GNU/Linux >> Tutoriels Linux >  >> Linux

Présentation des pare-feux

Cet article fournit une vue d'ensemble des pare-feux. Pour comprendre ce qu'est un pare-feu, vous devez d'abord comprendre ce qu'est Internet.

Internet est un réseau d'ordinateurs de type Web. Certains ordinateurs (comme votre ordinateur portable) se spécialisent principalement dans les tâches côté client. D'autres (comme un serveur Rackspacecloud) se spécialisent principalement dans les tâches côté serveur. Certains ordinateurs hautement spécialisés acheminent uniquement les communications entre d'autres ordinateurs. Ces ordinateurs sont appelés routeurs et commutateurs .

Paquets

Les ordinateurs communiquent en envoyant des données par paquets . Ces paquets se présentent sous différentes tailles et "formes", selon les protocoles qu'ils suivent. Un paquet peut contenir toutes les informations suivantes :

  • Adresse IP source :L'adresse IP (Internet Protocol) de l'expéditeur.
  • Adresse IP de destination :L'adresse IP (Internet Protocol) du destinataire.
  • Numéro de port source :Le port du service expéditeur. Ce nombre va de 1 à 65535.
  • Numéro de port de destination :Le port du service de réception. Ce nombre est compris entre 1 et 65535.
  • Protocole  :Le protocole ou le modèle suivi par le paquet.
  • Numéro de séquence :Le numéro de séquence du paquet. Le destinataire utilise ces numéros pour réassembler les paquets dans le bon ordre.
  • Taille du paquet :La taille du paquet.
  • Données  :Le message lui-même.
  • Somme de contrôle :Une vérification qui garantit que le paquet n'est pas corrompu.

Le but d'un pare-feu est de bloquer les paquets indésirables et éventuellement malveillants. Un pare-feu typique effectue cette tâche en examinant les six premières informations de la liste précédente, tandis que les pare-feu et les analyseurs de trafic plus sophistiqués utilisent des techniques plus avancées.

Bonnes pratiques de pare-feu

Lorsque vous configurez un pare-feu sur votre serveur cloud, vous devez y percer quelques trous afin de pouvoir recevoir les communications des services essentiels.

Identifiez les ports pour lesquels vous souhaitez créer des règles de pare-feu

Tout d'abord, vous devez identifier les communications provenant et allant vers ces services. Vous pouvez trouver ces informations en consultant les numéros de port communs suivants :

Port (protocoles IP) Service/Protocole
21 (Protocole de contrôle de transfert (TCP)) Protocole de transfert de fichiers (FTP)
22 (TCP et protocole de datagramme utilisateur (TCP/UDP)) Secure Shell et protocole de transfert de fichiers sécurisé (SSH/SFTP)
25 et 587 Protocole de transfert de courrier simple (SMTP)
53 (TCP/UDP) Système de noms de domaine (DNS)
80 (TCP/UDP) Protocole de transfert hypertexte (HTTP)
110 (TCP) Protocole postal (POP3)
143 (TCP/UDP) Protocole d'accès aux messages Internet (IMAP)
389 (TCP/UDP) Protocole d'accès à l'annuaire léger (LDAP)
443 (TCP/UDP) HTTP sécurisé (HTTPS)
465 (TCP) Protocole de transfert de courrier simple sécurisé (SMTPS)
636 (TCP/UDP) LDAP sécurisé (LDAPS)
694 (UDP) Battement de coeur
873 (TCP) rsync
3306 (TCP/UDP) MySQL
5900 (TCP/UDP) Informatique en réseau virtuel (VNC)
6660-6669 (TCP) Chat relais Internet (IRC)
8080 (TCP) Apache® Tomcat®

Les numéros de port vous permettent de percer des trous dans votre pare-feu pour les services que vous souhaitez ouvrir au monde. Il existe de nombreux numéros de port supplémentaires.

Utiliser des listes blanches

Il est important d'utiliser des listes blanches , qui sont la liste des services que vous autorisez tout en refusant tout le reste.

Par exemple, si vous souhaitez ouvrir l'accès à votre serveur Web et rien d'autre, votre liste de règles peut ressembler à l'exemple suivant :

  • ALLOW: DestPort=80
  • DENY: ALL

Si vous souhaitez également autoriser l'accès Secure Shell (SSH), mais uniquement à partir d'une adresse IP spécifique, votre liste peut ressembler à l'exemple suivant :

  • ALLOW: DestPort=22 && SrcIP=1.2.3.4
  • ALLOW: DestPort=80
  • DENY: ALL

La ligne qui dit DENY: ALL est peut-être la ligne la plus importante de vos règles de pare-feu car elle bloque tout ce que vous n'autorisez pas spécifiquement. Vous devez généralement placer cette ligne en bas.

Ressources supplémentaires

Les ressources suivantes peuvent également vous être utiles :

  • Meilleures pratiques pour la configuration des règles de pare-feu

  • Présentation d'iptables


Linux

  1. Introduction aux outils automatiques GNU

  2. Langage de programmation C - Introduction

  3. Une introduction à l'éditeur vi

  4. Une introduction aux pare-feu d'applications Web pour les administrateurs système Linux

  5. Pourquoi < ou > sont-ils nécessaires pour utiliser /dev/tcp

Comment configurer NGINX en tant qu'équilibreur de charge TCP/UDP sous Linux

Une introduction au navigateur Vivaldi sous Linux

Une introduction aux faits Ansible

5 exemples de la commande Netcat (nc) sous Linux

Principes fondamentaux du protocole TCP/IP expliqués avec un diagramme

Tutoriel d'introduction SNMP (protocole de gestion de réseau simple)