1. Contexte

A la suite de plusieurs incidents sur la connectivité d'équipements fondamentaux, un audit a été commandé pour vérifier la pertinence du paramétrage du pare-feu WatchGuard.

2. Analyse fonctionnelle du pare-feu

2.1. Stratégies relevées

Voici le relevé brut des règles :

Ordre	Action	Nom de la stratégie	Type	De	Port Src	À	Port Dst	SD-WAN	App Control	Geolocation
1	rendu définitif	POLYFROID	POLYFROID	Any-Trusted	Any	SRV_POLYFROID	tcp:9045 udp:9045	test		Global
2	auditer	Switch Zyxel	Switch Zyxel	192.168.1.33	Any	Any-External	tcp:443 tcp:6667 tcp:4335 tcp:5190 tcp:5222 tcp:80 udp:123 udp:53			Global
3	ok	3CX_SIP	3CX_SIP	192.168.1.230	Any	Any-External	tcp:5060 udp:5060 tcp:5061 udp:5061			Global
4	check doublon avec 2	Zyxel to Nebula Cloud	Plateforme Cloud Nebula	Zyxel GS1920-24HP	Any	nebula.zyxel.com, nebula-control.zyxel.com	tcp:443 tcp:6667 tcp:4335 tcp:5190 tcp:5222 tcp:80 udp:123 udp:53
5	à désactiver	HTTP-Office365	HTTP-proxy	LAN, Wifi-Netgear	Any	Office365	tcp:80	SIV-COLT-5G		Global
6	Polyfroid	SMTP_Polyfroid	SMTP_Polyfroid	192.168.1.50	Any	Any-External	tcp:587			Global
7	vérifier les autres ports	Openvpn Gusto	Openvpn Gusto	LAN, Wifi-Netgear	Any	Any-External	udp:1194 tcp:443 udp:53 tcp:80 udp:6179	SIV-COLT-5G
8	Polifroid	Polyfroid-Sonde	Polyfroid-Sonde	Any-External	Any	Any-External --> 192.168.1.50	tcp:9045 udp:9045
9	ok	WhatsApp	WhatsApp	LAN, Wifi-Netgear	Any	Any-External	tcp:5222 tcp:5223 udp:3478	SIV-COLT-5G		Global
10	limpidit	SAAS	SAAS	Any-Trusted	Any	Any-External	tcp:10060 udp:10060 udp:10059 tcp:10059	SIV-COLT-5G		Global
11	voir presta geolock	alarme	alarme	LAN	Any	Any-External	tcp:33000 tcp:34000 tcp:32000			Global
12	limpidit geolock	Mecalux	Mecalux	Wifi-Netgear, LAN	Any	Any	tcp:40443 udp:40443 tcp:10059-10062 udp:10059-10062			GeoControl-LAN
13	nettoyer 12 geolock	TRF	TRF	Any-Trusted	Any	Any-External	tcp:40443 udp:40443			Global
14	fusion 14-15-16	KASPERSKY	KASPERSKY	Any-Trusted, Any-Optional, Any-BOVPN	tcp:	Any-External	tcp:8080			Global
15	cf 14	test k	test k	Any-Trusted	Any	Any-External	tcp:8081			Global
16	cf 14	test kaspersky	test kaspersky	Any-Trusted	Any	Any-External	tcp:13000			Global
17	geolock fr	videosurveillance	videosurveillance	Any-External	Any	Any-External --> 192.168.1.122	tcp:3777 udp:3778 tcp:554 udp:554 tcp:123 tcp:443 tcp:80 tcp:37778 tcp:37777 udp:37777 udp:37778 tcp:37776 udp:37776			Global
18	à auditer geolock	TPE	TPE	LAN, Wifi-Netgear	Any	Any-External	tcp:9000-9050			Global
19	ok compteurs	RDP-acetoeu	Imprimantes	LAN, Wifi-Netgear	Any	213.125.122.59	tcp:9001-9005			Global
20	à auditer check liste IPs audit tech	Any-Tel	Any	TelephoneYealink	Any	Any-External	Any	SIV-COLT-5G
21	ok	WatchGuard SSLVPN	SSL-VPN	Any-External	Any	Firebox	tcp:444			Global
22	ok	FTP-LAN	FTP-proxy	LAN	Any	Any-External	tcp:21	SIV-COLT-5G		GeoControl-LAN
23	ok	HTTP-LAN	HTTP-proxy	LAN	Any	Any-External	tcp:80	SIV-COLT-5G		GeoControl-LAN
24	ok	DNS-Wifi-Netgear	DNS	Wifi-Netgear	Any	Any-External	tcp:53 udp:53	SIV-COLT-5G
25	ok	HTTP-Wifi-Netgear	HTTP-proxy	Wifi-Netgear	Any	Any-External	tcp:80	SIV-COLT-5G		GeoControl-LAN
26	ok geocontrol	HTTPS-LAN	HTTPS-proxy	LAN	Any	Any-External	tcp:443	SIV-COLT-5G		Global
27	ok	HTTPS-Wifi-Netgear	HTTPS-proxy	Wifi-Netgear	Any	Any-External	tcp:443	SIV-COLT-5G		GeoControl-LAN
28	ok	WatchGuard Certificate Portal	WG-Cert-Portal	Any-Trusted, Any-Optional	Any	Firebox	tcp:4126			Global
29	ok	WatchGuard Web UI	WG-Fireware-XTM-WebUI	LAN, LIMPID IT	Any	Firebox	tcp:8080			Global
30	ok	DNS-LAN	DNS	LAN	Any	Any-External	tcp:53 udp:53
31	auditer	POP3-LAN	POP3-proxy	LAN	Any	Any-External	tcp:110 tcp:995 (tls)
32	ok	Ping-Wifi-Netgear	Ping	Wifi-Netgear	Any	Any-External	ICMP (type: 8, code: 0) ICMPv6 (type: 128, code: 0)			Global
33	ok	Ping	Ping	LAN	Any	Any	ICMP (type: 8, code: 0) ICMPv6 (type: 128, code: 0)			Global
34	virer apog	WatchGuard	WG-Firebox-Mgmt	LAN, apog	Any	Firebox	tcp:4105 tcp:4117 tcp:4118			Global
35	auditer pour désactivation	Outgoing-LAN	TCP-UDP	LAN, Wifi-Netgear	Any	Any-External	tcp:0 udp:0			GeoControl-LAN
36	a désactiver	Any-LAN-Wifi-Netgear	Any	LAN	Any	Wifi-Netgear	Any			Global
37	a auditer avec vpn	Allow SSLVPN-Users	Any	SSLVPN-Users (Any)@{Any}:SSL-VPN	Any	Any	Any			Global

