Beruflich Dokumente
Kultur Dokumente
I – INTRODUCTION ET GENERALITES.
Un pare-feu (de l'anglais firewall) est un logiciel et/ou un matériel permettant de
faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les
types de communications autorisés sur ce réseau informatique. Il surveille et
contrôle les applications et les flux de données (paquets).
1) Fonctionnement général
Le pare-feu est jusqu'à ces dernières années considéré comme une des pierres
angulaires de la sécurité d'un réseau informatique (il perd en importance au fur et
à mesure que les communications basculent vers le HTTP sur TLS, court-circuitant
tout filtrage). Il permet d'appliquer une politique d'accès aux ressources réseau
(serveurs).
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance,
en filtrant les flux de données qui y transitent. Généralement, les zones de
confiance incluent Internet (une zone dont la confiance est nulle) et au moins un
réseau interne (une zone dont la confiance est plus importante).
Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de
différents niveaux de confiance, grâce à l'application de la politique de sécurité et
d'un modèle de connexion basé sur le principe du moindre privilège.
Ce dernier type de pare-feu qui fera l’objet d’étude dans ce chapitre existe
autant sous forme commerciale que sous forme gratuite. Quelque soit leur
origine, la sécurité pourra fortement varier. Un logiciel commercial pourra
parfois mettre en avant sa facilité de mise en place et de configuration, mais
ce sera souvent aux dépends de la sécurité. Au niveau des logiciels gratuits
et/ou libres, ils seront souvent plus flexibles (c’est à-dire plus fournis en
options), mais nécessiteront la plupart du temps de bonnes connaissances en
réseau afin de les configurer finement sans abaisser le niveau de sécurité.
c. IPCop
IPCop est une distribution Linux destinée à être installée sur une machine x86
standard, et qui permet d'en faire un pare-feu réseau facilement administrable via
une interface web.
d. PF (Packet Filter)
PF (Packet Filter) est la couche de filtrage intégrée aux systèmes libres hérités de
BSD UNIX (FreeBSD, NetBSD, OpenBSD...)
e. OPNsense
OPNsense est un logiciel de pare-feu et de routage open source basé sur FreeBSD
développé par Deciso, une entreprise aux Pays-Bas qui fabrique du matériel et
vend des packages de support pour OPNsense.
f. PFsense
pfSense est une distribution logicielle permettant de réaliser une passerelle réseau
à partir d'un serveur x86. Il date de 2004.
1) Introduction.
A) Hardware pfsense
Pfsense est puissante, en bonne partie car elle est basée sur FreeBSD, mais aussi
assez simple d'accès, car elle fournit une interface web pour la configuration, après
une installation en mode console. Il peut être installé sur un ordinateur personnel
ou bien un serveur, il permet entre autre de sécuriser une infrastructure à travers
diverses fonctionnalités qu’il offre. La quasi-totalité des configurations possibles
avec pfsense se font sur son interface web.
Comme sur les distributions linux, pfsense intègre aussi un gestionnaire de paquets
(snort, squid, OpenVPN, ntop, Proxy Server, IP-Blocklist, OpenOSPFD, HAVP
antivirus… ) pour installer des fonctionnalités supplémentaires, comme le proxy,
serveur VoIP. Il utilise le pare-feu à états Packet Filter, des fonctions de routage et
de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Il est très répandu dans la sécurité des réseaux
domestique, des petites et grandes entreprises qui contient des milliers de
périphériques réseaux.
Note : Il ne faut pas oublier d’appuyer sur « i » pendant l’installation pour bien
installer PfSense sur un disque dur. Si nous avons une carte vidéo, il faut choisir «
Standard Kernel »
Présentation du pfsense
Pfsense ne fait pas seulement firewall, elle offre toute une panoplie de services
réseaux. Nous allons vous en présenter quelques-unes les plus intéressantes.
Plusieurs services peuvent être gérer par pfsense. Ils peuvent être arrêtés ou
activés depuis cette interface. Voici la liste de quelques services :
Captive portail
DNS FORWARDER : transporte les DNS.
DHCP Relay : agent relai DHCP
DHCP server
…
III.4.5. STATUS
Cette onglet permet de voir l’état de pfsense. Nous pouvons par exemple vérifier si
les interfaces dont actives, leur adresse, voir l’état des connexions, arrêter ou
lancer un service, etc.
IV- ETUDE DE QUELQUES PAQUETS PFSENSE
Proxy server ; ModSecurity est une application Web de firewalling qui peut
fonctionner en mode embarqué ou en tant que reverse proxy. Il inclut la
protection de nombreux types d’attaques et permet un monitoring du trafic
HTTP, conservation de traces, et de l’analyse temps réel. Ce package permet
aussi de faire de l’URL forwarding ce qui peut être utile pour héberger de
multiple sites web derrière pfSense en utilisant une seule adresse IP.
Suricata ; SURICATA est un IDS/IPS basé sur des signatures qui est distribué
sous licence GPL v2. Il s'agit d'un développement parti de zéro qui a été initié
en 2008 par Victor Julien.
La première version stable de Suricata date de 2010. L'objectif de cette
version était d'avoir un moteur d'IDS/IPS multithread supportant le langage
de signatures de Snort, ce qui permettait de conserver l'existant en termes
de signatures
Squid garde les meta-données et plus particulièrement les données les plus
fréquemment utilisées en mémoire. Il conserve aussi en mémoire les requêtes
DNS, ainsi que les requêtes ayant échoué. Les requêtes DNS sont non bloquantes.
Les données mémorisées peuvent être rangées en hiérarchies ou en mailles pour
utiliser moins de bande passante.
Nota : Les paquets sont généralement des projets GLP et par conséquent ne sont
pas développés seulement pour pfsense; ils peuvent être installés sur d’autre
distribution Linux. Un paquet peut être disponible pour une distribution et pas pour
Appréciation du pfsense
Ci-dessus une appréciation par les utilisateurs du firewall pfsense.
Conclusion
Grâce à cet outil, vous avez les éléments de configuration et de sécurisation d’une
infrastructure à un prix gratuit à travers ses différentes. Les possibilités sont alors
multiples et l'outil est vraiment simple à prendre en main. Pour un environnement
gratuit. Pfsense n'a rien à envier à ses concurrents payants, complet et fonctionnel
PfSense est un 'must have' pour sécuriser et configurer la base de son réseau.