Comment identifier les attaques malveillantes potentielles sur les pare-feu

Que vous le réalisiez ou non, votre pare-feu est constamment attaqué. Des programmes automatisés qui recherchent des réseaux vulnérables aux hackers expérimentés tentant de pénétrer votre réseau et d'installer un cheval de Troie ou un rootkit, votre pare-feu bloque en permanence le trafic provenant de sources non autorisées sur Internet. Les informations sur les attaques et les paquets bloqués par le pare-feu sont disponibles dans les fichiers journaux du pare-feu. Inspectez les journaux pour identifier les attaques, connaître leur origine et déterminer si des attaques ont réussi à accéder à votre réseau.

Identifier le balayage de port

Certains pirates utilisent des scanners de ports pour analyser les ports de votre pare-feu et déterminer si des ports sont ouverts. Un attaquant pourrait analyser tous les ports ou de manière sélective quelques ports sur lesquels un exploit a réussi par le passé. Recherchez les entrées dans le journal où votre pare-feu a bloqué l'accès de la même adresse IP à plusieurs ports. Par exemple, vous pouvez voir des entrées similaires à celles-ci:

Demande de connexion TCP entrante bloquée de 96.47.225.82:6000 à 64.233.160.105:9333 Demande de connexion TCP entrante bloquée de 96.47.225.82:6000 à 64.233.160.105:9334 Demande de connexion TCP entrante bloquée de 96.47.225.82:6000 à 64.233.160.105: 9335 Demande de connexion TCP entrante bloquée de 96.47.225.82:6000 à 64.233.160.105:9336

Demandes de connexion à un port unique

Vous devez également vous préoccuper des demandes de connexion multiples à différents moments et éventuellement d’adresses IP différentes vers un numéro de port unique non utilisé. Un pirate informatique vérifie souvent que le port qu'il souhaite utiliser avec son cheval de Troie ou un autre logiciel malveillant n'est pas déjà utilisé par un autre service. Par exemple, vous pouvez voir des entrées similaires à celles-ci:

Demande de connexion TCP entrante bloquée de 96.47.225.82:49343 à 64.233.160.105:31337 Message ci-dessus répété 107 fois

Identifier les mauvais paquets sortants et les connexions au pare-feu

Recherchez les messages provenant de votre réseau que le pare-feu bloque au cas où vous auriez un cheval de Troie résidant à l'intérieur du pare-feu. Par exemple, recherchez des entrées de journal telles que:

Paquet sortant TCP bloqué de 192.168.1.100:51195 à 96.47.225.82:443 en tant que FIN: ACK reçu, mais il n'y a pas de connexion active Message ci-dessus répété 9 fois

Identifiez toutes les tentatives de connexion au pare-feu lui-même et modifiez les paramètres. Par exemple, vous pouvez voir une entrée de journal telle que:

Authentification de configuration bloquée par adresse IP 96.47.225.82:6000 Message ci-dessus répété 5 fois

Détection d'intrusion

Pour vous aider à identifier les attaques qui pénètrent avec succès dans votre pare-feu, vous pouvez installer un système de détection d'intrusion. Semblable à une caméra de sécurité surveillée, un logiciel de détection d’intrusion surveille et analyse les tendances de trafic sur votre réseau et vous avertit de ce qu’il considère comme du trafic suspect. Cependant, le logiciel ne bloque aucun trafic réseau. SNORT est un IDS open source populaire basé sur un réseau. OSSEC et Tripwire sont des IDS open source populaires basés sur l'hôte.