{"id":412,"date":"2015-02-11T14:30:36","date_gmt":"2015-02-11T14:30:36","guid":{"rendered":"http:\/\/general.sio57.info\/wp\/?p=412"},"modified":"2017-03-25T18:03:30","modified_gmt":"2017-03-25T18:03:30","slug":"firewall","status":"publish","type":"post","link":"https:\/\/general.sio57.info\/wp\/?p=412","title":{"rendered":"Firewall"},"content":{"rendered":"<p><a href=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/firewall.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-413\" src=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/firewall-300x191.jpg\" alt=\"firewall\" width=\"300\" height=\"191\" srcset=\"https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/firewall-300x191.jpg 300w, https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/firewall.jpg 560w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a>C\u2019est le principe des cl\u00e9s sur les portes, on ne laisse pas entrer n\u2019importe qui \u00e0 l\u2019int\u00e9rieur. Seules r\u00e9ponses \u00e0 des demandent de connexions venant de l\u2019int\u00e9rieur (voir TCP) sont autoris\u00e9s. Le param\u00e9trage permet aussi de choisir ce qui sort. Cependant la fonction de filtrage pour les utilisateurs est plus effectu\u00e9e par la fonction de proxy.<\/p>\n<p>Juridiquement, l\u2019entreprise doit en effet se positionner face \u00e0 des comportements\u00a0li\u00e9s aux menaces internes\u00a0: le t\u00e9l\u00e9chargement de contenus musicaux et\/ou p\u00e9dophiles et le t\u00e9l\u00e9chargement de contenu avec un ordinateur appartenant \u00e0 l\u2019entreprise. Celle-ci doit faire face aux menaces externes via l\u2019infection malicieuse (virus) et la fuite d\u2019information (documents confidentiels, bases de donn\u00e9es).<\/p>\n<p>L\u2019administrateur doit donc \u00eatre en mesure de diff\u00e9rencier les sites \u00e0 risques pour l\u2019utilisateur et par cons\u00e9quence pour l\u2019entreprise et veiller aux transferts de contenus illicites car l\u2019objectif des pirates est clairement d\u00e9fini\u00a0: inciter les utilisateurs \u00e0 se connecter sur un site infect\u00e9 via des liens corrompus ou des scripts int\u00e9gr\u00e9s (Malware, Drive-by-Download, Phishing, Pharming, Spam, Botnet, \u2026) pour r\u00e9cup\u00e9rer des informations \u00ab\u00a0monnayables\u00a0\u00bb (Spyware, Trojan, \u2026).<\/p>\n<p>Le proxy permet de r\u00e9pondre en partie \u00e0 ces probl\u00e9matiques en assurant une <strong>premi\u00e8re barri\u00e8re de protection avec des fonctionnalit\u00e9s de filtrage<\/strong> avanc\u00e9 des URL via des politiques de blocage des sites web corrompus connus. L\u2019ensemble des sites est ainsi regroup\u00e9 par classes pour permettre aux entreprises de bloquer les sites malveillants aux contenus dangereux.<\/p>\n<p><!--more--><\/p>\n<p>Les firewalls sont logiciels ou mat\u00e9riels, le monde Linux fournit des outils souvent bas\u00e9s sur \u2018IP Tables\u2019 pour mettre en \u0153uvre un pare-feu. Ils existent aussi des distributions sp\u00e9cifiquement d\u00e9di\u00e9s comme Ipfire (utilis\u00e9 ici). Au niveau des appliances, les fournisseurs sont nombreux et proposent des UTM (Unified threat management), boitier qui referme regroupe de nombreuses fonctionnalit\u00e9s comme le firewall, l\u2019antivirus, l\u2018anti spams.<\/p>\n<figure style=\"width: 272px\" class=\"wp-caption alignleft\"><a href=\"https:\/\/www.netgate.com\/img\/products\/sg-1000-exploded.png\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.netgate.com\/img\/products\/sg-1000-exploded.png\" alt=\"\" width=\"272\" height=\"272\" \/><\/a><figcaption class=\"wp-caption-text\">Un PfSense dans un raspberry &lsquo;like&rsquo;<\/figcaption><\/figure>\n<p>Un syst\u00e8me pare-feu contient un ensemble de r\u00e8gles pr\u00e9d\u00e9finies permettant :<\/p>\n<ul>\n<li>D&rsquo;autoriser la connexion (<em>allow<\/em>) ;<\/li>\n<li>De bloquer la connexion (<em>deny<\/em>) ;<\/li>\n<li>De rejeter la demande de connexion sans avertir l&rsquo;\u00e9metteur (<em>drop<\/em>).