Évitez les intrus sur votre réseau : configurez le pare-feu ou le pare-feu du routeur
Actuellement, tous les systèmes d’exploitation ont un pare-feu préinstallé, mais à de nombreuses reprises, nous ne l’avons pas activé ou nous ne l’avons pas configuré correctement. Les routeurs qui sont le cerveau de l’ensemble du réseau, ont également un pare-feu préinstallé et activé, principalement basé sur iptables car la grande majorité des firmwares sont basés sur Linux. Aujourd’hui, dans RedesZone, nous allons vous montrer quelles options de configuration nous pouvons trouver dans un pare-feu pour routeurs, utilisant des routeurs ASUS et aussi AVM FRITZ! Box, deux fabricants dont le firmware est vraiment complet et nous permet une grande configurabilité.
Un aspect très important dont nous devons tenir compte est que lorsque nous avons activé le pare-feu du routeur, il est également fortement recommandé d’avoir un pare-feu sur les PC, bien que ce ne soit pas entièrement nécessaire puisque nous sommes dans un environnement NAT, donc à partir du Internet ce n’est pas Ils pourront accéder à nos équipements sans avoir préalablement ouvert un port vers notre PC, ou ouvrir directement la DMZ vers notre PC. Dans ce dernier cas, il est fortement recommandé d’avoir un pare-feu installé et configuré sur notre PC, car il sera entièrement accessible depuis Internet.
A quoi sert un pare-feu dans un routeur ?
Grâce aux pare-feux, nous pourrons autoriser ou bloquer le trafic entrant et sortant via les différentes interfaces du routeur, à la fois sur le WAN, ainsi que sur le LAN. Cependant, la grande majorité des utilisateurs souhaitent disposer d’un pare-feu sur le WAN Internet pour contrôler le trafic de l’extérieur vers le routeur lui-même. Un pare-feu sur un routeur nous permettra de bloquer toute tentative d’accès à un certain port spécifique sur le routeur, c’est-à-dire que si nous avons ouvert le port TCP 22 du SSH, nous pouvons limiter le nombre de connexions simultanées, le nombre de connexions en un certain temps, et nous pouvons même autoriser uniquement une certaine adresse IP à accéder au serveur SSH de notre routeur.
Avoir un firmware dans le routeur est très important pour être correctement protégé, car sinon, tout cybercriminel pourrait communiquer sans aucun type de restriction avec notre routeur et même le violer pour accéder au réseau local domestique, et donc, à nos ordinateurs depuis le réseau local.
Un aspect très important des pare-feux de routeur est que, par défaut, toutes les communications qui commencent à l’étranger (sur Internet) sont rejetées (DROP), si elles n’ont pas été spécifiquement autorisées auparavant, la politique de « refuser tout » est donc la meilleure pratique pour protéger adéquatement le réseau local. Dans la grande majorité des systèmes d’exploitation orientés pare-feu et routeur tels que pfSense ou OPNsense, nous avons pour politique de tout nier implicitement, c’est-à-dire que si nous n’avons pas de règle pour autoriser «quelque chose», aucun trafic ne passera, car tout le trafic sera refusé par défaut.
Cette politique est dite politique restrictive, mais c’est la plus recommandée car c’est celle qui nous offre la plus grande protection : par défaut nous interdisons tout, sauf ce que nous avons spécifiquement autorisé.
Les ordinateurs sur le LAN sont toujours derrière NAT
Actuellement, avec les réseaux IPv4, nous utilisons NAT / PAT, de sorte qu’avec la même adresse IP publique, tous les ordinateurs que nous avons sur le réseau local puissent accéder à Internet. Un détail important est que toutes les communications effectuées depuis les ordinateurs du réseau local vers Internet sont autorisées, c’est-à-dire qu’un socket est ouvert sur le PC et circule vers la destination, et dans la table NAT, nous aurons la traduction que nous avons effectuée à partir de IP à IP publique, de sorte que lorsque le paquet revient, il peut être correctement redirigé vers sa destination.
Si depuis Internet, nous essayons d’initier la communication avec un ordinateur sur le réseau local, nous ne pourrions pas directement, à moins que :
- Nous avons configuré une redirection de port (ports ouverts) sur le routeur vers ce PC.
- Nous avons configuré la DMZ sur l’IP privée du PC en question.
