Grâce au précédent article sur l’Histoire et introduction au pare-feu Windows, nous savons maintenant que la vraie viande et les pommes de terre du pare-feu Windows se trouvent à l'intérieur de la console WFAS, alors utilisons WFAS pour nous construire une nouvelle règle. Sur ce serveur Awoui-RA01, j'ai activé l'accès RDP afin de pouvoir gérer plus facilement ce serveur depuis mon bureau. Cependant, en activant RDP, j'ai maintenant autorisé l'accès à partir de tous les réseaux sur ce serveur. Cela signifie que je peux RDP Awoui-RA01 depuis l'intérieur du réseau, mais je peux aussi RDP Awoui-RA01 à partir d'Internet, car il s'agit d'un serveur d'accès à distance et se trouve être connecté directement à Internet. C'est un gros problème, car maintenant n'importe quel Yahoo sur Internet pourrait potentiellement trouver mon serveur, trouver l'invite de connexion RDP et essayer de forcer brutalement son chemin dans Awoui-RA01.
Pour atténuer ce problème, je souhaite retirer RDP sur ma carte réseau externe. Je veux qu'il reste actif à l'intérieur pour que je puisse continuer à accéder au serveur depuis mon bureau, mais y a-t-il un moyen simple à l'intérieur de WFAS de créer une règle de pare-feu qui bloque l'accès RDP uniquement de l'extérieur? Oui, il y en a certainement et voici comment faire :
1. Lancer le pare-feu Windows
Ouvrez wf.msc pour lancer le pare-feu Windows Defender avec sécurité avancée et accédez à la section Règles entrantes et vous verrez toutes les règles de pare-feu entrantes existantes qui existent sur ce serveur (il y a de nombreuses règles répertoriées ici même si vous n'avez jamais visité cette console avant, ces règles sont installées avec le système d'exploitation).
2. Créer une nouvelle règle
Cliquez avec le bouton droit sur Règles entrantes et choisissez Nouvelle règle… Cela lance un assistant à partir duquel nous allons créer notre nouvelle règle de pare-feu. Le premier écran est l'endroit où nous identifions le type de règle que nous voulons créer. Vous pouvez créer une règle qui modifie le trafic pour un programme particulier, ou vous pouvez regarder à travers une liste de prédéfinies. Cependant, j'aime savoir exactement ce que fait ma règle à cause de la façon dont je l'ai définie, pas à cause d'une définition de protocole préexistante, et je sais que RDP fonctionne sur le port TCP 3389. Donc, je vais choisir le port sur cet écran, et après avoir cliqué sur Suivant , je définirai 3389 comme port spécifique que je souhaite modifier :
3. Autoriser ou bloquer le port
Notre troisième étape consiste à décider si nous voulons autoriser ou bloquer ce port particulier. Il existe une troisième option répertoriée pour autoriser la connexion uniquement si elle est authentifiée par IPsec, ce qui est une option puissante, mais nécessite déjà d'avoir IPsec établi dans notre réseau. En raison de cette exigence, cette option ne s'applique pas à la plupart des gens. Pour notre exemple, RDP fonctionne déjà, mais nous voulons le bloquer sur l'une des cartes réseau, je vais donc choisir Bloquer la connexion :
Cependant, nous ne voulons pas bloquer RDP pour toutes les cartes réseau, donc cet écran suivant est très important. Ici, nous devons renvoyer à nos connaissances sur les profils de pare-feu dont nous avons parlé. N'oubliez pas que les NIC internes connectés à notre réseau de domaine se verront attribuer le profil de domaine. Mais toutes les cartes réseau qui ne sont pas connectées à un réseau interne sur lequel réside un contrôleur de domaine auront des profils publics ou privés actifs.
4. Désactiver RDP uniquement sur la carte réseau externe
Si nous voulons désactiver RDP uniquement sur la carte réseau externe, nous avons besoin que cette règle soit activée uniquement pour le profil privé et le profil public. Mais au cas où nous ajouterions plus de NIC à ce serveur à l'avenir sur lesquels nous voulons nous assurer que l'accès RDP n'est pas possible, nous laisserons les deux cochés Public et Privé, pour assurer une meilleure sécurité pour l'avenir. Assurez-vous de décocher le profil de domaine ! Sinon, vous bloquerez complètement l'accès RDP, et si vous utilisez actuellement RDP pour vous connecter à ce serveur, vous vous en retirerez et ne pourrez pas vous reconnecter :
Et maintenant, nous créons simplement un nom pour notre nouvelle règle, et nous avons terminé! Notre capacité à RDP dans ce serveur à partir d'Internet a été immédiatement désactivée, et nous pouvons nous reposer beaucoup plus facilement ce soir.
Comment créer une règle pour autoriser les pings (ICMP)
Très souvent, je dois créer une règle d'autorisation ou de blocage pour ICMP. En d'autres termes, je me trouve souvent obligé d'ajuster le pare-feu sur les serveurs afin d'activer ou de désactiver leur capacité à répondre aux requêtes ping. Vous avez probablement remarqué avec les systèmes d'exploitation de serveur plus récents qu'il est assez normal que le pare-feu bloque automatiquement les pings (ICMP) hors de la boîte. C'est un problème pour les environnements où le ping est la méthode standard pour tester si une adresse IP est consommée ou disponible. Vous êtes peut-être en train de rire, mais croyez-moi, il y a encore beaucoup d'administrateurs informatiques qui ne suivent pas les adresses IP qu'ils ont utilisées dans leurs réseaux, et lorsqu'ils sont confrontés à la nécessité de configurer un nouveau serveur et de décider quelle adresse IP lui donner, ils commencent simplement à envoyer un ping sur les adresses IP de leur réseau jusqu'à ce qu'ils en trouvent une qui expire! J'ai vu cela tant de fois. Bien que ce ne soit évidemment pas un bon moyen de gérer les adresses IP, cela arrive. Malheureusement, cette méthode rencontre de gros problèmes, car la plupart des nouvelles installations Windows sont conçues pour bloquer les réponses ICMP hors de la boîte, ce qui signifie que vous pouvez envoyer un ping à une adresse IP et recevoir un délai d'expiration, mais il pourrait en fait y avoir un serveur en cours d'exécution sur cette adresse IP .
Alors, revenons au point. Vous devrez peut-être activer ICMP sur votre nouveau serveur afin qu'il réponde lorsque quelqu'un essaie de lui envoyer une requête ping. Lorsque nous devons créer une nouvelle règle qui permet aux pings de se produire, nous mettons en place une règle comme nous l'avons fait pour RDP, mais il y a un gros problème. Sur ce tout premier écran de type de règle lors de la création de la nouvelle règle dans lequel vous devez identifier le type de règle que vous créez, il n'y a pas d'options ou de prédéfinitions pour ICMP. Je trouve cela étrange car il s'agit d'un type de règle très courant à mettre en place, mais hélas, choisir ICMP dans la liste déroulante serait tout simplement trop facile.
1. Créer une nouvelle règle
Au lieu de cela, ce que vous devez faire est de créer une nouvelle règle entrante comme nous l'avons fait pour RDP.
2. Sélectionner le bon type de règle
Mais au tout premier écran pour le type de règle , assurez-vous de sélectionner l'option "Personnalisé''. Ensuite, laissez l'option sélectionnée pour définir cette règle pour “Tous les programmes”.
3. Type de protocole
Cliquez à nouveau sur suivant, et vous avez maintenant une liste déroulante appelée Type de protocole . C'est le menu dans lequel vous pouvez choisir votre nouvelle règle pour manipuler le trafic ICMP. Comme vous pouvez le voir dans la capture d'écran suivante, vous pouvez choisir ICMPv4 ou ICMPv6 , en fonction de l'apparence de votre trafic réseau. Mon laboratoire de test est uniquement IPv4, je vais donc choisir ICMPv4 :
4. Finir la création de la règle
Pour le reste de la création de la règle ICMP, suivez les mêmes procédures décrites lors de la création de la règle RDP, en choisissant d'autoriser ou de bloquer ce trafic, et pour quels profils de pare-feu. Une fois terminé, votre nouvelle règle ICMPv4 est immédiatement appliquée, et si vous avez configuré une règle Autoriser, votre nouveau serveur répondra désormais avec succès aux requêtes ping.
5. Modifier une règle/voir ses propriétés
Si jamais vous avez besoin de modifier une règle ou de creuser dans des propriétés plus avancées d'une règle de pare-feu, de retour à l'écran Règles entrantes, vous pouvez cliquer avec le bouton droit sur n'importe quelle règle de pare-feu et vous diriger vers Propriétés.
Dans ces onglets, vous avez la possibilité de modifier tous les critères relatifs à la règle. Par exemple, vous pouvez accueillir des ports supplémentaires, vous pouvez modifier les profils de pare-feu auxquels il s'applique, ou vous pouvez même restreindre les adresses IP spécifiques auxquelles cette règle s'applique à l'aide de l' onglet Etendue.
Cela vous permet d'appliquer votre règle de pare-feu uniquement au trafic provenant ou en provenance d'une partie spécifique de votre réseau ou d'un certain sous-ensemble de machines. Par exemple, ici, j'ai modifié mon onglet Étendue pour refléter le fait que je veux uniquement que cette règle de pare-feu s'applique au trafic provenant du sous-réseau 10.10.0.0/16 :
Maintenant que vous en savez un peu plus sur la manière de créer une nouvelle règle, je vous propose de continuer dans votre lancée en allant jeter un petit coup d'oeil à l'article qui vous montre Comment fonctionne le déploiement de règles par le GPO.
Comments