[BEST PRACTICE] Maintenance du pare-feu, protection de la configuration et atténuation des attaques CVE

Création - Mise à jour
Serhii Boiarynov
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici:Version originale

[Nous vous recommandons de lire cet article attentivement et intégralement, prenez votre temps.]

Zyxel assiste les administrateurs dans leur responsabilité de maintenir une installation de pare-feu protégée de manière optimale, d'utiliser les fonctions de sécurité de pare-feu de base et avancées existantes et de protéger leurs appareils le mieux possible en cas d'imprévu.

vulnérabilités et expositions communes (CVE) et les attaques.
Nous vivons dans un monde où les mises à jour et la maintenance font partie de notre travail quotidien dans le domaine de l'informatique professionnelle. Votre smartphone charge des mises à jour d'applications tous les jours, Google déploie des correctifs de sécurité mensuels pour les smartphones, et Windows a également son jour des correctifs. Un pare-feu doit également faire l'objet d'une attention particulière de temps à autre.

Configuration du pare-feu et première installation

Optimisation de la sécurité - Optimisez la configuration par défaut du système !

Maintenance - Prenez soin de votre pare-feu

 CVEAttack Mitigation

Support Insights - Autres conseils de sécurité et d'optimisation


Nebula - Moyens de rester à jour et avantages

Configuration du pare-feu et première installation


Mise à jour du micrologiciel

La première étape consiste à mettre à jour le micrologiciel de nos appareils vers la dernière version dès que vous recevez votre appareil. Notre assistant d'installation rapide vous aidera à installer la dernière mise à jour.

Changement du mot de passe de l'utilisateur Admin

Vous devez modifier le mot de passe de l'utilisateur Admin. Notre appareil vous demandera d'exécuter le changement. Nous vous suggérons d'utiliser un mot de passe d'au moins 8 caractères, avec des chiffres et des caractères spéciaux.

Optimisation de lasécurité - Optimisation de la configuration par défaut du système

Le fichier de configuration par défaut du système comprend déjà certaines protections, mais vous pouvez les adapter à vos besoins pour être encore mieux protégé.


WAN vers ZYWALL

La règle de politique de sécurité "WAN vers ZyWALL" vous aide à accéder facilement à votre appareil à distance et à utiliser les services VPN sur votre appareil. Cependant, la "Source" par défaut est "n'importe laquelle", ce qui signifie que potentiellement tout le monde dans le monde peut accéder à votre appareil.

1.) Object > Service > Service Group > "Default_Allow_WAN_To_ZyWALL"

a) Pour modifier la règle, nous vous suggérons d'ajouter un autre Port HTTPS, par exemple : "7592" et de supprimer tous les ports de service dont vous n'avez pas besoin (supprimer les ports VPN si vous n'utilisez pas de VPN).

b) Configurer un autre port HTTPS [Ne vous empêchez pas d'accéder à la session distante]
Si vous supprimez le port HTTPS (443) du WAN vers le groupe ZyWALL et que vous ajoutez votre propre port, veillez à mettre à jour également le port de gestion Web. Modification du port HTTPS de l'USG

2.) Politique de sécurité > Contrôle de la politique

Vérifiez la règle "WAN to ZyWALL" et essayez d'ajouter "IPv4 Source" dans cette règle. Cela signifie que vous pouvez contrôler les adresses IP, les FQDN ou les emplacements géographiques qui vous permettent d'accéder à votre appareil ou d'utiliser le VPN.

Par exemple :
La région de configuration du pare-feu est : Allemagne (Geo-IP, sans licence)
Votre région VPN est : Autriche (Geo-IP, sans licence)
L'adresse IP distante de votre tunnel VPN Site2Site est : 1.1.1.1 : 1.1.1.1 (Objet Adresse IP)
Pour maintenir le pare-feu, l'IP de votre "bureau" est une IP statique : 2.2.2.2 (IP-Address Object)

Maintenant, vous connaissez les exigences de votre pare-feu, vous connaissez votre partenaire et les régions avec lesquelles vous travaillez. Vous pouvez commencer à créer "Objet > Service > Adresse et Objet > Service > Groupe d'adresses pour créer un groupe de sources autorisées et les lier à votre règle de pare-feu "WAN to ZyWALL" en tant que Source.

Vous avez fait un grand pas en avant pour protéger votre appareil d'être "ouvertement disponible" pour les scanners de ports, le World Wide Web, les régions dont vous ne voulez pas obtenir l'accès à l'interface graphique de votre appareil, et de nombreux autres scénarios.

Nous savons que cela ne fonctionne pas toujours. Par exemple, les clients VPN distants ou les entreprises internationales peuvent avoir besoin de plages d'adresses IP dynamiques et autres, mais vous pouvez faire de votre mieux. Les mots en A dans un dispositif de pare-feu ne sont jamais bons. Évitez les mots "Tout, Autoriser, Tous, Toujours" dans votre configuration. Soyez aussi concret que possible, et si vous ne pouvez activer qu'au moins une fonction comme GEO IP, c'est mieux que rien. Comment utiliser la fonctionnalité Geo-IP

Maintenance - Prenez soin de votre pare-feu

Si vous assurez une maintenance régulière de votre pare-feu, celui-ci vous offrira la meilleure protection réseau à long terme et réduira les risques d'un rétablissement nécessaire pendant la durée de vie de l'appareil.

