Documente Academic
Documente Profesional
Documente Cultură
PREMIER MINISTRE
Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation
Note technique Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu
Informations
Avertissement Ce document rdig par lANSSI prsente les Recommandations pour la dnition dune politique de ltrage rseau dun pare-feu . Il est tlchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est par consquent diusable sans restriction. Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles. Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes en charge de la scurit des systmes dinformation.
Personnes ayant contribu la rdaction de ce document: Contributeurs BSS, LAM BAI, BAS, Rdig par BSS Approuv par SDE Date 30 mars 2013
volutions du document : Version 1.0 Date 30 mars 2013 Nature des modications Version initiale
Pour toute remarque: Contact Bureau Communication de lANSSI Adresse 51 bd de La Tour-Maubourg 75700 Paris Cedex 07 SP @ml communication@ssi.gouv.fr Tlphone 01 71 75 84 04
Page 1 sur 15
Mise en forme dune politique de ltrage rseau 4.1 Mise en forme des objets . . . . . . . . . . 4.1.1 Convention de nommage . . . . . . 4.1.2 Convention de mise en forme . . . Mise en forme des rgles de scurit . . . . 4.2.1 Convention de nommage . . . . . . 4.2.1.1 Nommage des rgles . . . 4.2.1.2 Commentaires des rgles Sparateurs de rgles . . . . . . . . . . . .
4.2
4.3 5
Bonnes pratiques dordre gnral 5.1 5.2 Dsactivation des ux implicites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vrication de la squence de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . .
Illustration
Page 2 sur 15
1 Prambule
Lobjectif de ce document est de fournir les lments organisationnels permettant de structurer la base de rgles constituant la politique de ltrage rseau applique sur un pare-feu dinterconnexion. Cette note est indpendante de la fonction du pare-feu (accs internet, cloisement de datacenter, isolation dun partenaire) ; elle fait labstraction des solutions techniques qui peuvent tre employes 1 (logiciel, quipement ddi) et ne tient pas compte de son mode dadministration (ligne de commande, interface web, client lourd). Certaines des prconisations mentionnes dans ce document ne seront donc applicables que si la technologie utilise le permet ; il appartient au lecteur dapprcier et de dterminer si les direntes recommandations sont adaptes son cas dusage. Ceci dpend notamment de la famille 2 laquelle appartient le pare-feu. Cette note technique sadresse lensemble des personnes qui ont la charge de dnir, de mettre en uvre ou dadministrer des architectures dinterconnexion scurises et qui souhaitent inscrire dans leur dmarche la volont dassurer la prnnit des politiques de ltrage rseau appliques sur les pare-feux. Dans la suite de ce document les termes pare-feu et passerelle seront utiliss indirement, ils dsignent tous les deux un quipement dinterconnexion capable de raliser un ltrage rseau en tenant compte de ltat des connexions pralablement tablies (stateful). Les bonnes pratiques relatives au positionnement dun pare-feu dans une architecture ne sont pas prsentes dans ce guide, celles-ci sont dtailles dans un document complmentaire publi par lANSSI intitul Dnition dune architecture de passerelle dinterconnexion scurise . Ce guide est disponible dans la section Bonnes pratiques Recommandations et guides Scurit des rseaux sur www.ssi.gouv.fr.
1. Pour rappel, la liste des pare-feux qualis par lANSSI est disponible dans la section Certication/ Qualication sur www.ssi.gouv.fr. 2. En eet, il existe deux catgories de pare-feux, la premire concerne ceux dont les rgles de ltrage sont dnies par paire dinterfaces rseaux (une entrante, une sortante), la seconde ceux dont les rgles sont dnies globalement. Dans ce deuxime cas, ce nest pas ladministrateur qui dtermine les interfaces dentre/sortie auxquelles sappliquent chacune des rgles mais le pare-feu lui mme.
Page 3 sur 15
3. Le concept de dfense en profondeur est dtaill dans un mmento disponible dans la section Bonnes pratiques Outils mthodologiques sur www.ssi.gouv.fr
Page 4 sur 15
4. Certaines solutions ne permettent pas de grer nement les ux mis ou reus par le pare-feu. Dans ces cas prcis, des rgles sont automatiquement ajoutes la politique de ltrage, elles sont directement lies lactivation de certains paramtres dadministration de la solution, et il nest pas toujours possible de les dsactiver (se rfrer au paragraphe 5.1).
Page 5 sur 15
R1
Les rgles de scurit qui autorisent laccs aux services proposs par un pare-feu doivent tre regroupes dans la politique de ltrage. Ces rgles sont peu nombreuses et doivent tre dnies prcisment, en particulier au niveau de leurs adresses sources et de leurs services.
