Académique Documents
Professionnel Documents
Culture Documents
Politique Pare Feu
Politique Pare Feu
PREMIER MINISTRE
Secrtariat gnral
de la dfense
et de la scurit nationale
No DAT-NT-006/ANSSI/SDE/NP
Note technique
Recommandations pour la dfinition dune politique
de filtrage rseau dun pare-feu
Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur
X
X
X
X
Informations
Avertissement
Ce document rdig par lANSSI prsente les Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu . Il est tlchargeable sur le site
www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que ces
informations puissent tre reprises sans adaptation sur les systmes dinformation cibles. Dans
tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit tre
soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes en
charge de la scurit des systmes dinformation.
BAI,
BAS,
Rdig par
Approuv par
Date
BSS
SDE
30 mars 2013
volutions du document :
Version
Date
1.0
30 mars 2013
Version initiale
Adresse
@ml
Tlphone
Bureau Communication
de lANSSI
51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP
communication@ssi.gouv.fr
01 71 75 84 04
Page 1 sur 15
Prambule
3.1
3.2
3.3
4.2
4.3
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
13
13
14
Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
9
10
11
11
11
11
11
13
Illustration
5
5
6
6
6
7
7
8
8
9
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Prsentation du modle . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conditions dapplication du modle . . . . . . . . . . . . . . . . . . . . . . .
Dtail du modle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Section n1 : rgles dautorisation des flux destination du pare-feu .
3.3.2 Section n2 : rgles dautorisation des flux mis par le pare-feu . . .
3.3.3 Section n3 : rgle de protection du pare-feu . . . . . . . . . . . . . .
3.3.4 Section n4 : rgles dautorisation des flux mtiers . . . . . . . . . . .
3.3.5 Section n5 : rgles "antiparasites" . . . . . . . . . . . . . . . . . . .
3.3.6 Section n6 : rgle dinterdiction finale . . . . . . . . . . . . . . . . .
14
14
14
15
Page 2 sur 15
1 Prambule
Lobjectif de ce document est de fournir les lments organisationnels permettant de structurer la
base de rgles constituant la politique de filtrage rseau applique sur un pare-feu dinterconnexion.
Cette note est indpendante de la fonction du pare-feu (accs internet, cloisement de datacenter, isolation dun partenaire) ; elle fait labstraction des solutions techniques qui peuvent tre employes 1
(logiciel, quipement ddi) et ne tient pas compte de son mode dadministration (ligne de commande,
interface web, client lourd). Certaines des prconisations mentionnes dans ce document ne seront donc
applicables que si la technologie utilise le permet ; il appartient au lecteur dapprcier et de dterminer si les diffrentes recommandations sont adaptes son cas dusage. Ceci dpend notamment de la
famille 2 laquelle appartient le pare-feu.
Cette note technique sadresse lensemble des personnes qui ont la charge de dfinir, de mettre en
uvre ou dadministrer des architectures dinterconnexion scurises et qui souhaitent inscrire dans leur
dmarche la volont dassurer la prnnit des politiques de filtrage rseau appliques sur les pare-feux.
Dans la suite de ce document les termes pare-feu et passerelle seront utiliss indiffrement,
ils dsignent tous les deux un quipement dinterconnexion capable de raliser un filtrage rseau en
tenant compte de ltat des connexions pralablement tablies (stateful).
Les bonnes pratiques relatives au positionnement dun pare-feu dans une architecture ne sont pas prsentes dans ce guide, celles-ci sont dtailles dans un document complmentaire publi par lANSSI
intitul Dfinition dune architecture de passerelle dinterconnexion scurise . Ce guide est disponible dans la section Bonnes pratiques Recommandations et guides Scurit des rseaux sur
www.ssi.gouv.fr.
1. Pour rappel, la liste des pare-feux qualifis par lANSSI est disponible dans la section Certification/ Qualification
sur www.ssi.gouv.fr.
2. En effet, il existe deux catgories de pare-feux, la premire concerne ceux dont les rgles de filtrage sont dfinies par
paire dinterfaces rseaux (une entrante, une sortante), la seconde ceux dont les rgles sont dfinies globalement. Dans ce
deuxime cas, ce nest pas ladministrateur qui dtermine les interfaces dentre/sortie auxquelles sappliquent chacune
des rgles mais le pare-feu lui mme.
