1. Pare-Feu Traditionnels
    1. Inspection des paquets
    2. Filtrage d’adresse IP
    3. Zones démilitarisées (DMZ)
    4. Règles statiques
    5. Statefull
      1. Le firewall tient compte de la séquence de paquets déjà échangés
    6. Stateless
      1. Le firewall autorise chaque paquet indépendamment des paquets précédents
  2. FWNG - Fonctionnalités Avancées
    1. DPI (Inspection Approfondie des Paquets)
    2. IPS (Système de Prévention d’Intrusions)
    3. IDS (Intrusion Detection System)
    4. Filtrage d’applications
    5. Contrôle d’accès basé sur l’identité
  3. Nomenclature
    1. NGFW (Next-Generation Firewall): Pare-feu avancé qui offre des fonctionnalités au-delà de la filtration traditionnelle, telles que l'inspection approfondie des paquets (DPI), la prévention des intrusions (IPS), et l'intégration avec d'autres systèmes de sécurité.
    2. DPI (Deep Packet Inspection): Technologie qui examine en détail le contenu des paquets de données qui traversent le pare-feu pour identifier, classer ou bloquer le trafic spécifique.
    3. IPS (Intrusion Prevention System): Dispositif de sécurité réseau qui surveille le trafic pour détecter et prévenir les attaques.
    4. IDS (Intrusion Detection System): Système qui détecte les activités malveillantes sur le réseau, mais contrairement à l'IPS, il ne bloque pas le trafic.
    5. VPN (Virtual Private Network): Réseau privé virtuel qui crée une connexion sécurisée sur Internet.
    6. ACL (Access Control List): Liste de règles utilisée par les pare-feu pour déterminer le trafic à autoriser ou bloquer à travers une interface réseau.
    7. NAT (Network Address Translation): Mécanisme qui modifie les adresses réseau IP dans les en-têtes de paquets IP lorsqu'ils traversent un dispositif de routage ou de pare-feu.
    8. SD-WAN (Software-Defined Wide Area Network): Technologie qui utilise des méthodes logicielles pour gérer la connectivité sur un réseau étendu.
    9. SIEM (Security Information and Event Management): Système qui offre une vue en temps réel de l'infrastructure de sécurité d'une organisation à travers la collecte et l'analyse des événements de sécurité.
    10. UTM (Unified Threat Management) : Solution tout-en-un pour la sécurité réseau. Exemples de fournisseurs : Fortinet, Sophos, Check Point.
    11. SOC (Security Operations Center) : Service de surveillance et de réponse aux incidents de sécurité. Exemples de plateformes SOC : AlienVault (AT&T Cybersecurity), SecureWorks, IBM Security Services.
    12. SIEM (Security Information and Event Management) : Outils d'analyse de logs pour la sécurité. Solutions populaires : Splunk, IBM QRadar, LogRhythm.
    13. EDR (Endpoint Detection and Response) : Sécurité des terminaux avec détection et réponse aux incidents. Solutions leaders : CrowdStrike Falcon, SentinelOne, Carbon Black (VMware).
    14. NDR (Network Detection and Response) : Surveillance des menaces réseau. Exemples de produits : Darktrace, Vectra, Cisco Stealthwatch.
    15. XDR (Extended Detection and Response) : Protection étendue contre les menaces. Exemples de fournisseurs : Palo Alto Networks Cortex XDR, Microsoft 365 Defender, Trend Micro XDR.
    16. MDR (Managed Detection and Response) : Service de sécurité géré pour la détection et la réponse. Exemples de services : FireEye Managed Defense, Secureworks Taegis ManagedXDR, Arctic Wolf MDR.
    17. SOAR (Security Orchestration, Automation, and Response): Technologie qui permet aux entreprises de collecter des données sur les menaces de sécurité et de répondre à celles-ci de manière automatisée. Exemples de services : Splunk Phantom, FortiSOAR, IBM Resilient, Cisco SecureX, Siemplify
  4. Avenir des Pare-Feu
    1. Intégration avec le cloud
    2. Intelligence artificielle pour la sécurité
    3. Automatisation des réponses aux incidents
    4. Pare-feu en tant que service (FWaaS)
  5. Gestion et Surveillance
    1. Tableaux de bord et rapports
    2. Intégration SIEM
    3. Gestion des configurations
    4. Surveillance en temps réel
  6. Défis et Considérations
    1. Performance et latence
    2. Complexité de gestion
    3. Mises à jour et maintenance
    4. Coûts d’investissement
  7. Surface d'Attaque
    1. Shodan: shodan.io
    2. ZoomEye: zoomeye.org
    3. Intelx: intelx.io
    4. Dehashed: dehashed.com
    5. Wigle: wigle.net
    6. Censys: search.censys.io
    7. Onyphe: www.onyphe.io
    8. Criminal IP: www.criminalip.io
    9. Netlas: app.netlas.io/domains/
  8. Windows
    1. NBT-NS
      1. Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NetBT\Parameters' -Name 'SMBDeviceEnabled' -Value 0
    2. LLMNR
      1. Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient' -Name 'EnableMulticast' -Value 0
    3. WPAD
      1. Set-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings' -Name 'AutoDetect' -Value 0
    4. SMBv1
      1. Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    5. Binisoft
  9. Les ACL Cisco
    1. Syntaxe de base des ACL Cisco :
      1. `access-list [numéro] [deny|permit] [source]` : Pour les ACL standard.