Mises à jour des microprogrammes

La maintenance d'un grand nombre d'appareils vous oblige à consacrer plus de temps à la maintenance. La mise à jour de vos appareils est l'un des aspects les plus urgents. Les appareils Zyxel sont mis à jour tous les trois mois. Au préalable, nous avons des mises à jour mensuelles de correction de bogues pour nos clients expérimentés, appelées "Weekly" Firmware hebdomadaire / Version de support / Version de laboratoire. Le [Weekly] ajoutera un avertissement. Si vous passez à FCS la prochaine fois, ne vous inquiétez pas. Il suffit de télécharger FCS à partir de www.myzyxel.com et de mettre à jour le micrologiciel.]

Zyxel fournit toujours des mises à jour de correction de bogues et des améliorations de performance et protège ses appareils contre les problèmes de sécurité ou les CVE signalés. Si nous corrigeons des problèmes de sécurité, ces mises à jour sont obligatoires et doivent être installées dès leur sortie.

Nous proposons des appareils à 2 partitions, où les deux partitions doivent être mises à jour à tour de rôle vers la même version de firmware ou vers une version plus récente d'un niveau. Prenons un exemple.

Partition 1 > v5.36 Patch 2 [En cours]
Partition 2 > v5.36 Patch 1 [En veille]
La prochaine mise à jour, "5.37", devrait être installée sur la partition 2 (en attente).

Avec une installation sur la partition "Standby", vous "copierez" automatiquement votre fichier de configuration actuel de "Running" vers "Standby", ce qui signifie que vous disposez d'une deuxième sauvegarde. De plus, si un problème survient avec la dernière mise à jour, vous pouvez simplement redémarrer la Partition 1 (précédemment Running, actuellement Standby) pour récupérer votre firmware (optimal 1 version plus ancienne) avec la même configuration.

Évitez de commettre les erreurs suivantes :

  • Ne mettez pas toujours à jour la partition "Running" après un certain temps (peut-être 2 ans) ; le micrologiciel est si vieux que si vous redémarrez sur l'autre partition ou si vous avez besoin de le faire, il peut présenter une incompatibilité avec les navigateurs actuels. Il peut y avoir des incidents de sécurité, ou votre configuration peut ne pas être convertie correctement en raison du développement de nouvelles fonctionnalités, car vous avez manqué trop de mises à jour.

  • Ne sautez pas les mises à jour du micrologiciel. Nous publions des mises à jour parce qu'elles sont nécessaires. Planifiez votre temps pour exécuter les mises à jour ou utilisez la fonction "Auto Upgrade".
    Mise à jour du micrologiciel Procédure de mise à niveau USG/ATP/VPN
    Comment mettre à jour les appareils USG via le service en nuage

    Même si vous voyez que nous n'ajoutons que quelques corrections de bogues ou améliorations, nous optimisons toujours les modules Linux et mettons à jour d'autres outils intégrés. Nous vous recommandons donc de ne pas sauter les mises à jour.

  • Vous avez reçu un avis de sécurité par e-mail de la part de Zyxel ? Lisez-le et agissez ! Si nous envoyons un avis de sécurité, ce n'est pas seulement pour vous informer et avoir un autre courrier à supprimer. Il s'agit d'informations proactives que vous devez prendre au sérieux pour protéger le pare-feu que vous avez installé sur votre réseau. Il y a un risque qu'un dispositif non mis à jour soit compromis après un certain temps parce qu'il n'a pas tenu compte des mises à jour nécessaires que nous lui avons fournies.

Atténuation des attaques CVE

Les attaques CVE ou les exploits avec accès à la racine sont toujours ennuyeux et apportent des problèmes dans le réseau. Tous les CVE signalés protègent les pare-feu Zyxel de notre part. Nous agissons de manière proactive avec nos chercheurs en sécurité et corrigeons les problèmes avec des mises à jour du micrologiciel avant qu'il ne soit trop tard.

Comment puis-je savoir si mon appareil a déjà été compromis ?

Si vous appliquez nos versions de micrologiciel, qui sont généralement mises à jour deux semaines avant la publication du code CVE, vous êtes toujours en sécurité et n'avez pas besoin de vous en préoccuper. Nous travaillons en étroite collaboration avec les chercheurs et les autorités CVE, et notre vitesse de correction des bogues est toujours plus rapide lorsque le code CVE est publié.

Cependant, si l'appareil est mis à jour trop tard ou n'a pas reçu de mise à jour depuis longtemps, et que vous n'avez pas procédé à des ajustements de configuration avancés et proactifs pour atténuer la façon dont un attaquant potentiel peut atteindre votre appareil à partir du réseau étendu, il existe toujours une rare chance qu'un appareil soit compromis en fonction de la sévérité du score CVE.

