8 Meilleures pratiques en matière de pare-feu pour sécuriser le réseau

Le fait de disposer d'un guide des meilleures pratiques de sécurité pare-feu pour sécuriser le réseau permet de communiquer aux parties prenantes de la sécurité les objectifs de la politique de sécurité de votre entreprise, de garantir la conformité avec les réglementations sectorielles et d'améliorer la position globale de votre entreprise en matière de sécurité.

Vous trouverez ci-dessous quelques ressources et huit bonnes pratiques en matière de sécurité pare-feu pour vous aider à améliorer votre position en matière de sécurité.

NGFW démo Lire le rapport Frost & Sullivan

#1. Renforcer et configurer correctement le pare-feu

La plupart des systèmes d'exploitation des solutions de pare-feu tout-en-un sont renforcés par le fournisseur. Si vous déployez une solution de pare-feu logiciel, assurez-vous que le système d'exploitation est d'abord corrigé et renforcé.

 

En plus de commencer avec un système d'exploitation renforcé, les administrateurs de la sécurité voudront s'assurer que le pare-feu est configuré de manière sécurisée. Des guides sont disponibles auprès des vendeurs et de tiers comme le Center for Internet Security (CIS), qui publie le CIS Benchmarks réseau appareil. Consultez également la liste de contrôle des pare-feu de la SANS.

#2. Planifiez le déploiement de votre pare-feu

Les pare-feu sont un outil essentiel pour l'application des principes de sécurité "zéro confiance". Ils surveillent et contrôlent l'accès entrant et sortant à travers les frontières du réseau dans un réseau macro-segmenté. Cela s'applique à la fois au déploiement du pare-feu routé de la couche 3 (où le pare-feu agit comme une passerelle reliant plusieurs réseaux) et au déploiement du pare-feu pont de la couche 2 (où le pare-feu relie et isole des appareils au sein d'un seul réseau).

 

Lors du déploiement d'un pare-feu, les interfaces réseau du pare-feu sont connectées à ces réseaux ou zones. Ces zones peuvent ensuite être utilisées pour simplifier la politique de pare-feu. Par exemple, un pare-feu de périmètre aura une zone externe connectée à Internet, une ou plusieurs interfaces internes connectées au réseau interne, et peut-être une connexion au réseau DMZ. La politique de pare-feu peut ensuite être personnalisée en fonction des besoins afin d'ajouter un contrôle plus granulaire.

 

Le pare-feu devra être géré. Une question importante se pose : "Le pare-feu aura-t-il également besoin d'une interface de gestion dédiée ?" La gestion de l'extinction des lumières et l'accès à la console série ne doivent être accessibles qu'à partir d'un réseau dédié et sécurisé.

 

Enfin, un pare-feu est un point de défaillance unique (SPOF). Le déploiement de deux ou plusieurs clusters à haute disponibilité (HA) garantit le maintien de la sécurité en cas de défaillance de l'un d'entre eux. Une meilleure option, qui utilise en permanence les ressources de chaque membre du cluster, est une solution de sécurité réseauhyperscale . Cela doit également être pris en compte pour les réseaux dont la charge de trafic connaît des pics saisonniers.

#3. Sécurisez le pare-feu

Un pare-feu est un élément essentiel de l'infrastructure de sécurité d'une organisation, et il doit être protégé contre l'exploitation. Pour sécuriser votre pare-feu, suivez les étapes suivantes :

 

  • Désactivez les protocoles non sécurisés tels que telnet et SNMP ou utilisez une configuration SNMP sécurisée.
  • Planifiez des sauvegardes périodiques de la configuration et de la base de données.
  • Activez l'audit des modifications du système et envoyez les journaux via un système syslog sécurisé ou une autre méthode à un serveur SIEM (Gestion de l'information et des événements de sécurité) externe, sécurisé et central ou à une solution de gestion du pare-feu pour l'analyse criminelle et l'établissement de rapports.
  • Ajoutez une règle de furtivité dans la stratégie de pare-feu pour cacher le pare-feu des analyses du réseau.
  • Limitez l'accès à la gestion à des hôtes spécifiques.
  • Les pare-feu ne sont pas à l'abri de la vulnérabilité. Vérifiez auprès du vendeur s'il existe des vulnérabilités connues et des correctifs de sécurité qui corrigent ces vulnérabilités.

