Un pare-feu (je sais : pare-feu pour les petits français) est une des bonnes pratiques de sécurité que je recommande. Bon sang de bonsoir, c’est même l’outil de base le plus indispensable et surtout (alors que ça ne semble pas évident au premier abord) le plus efficace pour lutter contre les attaques sur votre serveur web.
Un firewall (en français : pare-feu) est un dispositif (qui peut être logiciel ou matériel) permettant de filtrer ce qui peut passer sur un réseau ou sur une machine.
Pare-feu réseau
Quel firewall utiliser ?
Pour un ordinateur personnel ou un petit serveur web, il s’agit souvent d’un programme qui va se loger dans un recoin du système et qui filtre selon des règles qu’on peut paramétrer. Il en existe plein, mais dans le cadre d’un petit serveur web de type Linux, je recommande shorewall qui se base sur iptables
L’outil iptables est considéré comme fiable et efficace. Pourquoi rajouter une couche avec Shorewall ? Parce qu’iptables est assez pénible à paramétrer, et que shorewall le fait pour vous à partir de règles un peu plus simples.
L’avantage de Shorewall est qu’il permet relativement simplement de paramétrer un outil très puissant et très efficace, IPTables. Pour simplifier, IPTables est la partie accessible de netfilter qui est le mécanisme de filtrage du noyau Linux.
Comme un utilisateur, même root, n’a pas accès directement au noyau, on passe par IPTables pour configurer les règles de filtrage.
Comme ces règles de filtrage sont malgré tout un tantinet complexes à écrire, à vérifier, et surtout à rendre cohérentes, des outils proposent de le faire pour vous. Shorewall en est un parmi d’autres, il a l’avantage de simplifier le travail et d’être en mode texte.
Pare-feu applicatif
mod security est un exemple de pare-feu applicatif.