UFW sur Ubuntu/Debian : configuration avancee et hardening

Ce guide s'adresse a ceux qui ont deja configure UFW en mode basique et qui veulent aller plus loin. On va parler de regles avancees, de limitation de connexions et de scripts pour automatiser le tout. Si vous n'avez jamais touche a UFW, commencez par notre guide debutant.

UFW, rappel express

UFW, c'est le pare-feu integre a Ubuntu et Debian. Un pare-feu, c'est comme le videur d'une boite de nuit : il decide qui a le droit d'entrer et qui reste dehors. En mode basique, UFW bloque tout par defaut et vous ouvrez les portes au cas par cas. En mode avance, on affine les regles pour etre beaucoup plus precis.

Le rate limiting : limiter les tentatives

L'une des fonctionnalites les plus utiles d'UFW en mode avance, c'est le rate limiting, c'est-a-dire la limitation du nombre de connexions par minute. C'est comme un tourniquet a l'entree d'un stade : meme si vous avez le droit d'entrer, vous ne pouvez pas forcer le passage a 100 a la seconde.

C'est particulierement utile pour proteger le port SSH, la porte d'entree qui permet de se connecter a distance a un serveur. Les pirates tentent regulierement des milliers de combinaisons de mots de passe par minute. Avec le rate limiting, au bout de quelques tentatives ratees, le pare-feu bloque temporairement l'adresse IP de l'attaquant.

Les profils applicatifs

UFW permet de creer des profils pour chaque application, des sortes de recettes precuites qui definissent quels ports ouvrir. Au lieu de retenir que votre serveur web utilise les ports 80 et 443, vous dites simplement a UFW d'autoriser le profil "Nginx" ou "Apache". C'est plus lisible et ca evite les erreurs.

Vous pouvez aussi creer vos propres profils personnalises pour des applications specifiques a votre serveur. C'est comme avoir des badges d'acces predefinis pour differents types de visiteurs.

Le routage et le NAT

Si votre serveur sert de passerelle, c'est-a-dire de point de passage entre deux reseaux, comme dans le cas d'un VPN, UFW doit gerer le routage. Le routage, c'est l'equivalent du centre de tri postal : les paquets de donnees arrivent d'un cote et doivent etre rediriges vers le bon destinataire de l'autre cote.

Le NAT, pour Network Address Translation, c'est une technique qui permet de traduire les adresses des paquets en transit. C'est comme un secretaire qui recoit du courrier adresse a un service et le redistribue a la bonne personne dans le bureau.

Les regles par interface

Sur un serveur avec plusieurs interfaces reseau, par exemple une pour le trafic public et une pour le reseau interne, vous pouvez appliquer des regles differentes selon l'interface. C'est comme avoir des regles de securite differentes pour la porte d'entree et pour la porte de service d'un immeuble.

Scripts d'automatisation

Quand vous gerez plusieurs serveurs, configurer UFW a la main sur chacun devient vite penible. Des scripts permettent d'automatiser le deploiement de regles standard. Vous ecrivez une seule fois votre configuration, et elle s'applique a tous vos serveurs en quelques secondes.

Le hardening reseau

Au-dela du pare-feu lui-meme, on peut durcir la configuration reseau du systeme. Desactiver les redirections ICMP, activer le filtrage de paquets par route inverse, ignorer les pings de broadcast... Autant de mesures qui reduisent la surface d'attaque de votre serveur. C'est comme ajouter des verrous supplementaires aux fenetres en plus de la porte blindee.

Les logs, votre meilleur allie

UFW peut enregistrer toutes les connexions bloquees et autorisees dans des fichiers de log. C'est votre boite noire : en cas de probleme, vous pouvez revenir en arriere et comprendre ce qui s'est passe. Activez les logs et consultez-les regulierement, c'est souvent la que vous repererez des comportements suspects avant qu'ils ne deviennent un vrai probleme.