      2. `access-list [numéro] [deny|permit] [protocole] [source] [destination] [opérateur ports] [ports]` : Pour les ACL étendues.
    2. Exemples simples :
      1. Bloquer tout le trafic provenant d'une adresse IP spécifique avec une ACL standard :
      2. `access-list 1 deny 192.168.1.100`
    3. Autoriser le trafic HTTP vers un serveur spécifique avec une ACL étendue :
      1. `access-list 101 permit tcp any host 192.168.1.10 eq 80`
    4. Refuser le trafic ICMP (ping) pour tout le réseau :
      1. `access-list 101 deny icmp any any`
    5. Après avoir créé vos ACL, vous devez les appliquer à une interface avec :
      1. `interface [type] [numéro]`
      2. `ip access-group [numéro de l'ACL] in|out`
    6. Exemple :
      1. `interface GigabitEthernet0/0`
      2. `ip access-group 101 in`
      3. Cela applique l'ACL numéro 101 aux paquets entrants sur l'interface GigabitEthernet0/0.
  10. Linux
    1. IpTables
      1. # Bloquer NetBIOS / SMB (ports 137-139, 445)
        1. iptables -A INPUT -p tcp --match multiport --dports 137:139,445 -j DROP
          1. iptables -A INPUT -p udp --match multiport --dports 137:139 -j DROP
      2. # Bloquer Telnet (port 23)
        1. iptables -A INPUT -p tcp --dport 23 -j DROP
      3. # Bloquer Rsh/Rlogin/Rexec (ports 514, 513, 512)
        1. iptables -A INPUT -p tcp --match multiport --dports 512:514 -j DROP
      4. # Bloquer TFTP (port 69)
        1. iptables -A INPUT -p udp --dport 69 -j DROP
      5. # Bloquer LLMNR (port 5355)
        1. iptables -A INPUT -p udp --dport 5355 -j DROP
      6. # Bloquer mDNS (port 5353)
        1. iptables -A INPUT -p udp --dport 5353 -j DROP
    2. Nftables
      1. Syntaxe de base de nftables :
        1. `nft add table ip ma_table` : Crée une nouvelle table appelée 'ma_table' dans l'espace de noms IPv4.
        2. `nft add chain ip ma_table ma_chaine { type filter hook input priority 0 \; }` : Ajoute une nouvelle chaîne à 'ma_table' pour filtrer les paquets entrants.
        3. `nft add rule ip ma_table ma_chaine ip saddr 192.168.1.1 drop` : Ajoute une règle pour rejeter les paquets provenant de l'adresse IP 192.168.1.1.
      2. Exemples simples :
        1. Bloquer une adresse IP spécifique :
          1. `nft add rule ip ma_table ma_chaine ip saddr 192.168.1.100 drop`
        2. Autoriser le trafic HTTP :
          1. `nft add rule ip ma_table ma_chaine tcp dport 80 accept`
        3. Enregistrer les paquets rejetés dans les logs :
          1. `nft add rule ip ma_table ma_chaine ip saddr 192.168.1.100 counter log drop`
      3. Pour sauvegarder et charger la configuration de nftables, utilisez :
        1. `nft list ruleset > /etc/nftables.conf` pour sauvegarder
        2. `nft -f /etc/nftables.conf` pour charger la configuration au démarrage du système.
  11. Firewall Audit Checklist
    1. Collecte d'informations pré-audit :
    2. Assurez-vous d'avoir des copies des politiques de sécurité
    3. Vérifiez que vous avez accès à tous les journaux du pare-feu
    4. Obtenez un schéma du réseau actuel
    5. Révisez la documentation des audits précédents
    6. Identifiez tous les FAI et VPN pertinents
    7. Obtenez toutes les informations sur le fournisseur du pare-feu
    8. Comprenez la configuration de tous les serveurs clés
    9. Révisez le processus de gestion des changements :
    10. Examinez les procédures de maintenance de la base de règles
    11. Analysez le processus de changements du pare-feu
    12. Déterminez si tous les changements précédents ont été autorisés
    13. Audit de la sécurité physique et du système d'exploitation du pare-feu :
    14. Assurez-vous que vos serveurs de gestion sont physiquement sécurisés
    15. Vérifiez les procédures d'accès à ces emplacements restreints
    16. Vérifiez que toutes les mises à jour du fournisseur ont été appliquées
    17. Assurez-vous que le système d'exploitation passe les contrôles de durcissement communs
    18. Évaluez les procédures d'administration de l'appareil
    19. Optimisez votre base de règles :
    20. Supprimez les règles redondantes
    21. Supprimez ou désactivez les objets inutilisés
    22. Évaluez l'ordre des règles du pare-feu pour la performance
    23. Retirez les connexions inutilisées
    24. Documentez les règles et les changements pour référence future
    25. Conduisez une évaluation des risques :
    26. Examinez les meilleures pratiques de l'industrie pour la méthodologie
    27. Posez une série de questions approfondies
    28. Documentez votre évaluation et sauvegardez-la sous forme de rapport
    29. Améliorez les processus du pare-feu :
    30. Remplacez les tâches manuelles sujettes à l'erreur par des automatisations