C'est pourquoi il est important que les administrateurs vérifient un dispositif de pare-feu "oublié" avec les yeux ouverts et qu'ils procèdent à des vérifications croisées à gauche et à droite.

Le saviez-vous ? Tous les CVE sont toujours publiés dans cet article. Il suffit de cliquer sur "Suivre" pour recevoir une notification automatique dès que cet article est mis à jour : Zyxel Security Advisories CVE

Quelques exemples :

  • Vérifiez si vous pouvez voir sur votre appareil des "comptes administrateurs" que vous n'avez pas créés vous-même. Si quelqu'un crée un compte administrateur, supprimez-le. Zyxel propose une fonction pendant le processus de connexion pour afficher les "Admins" lorsque leurs mots de passe doivent être changés. Le seul administrateur que nos appareils ont par défaut est "admin"
  • Vérifiez votre dernière configuration Sauvegarde "startup-config.conf" si la taille des fichiers est différente de la taille actuelle et que vous n'avez fait aucune modification. Il peut s'agir d'un changement de configuration non autorisé.
  • Vérifiez la page du processus "CPU". Nous vous indiquons la charge CPU des 10 processus les plus importants. Si vous trouvez un processus anormal ou un processus utilisant beaucoup de CPU, votre appareil est peut-être attaqué ou une fonction du système est instable, contactez notre équipe d'assistance pour clarifier si vous pensez que quelque chose ne semble pas être comme il devrait l'être.
  • Gardez les yeux ouverts ! Si vous avez l'impression que quelque chose ne se passe pas comme prévu, il peut s'agir d'un bogue, mais surtout si vous utilisez des versions de firmware assez anciennes parce que vous avez lu l'article ici trop tard, vous devriez tout vérifier à gauche et à droite, par exemple, y a-t-il plus de trafic sur le réseau WAN ? Est-ce que je vois des configurations que je n'ai pas faites ?
  • Votre fournisseur d'accès peut vous contacter. De nombreux FAI ont déjà mis en place des systèmes de surveillance pour détecter les comportements anormaux dans le réseau, par exemple le très populaire "Open DNS Resolver". Si vous avez un appareil infecté dans votre réseau, vous pouvez recevoir des informations de votre FAI, et vous pouvez agir.

[Si votre appareil présente un comportement anormal lié à un CVE, veillez à mettre à jour les mots de passe administrateur, les clés VPN, les PSK WIFI et d'autres informations sensibles.]

Support Insights - Autres conseils de sécurité et d'optimisation

Zyxel offre une variété d'outils d'assistance pour maintenir votre appareil en état de marche avec la dernière version du firmware et la meilleure sécurité disponible. Utilisez-les.

  • Changez votre mot de passe régulièrement. Nous recommandons de le faire tous les 6 mois au plus tard.
  • Un "Rappel de changement de mot de passe" s'affichera si votre mot de passe n'a pas été modifié depuis un certain temps ou après CHAQUE mise à jour du micrologiciel.
  • Un "Contrôle de sécurité" s'affichera si vous vous connectez et que vous n'avez pas effectué l'une des étapes de protection mentionnées ci-dessus. Il peut vous aider à modifier votre port HTTPS, votre port VPN SSL et à effectuer d'autres optimisations personnalisées afin d'augmenter le niveau de sécurité de votre pare-feu.
  • La consultation de Moniteur > Journaux peut vous aider à identifier les scénarios de trafic anormal vers votre pare-feu. Vous pouvez bloquer de tels "scans ou tentatives de connexion d'utilisateurs" en ajoutant des règles de pare-feu et en bloquant les adresses IP inconnues.
  • Sauvegardez régulièrement votre fichier de configuration

Nebula - Moyens de rester à jour et avantages

Nebula inclut déjà une stratégie plus intelligente pour la gestion des mises à jour du micrologiciel. Vous pouvez choisir la version "Latest" ou "Stable", où la version "Latest" est la dernière version absolue et sera convertie en version "Stable" après un certain temps de déploiement. Ainsi, une version "Stable" peut être la plus récente, mais il se peut aussi qu'en cas de comportement anormal, la version "Stable" soit 1 à 2 versions avant le dernier firmware.


Nebula met également à jour les appareils à tour de rôle, comme indiqué ci-dessus pour les appareils sur site. Cela signifie que chaque mise à jour s'appliquera à la partition Standby afin de changer de partition, de maintenir l'appareil à jour et de récupérer automatiquement (en démarrant sur la partition précédente) en cas d'erreur.

Un autre avantage de Nebula est la "mise à jour forcée du micrologiciel" en cas de problème de sécurité critique. Les appareils seront automatiquement mis à jour à une heure précise (le plus souvent le dimanche soir) afin que même les appareils "oubliés" ou les appareils sans maintenance soient mis à jour sans délai.

Informations sur les meilleures pratiques en matière de sécurité : Juin 2023

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 4 sur 4
Partager