Préparation au déploiement de règles de firewall sur DynFi Firewall
Méthodologie de déploiement de vos règles de firewall
Nous vous proposons dans cette section du guide de l’utilisateur de DynFi Firewall, une méthodologie complète et structurée de déploiement de vos règles de firewall.
Pour ceux qui maîtrisent déjà cette problématique, vous pouvez directement consulter les autres rubriques relatives aux aspects plus pratique du déploiement des règles Déploiement des règles de firewall avec DynFi Firewall.
La première étape nécessaire dans la création de vos règles de firewall consiste à centraliser les informations nécessaires à la constitution de ces règles.
Note
Nous vous offrons la possibilité de télécharger un document au format Excel ou Pages qui vous permettra de structurer vos travaux de collecte et de bien comprendre les différentes étapes nécessaires à la sécurisation de vos réseaux :
A télécharger : Feuille au format Excel ou au format Numbers (pour Mac OS).
Le document Excel / Numbers propose quatre feuilles qui regroupent les documents suivants :
- Une Liste des règles de firewall
Objectif : proposer un cadre méthodologique pour la création des règles de firewall
Simplifie la définition des règles pour le trafic sortant et entrant sur votre réseau
Etape préliminaire à la mise en place des alias, puis des règles de firewall
- Une Liste d’inventaire
Objectif : faire circuler cette feuille dans vos départements informatiques afin de bien inventorier vos serveurs
Recenser vos serveurs et mieux connaître votre réseau
- Une Liste d’application
Objectif : recenser les applications déployées sur votre réseau
Permet la définition d’une cybersécurité adapté à votre environnement
Permet de restreindre le trafic suivant les modalités définies pour chaque application utilisée
Simplifie le recensement d’application métier spécifiques
- Une feuille “Étape de terrain”
- Objectif :
Assurer la collecte d’informations,
procéder à des tests de validation réseau,
mettre en place les règles de firewall,
les applications avec des outils adaptés,
être en conformité avec le RGPD,
détecter les applications avec des failles de sécurité,
valider le contexte physique de déploiement,
gérer le cycle de vie des ordinateurs,
appliquer des politiques spécifiques pour les ordinateurs mobiles,
éviter la fuite d’informations sensibles.
Définir précisément les modalités d’actions
Une fois les informations recueillies, vous aurez à votre disposition un tableau complet simple à traduire en règles de firewall et en alias (Constituer une bibliothèque d’objet avec les Alias ).
Ces documents vont plus loin que la simple création de règles, ils permettent de définir un contexte général pour votre cybersécurité et de lister les actions coordonnées à entreprendre pour parvenir à un bon niveau de maîtrise puis de protection de votre réseau.
Feuille “Liste des règles de Firewall”
Le premier document “Liste de règles de firewall” est divisé en deux sections : règles en sortie et en entrée, cette classification est simplement proposée pour vous permettre de mieux comprendre le sens des règles et vous aider dans leur implémentation.
les champs de votre tableau seront équivalents à ceux de notre exemple : Vous devriez avoir dans la colonne de droite les IP d’un même sous-réseau (dans notre exemple 192.168.10.0/24)
IP(s) Source |
Port(s) Source |
IP(s) Destination |
Port(s) de destination |
Commentaires |
|---|---|---|---|---|
192.168.10.20 |
any |
8.8.8.8, 8.8.4.4 |
53 |
Serveur DNS |
192.168.10.30, 192.168.10.31 |
any |
fr.archive.ubuntu.com |
443 |
Ubuntu upgrade servers |
192.168.10.40 |
any |
213.251.152.6 |
9090, 443 |
Accès DynFi Manager SaaS |
192.168.10.50 |
any |
any |
25, 587, 993, 995 |
Accès Serveur SMTP hébergé |
192.168.10.0/24 |
any |
194.230.10.20 |
3128, 3129 |
Accès LAN vers proxy HTTP, HTTPS |
Pour le premier document “Liste de règles de firewall en entrée”, les champs de votre tableau pourraient être équivalent à ceux de notre exemple : Attention, il s’agit d’un flux généré depuis le WAN à destination d’une DMZ dans notre exemple (réseau 194.230.10.0/24).
IP(s) Source |
Port(s) Source |
IP(s) Destination |
Port(s) de destination |
Commentaires |
|---|---|---|---|---|
any |
any |
194.230.10.10 |
80, 443 |
Accès services HTTP hébergés |
any |
any |
194.230.10.20 |
3128, 3129 |
Accès LAN vers proxy HTTP, HTTPS |
FW1, FW2, FW3, FW4 |
any |
194.230.10.40 |
22 |
Accès à DynFi Manager OnPremise pour les Firewalls |
any |
any |
194.230.10.50 |
1194 |
Accès Serveur OpenVPN |
Dans cet exemple simple, nous constituons une liste d’objets permettant la future création de nos règles de firewall. La première étape est de regrouper de façon logique les ports, les serveurs sources, les serveurs de destination et ainsi pouvoir créer nos objets “alias” de ports et IPs.
On pourrait par exemple créer les objets alias suivants :
Type |
Contenu |
Commentaires |
|---|---|---|
Ports |
53 |
DNS |
Ports |
9090, 443 |
DynFi Manager ports |
Ports |
25, 993,587 |
Ports Mail en sortie |
Ports |
80, 443 |
Services HTTP & HTTPS |
Ports |
3128, 3129 |
Proxy HTTP et HTTPS |
IP |
8.8.8.8, 8.8.4.4 |
DNS Google |
IP |
194.158.119.186 |
fr.archive.ubuntu.com |
Ce simple exemple démontre comment à partir d’une liste d’objet structuré (IP, ports), il est possible de créer sa bibliothèque d’alias, puis de les utiliser dans des règles de firewall. L’immense avantage que procure la création d’alias est qu’il est ensuite possible de modifier directement l’alias sans avoir à effectuer “n” modifications à chaque endroit ou une règle fait appel à une IP.
De la même façon si votre hébergeur de mail change les paramètres de son serveur, vous pourrez modifier l’alias directement sans effectuer de modifications dans la règle.
Note
DynFi Manager offre un mécanisme élaboré de diffusion et de gestion des alias en son sein. Il part du principe de collection et permet de récupérer l’ensemble des alias de l’un de vos firewalls et de les exporter ou de les synchroniser sur tous les firewalls de votre parc.