2.2. Anomalies critiques (accès ou flux risqués)

#	Nom	Description	Risque	Recommandation
17	videosurveillance	Accès depuis Internet (Any-External) vers un hôte interne 192.168.1.122, ports 80/443/554/3777x multiples	Très élevé	Il faut limiter la source au strict nécessaire ou utiliser un VPN
35	Outgoing-LAN	tcp:0 udp:0 autorise tout le trafic sortant	Très élevé	Cette règle ne doit servir qu'à identifier les flux nécessaires qui n'ont pas encore de règle explicite et doit être désactivée ensuite. Une attaque par Rançongiciel (Cryptolocker) profitera de cete règle.
15/16	test k / test kaspersky	Ports non standard 8081 et 13000 ouverts vers Internet	Elevé	A supprimer ou désactiver. Si besoin avéré, il faut restreindre les IP de destination.
8	Polyfroid-Sonde	Ouverture Internet → interne sur 192.168.1.50:9045	Elevé	À filtrer avec une IP source précise.
19	RDP-acetoeu	Toutes les IP internes vers IP publique (213.125.122.59) TCP 9001-9005	Elevé	Identifier la destination : D57D7A3B.static.ziggozakelijk.nl (Pays-Bas) Si c'est nécessaire (ex : compteurs de consomation), limiter les sources et les destination, sinon, à supprimer.
5	HTTP_Office	Tout le réseau interne vers certains hôtes 365 sans chiffrement	Elevé	Autoriser le trafic en clair vers 365 est fortement déconseillé
9	WatchGuard Web UI	Console d’admin (port 8080) ouverte au LAN complet	Modéré	À restreindre aux IP des persones autorisées. Note : nécessite que les adresses soient fixées par une réservation DHCP
36	Any-LAN-Wifi-Netgear	Tout trafic libre entre LAN et Wi-Fi	Modéré	Équivaut à pont direct inter-zones. Si le Wi-Fi est client, il devrait être isolé (pas d’accès LAN sauf exceptions). A ce jour le réseau Wi-Fi n'est PAS utilisé (l'interface semble débranchée)
14	KASPERSKY	Port 8080 → Any-External	Modéré	Flux pour KSC Cloud à restreindre par domaine Voir la documentation de Kaspersky à ce sujet.
20	Any-Tel	Alias "Téléphones Yealink" vers tout internet	Modéré	A isoler avec un VLAN VoIP dédié ou à minima limiter les destiantions et les protocoles (SIP/HTTPS).

Zones à éclaircir

#	Nom	Détail
1	POLYFROID	“Any-Trusted → SRV_POLYFROID tcp/udp:9045” – port spécifique SRV_POLYFROID créé lors de l'intervention du 4/11 - À rendre définitif une fois validé
2 / 4	Switch Zyxel / Nebula Cloud	Communications Cloud, normal, mais ports suspects (6667) → vérifier la liste officielle Zyxel Nebula.
7	OpenVPN Gusto	Plusieurs ports (443,53,6179,1194). éclaircir l'usage sinon réduire au seul port 1194 UDP.
10	SAAS	“Any” destination. Cloud LIMPID IT limiter à nos IP.
11	alarme	Ports non standard vers extérieur (32000–34000). Limiter les IPs de destination
12	Mecalux	“Any” destination. Cloud LIMPID IT limiter à nos IP
13	TRF	Ports non standard vers extérieur (40443). Limiter les IPs de destination
18	TPE	Ports non standard vers extérieur (9000-9050). Limiter les IPs de destination

Règles globalement saines

HTTP/HTTPS/FTP/DNS/POP3 proxy (22–27,30–31) : bien structurées, avec GeoControl-LAN → bon point.
SSLVPN (21) : classique et conforme.
ICMP (32–33) : OK, simples tests, bien que l'usage indique de bloquer par défaut.
WatchGuard mgmt/cert portal (28,34) : internes → pas d’anomalie si le portail n’est pas exposé. (retirer apog de la règle 34)

En bref

Niveau	Action
🔥 Urgent	Restreindre règles pour ne pas conserver de destinations non limitées
⚠️ Audit à faire	Vérifier certaines règles non explicites (ex : RDS-acetoeu/imprimantes)