Une revue de pare-feu trouve une règle « source quelconque / destination quelconque / autoriser » près du haut de la politique. Quel est le problème et la correction ?
Réponse courte
Comme les pare-feu évaluent les règles de haut en bas, une large règle any/any près du haut court-circuite toutes les règles en dessous et autorise tout le trafic — le pare-feu cesse en pratique d'imposer quoi que ce soit. Remplacez-la par des règles explicites de moindre privilège pour les flux réellement nécessaires, ordonnées pour que les autorisations et refus spécifiques prennent effet, et terminez par un refus par défaut. La qualifier d'efficace est faux, la déplacer en bas peut encore masquer le refus par défaut, et la renommer ne change rien à ce qu'elle autorise.
Trouver une règle any → any → autoriser près du haut d'une politique de pare-feu, c'est trouver un pare-feu qui, en pratique, ne filtre rien du tout. La correction consiste à la supprimer et à reconstruire autour du moindre privilège avec un ordonnancement correct.
Pourquoi une règle any/any en haut casse tout
Les pare-feu évaluent les règles de haut en bas, premier match gagnant. La première règle qui correspond à un paquet décide de son sort, et l'évaluation s'arrête là. Une règle correspondant à toute source vers toute destination correspond à chaque paquet — elle se déclenche donc avant que la moindre règle de refus ou d'autorisation restreinte placée en dessous n'ait sa chance. Ces règles inférieures deviennent masquées (shadowed) : présentes dans la configuration, mais mortes. Le résultat est un « permettre tout » implicite, qui défait toute la raison d'être de l'équipement et viole généralement des référentiels comme NIST SP 800-41 et les CIS Controls.
La bonne correction
Reconstruisez sur les principes de refus par défaut et de moindre privilège :
- Inventoriez les flux réellement requis (source, destination, port, protocole) — utilisez des journaux de connexion / NetFlow pour ne pas casser la production.
- Écrivez des règles d'autorisation explicites et étroitement délimitées pour exactement ces flux.
- Ordonnez-les pour que les règles spécifiques précèdent les générales, et placez un refus par défaut (avec journalisation) en bas pour attraper tout le reste.
- Validez, puis supprimez la règle any/any.
Pourquoi les autres réponses sont fausses
- « C'est efficace et on peut la garder » confond « correspond vite » avec « sécurisé ». Elle est efficace pour laisser passer les attaques.
- La déplacer en bas reste dangereux : elle masque désormais le refus par défaut, ré-autorisant tout ce que les règles explicites n'autorisaient pas déjà. La règle any/any doit simplement être supprimée, pas déplacée.
- La renommer est cosmétique — le comportement de correspondance des paquets est identique.
L'examinateur veut voir que vous comprenez l'ordre d'évaluation comme un contrôle de sécurité, que vous savez migrer vers le moindre privilège sans coupure et qu'une politique propre se termine par un refus par défaut plutôt que par une autorisation globale.
Questions de suivi probables
- Pourquoi l'évaluation au premier match, de haut en bas, fait-elle de l'ordre des règles un contrôle de sécurité ?
- Comment remplaceriez-vous la règle any/any en toute sécurité sans coupure — de quelle télémétrie avez-vous besoin d'abord ?
- Qu'est-ce qui doit figurer tout en bas d'une politique bien formée, et pourquoi le journaliser ?