#4. Sécuriser les comptes utilisateurs

La prise de contrôle d'un compte est une technique couramment utilisée par les acteurs de la cybermenace. Pour sécuriser les comptes d'utilisateurs sur votre pare-feu, procédez comme suit :

 

  • Renommer ou modifier les comptes et les mots de passe par défaut
  • Exigez l'AMF et/ou mettez en place une politique de mot de passe fort (mots de passe complexes avec des lettres majuscules et minuscules, des caractères spéciaux et des chiffres, 12 caractères ou plus, empêchez la réutilisation des mots de passe).
  • Utilisez le contrôle d'accès basé sur les rôles (RBAC) pour les administrateurs de pare-feu. Déléguez et limitez l'accès en fonction des besoins de l'utilisateur (par exemple, n'autorisez que l'accès en lecture seule pour les auditeurs et créez des rôles et des comptes d'accès dédiés pour les équipes DevSecOps).

#5. Verrouillez l'accès à la zone au trafic autorisé

La fonction première d'un pare-feu est d'imposer et de contrôler l'accès pour la segmentation du réseau.

 

Les pare-feu peuvent inspecter et contrôler le trafic nord/sud à travers les frontières d'un réseau. Dans ce cas d'utilisation de la macro-segmentation, les zones sont de grands groupes comme l'externe, l'interne, la DMZ et le Wi-Fi invité. Il peut également s'agir de groupes d'entreprises sur des réseaux internes distincts, comme le centre de données, les ressources humaines et les finances, ou d'un atelier de production dans une usine qui utilise le système de contrôle industriel (ICS).

 

pare-feu déployé dans un nuage privé ou public virtualisé peut inspecter le trafic entre des serveurs individuels ou des applications qui changent dynamiquement au fur et à mesure que les instances sont activées. Dans ce cas d'utilisation de la micro-segmentation, les zones peuvent être définies par des applications telles que des applications web ou des bases de données. La fonction du serveur virtuel peut être définie par une balise et utilisée dans une politique de pare-feu de manière dynamique sans intervention humaine, ce qui réduit les risques d'erreurs de configuration manuelle.

 

Dans les deux types de déploiement, macro et micro, pare-feu contrôle l'accès en définissant une règle de politique pare-feu, qui définit globalement l'accès en fonction de la source et de la destination du trafic. Le service ou le port utilisé par l'application peut également être défini. Par exemple, les ports 80 et 443 sont des ports par défaut pour le trafic web. Sur un serveur web, seul l'accès à ces ports doit être autorisé et tous les autres ports doivent être bloqués. Dans ce cas, il est possible d'établir une liste blanche du trafic autorisé.

 

Le trafic sortant d'une organisation vers l'internet est plus problématique pour une politique de sécurité de type "whitelisting", car il est pratiquement impossible de dire quels ports sont nécessaires pour l'accès à l'internet. Une approche plus courante pour une politique de sécurité de sortie est l'établissement de listes noires, où le mauvais trafic connu est bloqué et où tout le reste est autorisé par une règle de pare-feu "acceptant tout".

 

Pour détecter les mauvais sites connus, des fonctions de sécurité supplémentaires peuvent être activées sur le Pare-feu de nouvelle génération (NGFW) en plus des contrôles d'IP et de port. Il s'agit notamment du filtrage de URL et du contrôle de application. Par exemple, cela peut être utilisé pour autoriser l'accès à Facebook mais bloquer les jeux Facebook.

#6. Veillez à ce que la politique et l'utilisation du pare-feu soient conformes aux normes

La réglementation prévoit des exigences spécifiques pour le pare-feu. Toute meilleure pratique de sécurité doit être conforme à ces exigences et peut nécessiter l'ajout de contrôles de sécurité supplémentaires à tout pare-feu déployé. Parmi les exemples d'exigences, citons l'utilisation de réseaux privés virtuels (VPN) pour crypter les données en transit, d'antivirus pour prévenir les logiciels malveillants connus et de systèmes de détection et de prévention des intrusions (IDS/IPS) pour détecter toute tentative d'intrusion dans le réseau.