<\/li>\n<\/ul>\n<p>L&rsquo;ensemble de ces r\u00e8gles permet de mettre en oeuvre une m\u00e9thode de filtrage qui aujourd\u2019hui n\u2019autorise que les communications ayant \u00e9t\u00e9 explicitement autoris\u00e9es.<\/p>\n<h3><a name=\"_Toc406598826\"><\/a>filtrage simple de paquets \u2013routeur filtrant<\/h3>\n<p>Un syst\u00e8me pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais \u00ab\u00a0<em>stateless packet filtering<\/em>\u00a0\u00bb). Il analyse les en-t\u00eates de chaque\u00a0<a href=\"http:\/\/www.commentcamarche.net\/contents\/530-le-protocole-ip\">paquet de donn\u00e9es<\/a>\u00a0(<em>datagramme<\/em>) \u00e9chang\u00e9 entre une machine du r\u00e9seau interne et une machine ext\u00e9rieure.<br \/>\nAinsi, les paquets de donn\u00e9es \u00e9chang\u00e9es entre une machine du r\u00e9seau ext\u00e9rieur et une machine du r\u00e9seau interne transitent par le pare-feu et poss\u00e8dent les en-t\u00eates suivants, syst\u00e9matiquement analys\u00e9s par le firewall<\/p>\n<ul>\n<li>adresse IP de la machine \u00e9mettrice ;<\/li>\n<li>adresse IP de la machine r\u00e9ceptrice ;<\/li>\n<li>type de paquet (<a href=\"http:\/\/www.commentcamarche.net\/contents\/538-le-protocole-tcp\">TCP<\/a>,<a href=\"http:\/\/www.commentcamarche.net\/contents\/541-le-protocole-udp\">UDP<\/a>, etc.) ;<\/li>\n<li>num\u00e9ro de\u00a0<a href=\"http:\/\/www.commentcamarche.net\/contents\/528-port-ports-tcp-ip\">port<\/a>(rappel: un port est un num\u00e9ro associ\u00e9 \u00e0 un service ou une application r\u00e9seau).<\/li>\n<\/ul>\n<h3>Le tableau ci-dessous donne des exemples de r\u00e8gles de pare-feu<\/h3>\n<table>\n<tbody>\n<tr>\n<td><strong>R\u00e8gle<\/strong><\/td>\n<td><strong>Action<\/strong><\/td>\n<td><strong>IP source<\/strong><\/td>\n<td><strong>IP dest<\/strong><\/td>\n<td><strong>Protocol<\/strong><\/td>\n<td><strong>Port source<\/strong><\/td>\n<td><strong>Port dest<\/strong><\/td>\n<\/tr>\n<tr>\n<td>1<\/td>\n<td>Accept<\/td>\n<td>192.168.10.20<\/td>\n<td>194.154.192.3<\/td>\n<td>tcp<\/td>\n<td>any<\/td>\n<td>25<\/td>\n<\/tr>\n<tr>\n<td>2<\/td>\n<td>Accept<\/td>\n<td>any<\/td>\n<td>192.168.10.3<\/td>\n<td>tcp<\/td>\n<td>any<\/td>\n<td>80<\/td>\n<\/tr>\n<tr>\n<td>3<\/td>\n<td>Accept<\/td>\n<td>192.168.10.0\/24<\/td>\n<td>any<\/td>\n<td>tcp<\/td>\n<td>any<\/td>\n<td>80<\/td>\n<\/tr>\n<tr>\n<td>4<\/td>\n<td>Deny<\/td>\n<td>any<\/td>\n<td>any<\/td>\n<td>any<\/td>\n<td>any<\/td>\n<td>any<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Les\u00a0<a href=\"http:\/\/www.commentcamarche.net\/contents\/528-port-ports-tcp-ip\">ports reconnus<\/a>\u00a0(dont le num\u00e9ro est compris entre 0 et 1023 sont associ\u00e9s \u00e0 des services courants (les ports 25 et 110 sont par exemple associ\u00e9s au courrier \u00e9lectronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configur\u00e9s de mani\u00e8re \u00e0 filtrer les communications selon le port utilis\u00e9.<\/p>\n<h3><a name=\"_Toc406598827\"><\/a>Le filtrage dynamique<\/h3>\n<p>La plupart des connexions reposent sur le protocole TCP, qui g\u00e8re la notion de session, afin d&rsquo;assurer le bon d\u00e9roulement des \u00e9changes. D&rsquo;autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c&rsquo;est-\u00e0-dire de mani\u00e8re al\u00e9atoire) un port afin d&rsquo;\u00e9tablir une session entre la machine faisant office de serveur et la machine cliente.<\/p>\n<p>Ainsi, il est impossible avec un filtrage simple de paquets de pr\u00e9voir les ports \u00e0 laisser passer ou \u00e0 interdire. Pour y rem\u00e9dier, le syst\u00e8me de\u00a0filtrage dynamique de paquets\u00a0est bas\u00e9 sur l&rsquo;inspection des couches 3 et 4 du mod\u00e8le OSI, permettant d&rsquo;effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est \u00ab\u00a0stateful inspection\u00a0\u00bb ou \u00ab\u00a0stateful packet filtering\u00a0\u00bb, traduisez \u00ab\u00a0filtrage de paquets avec \u00e9tat\u00a0\u00bb.