Aller au contenu
DevSecOps Logo Stéphane ROBERT
Docs
Blog

Sécurité réseau

Mise à jour :

Le réseau est la surface d’attaque la plus exposée. Chaque port ouvert, chaque service accessible est une porte potentielle pour un attaquant. La sécurité réseau combine filtrage du trafic, détection des menaces et surveillance continue pour réduire cette surface.

Pourquoi sécuriser le réseau ?

Un serveur connecté à Internet reçoit en permanence des tentatives de connexion : scans de ports, brute-force SSH, exploitation de vulnérabilités connues. Sans protection, ces attaques finissent par aboutir.

Les couches de défense réseau se complètent :

  • Pare-feu : filtre le trafic entrant/sortant selon des règles
  • IDS (Intrusion Detection System) : détecte les comportements suspects
  • IPS (Intrusion Prevention System) : bloque automatiquement les menaces
  • Analyse réseau : identifie les services exposés et les vulnérabilités

Qui est concerné ?

ProfilBesoin principal
Administrateur systèmeConfigurer pare-feu, surveiller les logs
Ops / SREAutomatiser les règles, intégrer les alertes
PentesterScanner les réseaux, identifier les failles
RSSIDéfinir la politique de filtrage, auditer la conformité

Comment structurer sa défense ?

Filtrage : les pare-feux

Le pare-feu est la première ligne de défense. Il autorise ou bloque le trafic selon l’adresse source, le port de destination et le protocole.

  • UFW : interface simplifiée pour iptables (idéal pour débuter)
  • Firewalld : gestionnaire dynamique avec zones (RedHat/CentOS)
  • nftables : successeur moderne d’iptables

Détection : IDS/IPS

Les systèmes de détection analysent le trafic en temps réel pour repérer les signatures d’attaques connues ou les comportements anormaux.

  • Snort : IDS historique, règles communautaires
  • Suricata : IDS/IPS multi-threadé, compatible règles Snort
  • CrowdSec : IPS collaboratif, partage communautaire des IP malveillantes

Intégrité : détection de modifications

AIDE surveille les fichiers système pour détecter toute modification non autorisée (rootkit, backdoor, altération de binaires).

Scénario : serveur web exposé

Un serveur Nginx héberge une application web. Comment le protéger ?

  1. Pare-feu : autoriser uniquement 80/443 (HTTP/HTTPS) et 22 (SSH depuis IP admin)
  2. CrowdSec : bloquer automatiquement les IP qui tentent du brute-force
  3. Snort/Suricata : détecter les tentatives d’exploitation (SQLi, XSS)
  4. AIDE : alerter si un fichier système est modifié

Pièges courants

  • Ouvrir “temporairement” un port — et oublier de le refermer
  • Désactiver le pare-feu pour débugger — et ne jamais le réactiver
  • Ignorer les logs — les alertes non analysées ne servent à rien
  • Faire confiance au réseau interne — la latéralisation est réelle
  • Ne pas tester ses règles — une règle mal écrite peut tout bloquer ou tout autoriser

Pare-feux

Introduction aux Firewalls Comprendre la différence entre pare-feux matériels et logiciels.
UFW Interface simplifiée pour gérer iptables sur Ubuntu/Debian.
Firewalld Gestionnaire de pare-feu dynamique avec zones pour RedHat/CentOS.

Détection d’intrusion (IDS/IPS)

CrowdSec IPS collaboratif open source avec partage communautaire des menaces.
Snort 3 IDS historique pour la détection d'intrusions réseau.

Intégrité système

AIDE Surveillez l'intégrité des fichiers système pour détecter les modifications.

Outils à explorer

  • Fail2Ban — ban automatique basé sur les logs (alternative légère à CrowdSec)
  • OSSEC — HIDS (Host-based IDS) avec analyse de logs et intégrité
  • Wazuh — fork d’OSSEC avec interface web et SIEM intégré
  • pfSense / OPNsense — pare-feux open source avec interface web

À retenir

  1. Defense in depth — combinez pare-feu, IDS/IPS et surveillance
  2. Principe du moindre privilège — n’ouvrez que les ports strictement nécessaires
  3. Surveillez les logs — un IDS sans analyse est inutile
  4. Testez vos règles — vérifiez que le filtrage fonctionne comme prévu
  5. Automatisez les réponses — bloquez automatiquement les IP malveillantes

Liens utiles