Comment choisir une politique de pare-feu efficace pour sécuriser vos serveurs

Une politique par défaut «accepter» signifie que tout trafic sans correspondance est autorisé à entrer sur le serveur. Cela n’est généralement pas conseillé, car cela signifie que vous conserverez effectivement une liste noire. Les listes noires sont difficiles à gérer car vous devez anticiper et bloquer explicitement le type de trafic indésirable deevery. Cela peut entraîner des problèmes de maintenance et est généralement sujet à des erreurs, des configurations erronées et des trous imprévus dans la stratégie établie.

L'alternative est une politique par défaut de «drop». Cela signifie que tout trafic ne correspondant pas à une règle explicite ne sera pas autorisé. Cela ressemble à une liste blanche ACL. Chaque service doit être explicitement autorisé, ce qui peut sembler être une somme importante de recherche et de travail au début. Toutefois, cela signifie que votre stratégie tend à la sécurité et que vous savez exactement ce qui est autorisé à recevoir du trafic sur votre serveur.

Fondamentalement, le choix se résume à une tendance à la sécurité par défaut ou à des services accessibles prêts à l'emploi. Même s'il peut être tentant d'implémenter un pare-feu orienté vers la disponibilité du service, il est presque toujours préférable de bloquer le trafic sauf autorisation expresse.

Le choix ci-dessus d'une politique de suppression par défaut conduit à une autre décision subtile. Aveciptables et d'autres pare-feu similaires, la stratégie par défaut peut être définie à l'aide de la fonctionnalité de stratégie intégrée du pare-feu, ou mise en œuvre en ajoutant une règle de suppression fourre-tout à la fin de la liste des règles.

La distinction entre ces deux méthodes réside dans ce qui se passe si les règles du pare-feu sont vidées.

Si la fonction de stratégie intégrée de votre pare-feu est définie sur «supprimer» et que vos règles de pare-feu sont toujours vidées (réinitialisation), ou si certaines règles de correspondance sont supprimées, vos services deviendront instantanément inaccessibles à distance. C'est souvent une bonne idée lorsque vous définissez une stratégie pour des services non critiques afin que votre serveur ne soit pas exposé au trafic malveillant si les règles sont supprimées.

L'inconvénient de cette approche est que vos services seront complètement indisponibles pour vos clients jusqu'à ce que vous rétablissiez des règles permissives. Vous pouvez même potentiellement vous verrouiller hors du serveur si vous ne disposez pas d'accès local ou hors bande pour contourner le problème (les serveurs DigitalOcean sont accessibles quels que soient les paramètres réseau en utilisant le bouton «Accès à la console» situé dans «Accès»). partie de la page de votre Droplet dans le panneau de configuration). Si le vidage de votre pare-feu est intentionnel, vous pouvez éviter cela en basculant simplement la politique par défaut sur «accepter» juste avant de réinitialiser les règles.

L’alternative à la définition d’une stratégie de suppression à l’aide de la fonctionnalité de stratégie intégrée consiste à définir la stratégie par défaut de votre pare-feu sur «accepter», puis à mettre en œuvre une stratégie de «suppression» avec des règles régulières. Vous pouvez ajouter une règle de pare-feu normale à la fin de votre chaîne, qui correspond et refuse tout le trafic restant sans correspondance.

Dans ce cas, si vos règles de pare-feu sont vidées, vos services seront accessibles mais non protégés. En fonction de vos options pour un accès local ou alternatif, cela peut être un mal nécessaire pour vous permettre de saisir à nouveau votre serveur si les règles sont vidées. Si vous décidez d'utiliser cette option, vous devez vous assurer que la règle fourre-tout reste toujours la règlelast dans votre jeu de règles.

Le tableau ci-dessous montre comment un serveur protégé par un pare-feu réagira à différentes requêtes en fonction de la stratégie appliquée au port de destination.

La première colonne indique le type de paquet envoyé par le client. Dans la deuxième colonne, nous avons inclus les commandesnmap qui peuvent être utilisées pour tester chaque scénario. La troisième colonne indique la stratégie de port appliquée au port. La quatrième colonne est la réponse que le serveur va renvoyer et la cinquième colonne indique ce que le client peut déduire du port en fonction de la réponse reçue.

Certains types ICMP étant obsolètes, ils devraient probablement être bloqués de manière inconditionnelle. Parmi ceux-ci figurent l'extinction de source ICMP (type 0, code 0) et l'hôte alternatif (type 6). Les types 1, 2, 7 et les types 15 et supérieurs sont tous déconseillés, réservés pour une utilisation future ou expérimentaux.

Certains types ICMP sont utiles dans certaines configurations de réseau, mais doivent être bloqués dans d'autres.