Page 3 sur 15
3. Le concept de dfense en profondeur est dtaill dans un mmento disponible dans la section Bonnes pratiques
Outils mthodologiques sur www.ssi.gouv.fr
Page 4 sur 15
Contenu
Rgles dautorisation des flux destination du pare-feu
Rgles dautorisation des flux mis par le pare-feu
Rgle de protection du pare-feu
Rgles dautorisation des flux mtiers
Rgles "antiparasites"
Rgle dinterdiction finale
4. Certaines solutions ne permettent pas de grer finement les flux mis ou reus par le pare-feu. Dans ces cas prcis,
des rgles sont automatiquement ajoutes la politique de filtrage, elles sont directement lies lactivation de certains
paramtres dadministration de la solution, et il nest pas toujours possible de les dsactiver (se rfrer au paragraphe
5.1).
Page 5 sur 15
R1
Destination
Interface dadministration de la passerelle
Interface dadministration de la passerelle
Service
ssh, https
get-snmp
Action
Autoriser
Autoriser
Journalisation
Oui
Oui
Les rgles de scurit qui autorisent laccs aux services proposs par un pare-feu doivent
tre regroupes dans la politique de filtrage. Ces rgles sont peu nombreuses et doivent tre
dfinies prcisment, en particulier au niveau de leurs adresses sources et de leurs services.
Source
Interface dadministration de la passerelle
Interface dadministration de la passerelle
Interface dadministration de la passerelle
Destination
Serveur de journaux
Serveur de supervision
Serveur de sauvegarde
Service
syslog
trap-snmp
ssh
Action
Autoriser
Autoriser
Autoriser
Journalisation
Oui
Oui
Oui
Page 6 sur 15
R2
Les rgles de scurit qui autorisent les flux ayant pour origine le pare-feu doivent tre
regroupes dans la politique de filtrage. Ces rgles sont peu nombreuses et doivent tre
dfinies prcisment, en particulier au niveau de leurs adresses de destinations et de leurs
services.
Destination
Toutes les interfaces de la passerelle
Service
Tous
Action
Interdire
Journalisation
Oui
Laction Interdire correspond une suppression du trafic sans rponse du pare-feu (action drop
en anglais), cela permet dviter un signalement trop explicite de la passerelle aux ventuels attaquants.
Cette protection permet de verrouiller laccs la passerelle, si dans la suite de la politique est
ajoute une rgle qui va lencontre (autorisation de flux destination du pare-feu), celle-ci ne sera
pas prise en compte. Elle pourra mme tre signale comme incohrente si la solution technique est en
mesure deffectuer cette vrification. La journalisation est obligatoirement active pour cette rgle afin
de conserver la trace de lensemble des flux non lgitimes destination de la passerelle.
R3
La mise en place dune rgle de protection du pare-feu est imprative pour prvenir louverture de flux non lgitimes destination de la passerelle ; la journalisation de cette rgle
permet de conserver la trace de ces flux illgitimes.
R4
Les rgles qui autorisent les flux mtiers doivent tre regroupes et organises selon une
logique tablie et adapte au contexte. Ces rgles constituent lessentiel de la politique de
filtrage, elles doivent tre dfinies prcisement au niveau de leurs adresses sources, de leurs
adresses de destination et de leur services.
Page 7 sur 15
Destination
255.255.255.255
Service
udp-137,udp-138 (netbios)
Action
Interdire
Journalisation
Non
Les rgles "antiparasites" peuvent tre utilises pour allger les journaux de la passerelle,
mais doivent tre tablies en accord avec la politique globale de journalisation de larchitecture.
Destination
Toutes
Service
Tous
Action
Interdire
Journalisation
Oui
Certaines solutions techniques appliquent automatiquement une rgle dinterdiction la fin de la politique de filtrage, mais celle-ci nest gnralement pas journalise ou napparat pas explicitement la
fin de la politique ; cest la raison pour laquelle une rgle finale explicite est ajoute dans tous les cas.