<\/p>\n<p>Un dispositif pare-feu de type \u00ab stateful inspection \u00bb est ainsi capable d&rsquo;assurer un suivi des \u00e9changes, c&rsquo;est-\u00e0-dire de tenir compte de l&rsquo;\u00e9tat des anciens paquets pour appliquer les r\u00e8gles de filtrage. De cette mani\u00e8re, \u00e0 partir du moment o\u00f9 une machine autoris\u00e9e initie une connexion \u00e0 une machine situ\u00e9e de l&rsquo;autre c\u00f4t\u00e9 du pare-feu; l&rsquo;ensemble des paquets transitant dans le cadre de cette connexion seront implicitement accept\u00e9s par le pare-feu.<\/p>\n<p>Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne prot\u00e8ge pas pour autant de l&rsquo;exploitation des failles applicatives, li\u00e9es aux vuln\u00e9rabilit\u00e9s des applications. Or ces vuln\u00e9rabilit\u00e9s repr\u00e9sentent la part la plus importante des risques en terme de s\u00e9curit\u00e9.<\/p>\n<h3><a name=\"_Toc406598828\"><\/a>Le filtrage applicatif<\/h3>\n<p>Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif op\u00e8re donc au niveau 7 (couche application). Le filtrage applicatif suppose donc une connaissance des\u00a0<a href=\"http:\/\/www.commentcamarche.net\/contents\/531-protocoles\">protocoles<\/a>\u00a0utilis\u00e9s par chaque application.<\/p>\n<p>Le filtrage applicatif permet, comme son nom l&rsquo;indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications pr\u00e9sentes sur le r\u00e9seau, et notamment de la mani\u00e8re dont elle structure les donn\u00e9es \u00e9chang\u00e9es (ports, etc.).<\/p>\n<p>Un firewall effectuant un filtrage applicatif est appel\u00e9 g\u00e9n\u00e9ralement \u00ab\u00a0<a href=\"http:\/\/www.commentcamarche.net\/contents\/610-serveur-proxy-et-reverse-proxy\">passerelle applicative<\/a>\u00a0\u00bb (ou \u00ab proxy \u00bb), car il sert de relais entre deux r\u00e9seaux en s&rsquo;interposant et en effectuant une validation fine du contenu des paquets \u00e9chang\u00e9s. Le proxy repr\u00e9sente donc un interm\u00e9diaire entre les machines du r\u00e9seau interne et le r\u00e9seau externe, subissant les attaques \u00e0 leur place. De plus, le filtrage applicatif permet la destruction des en-t\u00eates pr\u00e9c\u00e9dant le message applicatif, ce qui permet de fournir un niveau de s\u00e9curit\u00e9 suppl\u00e9mentaire.<\/p>\n<p>Il s&rsquo;agit d&rsquo;un dispositif performant, assurant une bonne protection du r\u00e9seau, pour peu qu&rsquo;il soit correctement administr\u00e9. En contrepartie, une analyse fine des donn\u00e9es applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant \u00eatre finement analys\u00e9.<\/p>\n<p>Par ailleurs, le proxy doit n\u00e9cessairement \u00eatre en mesure d&rsquo;interpr\u00e9ter une vaste gamme de protocoles et de conna\u00eetre les failles aff\u00e9rentes pour \u00eatre efficace.<\/p>\n<p>Enfin, un tel syst\u00e8me peut potentiellement comporter une vuln\u00e9rabilit\u00e9 dans la mesure o\u00f9 il interpr\u00e8te les requ\u00eates qui transitent par son biais. Ainsi, il est recommand\u00e9 de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.<\/p>\n<p>http:\/\/www.commentcamarche.net\/contents\/992-firewall-pare-feu<\/p>\n<h2><a name=\"_Toc406598829\"><\/a>Les proxies ou serveurs mandataires<\/h2>\n<p>Ils ont 3\u00a0 fonctions\u00a0principales que l&rsquo;on d\u00e9signe en anglais sous les noms de\u00a0<strong>caching<\/strong>,\u00a0<strong>tracking<\/strong>\u00a0et\u00a0<strong>filtering<\/strong>.