La pandémie mondiale a contraint de nombreuses personnes à rester chez elles, leur laissant suffisamment de temps libre pour lancer des projets auxquels elles pensaient depuis longtemps.
Parce que les serveurs privés virtuels (VPS) offrent le meilleur environnement entre un plan partagé abordable et un puissant serveur dédié, de nombreux nouveaux propriétaires de sites Web considèrent logiquement qu’il s’agit d’un excellent choix pour démarrer.
La gestion d’un serveur virtuel nécessite une approche pratique de la part de l’utilisateur, et l’une des tâches clés est la configuration du pare-feu du VPS. Nous allons tenter ici de dissiper une partie de la confusion qui entoure cette question.
L’importance de la sécurité des VPS
La vague d’administrateurs de sites Web novices est une bonne nouvelle pour les pirates. Il existe un large éventail de nouvelles cibles, dont beaucoup ne sont pas préparées à faire face au paysage moderne des menaces.
L’incitation à attaquer ces nouveaux sites Web est également très forte. Un grand nombre de projets en cours d’élaboration tournent autour du modèle commercial du e-commerce. Une attaque réussie pourrait donc permettre aux pirates d’accéder sans autorisation à des données sensibles (et précieuses).
Même si ce n’est pas le cas, un serveur virtuel compromis peut servir de rampe de lancement pour d’autres attaques. De nombreux utilisateurs de VPS savent qu’un pare-feu est l’un des mécanismes de défense les plus fondamentaux et les plus importants qui soient.
Mais savez-vous comment ça marche ? Et pouvez-vous le mettre en place sans l’aide d’un expert ?
Qu’est-ce qu’un pare-feu VPS ?
Un pare-feu est un système de sécurité réseau qui utilise des règles prédéterminées pour filtrer le trafic entrant et sortant ; il vérifie les demandes échangées entre le VPS et le monde extérieur et bloque tout ce qui est suspect.
Dans le contexte d’un serveur d’hébergement web, un pare-feu est le moyen le plus simple d’arrêter les attaques telles que les attaques par force brute, les DDoS, le balayage des ports et diverses autres menaces qui entraînent des interruptions de service et des prises de contrôle des serveurs.
Cependant, les pare-feu sont inutiles s’ils ne sont pas configurés correctement.
Par exemple, il existe un total de 65 535 ports réseau TCP et UDP. Seule une poignée d’entre elles sont utilisées par les serveurs. Un pare-feu correctement configuré bloque toutes les connexions aux ports qui ne sont pas utilisés par des services légitimes.
Les pare-feu VPS ont également des règles strictes sur la façon dont les services sont utilisés.
Par exemple, disons que vous constatez qu’une adresse IP génère une quantité inhabituelle de trafic. Un pare-feu correctement configuré bloquera cette IP avant qu’elle ne commence à monopoliser les ressources du serveur et que les performances en pâtissent.
Cette technologie existe depuis les années 1980, et la plupart des ordinateurs et des serveurs sont désormais protégés par des pare-feu. Il existe des solutions gratuites et payantes pour toutes les configurations imaginables. Certains sont intégrés au système d’exploitation lui-même, d’autres sont disponibles en tant que produits tiers.
Comme la majorité des solutions VPS pour l’hébergement web fonctionnent sous Linux, le guide d’aujourd’hui se concentrera sur les éléments essentiels d’un système d’exploitation open source.
Voici quelques-uns des pare-feu Linux les plus populaires.
Iptables
Iptables est intégré dans la plupart des distributions Linux. Il existe depuis un certain temps et s’est avéré être une solution légère mais puissante pour filtrer le trafic sur les systèmes Linux.
Iptables a considérablement évolué au fil des ans. À l’origine, Iptables était uniquement capable d’appliquer des politiques aux paquets entrants, mais son architecture modulaire a permis aux développeurs d’étendre considérablement ses capacités au fil des ans.
Aujourd’hui, iptables est considéré comme l’un des pare-feu les plus flexibles du marché.
Cela est dû en grande partie à sa capacité à fonctionner à différents niveaux et à des fonctionnalités telles que la prise en charge de la sauvegarde et de la restauration. Le seul inconvénient est qu’iptables ne peut être configuré que via une interface de ligne de commande, ce qui est difficile à comprendre pour de nombreux utilisateurs.
