Configuration de pare-feu en 6 étapes

Vous avez terminé la configuration de ce nouveau routeur sans fil et vous êtes prêt(e) pour votre prochaine aventure : configurer un pare-feu. Gulp. Nous savons, semble vraiment intimidant. Mais respirez doucement, car nous l’avons divisé en 6 étapes simples qui devraient vous aider sur votre chemin vers le nirvana de sécurité réseau. Et c’est parti…

Étape 1 : Sécurisez votre pare-feu (Cela semble redondant, nous le savons.)

L’accès administratif à votre pare-feu doit être limité à ceux en qui vous avez confiance. Supprimez tous les attaquants potentiels, assurez-vous que votre pare-feu est sécurisé par au moins l’une des actions de configuration suivantes :

• Mettez à jour votre pare-feu avec le dernier micrologiciel recommandé par le fournisseur.
• Supprimez, désactivez ou renommez tous les comptes d’utilisateurs par défaut et modifiez tous les mots de passe par défaut. Assurez-vous d’utiliser uniquement des mots de passe complexes et sécurisés.
• Si plusieurs personnes gèrent le pare-feu, créez des comptes supplémentaires avec des privilèges limités en fonction des responsabilités. N’utilisez jamais de comptes d’utilisateurs partagés. Suivez qui a fait quoi et pourquoi. La responsabilisation favorise la diligence raisonnable dans les changements.
• Limitez d’où les utilisateurs peuvent apporter des modifications pour réduire votre surface d’attaque, c’est-à-dire que les modifications ne peuvent être effectuées qu’à partir de sous-réseaux approuvés au sein de votre entreprise.

Étape 2 : Architecte des zones de pare-feu et des adresses IP (aucun levage lourd requis.)

Pour mieux protéger les actifs de votre réseau, vous devez d’abord les identifier. Planifier une structure où les actifs sont regroupés en fonction de l’entreprise et de l’application nécessite un niveau de sensibilité et une fonction similaires et combinés en réseaux (ou zones). N’optez pas pour le moyen facile de sortir et faites-en un seul réseau aplani. Facile pour vous signifie facile pour les agresseurs!

Tous vos serveurs qui fournissent des services sur le Web (par exemple, courriel, VPN) doivent être organisés en une zone dédiée qui limite le trafic entrant depuis Internet, souvent appelée zone démilitarisée ou DMZ. Alternativement, les serveurs qui ne sont pas accessibles directement depuis Internet doivent être placés dans des zones de serveur internes. Ces zones comprennent généralement des serveurs de bases de données, des postes de travail et tout périphérique de point de vente (POS) ou de protocole voix sur Internet (VoIP).

Si vous utilisez IP version 4, les adresses IP internes doivent être utilisées pour tous vos réseaux internes. La traduction d’adresses réseau (NAT) doit être configurée pour permettre aux périphériques internes de communiquer sur Internet si nécessaire.

Après avoir conçu votre structure de zone réseau et établi le schéma d’adresse IP correspondant, vous êtes prêt à créer vos zones de pare-feu et à les affecter à vos interfaces ou sous-interfaces de pare-feu. Au fur et à mesure que vous construisez votre infrastructure réseau, des commutateurs prenant en charge les réseaux locaux virtuels (VLAN) doivent être utilisés pour maintenir une séparation de niveau 2 entre les réseaux.

Étape 3 : Configurer les listes de contrôle d’accès (c’est votre groupe, invitez qui vous voulez.)

Une fois les zones réseau établies et affectées aux interfaces, vous commencerez par créer des règles de pare-feu appelées listes de contrôle d’accès ou ACL. Les ACL déterminent quel trafic a besoin d’une autorisation pour circuler dans et hors de chaque zone. Les ACL sont les blocs de construction de qui peut parler à quoi et bloquer le reste. Appliquées à chaque interface ou sous-interface de pare-feu, vos listes de contrôle d’accès doivent être rendues aussi spécifiques que possible aux adresses IP source et/ou de destination et aux numéros de port exacts chaque fois que possible. Pour filtrer le trafic non approuvé, créez une règle « refuser tout » à la fin de chaque ACL. Ensuite, appliquez les ACL entrantes et sortantes à chaque interface. Si possible, désactivez vos interfaces d’administration de pare-feu de l’accès public. N’oubliez pas, soyez aussi détaillé que possible dans cette phase; testez non seulement que vos applications fonctionnent comme prévu, mais assurez-vous également de tester ce qui ne devrait pas être autorisé. Assurez-vous d’examiner la capacité des pare-feux à contrôler les flux de niveau de prochaine génération; peut-il bloquer le trafic en fonction des catégories Web? Pouvez-vous activer l’analyse avancée des fichiers? Contient-il un certain niveau de fonctionnalité IPS? Vous avez payé pour ces fonctionnalités avancées, alors n’oubliez pas de faire ces « prochaines étapes »

Étape 4 : configurez vos autres services de pare-feu et la journalisation (votre collection de disques non vinyles.)

Si vous le souhaitez, activez votre pare-feu comme serveur DHCP (Dynamic Host Configuration Protocol), serveur NTP (Network Time Protocol), système de prévention des intrusions (IPS), etc. Désactivez tous les services que vous n’avez pas l’intention d’utiliser.

Pour satisfaire aux exigences PCI DSS (norme de sécurité des données de l’industrie des cartes de paiement), configurez votre pare-feu pour qu’il soit signalé à votre serveur de journalisation et assurez-vous que suffisamment de détails sont inclus pour satisfaire aux exigences 10.2 à 10.3 de la norme PCI DSS.

Étape 5 : Testez la configuration de votre pare-feu (ne vous inquiétez pas, c’est un test à livre ouvert.)

Tout d’abord, vérifiez que votre pare-feu bloque le trafic qui doit être bloqué en fonction de vos configurations ACL. Cela devrait inclure à la fois l’analyse des failles et les tests de pénétration. Assurez-vous de conserver une sauvegarde sécurisée de votre configuration de pare-feu en cas de panne. Si tout se passe bien, votre pare-feu est prêt pour la production. TESTEZ le processus de retour à une configuration. Avant d’apporter des modifications, documentez et testez votre procédure de récupération.

Étape 6 : Gestion du pare-feu (tous les pare-feux doivent être alimentés.)

Une fois que votre pare-feu est configuré et fonctionne, vous devrez le maintenir pour qu’il fonctionne de manière optimale. Assurez-vous de mettre à jour le micrologiciel, de surveiller les journaux, d’effectuer des analyses de faille et de revoir vos règles de configuration tous les six mois.

Prochaines étapes

Et voilà! Si vous êtes arrivé jusqu’ici, vous êtes maintenant un expert en sécurité de pseudo-réseau. Cependant, si vous souhaitez une assistance supplémentaire, veuillez visiter notre communauté des petites entreprises. Vous y trouverez des réponses à des questions fréquentes et rencontrerez des personnes à la tête d’entreprises similaires à la vôtre et confrontées à des défis informatiques semblables aux vôtres.