Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Best practices recommandations pour la configuration de votre firewall provya tutoriaux asterisk et pfsense

Best practices Recommandations pour la con ?guration de votre ?rewall - Provya - Tutoriaux Asterisk et pfSense Best practices Recommandations pour la con ?guration de votre ?rewall Nous présentons dans cet article les meilleures pratiques pour la con ?guration des règles de ?ltrage sur un ?rewall Nous prendrons comme exemple la con ?guration d'un ?rewall pfSense mais l'ensemble de ces recommandations est applicable aux autres ?rewall du marché Pour l'écriture de cet article nous nous sommes basés sur les recommandations émises par l'ANSSI à travers ses publications Recommandations pour la dé ?nition d ? une politique de ?ltrage réseau d ? un pare-feu et Recommandations et méthodologie pour le nettoyage d ? une politique de ?ltrage réseau d ? un pare-feu Recommandations générales La dé ?nition d'une politique de gestion d'un pare-feu doit être structurée et normée a ?n que tous les intervenants manipulant la con ?guration de l'équipement disposent d'un référentiel de travail clair et d'une manière de procéder qui soit uniforme Pour cela nous recommandons l'application des principes suivants La con ?guration se fait sur l'interface d'arrivée du paquet Lorsque l'on con ?gure des règles de ?ltrage sur un pare-feu deux approches sont possibles appliquer le ?ltrage lorsque le paquet réseau arrive sur le pare-feu on parle alors de ?ltrage de type ingress ou appliquer le ?ltrage lorsque le paquet réseau quitte le pare-feu on parle alors de ?ltrage de type egress C'est-à-dire que pour ?ltrer du tra ?c allant par exemple du réseau LAN vers Internet ou le réseau WAN la con ?guration doit être e ?ectuée sur l'interface LAN Ce mode de fonctionnement est d'ailleurs le seul proposé sur pfSense ?ltrage sur l'interface d'arrivée des paquets Pour être tout à fait précis pfSense peut faire un ?ltrage sur l'interface de sortie du pare-feu depuis les règles de oating mais ce n'est clairement pas le but premier des règles de oating Il faut être le plus précis possible Dans l'écriture des règles de ?ltrage il faut toujours être le plus précis possible Plus une règle sera précise et mieux cela sera D'une part car l'on sera certain que seul le tra ?c voulu correspondra à cette règle et d'autre part cela facilitera grandement la lecture et la compréhension des règles de ?ltrage Ainsi dès que l'on conna? t l'adresse IP le réseau source ou le réseau destination le port de destination le protocole TCP UDP il faut le préciser dans sa règle Dans l'organisation de sa politique de ?ltrage il est également important de classer les règles des plus précises aux plus larges Les règles très précises concernant seulement quelques postes par exemple seront placées avant les règles plus larges concernant tout le réseau local par exemple Toujours préciser la source pour les interface internes Il est important de systématiquement préciser l'adresse IP source ou le réseau source lorsque les paquets à ?ltrer proviennent du réseau local En e ?et dans ce cas les adresses IP sources ou le réseau source sont connus Il n'y a donc