Nftables
Nftables est dit être le successeur d’iptables. Il a été créé par la même équipe, prend en charge IPv4 et IPv6 dès le départ et, comme iptables, ne peut être configuré que par le biais du terminal. Heureusement, il prend en charge les utilisateurs avec une syntaxe plus lisible.
Cela signifie que les propriétaires de serveurs qui souhaitent utiliser le pare-feu intégré du système d’exploitation devraient pouvoir tout configurer plus facilement.
Des distributions telles que CentOS 8 ont déjà implémenté nftables, mais il n’est pas encore aussi courant qu’iptables. Néanmoins, on s’attend à ce qu’il devienne un jour le pare-feu par défaut de Linux, c’est donc une bonne idée de s’y habituer dès que possible.
UFW
Une autre solution de pare-feu qui tente de faciliter la vie des utilisateurs est le Uncomplicated Firewall (ou UFW). Cette solution a été intégrée dans les versions récentes d’Ubuntu, et bien qu’elle ne soit pas disponible dans tous les dépôts de logiciels. Elle peut être installée sur d’autres distros Linux.
Certains services offrent une interface utilisateur graphique (GUI) pour la configuration des UFW. Les avantages des UFW ne se limitent pas à une gestion plus facile : ils offrent également aux utilisateurs des fonctionnalités telles que la prise en charge d’IPv6, la possibilité de bloquer des plages d’IP et l’option de restreindre l’accès à des ports spécifiques. L’UFW offre également aux utilisateurs des fonctionnalités telles que la prise en charge d’IPv6, la possibilité de bloquer des plages d’IP et l’option de restreindre l’accès à des ports spécifiques.
Pare-feu ConfigServer
Le ConfigServer Firewall ou CSF est l’une des solutions de pare-feu les plus populaires pour les serveurs Linux. Il est gratuit et utilise iptables comme cadre, ce qui le rend très facile à configurer sur la plupart des distributions Linux.
En outre, ce pare-feu est très riche en fonctionnalités.
Le CSF dispose de mécanismes spécialement conçus pour assurer une protection efficace contre les inondations SYN et les scans de ports. On notera en particulier le démon d’échec de connexion, qui vérifie régulièrement les attaques par force brute et bloque l’IP de l’auteur s’il trouve des preuves d’une attaque potentielle.
Si CSF présente des caractéristiques impressionnantes qui le distinguent de nombreuses autres solutions de pare-feu, son principal argument de vente est son intégration transparente dans les panneaux de contrôle d’hébergement web les plus répandus. cPanel/WHM, Webmin et Les utilisateurs de DirectAdmin n’ont pas besoin d’utiliser l’interface de ligne de commande pour configurer le CSF.
Au lieu de cela, ils peuvent gérer les règles du pare-feu depuis le panneau de contrôle. En outre, le plug-in CSF GUI permet d’afficher des statistiques détaillées et de tirer des conclusions sur les schémas d’attaque potentiels.
pfSense
PfSense est une puissante plate-forme de routage qui fait office de pare-feu, de routeur, de serveur DHCP et DNS.
En tant que pare-feu, PfSense fonctionne de la manière suivante
- Système de filtrage basé sur les IP source et destination
- Protocoles et ports
- Fonctionnalité des points d’extrémité WAP et VPN
- Informations en temps réel sur les serveurs
- Capacité d’équilibrer les charges de sortie et d’entrée
Le Stateful Packet Inspector examine de plus près chaque paquet avant de le laisser passer. En outre, les profils de règles prédéfinis et les paramètres par interface permettent à pfSense d’être plus flexible.
Shorewall
Shorewall est une autre solution de pare-feu open source pour Linux qui utilise Netfilter, un cadre intégré au noyau Linux, pour suivre les connexions et filtrer les paquets. La solution prend en charge un large éventail d’applications de routeurs, de pare-feu et de passerelles.
Les caractéristiques de Shorewall comprennent :
- Prise en charge de la gestion flexible des adresses
- Possibilité d’établir une liste noire d’adresses IP individuelles et de sous-réseaux.
- Support VPN
- Mise en forme du trafic et comptabilité
- Prise en charge de l’IPv6, facilitant l’intégration avec une série de technologies de virtualisation.
Les utilisateurs qui recherchent un pare-feu avec une interface graphique doivent savoir que Shorewall est bien intégré au panneau de contrôle Webmin.
Désactiver le pare-feu existant et configurer CSF
Si d’autres utilitaires de pare-feu sont en cours d’exécution, vous devrez peut-être les désactiver à l’aide de la commande systemctl. Les paramètres de CSF se trouvent dans le fichier /etc/csf/csf.conf, et si vous utilisez un panneau de contrôle d’hébergement Web pris en charge, vous pouvez les y trouver. Si vous utilisez un panneau de contrôle d’hébergement Web pris en charge, vous pouvez activer et gérer le pare-feu à partir de celui-ci.
Heureusement, le CSF, comme de nombreux autres pare-feu Linux populaires, est fourni avec une documentation complète. Il n’est pas du tout difficile de comprendre quel type de configuration doit être appliqué afin de configurer le pare-feu selon des spécifications exactes.
Si vous choisissez une solution de pare-feu autre que CSF, vous devrez utiliser des commandes légèrement différentes. Cependant, si vous utilisez un VPS autogéré avec un accès root, ce processus est relativement simple.
Le rôle de l’hébergeur
Néanmoins, de nombreux propriétaires de sites ne souhaitent pas faire tout le travail eux-mêmes. C’est notamment le cas s’ils n’ont pas l’habitude de travailler avec un terminal. Si tel est le cas, un plan géré est la solution idéale. Avec un VPS géré, vous disposez toujours de votre propre serveur virtuel. Vous pouvez utiliser les ressources matérielles à votre disposition et y installer des applications.
La différence est que vous ne devez pas effectuer le travail d’un administrateur système. Au contraire, votre fournisseur d’hébergement utilisera son expertise pour s’assurer que votre VPS est configuré correctement et qu’il fonctionne en permanence.
Cela inclut l’installation et la configuration du pare-feu du VPS.
C’est la configuration à privilégier si votre expérience est limitée et si vous n’êtes pas à l’aise pour tout configurer vous-même. Toutefois, évitez de vous enfermer dans une configuration par défaut rigide dont vous n’êtes pas sûr qu’elle convienne aux exigences de votre projet.
Si vous devez utiliser une application qui nécessite des règles de pare-feu spécifiques, l’équipe d’assistance de votre hôte doit rapidement vérifier s’il est possible de modifier la configuration. Si cela est possible, ils appliqueront les nouveaux paramètres. Si ce n’est pas le cas, ils devraient être en mesure de vous orienter vers un plan autogéré approprié et, idéalement, de vous fournir des informations sur une solution de pare-feu adéquate.
Conclusion
La configuration d’un pare-feu peut sembler être une tâche ardue, surtout si vous n’êtes pas un administrateur de serveur expérimenté. Cependant, il existe de nombreux guides et ressources utiles, et si vous êtes prêt à y consacrer du temps et des efforts, vous ne risquez pas de vous tromper.
Cela dit, si vous n’êtes pas à l’aise pour faire le travail vous-même, vous pouvez toujours opter pour un plan VPS géré et laisser les tâches difficiles aux experts.
Questions fréquemment posées
Ai-je besoin d’un pare-feu sur mon VPS Linux ?
Oui, bien sûr, vous en avez besoin. Linux n’est peut-être pas aussi vulnérable que Windows en matière d’attaques de logiciels malveillants, mais les serveurs d’hébergement web doivent être protégés contre un plus large éventail de menaces, notamment les attaques DDoS, les attaques par force brute et le balayage des ports. Dans de nombreux cas, les pare-feu sont le seul moyen de lutter contre ces menaces.
Pourquoi les pirates attaquent-ils les VPS ?
Un serveur privé virtuel héberge généralement un site web. En attaquant le serveur, les pirates peuvent obtenir un accès non autorisé aux données des utilisateurs. Les pirates peuvent également utiliser le VPS comme plateforme pour de futures attaques.
Comment puis-je configurer un pare-feu pour mon VPS ?
Les différentes solutions de pare-feu offrent différentes interfaces. La plupart d’entre eux sont contrôlés via une interface de ligne de commande, mais la syntaxe est rarement la même. Heureusement, pour les pare-feu Linux les plus populaires, des guides et des didacticiels utiles sont largement disponibles.