3.3.2 Section n2 : rgles dautorisation des ux mis par le pare-feu Cette seconde section contient galement un nombre limit de rgles, elle ne dcrit que les ux ayant pour origine la passerelle elle-mme. Trois types de rgles constituent cette section : les rgles autorisant les services denvoi de journaux de la passerelle ; les rgles autorisant les services dalerte de la passerelle ; les rgles autorisant les services qui permettent le maintien en condition oprationelle de la passerelle (par exemple les ux de sauvegarde). Voici une illustration simple :
Source Interface dadministration de la passerelle Interface dadministration de la passerelle Interface dadministration de la passerelle
Page 6 sur 15
R2
Les rgles de scurit qui autorisent les ux ayant pour origine le pare-feu doivent tre regroupes dans la politique de ltrage. Ces rgles sont peu nombreuses et doivent tre dnies prcisment, en particulier au niveau de leurs adresses de destinations et de leurs services.
3.3.3 Section n3 : rgle de protection du pare-feu Cette section ne comporte quune seule rgle dite de protection de la passerelle ; elle est toujours la mme et peut tre dcrite de la faon suivante :
Source Toutes Destination Toutes les interfaces de la passerelle Service Tous Action Interdire Journalisation Oui
Laction Interdire correspond une suppression du trac sans rponse du pare-feu (action drop en anglais), cela permet dviter un signalement trop explicite de la passerelle aux ventuels attaquants. Cette protection permet de verrouiller laccs la passerelle, si dans la suite de la politique est ajoute une rgle qui va lencontre (autorisation de ux destination du pare-feu), celle-ci ne sera pas prise en compte. Elle pourra mme tre signale comme incohrente si la solution technique est en mesure deectuer cette vrication. La journalisation est obligatoirement active pour cette rgle an de conserver la trace de lensemble des ux non lgitimes destination de la passerelle.
R3
La mise en place dune rgle de protection du pare-feu est imprative pour prvenir louverture de ux non lgitimes destination de la passerelle ; la journalisation de cette rgle permet de conserver la trace de ces ux illgitimes.
3.3.4 Section n4 : rgles dautorisation des ux mtiers Cette section contient les rgles dautorisation qui dcrivent les ux mtiers, celles-ci sont ordonnes selon une logique tablie ; plusieurs orientations sont possibles, en voici deux exemples : Organisation des rgles en fonction des entits mtier : les rgles sont regroupes en fonction des entits mtiers auxquelles elles ouvrent des services (comptabilit, ressources humaines). Organisation des rgles en fonction des services oerts : les rgles sont regroupes en fonction des services autoriss (navigation internet, accs aux proxy, accs aux bases de donnes). Le choix de lorganisation des rgles est dpendant de plusieurs lments du contexte comme le nombre de rgles de la politique ou encore le rle de la passerelle (accs internet, cloisement de datacenter, accs partenaire).
R4
Les rgles qui autorisent les ux mtiers doivent tre regroupes et organises selon une logique tablie et adapte au contexte. Ces rgles constituent lessentiel de la politique de ltrage, elles doivent tre dnies prcisement au niveau de leurs adresses sources, de leurs adresses de destination et de leur services. Page 7 sur 15
3.3.5 Section n5 : rgles "antiparasites" Cette section est facultative, elle sinscrit dans le cadre dune politique globale de journalisation. Elle contient la liste des rgles dcrivant les ux non autoriss dont la trace nest volontairement pas conserve (certains ux de broadcast par exemple) an de maintenir les journaux de la passerelle exploitables. Cela suppose quune trace de ces ux est conserve par une autre brique de larchitecture (cela doit tre document dans la politique globale de journalisation). La rgle suivante illustre cette section : Source Rseau de test R5 Destination 255.255.255.255 Service udp-137,udp-138 (netbios) Action Interdire Journalisation Non
Les rgles "antiparasites" peuvent tre utilises pour allger les journaux de la passerelle, mais doivent tre tablies en accord avec la politique globale de journalisation de larchitecture.
3.3.6 Section n6 : rgle dinterdiction nale Cette section ne comporte quune seule rgle dinterdiction ; celle-ci est dite nale car celle se trouve toujours en dernire position dans la politique. Cette rgle a pour objectifs dune part dinterdire le trac qui na pas t explicitement autoris par les rgles prcdentes, dautre part de conserver une trace des ux non lgitimes. La rgle de protection est toujours la mme et peut tre dcrite de la faon suivante : Source Toutes Destination Toutes Service Tous Action Interdire Journalisation Oui
Certaines solutions techniques appliquent automatiquement une rgle dinterdiction la n de la politique de ltrage, mais celle-ci nest gnralement pas journalise ou napparat pas explicitement la n de la politique ; cest la raison pour laquelle une rgle nale explicite est ajoute dans tous les cas.
