Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

DAT-NT-006/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, l

DAT-NT-006/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 30 mars 2013 de la défense et de la sécurité nationale No DAT-NT-006/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document : 1+15 des systèmes d’information Note technique Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu Public visé: Développeur Administrateur ✓ RSSI ✓ DSI ✓ Utilisateur ✓ Informations Avertissement Ce document rédigé par l’ANSSI présente les « Recommandations pour la déﬁni- tion d’une politique de ﬁltrage réseau d’un pare-feu ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI. Il est à ce titre placé sous le régime de la « Licence ouverte » publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diﬀusable sans restriction. Ces recommandations sont livrées en l’état et adaptées aux menaces au jour de leur publi- cation. Au regard de la diversité des systèmes d’information, l’ANSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation des éléments proposés par l’ANSSI doit être soumise, au préalable, à la validation de l’administrateur du système et/ou des personnes en charge de la sécurité des systèmes d’information. Personnes ayant contribué à la rédaction de ce document: Contributeurs Rédigé par Approuvé par Date BSS, BAI, BAS, LAM BSS SDE 30 mars 2013 Évolutions du document : Version Date Nature des modiﬁcations 1.0 30 mars 2013 Version initiale Pour toute remarque: Contact Adresse @mél Téléphone Bureau Communication de l’ANSSI 51 bd de La Tour-Maubourg 75700 Paris Cedex 07 SP communication@ssi.gouv.fr 01 71 75 84 04 No DAT-NT-006/ANSSI/SDE/NP du 30 mars 2013 Page 1 sur 15 Table des matières 1 Préambule 3 2 Pourquoi cette note ? 4 3 Organisation d’une politique de ﬁltrage réseau 5 3.1 Présentation du modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.2 Conditions d’application du modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.3 Détail du modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3.3.1 Section n°1 : règles d’autorisation des ﬂux à destination du pare-feu . . . . . . . 6 3.3.2 Section n°2 : règles d’autorisation des ﬂux émis par le pare-feu . . . . . . . . . 6 3.3.3 Section n°3 : règle de protection du pare-feu . . . . . . . . . . . . . . . . . . . . 7 3.3.4 Section n°4 : règles d’autorisation des ﬂux métiers . . . . . . . . . . . . . . . . . 7 3.3.5 Section n°5 : règles "antiparasites" . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.3.6 Section n°6 : règle d’interdiction ﬁnale . . . . . . . . . . . . . . . . . . . . . . . 8 4 Mise en forme d’une politique de ﬁltrage réseau 9 4.1 Mise en forme des objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 4.1.1 Convention de nommage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 4.1.2 Convention de mise en forme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4.2 Mise en forme des règles de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.2.1 Convention de nommage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.2.1.1 Nommage des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.2.1.2 Commentaires des règles . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.3 Séparateurs de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 5 Bonnes pratiques d’ordre général 13 5.1 Désactivation des ﬂux implicites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 5.2 Vériﬁcation de la séquence de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . 13 6 Documentation, validation et maintenance 14 6.1 Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 6.2 Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 6.3 Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 7 Illustration 15 No DAT-NT-006/ANSSI/SDE/NP du 30 mars 2013 Page 2 sur 15 1 Préambule L’objectif de ce document est de fournir les éléments organisationnels permettant de structurer la base de règles constituant la politique de ﬁltrage réseau appliquée sur un pare-feu d’interconnexion. Cette note est indépendante de la fonction du pare-feu (accès internet, cloisement de datacenter, iso- lation d’un partenaire) ; elle fait l’abstraction des solutions techniques qui peuvent être employées 1 (logiciel, équipement dédié) et ne tient pas compte de son mode d’administration (ligne de commande, interface web, client lourd). Certaines des préconisations mentionnées dans ce document ne seront donc applicables que si la technologie utilisée le permet ; il appartient au lecteur d’apprécier et de détermi- ner si les diﬀérentes recommandations sont adaptées à son cas d’usage. Ceci dépend notamment de la famille 2 à laquelle appartient le pare-feu. Cette note technique s’adresse à l’ensemble des personnes qui ont la charge de déﬁnir, de mettre en œuvre ou d’administrer des architectures d’interconnexion sécurisées et qui souhaitent inscrire dans leur démarche la volonté d’assurer la pérénnité des politiques de ﬁltrage réseau appliquées sur les pare-feux. Dans la suite de ce document les termes « pare-feu » et « passerelle » seront utilisés indiﬀérement, ils désignent tous les deux un équipement d’interconnexion capable de réaliser un ﬁltrage réseau en tenant compte de l’état des connexions préalablement établies (stateful). Les bonnes pratiques relatives au positionnement d’un pare-feu dans une architecture ne sont pas pré- sentées dans ce guide, celles-ci sont détaillées dans un document complémentaire publié par l’ANSSI intitulé « Déﬁnition d’une architecture de passerelle d’interconnexion sécurisée ». Ce guide est dispo- nible dans la section « Bonnes pratiques →Recommandations et guides →Sécurité des réseaux » sur www.ssi.gouv.fr. 1. Pour rappel, la liste des pare-feux qualiﬁés par l’ANSSI est disponible dans la section « Certiﬁcation/ Qualiﬁcation » sur www.ssi.gouv.fr. 2. En eﬀet, il existe deux catégories de pare-feux, la première concerne ceux dont les règles de ﬁltrage sont déﬁnies par paire d’interfaces réseaux (une entrante, une sortante), la seconde ceux dont les règles sont déﬁnies globalement. Dans ce deuxième cas, ce n’est pas l’administrateur qui détermine les interfaces d’entrée/sortie auxquelles s’appliquent chacune des règles mais le pare-feu lui même. No DAT-NT-006/ANSSI/SDE/NP du 30 mars 2013 Page 3 sur 15 2 Pourquoi cette note ? La rédaction de cette note technique uploads/Politique/ np-politique-pare-feu-notetech.pdf