D’ici 2023, 99% des violations de pare-feu seront causées par une mauvaise configuration du pare-feu, et non par des défauts du pare-feu lui même. La configuration d’un pare-feu correctement est un élément clé pour protéger les organisations contre les violations de données et les cyberattaques.

Cette configuration peut être un projet intimidant. Mais la décomposition du travail en des tâches plus simples peut le rendre beaucoup plus gérable.

Ce travail consiste à configurer les noms de domaine et les adresses IP afin de sécuriser le pare-feu. La configuration de la politique de pare-feu est basée sur le type de réseau, tel que public ou privé. Celle-ci peut être configurée avec des règles de sécurité. Ces règles bloquent ou autorisent l’accès afin de prévenir les attaques potentielles de cybercriminels ou de logiciels malveillants.

Une mauvaise configuration du pare-feu peut permettre aux attaquants d’obtenir un accès non autorisé aux réseaux et ressources internes protégées. Par conséquent, les cybercriminels sont constamment à la recherche de ces failles. L’exemple de réseaux qui disposent de logiciels ou de serveurs obsolètes et qui ne sont pas protégés.

Il existe de nombreux modèles de pare-feu qui peuvent être utilisés pour protéger votre réseau. Cependant, quel que soit le modèle de pare-feu que vous choisissez, voici 5 étapes que vous devez suivre pour réussir votre configuration.

Sécurisez votre pare-feu :

Si un cybercriminel parvient à obtenir un accès administratif à votre pare-feu, la sécurité de votre réseau est automatiquement compromise. Par conséquent, la sécurisation de votre pare-feu est la première et la plus importante étape du processus. Pour bloquer tout attaquant potentiel, assurez-vous que votre pare-feu soit sécurisé par au moins l’une des actions de configuration suivantes :

  • Mettez à jour votre pare-feu avec le dernier micrologiciel recommandé par le fournisseur.
  • Supprimez, désactivez ou renommez tous les comptes d’utilisateur par défaut, et changez tous les mots de passe par défaut.
  • Veillez à n’utiliser que des mots de passe complexes et sécurisés.
  • Si plusieurs administrateurs doivent gérer le pare-feu, créez des comptes supplémentaires avec des privilèges limités en fonction des responsabilités. N’utilisez jamais de comptes d’utilisateur partagés.
  • Limitez l’endroit d’où les personnes peuvent effectuer des modifications. Cela permet de réduire votre surface d’attaque. Donc les modifications ne peuvent être effectuées qu’à partir de sous-réseaux de confiance au sein de votre entreprise

Créez l’architecture de votre pare-feu :

Afin de protéger les actifs précieux de votre réseau, vous devez tout d’abord les identifier. S’agit-il des données des cartes de paiement, données sur vos clients, ou autre ?

Ensuite, planifiez la structure de votre réseau. Ces actifs doivent puissent être regroupés et placés dans des réseaux, appelés aussi des zones. Cela en fonction de leur niveau de sensibilité et de leur fonction. Par exemple, les serveurs qui fournissent des services sur Internet tel que les serveurs Web, serveurs de messagerie, VPN, etc. doivent être placés dans une zone spécifique qui autorise un trafic entrant limité depuis Internet.

Les serveurs auxquels on ne doit pas accéder directement depuis l’Internet, comme les serveurs de bases de données et les systèmes de voix sur IP doivent être placés dans des zones de serveurs internes.

D’une manière générale, plus vous créez de zones, plus votre réseau est sécurisé. A condition que vous ayez le temps et les ressources nécessaires pour gérer un grand nombre de zones. Si vous utilisez la version 4 d’IP, des adresses IP internes doivent être utilisées pour tous vos réseaux internes. La traduction d’adresses réseau (NAT) doit être configurée. L’objectif étant de permettre aux périphériques internes de communiquer sur Internet lorsque cela est nécessaire.

Une fois que vous ayez conçu la structure de votre zone réseau et établi le schéma d’adresses IP correspondant, vous êtes prêt à créer vos zones de pare-feu et à les affecter à vos interfaces ou sous-interfaces de pare-feu. A fur et à mesure que vous construisez votre infrastructure réseau, il convient d’utiliser des commutateurs prenant en charge les réseaux locaux virtuels (VLAN) pour maintenir une séparation de niveau 2 entre les réseaux.

Configurez l’ACL (Access Control List) :

Les listes de contrôle d’accès (ACL) permettent aux entreprises de déterminer quel trafic est autorisé à entrer et à sortir de chaque zone. Ces listes agissent comme des règles de pare-feu, que les entreprises peuvent appliquer à chaque interface et sous-interface du pare-feu.

Les ACL doivent être spécifiques aux numéros de port et aux adresses IP exacts de la source et de la destination. Une règle « deny all » doit être créée à la fin de chaque ACL, ce qui permet aux entreprises de filtrer le trafic non approuvé.

Chaque interface et sous-interface a également besoin d’une ACL entrante et sortante pour s’assurer que seul le trafic approuvé peut atteindre chaque zone. Il est également conseillé de désactiver les interfaces d’administration du pare-feu de l’accès public afin de protéger la configuration et de désactiver les protocoles de gestion du pare-feu non chiffrés.

Configurez les autres services du pare-feu :

Votre pare-feu peut agir comme un serveur DHCP (Dynamic Host Configuration Protocol), un serveur NTP (Network Time Protocol), un système de prévention des intrusions (IPS), etc. Désactivez tous les services que vous n’avez pas l’intention d’utiliser.

Testez votre configuration :

Tout d’abord, vérifiez que votre pare-feu bloque le trafic qui devrait être bloqué selon vos configurations ACL. Cette vérification doit inclure à la fois des analyses de vulnérabilité et des tests de pénétration.

Assurez-vous de conserver une sauvegarde sécurisée de la configuration de votre pare-feu en cas de dysfonctionnement. Si tout se vérifie, votre pare-feu est prêt pour la production. Avant d’apporter des modifications, documentez et testez votre procédure de récupération.

0 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *