Installer votre premier Firewall grâce à UFW

Voyons comment mettre en place facilement un pare-feu (firewall) afin de sécuriser votre serveur Linux. Grâce à UFW – Uncomplicated FireWall, vous allez pouvoir configurer facilement vos règles sans passer par des utilitaires complexes comme IPtables.

Qu’est-ce qu’un firewall ?

Un pare-feu est un logiciel (ou matériel) qui contrôle les accès aux réseaux suivant des règles configurables. Le plus souvent, les règles de votre firewall se baseront sur l’origine ou la destination des paquets réseaux (flux de données). Concrètement, vous allez pouvoir autoriser/interdire des adresses IP, des protocoles, des ports, que ce soit pour des connexions entrantes ou sortantes du serveur.

Qu’est ce qu’un port, un protocole, un service ?

Un serveur est une machine qui diffuse un ou plusieurs services sur un réseau. Un serveur répond donc à d’autres machines en fonction de son rôle et ne devrait être joignables que sur les services pour lequel il est configuré.

Par exemple :

  • un serveur de communication TeamSpeak doit répondre à des connexions vocales mais ne doit pas répondre si je le sollicite pour relayer des courriers indésirables,
  • un serveur Minecraft doit répondre à des actions de joueur mais ne doit pas répondre si je tente d’établir une connexion FTP pour échanger des documents,
  • un serveur web doit répondre si mon navigateur lui demande une page web, mais ne doit pas forcement me répondre si je tente de lui ouvrir une connexion MySQL.

N’importe quel serveur sous Windows ou Linux compte quelques dizaines de service actifs en permanence et plusieurs d’entre eux sont des services réseaux qui sont à l’écoute de toutes demandes provenant de l’extérieur pour y répondre (c’est leur job après tout).

Pour être capable d’écouter en continue les sollicitation du réseau, chaque service attend devant un port qui lui est réservé. Ainsi, TeamSpeak attendra devant la port 9987, un serveur de mail écoutera le port 25 tandis qu’un serveur web se réservera par défaut le port 80 pour le protocole HTTP et 443 pour le protocole HTTPS.

Prenons le cas d’un serveur WEB + PHP + MySQL + Mail

Imaginons que vous souhaitiez installer un serveur web capable de comprendre du code PHP, d’héberger des données dans une base MySQL et d’envoyer des emails de notification à vos utilisateurs. Vous aurez également besoin de SSH pour vous connecter à distance pour administrer le serveur et de déployer votre code.

Pour chacun des services, il faut se demander s’il doit être accessible de partout (internet), depuis certaines machines (filtrage par IP), ou uniquement en interne (filtrage par protocole). Pour tous les autres services actifs sur votre serveur, il est préférable de les bloquer pour éviter des accès non désirés.

En effet, Internet est rempli de serveurs « zombie » qui exposent des services à des pirates. Sans le savoir, des services mails sont accessibles sur de nombreux serveurs et sont exploités comme relais mail par des spammeurs à votre insu. Il y a également de nombreux serveurs de bases de données exposés inutilement sur internet qui se retrouvent victime d’attaques exposants ainsi les données confidentielles qu’ils contiennent.
Enfin, même si un serveur de base de données peut être protégé par un mot de passe, des pirates peuvent saturer votre service en ouvrant des centaines de connexion simultanée.

Installation de UFW, c’est parti !

Sur Ubuntu, UFW est pré-installé. Si vous utilisez une autre distribution Linux comme Debian, il suffit d’installer le paquet ufw.

apt-get install ufw

A ce stade, IFW est installé mais n’est pas activé. Nous allons vérifier l’état du firewall grâce à la commande status :

ufw status verbose
  • status permet de savoir si le pare-feu est activé ou désactivé,
  • logging permet de connaitre le niveau de traçabilité de ce que l’on trouvera dans/var/log/ufw.log
  • default permet de savoir si par défaut (en l’absence de règle), on autorise ou refuse toutes connexions entrantes ou sortantes

La première chose à faire est de configurer les règles par défaut. Nous définissons que toutes connexions entrantes et sortantes sont bloquées. En effet, nous vous conseillons d’appliquer le principe de blacklist, c’est à dire de tout bloquer puis d’autoriser au cas par cas les services nécessaires.

ufw default deny incoming
ufw default deny outgoing

Autorisons les connexions au serveur web (que ce soit Apache ou nginx). Pour cela, nous devons autoriser les connexions entrantes (IN) vers le port 80 (HTTP) et 443 (HTTPS)

ufw allow in 80/tcp
ufw allow in 443/tcp

En plus de préciser le port acceptant les connexions entrantes, vous remarquez que nous pouvons préciser le protocole de transport des paquets. Le choix entre TCP ou UDP dépends du type de service. Un service qui accepte des pertes de données utilisera plutôt UDP (la téléphonie, la vidéo, un jeu en réseau, etc) tandis qu’un service qui doit garantir l’intégrité des données utilisera TCP (le web, les mails, etc).

Vous vous en doutez surement mais votre serveur a également besoin d’accéder à internet en HTTP ou HTTPS. Il peut avoir besoin de contacter un webservice, de télécharger des fichiers ou simplement de se mettre à jour. Il faut donc autoriser le serveur à sortir (OUT) vers Internet :

ufw allow out 80/tcp
ufw allow out 443/tcp

Il y a de forte chance que vous soyez actuellement connecté à votre serveur en SSH. Un connexion SSH vous permet d’exécuter des commandes à distance, de monter des tunnels ou d’envoyer des fichier en SFTP. Nous pouvons donc autoriser le SSH(22) en entrant

ufw allow in 22/tcp

Précisons que si vous avez configuré SSH sur un autre port que le 22 pour brouiller les pistes, n’oubliez pas d’adapter la commande avec le bon numéro de port

Votre serveur aura également besoin d’envoyer des emails. Il ne pourra toutefois pas recevoir de mails ou être utilisé comme relai. Nous pouvons donc autoriser les connexions SMTP (25) sortantes uniquement

ufw allow out 25/tcp

Comme tous les serveurs, votre serveur va avoir besoin de résoudre des noms de domaine, c’est à dire de convertir un nom de domaine en adresse IP. Pour cela, il doit interroger le serveur DNS que vous avez configuré à son installation. Nous devons donc autoriser le connexions sortante en DNS (53)

ufw allow out 53/udp

Vous aurez remarqué que nous n’avons pas ouvert le port de MySQL. En effet, notre serveur de base de données doit être joignable localement par PHP qui est sur le même serveur mais ne doit pas être exposé sur internet. Étant donné que nous avons bloqué tous les ports par défaut, il se retrouve protégé sans règle particulière. Vous pourrez toutefois vous connecter à votre serveur MySQL depuis votre ordinateur en utilisant votre connexion SSH pour monter la connexions MySQL (L’outil MySQL WorkBench propose par défaut la connexion standard TCP/IP over SSH).

Notre configuration initiale étant terminée, nous pouvons maintenant activer le firewall

ufw enable

Vérifions maintenant notre paramétrage

ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere

80/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
25/tcp ALLOW OUT Anywhere
53/udp ALLOW OUT Anywhere

Comment protéger les ports ouverts ?

A ce niveau, nous avons réussi à fermer tous les ports pouvant donner accès à des services ne nécessitant d’être exposés sur internet. Maintenant, regardons comment améliorer la sécurité des ports ouverts.

UFW permet de limiter les tentatives de connexion, prenons l’exemple du SSH. De manière très simple, nous pouvons activer un quota de connexion SSH.

ufw limit 22/tcp comment 'Autorise 6 connexions sur 30 secondes'

UFW permet également de restreindre un port à certaines IPs. Nous pouvons donc imaginer que seulement quelques adresses IP aient accès à la connexion SSH. Supprimons la règle qui ouvrait SSH pour tout le monde et spécifions une adresse IP autorisée.

ufw delete allow in 22/tcp
ufw allow from <MON_IP> to any port 22

Comment supprimer une règle de firewall UFW ?

Précédemment, nous avons supprimé une règle globale pour en créer une plus précise. Il existe deux manières de supprimer une règle :

  • En reprenant la commande d’ajout de règle, préfixé par delete (voir l’exemple précédent)
  • En listant les règles de manière numérotée, puis en supprimant par numéro
ufw status numbered
Status: active
To Action From -- ------ ----
[ 1] 80/tcp ALLOW IN Anywhere
[ 2] 443/tcp ALLOW IN Anywhere
[ 3] 80/tcp ALLOW OUT Anywhere (out)
[ 4] 443/tcp ALLOW OUT Anywhere (out)
[ 5] 22/tcp ALLOW OUT Anywhere (out)
[ 6] 25/tcp ALLOW OUT Anywhere (out)
[ 7] 53/udp ALLOW OUT Anywhere (out)
[ 8] 10022 ALLOW IN 123.123.123.123

Il suffit ensuite de lancer la commande delete avec l’ID de la ligne. Par exemple :

ufw delete 2

Ressources récentes