 

Par exemple, la norme PCI DSS exige des contrôles basés sur les zones de pare-feu entre les zones de confiance et les zones non fiables. Cela inclut l'utilisation d'une DMZ et d'un pare-feu périmétrique entre tous les réseaux sans fil et les environnements de données des titulaires de cartes. Voici quelques exigences supplémentaires de la norme PCI DSS :

 

  • Utilisez des moyens anti-spoofing pour détecter et bloquer les adresses IP source falsifiées qui pénètrent dans le réseau. Par exemple, bloquer le trafic entrant sur l'interface externe avec une adresse source de l'un des réseaux internes.
  • Ne pas divulguer les adresses IP privées et les informations de routage à des parties non autorisées en utilisant la traduction d'adresses de réseau (NAT) et en supprimant les annonces d'itinéraires pour le réseau privé.
  • Tous les six mois, éliminez les règles inutiles, obsolètes ou erronées et assurez-vous que tous les ensembles de règles n'autorisent que les services et les ports autorisés.
  • Crypter la transmission des données des titulaires de cartes sur un réseau ouvert et public.
  • Installez les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. (Étant donné la rapidité avec laquelle les acteurs de la menace tirent parti des vulnérabilités connues, les entreprises peuvent décider de mettre à jour dès qu'un correctif est disponible. Un NGFW qui met automatiquement à jour les signatures de IPS peut protéger l'ensemble du réseau contre les vulnérabilités nouvellement annoncées.)
  • Des procédures doivent être mises en place pour limiter l'accès en fonction du besoin de savoir et des responsabilités professionnelles.
  • Suivre et contrôler tous les accès aux ressources du réseau et aux données des titulaires de cartes.
  • En utilisant la technologie de synchronisation du temps, synchronisez toutes les horloges et heures critiques du système.
  • Testez régulièrement les systèmes et les processus de sécurité.

#7. Tester pour vérifier la politique et identifier les risques

Dans le cas d'une politique de sécurité plus large, il peut être difficile de visualiser le traitement d'une nouvelle connexion. Il existe des outils permettant d'effectuer des analyses de cheminement et, dans le système de gestion de la sécurité, de rechercher et de trouver des règles.

 

Par ailleurs, certains systèmes de gestion de la sécurité avertissent de la création d'un objet en double ou refusent d'installer une politique dont une règle en cache une autre. Testez régulièrement votre politique afin de vérifier qu'elle fonctionne comme prévu pour trouver les objets inutilisés et dupliqués.

 

Les politiques de pare-feu sont généralement appliquées dans un ordre descendant et peuvent être optimisées en déplaçant les règles les plus efficaces vers le haut de l'ordre d'inspection. Inspectez régulièrement la politique pour optimiser les performances de votre pare-feu.

 

Enfin, effectuez régulièrement des tests de pénétration afin d'identifier les risques et les mesures de sécurité supplémentaires qui pourraient être nécessaires en plus du pare-feu pour sécuriser votre organisation.

#8. Logiciel d'audit ou microprogramme et journaux

Des audits réguliers sont essentiels pour s'assurer que le logiciel et le microprogramme sont corrects et à jour et que les journaux sont correctement configurés et opérationnels. Voici quelques bonnes pratiques pour ces audits :

 

  • Établissez un plan formel de contrôle des changements pour modifier la politique de sécurité afin de garantir que la sécurité n'est pas compromise.
  • Les règles dont la source, la destination ou le port sont définis par Any peuvent être des trous dans la politique de sécurité. Dans la mesure du possible, modifiez-les pour ajouter la source, la destination ou le service spécifique qui fait l'objet de la règle.
  • Créez des sections ou des couches afin de hiérarchiser la politique de sécurité et d'en faciliter la révision.
  • Ajoutez des règles de nettoyage à la fin de la section ou de la couche qui correspondent à l'intention de la couche (par exemple, autoriser-tout ou refuser-tout).
  • Ajoutez des commentaires et des noms aux règles pour aider à identifier l'objectif initial de chaque règle.
  • Activez la journalisation afin de mieux suivre les flux du réseau et d'accroître la visibilité pour les enquêtes et les rapports médico-légaux.
  • Examinez régulièrement les journaux et les rapports d'audit pour savoir qui a modifié la politique de pare-feu.

Recommandations pour Check Point Policy Optimization

Check Point fournit un certain nombre de ressources pour vous aider à configurer votre Check Point NGFW. Pour une discussion préliminaire sur la politique de pare-feu de Check Point, consultez cet article de support sur la construction et l'optimisation de la base de règles (Rulebase Construction and Optimization). Par ailleurs, si vous ne connaissez pas encore Check Point, consultez le site de la Communauté CheckMates Check Point pour les débutants.

 

Pour aller plus loin dans la gestion de votre solution Check Point, suivez l'un de nos cours eLearning gratuits. Vous pouvez également demander une démonstration de NGFW ou de gestion de la sécurité.

Commencez

Demande de Security CheckUp

La plateforme Check Point Cybersécurité

Check Point Next Generation Firewalls

Sujets connexes

centre de données Meilleures pratiques en matière de sécurité

Les 6 piliers d'une sécurité du cloud robuste

Architecture de sécurité consolidée