Comment documenter facilement la règle Sophos Firewall

Dans cet article, j’explique comment, avec très peu d’efforts, il est possible de documenter au moins un peu mieux une règle de pare-feu.

Peu d’entre nous ont le temps de tout documenter proprement. Si l’on parvient néanmoins à établir une documentation, celle-ci est souvent mal entretenue et l’on modifie quelque chose sur le pare-feu et on oublie ensuite de le documenter.

Quand on fait un audit de sécurité, on entend des termes comme « processus de gestion des changements » qui nous rappellent ce pour quoi on n’a pas le temps ou que d’autres tâches ont une priorité plus élevée.

Décrire les règles du pare-feu

L’expérience montre qu’avec le temps, le nombre de règles de pare-feu a tendance à augmenter plutôt qu’à diminuer. Souvent, on ne se souvient plus que vaguement, voire pas du tout, pourquoi certaines règles sont là ou ce qu’elles font. Il suffit alors de les désactiver lorsque le trafic passe encore, ce qui fonctionne bien sûr. En règle générale, on sait alors très vite à quoi elles servaient. Mais ce n’est pas la manière la plus élégante de procéder et ce n’est certainement pas possible partout.

Je recommande donc de prendre au moins 60 secondes pour décrire les règles de pare-feu lors de leur création ou de leur modification.

Pour cela, il n’est même pas nécessaire d’ouvrir un document externe, mais on peut le faire directement dans la règle du pare-feu.

On dispose de 255 caractères, soit presque autant que pour un tweet (280), avec lequel on peut changer le monde. Il devrait donc y en avoir assez pour expliquer ce que fait la règle de pare-feu.

Exemple de description d’une règle de pare-feu

Bien sûr, vous êtes entièrement libres d’écrire ce que vous voulez dans ce champ. Voici quelques idées de ce qui pourrait être utile à l’avenir :

• NOM: Que fait cette règle – pourquoi a-t-elle été créée ou pour quelle application est-elle nécessaire ?
• AUTHOR : Qui a créé la règle ?
• LAST MODIFIED: Quand la règle a-t-elle été créée ou modifiée pour la dernière fois et par. Pour économiser des caractères ici, travailler avec les initiales ou le nom d’utilisateur.
• COMMENT : par exemple pour un numéro de téléphone, un interlocuteur de l’entreprise partenaire qui gère le logiciel ou par quel service ou personne cette règle est utilisée.
• DOC : on peut raccourcir les URL pour une documentation ou des instructions en ligne ou enregistrer un nom de fichier qui permet de faire des recherches sur le lecteur interne.

5G Access - Smarthome
---
AUTHOR: Patrizio
LAST MODIFIED: 12.12.2012 [PP]
COMMENT: Just for Tonys iPhone
DOC: bit.ly/3Nmn3lX

N’oubliez pas de le faire. La règle de pare-feu contient elle-même de nombreuses informations telles que les IP et les ports. Il n’est donc pas nécessaire de tout écrire dans le champ de texte, ce qui est de toute façon défini dans la règle. Mais tout cela sera utile à l’avenir pour comprendre pourquoi la règle a été créée.