Paramétrer un pare-feu réseau
Introduction à la création d'un pare-feu
Le but d'un pare-feu est de protéger un ordinateur ou un réseau contre des accès non autorisés. Dans un monde parfait chaque démon ou service, sur chaque machine, est parfaitement configuré et insensible aux problèmes de sécurités et on peut faire confiance à tous les utilisateurs pour utiliser l'équipement comme cela était prévu. Cependant, c'est rarement, voire jamais le cas. Les démons peuvent être mal configurés, ou les mises à jour peuvent ne pas être appliquées malgré des failles connues contre des services critiques. En plus, vous pourriez vouloir choisir quels services sont accessibles à quels utilisateurs ou machines, ou limiter l'accès au réseau à des machines ou des applications. Autrement, vous pouvez simplement ne pas faire confiance à vos utilisateurs ni à vos applications. Pour ces raisons, un pare-feu correctement conçu devrait être un composant essentiel de tout système de sécurité.
Bien qu'un pare-feu puisse grandement limiter la portée des problèmes précédemment cités, n'imaginez pas qu'un pare-feu rende redondante une bonne configuration, ni qu'il rende une négligence dans la configuration acceptable. Un pare-feu n'empêche personne d'exploiter un service que vous offrez intentionnellement. Même avec un pare-feu, vous avez besoin d'avoir sur votre système des applications et des démons configurés correctement et à jour.
Signification du mot « Pare-feu »
Le mot « pare-feu » peut avoir plusieurs sens différents.
Pare-feu personnel
C'est un périphérique matériel ou un logiciel conçu pour sécuriser un ordinateur familial ou de bureau connecté à Internet. Ce type de pare-feu est fort pertinent pour les utilisateurs qui ne savent pas comment on pourrait accéder à leur ordinateur par Internet ou comment désactiver cet accès, surtout s'ils sont toujours en ligne et connectés via un accès rapide.
Créer un pare-feu personnel avec iptables propose un exemple de configuration pour un pare-feu personnel.
Routeur Masquerading
C'est un système placé entre Internet et un intranet. Pour minimiser le risque de compromettre le pare-feu lui-même, il ne devrait en général jouer qu'un rôle — celui de protéger l'intranet. Bien que cela ne soit pas sans risques, la tâche de routage et de masquage d'IP (réécrire des en-têtes IP de paquets qu'il route depuis les clients avec des adresses privées sur Internet afin qu'elles semblent venir du pare-feu lui-même) est en général considérée comme relativement sécurisée.
Création d'un routeur masquant avec iptables propose un exemple de configuration pour un pare-feu masquant.
BusyBox
C'est souvent un vieil ordinateur à la retraite et que vous avez presque oublié, qui fait du masquage ou a des fonctions de routage mais qui offre aussi des services autres que ceux du pare-feu tels qu'un cache Web ou de la messagerie. Cela peut être utilisé pour des réseaux familiaux, mais ce n'est pas aussi sécurisé qu'une machine dédiée uniquement au pare-feu car la combinaison d'un serveur et d'un routeur/pare-feu sur une machine augmente la complexité du paramétrage.
Créer un BusyBox avec iptables fournit un exemple de configuration pour BusyBox.
Pare-feu avec une zone démilitarisée
Ce type de pare-feu effectue du masquage ou du routage mais elle autorise un accès public à certaines parties de votre réseau physiquement séparée de votre intranet normal et est en gros un réseau distinct avec un accès direct à internet. Les serveurs sur ce réseau sont ceux qui doivent être le plus facilement accessibles, tant par Internet que depuis l'intranet. Le pare-feu protège les deux réseaux. Ce type de pare-feu a un minimum de trois interfaces réseaux.
Packetfilter
Ce type de pare-feu fait du routage ou du masquage, mais il ne maintient pas un tableau d'état des flux de communication en cours. Il est rapide mais a des capacités de blocage des paquets indésirables très limitées sans bloquer les paquets désirés.
Conclusion
![[Attention]](../images/caution.png)
Attention
Les exemples de configuration fournis pour iptables-1.8.8 ne sont pas un guide complet sur la sécurité des systèmes. Le paramétrage d'un pare-feu est un problème complexe qui nécessite une réponse calculée. Les configurations fournies par BLFS ne sont là que pour donner des exemples sur le fonctionnement d'un pare-feu. Elles n'ont pas pour but de remplir un rôle particulier et ne fournissent pas nécessairement une protection complète contre toutes les attaques.
BLFS fournit un outil pour gérer l'interface Netfilter du noyau, iptables-1.8.8. Il est présent depuis les anciens noyaux 2.4, et est depuis le standard. C'est probablement l'ensemble d'outils qui sera le plus familier pour les administrateurs actuels. D'autres outils ont été développés plus récemment, consultez la liste des lectures supplémentaires ci-dessous pour plus de détails. Vous y trouverez une liste d'URL qui contiennent des informations complètes sur la construction de pare-feux et la sécurisation de votre système.
Informations supplémentaires
Lectures complémentaires sur les pare-feu
www.netfilter.org - Page d'accueil du projet netfilter/iptables/nftables
FAQ liée à Netfilter
guides pratiques liés à Netfilter
guides pratiques sur nftables
en.tldp.org/LDP/nag2/x-087-2-firewall.html
en.tldp.org/HOWTO/Security-HOWTO.html
en.tldp.org/HOWTO/Firewall-HOWTO.html
www.linuxsecurity.com/docs/
www.little-idiot.de/firewall (en allemand & obsolète, mais très complet)
linux.oreillynet.com/pub/a/linux/2000/03/10/netadmin/ddos.html
staff.washington.edu/dittrich/misc/ddos
www.e-infomax.com/ipmasq
www.circlemud.org/~jelson/writings/security/index.htm
www.securityfocus.com
www.cert.org - tech_tips
security.ittoolbox.com
www.insecure.org/reading.html
Last updated on