R6
Lajout dune rgle explicite dinterdiction nale journalise garantit lapplication du modle de scurit positif (tout ce qui na pas t autoris prcdemment est interdit) et permet de conserver la trace des ux non lgitimes.
Page 8 sur 15
Page 9 sur 15
encore prsence de termes rservs). La casse fait galement partie des paramtres dnir dans la convention. R8 Une convention de nommage doit tre dnie pour lensemble des types dobjets qui composent les rgles de la politique de ltrage.
4.1.2 Convention de mise en forme Certaines solutions orent la possibilit de colorer une partie des objets (machine, rseau, plage rseau), cest un moyen supplmentaire utilis pour augmenter la lisibilit de la politique de scurit. Des incohrences grossires peuvent ainsi tre dtectes visuellement plus rapidement. La logique consiste utiliser une couleur pour lensemble des objets appartenant une mme zone, le code couleur est tabli en fonction dun critre ; par exemple : Le niveau de conance de la zone : un jeu de dgrad est choisi an dassocier une couleur chacun des niveaux de conance existant dans larchitecture. Le tableau 1 est un exemple illustrant ce type de code couleur : Couleur Type de zone Rseau externe DMZ publique DMZ prive Rseau interne
Table 1 Coloration selon le niveau de conance Le rle de la zone : une couleur est associe selon un critre fonctionnel des dirents types de zone existant dans larchitecture. Le tableau 2 est un exemple illustrant ce type de code couleur : Couleur Type de zone hbergeant les serveurs dauthentication hbergeant les serveurs de base de donnes hbergeant les proxys hbergeant les reverse proxys
R9
La dnition dune convention de coloration des objets qui composent les rgles de scurit est une aide supplmentaire la comprhension de la politique.
Page 10 sur 15
Page 11 sur 15
Voici une illustration simple reprenant les 6 sections et quelques exemples de ux mtiers : Section 1 2 3 Intitul du sparateur Flux destination de la passerelle Flux mis par la passerelle Rgle de protection de la passerelle Flux mtiers |Flux daccs aux bases de donnes |Flux concernant la ferme 1 de bases de donnes |Flux concernant la ferme 2 de bases de donnes |Flux daccs aux proxys |Flux concernant le proxy x |Flux concernant le proxy y Rgles "antiparasites" Rgle dinterdiction nale
5 6
Page 12 sur 15
Lobjectif de cette dmarche est double : porter la connaissance des administrateurs lensemble des rgles de scurit appliques par le pare-feu ; rduire la surface dattaque de la passerelle et des rseaux quelle protge on nautorisant que les ux stritement ncessaires au besoin.
6.2 Validation
Les politiques de ltrage mises en place doivent tre valides en pratique pour sassurer que la solution technique adopte se comporte correctement (utilisation doutil danalyse rseau par exemple). Le respect du modle prsent dans ce document contribue au maintien des politiques de ltrage, mais il ne permet pas de se prmunir contre certaines erreurs humaines ou certains fonctionnements spciques ; charge ladministrateur de rester vigilant quant la comprhension des oprations quil excute. R14 Une politique de ltrage rseau doit tre teste une fois implmente.
6.3 Maintenance
Pour conserver son ecacit et sa fonction de scurisation, une politique de ltrage doit tre passe en revue rgulirement. Ces vrications ont pour objectifs : de supprimer les rgles temporaires obsoltes cres depuis la dernire revue ; de corriger les ventuels carts par rapport aux conventions en vigueur ; de vrier la cohrence des rgles ajoutes depuis la dernire revue : origine, utilit, prcision, etc. La prsence de mcanismes techniques ou organisationnels visant conserver sous contrle la politique de ltrage ne dispense pas de la ralisation de ces revues rgulires. R15 Une politique de ltrage rseau doit tre passe en revue une frquence bi-annuelle ou annuelle minima.
Page 14 sur 15
7 Illustration
Une partie des recommandations prsentes dans ce document sont illustres laide dun jeu de rgles simple dni sur un pare-feu NetAsq (solution qualie par lANSSI).
Figure 1 Politique de ltrage rseau sur NetAsq Les ux mis par le pare-feu (section n2) napparaissent pas dans lexemple ci-dessous car ils sont dnis implicitement (par exemple ntp et syslog) par la solution technique employe.
Page 15 sur 15