Recommandations et méthodologie pour le nettoyage d’une politique de filtrage réseau d’un pare-feu

Ce document s’incrit dans la suite logique d’une précédente publication ANSSI intitulée Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu. Il a pour objectif de proposer un cadre permettant « d’assainir » la politique de filtrage réseau d’un pare-feu d’interconnexion dont la maîtrise ou la compréhension n’est plus garantie.

Les pare-feux ont connu des évolutions récentes importantes et sont par exemple maintenant dotés de fonctionnalités permettant l’analyse des flux au niveau applicatif. Cependant, les politiques de filtrage au niveau réseau jouent encore un rôle très important dans la sécurisation des systèmes d’information et doivent à ce titre être parfaitement maîtrisées avant de mettre en place des contrôles avancés des flux. La perte de contrôle d’une politique de filtrage d’un pare-feu d’interconnexion peut avoir différentes causes, parmi lesquelles :

• la complexité de la politique de filtrage, qui peut dans certains cas contenir plusieurs centaines (voire des milliers) de règles ;
• l’absence de conventions précises régissant la rédaction des politiques de pare-feu (règles techniques ou organisationnelles) ;
• le renouvellement trop fréquent des personnes en charge de l’exploitation des pare-feux ;
• le manque de maîtrise de la cartographie des systèmes d’information.

La conséquence évidente de la perte de contrôle d’une politique de filtrage d’un pare-feu est l’autorisation de flux illégitimes. La présence de ce type de flux expose davantage le système d’information à de nombreuses attaques (intrusion, vol de données, etc.). Mais cela peut également faciliter l’exploration du réseau par un utilisateur mal intentionné ou par un attaquant qui aurait déjà compromis une partie du système d’information. Enfin, maintenir une politique de filtrage la plus simple possible permet de réduire les coûts de maintenance du système d’information.