Par exemple, les messages de redirection ICMP (type 5) peuvent être utiles pour mettre en évidence une mauvaise conception du réseau. Une redirection ICMP est envoyée lorsqu'un meilleur itinéraire est directement disponible pour le client. Ainsi, si un routeur reçoit un paquet qui devra être routé vers un autre hôte sur le même réseau, il envoie un message de redirection ICMP pour indiquer au client d'envoyer les paquets via l'autre hôte à l'avenir.

Ceci est utile si vous faites confiance à votre réseau local et souhaitez détecter les inefficiences dans vos tables de routage lors de la configuration initiale (la réparation de vos itinéraires est une meilleure solution à long terme). Sur un réseau non sécurisé, cependant, un utilisateur malveillant pourrait potentiellement envoyer des redirections ICMP pour manipuler les tables de routage sur les hôtes.

D'autres types ICMP utiles dans certains réseaux et potentiellement dangereux pour d'autres sont les paquets de publication de routeur ICMP (type 9) et de sollicitation de routeur (type 10). Les paquets de sollicitation et d’annonce de routeur sont utilisés dans le cadre du protocole IRDP (ICMP Internet Router Discovery Protocol), un système qui permet aux hôtes, lors du démarrage ou de la connexion à un réseau, de découvrir de manière dynamique les routeurs disponibles.

Dans la plupart des cas, il est préférable qu'un hôte ait des itinéraires statiques configurés pour les passerelles qu'il utilisera. Ces paquets doivent être acceptés dans les mêmes situations que les paquets de redirection ICMP. En fait, étant donné que l'hôte ne saura pas quel est l'itinéraire préféré pour le trafic parmi les itinéraires découverts, les messages de redirection sont souvent nécessaires directement après la découverte. Si vous n'exécutez pas un service qui envoie des paquets de sollicitation de routeur ou modifie vos routes en fonction de paquets d'annonces (commerdisc), vous pouvez bloquer ces paquets en toute sécurité.

Les types ICMP qui sont généralement sécurisés à autoriser sont répertoriés ci-dessous, mais vous pouvez les désactiver si vous souhaitez être extrêmement prudent.

Les types ci-dessous peuvent généralement être autorisés sans règles explicites en configurant votre pare-feu pour autoriser les réponses aux demandes qu'il a faites (en utilisant le moduleconntrack pour autoriser le traficESTABLISHED etRELATED).

Certains experts en sécurité recommandent toujours de bloquer tout le trafic ICMP entrant. Cependant, de nombreuses personnes encouragent désormais les politiques d'acceptation ICMP intelligentes. Les lienshere ethere ont plus d'informations.

La limitation de connexion peut être implémentée à l'aide d'extensions telles queconnlimit pour vérifier le nombre de connexions actives qu'un client a ouvertes. Ceci peut être utilisé pour limiter le nombre de connexions autorisées à la fois. Si vous décidez d'imposer une limitation de connexion, vous devrez prendre certaines décisions quant à son application. La répartition générale des décisions est la suivante:

Les connexions peuvent être limitées hôte par hôte ou une limite peut être définie pour un segment de réseau en fournissant un préfixe de réseau. Vous pouvez également définir un nombre maximal global de connexions pour un service ou la machine entière. N'oubliez pas qu'il est possible de combiner ces éléments pour créer des stratégies plus complexes permettant de contrôler vos numéros de connexion.

La limitation de débit vous permet de définir des règles qui régissent le débit ou la fréquence à laquelle le trafic sera accepté par votre serveur. Il existe un certain nombre d'extensions différentes qui peuvent être utilisées pour la limitation de débit, notammentlimit,hashlimit etrecent. Le choix de l'extension que vous utiliserez dépendra en grande partie desway que vous souhaitez limiter le trafic.

L'extensionlimit fera correspondre la règle en question jusqu'à ce que la limite soit atteinte, après quoi d'autres paquets seront abandonnés. Si vous définissez une limite du type «5 / s», la règle autorisera la correspondance de 5 paquets par seconde, après quoi la règle ne correspond plus. Cela est utile pour définir une limite de débit globale pour un service.

L'extensionhashlimit est plus flexible, vous permettant de spécifier certaines des valeurs queiptables hachera pour évaluer une correspondance. Par exemple, il peut examiner l'adresse source, le port source, l'adresse de destination, le port de destination ou une combinaison arbitraire de ces quatre valeurs pour hacher chaque entrée. Il peut limiter par paquets ou octets reçus. Fondamentalement, cela permet une limitation flexible du débit par client ou par service.

L'extensionrecent ajoute dynamiquement les adresses IP des clients à une liste ou vérifie par rapport à une liste existante lorsque la règle correspond. Cela vous permet de répartir votre logique de limitation entre plusieurs règles différentes pour des modèles complexes. Il a la capacité de spécifier un nombre de hits et une plage de temps comme les autres limiteurs, mais peut également réinitialiser la plage de temps si un trafic supplémentaire est vu, forçant ainsi un client à arrêter tout le trafic s'il est limité.

Le choix de l’extension de limitation de débit à utiliser dépend des politiques exactes que vous souhaitez appliquer.