Par conséquent, toute communication d’Internet vers le réseau local est bloquée par défaut. De plus, il est fortement recommandé de toujours désactiver le protocole UPnP, afin que les appareils ne puissent pas ouvrir un port par eux-mêmes dans le NAT du routeur et être plus protégés. Il existe certains appareils qui ouvrent en permanence un port sur le routeur, comme certaines caméras IP, et qui seraient facilement accessibles via Internet. Ainsi, une très bonne politique de sécurité repose sur :
- No abrir puertos en el «Port forwarding» a equipos que realmente no lo necesiten, por supuesto, no abrir jamás la DMZ hacia un determinado equipo si éste último no tiene un firewall, o se trata de un dispositivo como una consola que sí lo puede avoir besoin.
- Si nous devons ouvrir des ports, assurez-vous que nous mettons l’adresse IP privée de l’équipe qui en a vraiment besoin, et ajoutez cette équipe dans le DHCP statique afin qu’elle obtienne toujours la même adresse IP privée, et nous n’avons pas ce port ouvert à «rien» ou au mauvais équipement.
- N’ouvrez la DMZ sur aucun ordinateur, et si vous devez l’ouvrir sur un certain ordinateur, assurez-vous de définir correctement l’adresse IP privée et qu’il s’agit d’une console ou d’un ordinateur similaire dont tous les ports doivent être ouverts.
- Désactivez UPnP pour que les appareils n’ouvrent pas de ports de manière autonome, il est recommandé de le désactiver directement sur le routeur pour l’empêcher. Il est préférable d’ouvrir les ports manuellement car nous aurons le contrôle.
Options de configuration du pare-feu sur les routeurs ASUS
Les routeurs ASUS intègrent un pare-feu basé sur iptables, nous pourrions donc utiliser toute la puissance de ce pare-feu via la ligne de commande, via telnet ou SSH. Cependant, nous avons également certaines options de configuration disponibles sur le routeur lui-même, afin qu’un utilisateur ayant des connaissances de base n’ait pas à «toucher» le pare-feu interne.
Dans le menu «Pare-feu», nous pouvons activer ou désactiver le pare-feu basé sur iptables pour les réseaux IPv4 et également les réseaux IPv6, la configuration par défaut est que dans les deux protocoles, le pare-feu est activé, comme cela est recommandé pour la sécurité. ASUS nous permet de configurer un système anti-attaque DoS dans les réseaux IPv4, bloquant l’adresse IP source si elle fait plusieurs tentatives de connexion, afin d’atténuer ce type d’attaque.
Une autre caractéristique intéressante est la possibilité de bloquer tout ping (ICMP Echo-request) effectué sur le port Internet WAN, cela permettra que, si quelqu’un d’Internet effectue un ping, il soit automatiquement bloqué (DROP).
Le pare-feu pour IPv6 est dans un état de blocage total, dans ce cas, l’opération est quelque peu différente car elle affecterait également les ordinateurs du réseau local. Dans les réseaux IPv6, nous n’avons pas de NAT, mais les PC ont une adresse IPv6 Global-Unicast, c’est-à-dire une IP publique pour chaque ordinateur, mais logiquement nous serons protégés par le pare-feu du routeur, où par défaut toutes les communications entrantes (depuis le Internet vers le PC avec IP publique) est bloqué, mais il permet à toute communication sortante d’avoir une connectivité sans problème.
Une option très intéressante des routeurs ASUS est le «filtre LAN to WAN». Nous avons indiqué précédemment que les pare-feu vous permettent de contrôler à la fois le trafic d’Internet vers le routeur et le réseau local, ainsi que l’inverse, du réseau local vers Internet. Dans ce cas, nous pouvons configurer le pare-feu pour bloquer la sortie des paquets vers le WAN depuis le LAN, nous devrons simplement entrer l’adresse IP source, la destination et les ports, pour ajouter cette règle au pare-feu et bloquer les paquets sortants.
Bien que nous ne l’ayons pas vu, le filtrage d’URL et de mots clés utilise également le pare-feu, mais avec un travail préalable de résolution de noms et de vérification du trafic.
Options de configuration du pare-feu sur les routeurs AVM FRITZ! Box
Dans le cas des routeurs AVM, nous avons également un pare-feu assez configurable. Pour accéder au pare-feu, nous devons aller dans le menu avec trois points verticaux et sélectionner « Vue avancée ». Dans le menu principal, nous allons dans » Internet / Filtres «, dans cette section, nous aurons tout ce qui concerne le pare-feu et la QoS.
