. Elle peut s'apercevoir alors qu'il serait par exemple plus judicieux de mettre tel ou tel groupe d'utilisateurs, dont les accès sont particulièrement permissifs (les développeurs, par exemple) sur une zone démilitarisé (DMZ), ou se réorganiser en considérant chaque service comme un réseau isolé, bénéficiant de ses propres ressources d'impression et de partage de fichiers. C'est souvent à ce stade que l'entreprise se rend compte qu'elle peut utiliser les fonctionnalités de filtrage existantes (de ses routeurs, par exemple) pour mieux "granulariser" son réseau.

Ce n'est qu'à l'issue de ces réflexions et ré-organisations éventuelles que l'entreprise sera en mesure de déployer son pare-feu en communiquant efficacement avec son prestataire. A ce stade, le rôle du responsable informatique sera alors de contrôler les fondamentaux des règles écrites par le prestataire. Cinq points en particulier doivent être vérifiés. Ils représentent le “ minimum syndical ” de l'administration d'un pare-feu : bien peu de prestataires commettront de telles erreurs, mais ceux qui tombent dans le piège devront être éliminés promptement !

- Le partenaire a-t-il bien appliqué une politique restrictive (tout interdire et n'autoriser que les services spécifiques) ? Ce point est essentiel dans la gestion d'un pare-feu : le filtrage peut ne porter que sur les services réputés dangereux et autoriser tout le reste (ce qui représente la solution de facilité pour le prestataire mais expose l'entreprise à tous les abus imprévus) ou bien tout interdire et n'autoriser que les services légitimes. C'est la solution habituellement recommandée... mais elle exige plus de travail !

- Quelles sont les éventuelles règles par défaut mises en oeuvre par ce modèle précis de firewall ? Certains pare-feu sont en effet livrés avec des règles écrites en usine, adaptées au plus grand nombre de configurations... mais pas forcément au cas particulier de l'entreprise !

- A-t-il pensé à interdire à l'entrée du périmètre tous les paquets affichant une adresse source de type non-routable ? Ce type d'adresses IP (généralement 192.168.0.0/255.255.255.0 ou 10.0.0.0/255.0.0.0) est utilisé au sein des réseaux locaux. Une connexion provenant d'Internet et qui clamerait avoir une telle adresse source est le symptôme d'une attaque courante : le pirate cherche à profiter des relations de confiances établies au sein du réseau local en tentant de faire croire qu'il en fait partie.

- Les paquets dits “ à route forcée ” (Source Routing) sont-ils bien interdits ? Il s'agit là aussi d'une attaque classique qui consiste à tenter de contourner le pare-feu en obligeant les paquets à emprunter une autre route, au choix du pirate. Ce type de comportement doit être interdit au périmètre de l'entreprise.

- Quels sont les services IP offerts par le pare-feu ? Sont-ils accessibles depuis l'extérieur ? Quid de leur contrôle d'accès ? De nombreux produits offrent en effet des fonctionnalités d'administration à distance via un simple navigateur. Si ces accès ne sont pas contrôlés (voire supprimés), ils peuvent permettre à un intrus d'écrire ses propres règles sur le pare-feu, et obtenir ainsi un accès privilégié au système d'information.

Bien sûr, c'est au prestataire de traduire la politique de sécurité qui vient d'être créée - car il s'agit bien de cela - en règles spécifiques propres au pare-feu choisi. Mais l'entreprise disposera ainsi d'une vision claire de ce qui est mis en oeuvre, et elle aura l'assurance que son pare-feu correspond réellement à ses besoins.

Lire aussi :
- Créer une politique de sécurité adaptée aux petites entreprises