R6
Lajout dune rgle explicite dinterdiction finale journalise garantit lapplication du modle de scurit positif (tout ce qui na pas t autoris prcdemment est interdit) et
permet de conserver la trace des flux non lgitimes.
Page 8 sur 15
Page 9 sur 15
encore prsence de termes rservs). La casse fait galement partie des paramtres dfinir dans la
convention.
R8
Une convention de nommage doit tre dfinie pour lensemble des types dobjets qui composent les rgles de la politique de filtrage.
Type de zone
Rseau externe
DMZ publique
DMZ prive
Rseau interne
DMZ
DMZ
DMZ
DMZ
Type de zone
hbergeant les serveurs dauthentification
hbergeant les serveurs de base de donnes
hbergeant les proxys
hbergeant les reverse proxys
R9
La dfinition dune convention de coloration des objets qui composent les rgles de scurit
est une aide supplmentaire la comprhension de la politique.
Page 10 sur 15
Si des champs textuels ditables spcifiques chacune des rgles de scurit sont disponibles, il est important de les utiliser pour expliciter le contenu de la politique de filtrage.
Les lements constitutifs de ces champs doivent respecter une structure pralablement
dfinie et adapte au contexte.
Page 11 sur 15
Voici une illustration simple reprenant les 6 sections et quelques exemples de flux mtiers :
Section
1
2
3
5
6
Intitul du sparateur
Flux destination de la passerelle
Flux mis par la passerelle
Rgle de protection de la passerelle
Flux mtiers
|Flux daccs aux bases de donnes
|Flux concernant la ferme 1 de bases de donnes
|Flux concernant la ferme 2 de bases de donnes
|Flux daccs aux proxys
|Flux concernant le proxy x
|Flux concernant le proxy y
Rgles "antiparasites"
Rgle dinterdiction finale
Page 12 sur 15
Une gestion rigoureuse de la politique de filtrage conduit dsactiver les flux implicites
sils existent et si la dsactivation est possible ; les flux lgitimes quels quils soient doivent
tre dfinis manuellement et prcisment par les administrateurs.
Afin dviter toute exposition inutile des rseaux et du pare-feu, il est recommand de se
documenter sur le fonctionnement prcis de la solution employe, de raliser des tests et
de prendre en considration leurs rsultats lors des oprations ncessitant un redmarrage
de lquipement (maintenance par exemple).
Page 13 sur 15
Les consignes permettant la gestion des politiques de filtrage rseau doivent tre documentes et diffuses aux personnes en charge de la mise en oeuvre et la gestion des pare-feux.
6.2 Validation
Les politiques de filtrage mises en place doivent tre valides en pratique pour sassurer que la
solution technique adopte se comporte correctement (utilisation doutil danalyse rseau par exemple).
Le respect du modle prsent dans ce document contribue au maintien des politiques de filtrage,
mais il ne permet pas de se prmunir contre certaines erreurs humaines ou certains fonctionnements
spcifiques ; charge ladministrateur de rester vigilant quant la comprhension des oprations quil
excute.
R14
Une politique de filtrage rseau doit tre teste une fois implmente.
6.3 Maintenance
Pour conserver son efficacit et sa fonction de scurisation, une politique de filtrage doit tre passe
en revue rgulirement.
Ces vrifications ont pour objectifs :
de supprimer les rgles temporaires obsoltes cres depuis la dernire revue ;
de corriger les ventuels carts par rapport aux conventions en vigueur ;
de vrifier la cohrence des rgles ajoutes depuis la dernire revue : origine, utilit, prcision,
etc.
La prsence de mcanismes techniques ou organisationnels visant conserver sous contrle la politique
de filtrage ne dispense pas de la ralisation de ces revues rgulires.
R15
Une politique de filtrage rseau doit tre passe en revue une frquence bi-annuelle ou
annuelle minima.
Page 14 sur 15
7 Illustration
Une partie des recommandations prsentes dans ce document sont illustres laide dun jeu de
rgles simple dfini sur un pare-feu NetAsq (solution qualifie par lANSSI).
Page 15 sur 15