L’onglet «Listes» est l’endroit où nous pouvons activer le pare-feu en mode furtif, afin de ne pas répondre avec l’écho-réponse à toute demande d’écho envoyée au port WAN. D’autres options de configuration intéressantes sont le blocage du port 25, qui est typiquement utilisé pour envoyer des e-mails sans aucun type de cryptage, AVM nous permet de le bloquer directement pour nous protéger. Nous pouvons également activer le filtrage NetBIOS et même Teredo, c’est-à-dire que si nous n’utilisons pas ces services, il est préférable de les bloquer pour des raisons de sécurité.
Bien qu’il ne s’agisse pas du pare-feu lui-même, étant dans un environnement NAT, il se peut que nous ayons des ports ouverts que nous n’utilisons pas vraiment. Il est toujours fortement recommandé de fermer tout type de port qui n’est pas utilisé, car il pourrait être la passerelle vers les cybercriminels.
La même chose se produit avec les services FRITZ! Box, si nous ne voulons pas «localiser» le routeur et y accéder à distance via son IP publique, le mieux que nous puissions faire est de désactiver cet accès, rappelez-vous que nous pourrions également accéder via VPN et plus tard accéder à l’IP privée de la passerelle par défaut.
Comme vous pouvez le voir, nous pouvons créer plusieurs connexions VPN, à la fois VPN d’accès à distance et VPN de site à site avec ces routeurs AVM, toutes utilisant toujours le protocole IPsec, actuellement il ne prend en charge ni OpenVPN ni Wireguard.
Par conséquent, il est fortement recommandé que, si notre routeur dispose de services accessibles à Internet, nous n’ayons « exposé » que ceux que nous allons utiliser, et pas tous, car pour des raisons de sécurité, il est toujours nécessaire d’avoir tous les ports fermés et bloqué, sauf ceux qui ne le sont pas nous n’avons d’autre choix que d’ouvrir.
Est-il nécessaire d’avoir un pare-feu sur mon PC ?
Tous les PC ont un pare-feu activé par défaut, et avec différents profils que nous pouvons configurer très facilement. Dans le cas de Windows 10, nous avons un total de trois profils avec des autorisations différentes pour autoriser / refuser le trafic, en particulier nous avons «Réseau de domaine», «Réseau privé» et «Réseau public». Généralement, nous utiliserons toujours les deux derniers.
La configuration du pare-feu en «Réseau privé» consiste à accepter les connexions entrantes, puisque nous sommes dans un environnement fiable, la configuration du pare-feu en «Réseau public» consiste à rejeter les connexions entrantes si nous n’avons pas préalablement fait la communication.
Est-il nécessaire d’avoir un pare-feu activé sur mon ordinateur de bureau ? Nous devons garder à l’esprit que nous travaillons toujours (ou presque toujours) dans un environnement NAT, il n’y a donc pas de port ouvert sur le routeur par défaut. En cas d’ouverture de la DMZ, il est indispensable d’utiliser le pare-feu, et également en mode «Réseau public» pour bloquer toute connexion entrante que nous n’avons pas préalablement établie. Dans les cas où nous n’avons aucun port ouvert, le pare-feu Windows ne nous protégera que des connexions via LAN, car ils ne peuvent tout simplement pas nous atteindre depuis Internet car aucun port n’a été ouvert (bien que vous deviez vous assurer que UPnP sur le routeur le fait donc. vous avez désactivé).
Si nous voulons entrer dans le pare-feu avancé de Windows, il suffit de cliquer sur « Configuration avancée » dans le menu principal du pare-feu, et ce menu apparaîtra où nous pourrons ajouter différentes règles :
Par défaut, un grand nombre de programmes que nous utilisons quotidiennement sont autorisés à accepter des connexions. Si nous voulons ajouter une nouvelle règle, nous cliquons sur « Nouvelle règle » dans le menu en haut à droite. Nous pouvons également faire la même configuration pour les règles sortantes.
Comme vous l’avez vu, il est très important d’avoir le pare-feu du routeur activé et bien configuré, un autre aspect important concernant NAT / PAT est de ne pas avoir de port ouvert si nous ne l’utilisons pas, encore moins d’activer la DMZ vers notre PC, car cela comporte un risque élevé puisque tous les ports sont ouverts, à l’exception de ceux spécifiquement ouverts à d’autres ordinateurs.