<\/p>\n<table width=\"100%\">\n<tbody>\n<tr>\n<td><\/td>\n<td><\/td>\n<td>Un serveur proxy est de servir de\u00a0<strong>cache<\/strong>. Une\u00a0<em>m\u00e9moire cache<\/em>\u00a0sert \u00e0 conserver localement des informations qui ont une certaine probabilit\u00e9 de servir \u00e0 nouveau. Un serveur proxy stocke provisoirement les pages web que les utilisateurs vont chercher sur Internet. Si un internaute requiert une information qui se trouve d\u00e9j\u00e0 dans le cache, il sera servi presque imm\u00e9diatement. Dans le cas contraire, il sera servi\u00a0<em>plus lentement<\/em>, car la travers\u00e9e du serveur proxy repr\u00e9sente une \u00e9tape suppl\u00e9mentaire dans le transport de l&rsquo;information. L&rsquo;information stock\u00e9e dans le cache du proxy est conserv\u00e9e pendant un temps limit\u00e9, 24 heures en g\u00e9n\u00e9ral. Si le cache d\u00e9borde, l&rsquo;information la plus r\u00e9cente chasse la plus ancienne.\u00a0 <em>C&rsquo;est un non-sens que de se servir d&rsquo;un proxy pour les services dont l&rsquo;information peut \u00eatre mise \u00e0 jour \u00e0 tout instant (les news par exemple), \u00e0 moins que le logiciel ne d\u00e9tecte ces mises \u00e0 jour &#8212; ce qui est rare<\/em><\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td><\/td>\n<td><\/td>\n<td>Un serveur proxy garde une trace de tous les \u00e9changes d&rsquo;information qui le traversent\u00a0: l&rsquo;adresse de l&rsquo;internaute, l&rsquo;heure, le site web demand\u00e9, et les pages consult\u00e9es. C&rsquo;est la fonction d&rsquo;<strong>enregistrement<\/strong>.<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td><\/td>\n<td><\/td>\n<td>On peut configurer un serveur web de telle sorte qu&rsquo;il examine l&rsquo;information qui le traverse, et qu&rsquo;il refuse de d\u00e9livrer les fichiers contenant une cha\u00eene de caract\u00e8res donn\u00e9e. C&rsquo;est la fonction de\u00a0<strong>filtrage.<\/strong><\/td>\n<td><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Le proxy permet \u00e9galement de d\u00e9chiffrer le flux SSL pour certaines cat\u00e9gories de sites au travers d\u2019une technologie de type \u00ab\u00a0Man in the Middle\u00a0\u00bb embarqu\u00e9e sans ajout de ressources additionnelles. Cela permet d\u2019avoir <strong>de la visibilit\u00e9 sur les flux SSL<\/strong> et de bloquer les sites web inappropri\u00e9s qui communiquent via le protocole SSL.<\/p>\n<p>Etant donn\u00e9 que les cybercriminels se basent souvent sur des malwares via l\u2019utilisation de kits (faciles \u00e0 impl\u00e9menter), les <strong>moteurs antimalwares<\/strong> peuvent donc \u00eatre tr\u00e8s utiles dans la configuration du proxy pour contrer en temps r\u00e9el les menaces. Il est cependant possible de d\u00e9jouer cela via certaines techniques de compression \u2013 cryptage. L\u00e0 encore, le proxy prouve son efficacit\u00e9 en limitant l\u2019acc\u00e8s aux sites \u00e0 risque.<\/p>\n<p>Au-del\u00e0 de la configuration, il est important de bien identifier les probl\u00e8mes remont\u00e9s, via des modules d\u2019analyse regroupant des fonctions innovantes et \u00e9volu\u00e9es pour la cr\u00e9ation de rapports sur les activit\u00e9s Internet et l\u2019ensemble des risques qui sont li\u00e9s \u00e0 l\u2019utilisation quotidienne des employ\u00e9s. Cela permet de mettre en place une vraie politique de reporting avec une vision claire des sites \u00e0 risque.<\/p>\n<p>Toutes ces mesures permettent de limiter les risques li\u00e9s \u00e0 l\u2019utilisation d\u2019Internet en entreprise. Mais au-del\u00e0 de la technologie, il est important d\u2019adopter une politique de s\u00e9curit\u00e9 qui doit permettre de comprendre et d\u2019identifier les dangers pour que l\u2019employ\u00e9 en prenne lui-m\u00eame conscience. Adopter les bons gestes et responsabiliser l\u2019ensemble des acteurs afin de se prot\u00e9ger juridiquement devient le ma\u00eetre mot de la s\u00e9curit\u00e9 en entreprise.<\/p>\n<h1>Exemple de mise en \u0153uvre avec IPfire<\/h1>\n<h2><a name=\"_Toc406598831\"><\/a>Objectifs<\/h2>\n<ul>\n<li>Mettre en place un firewall qui fera office de proxy web avec authentification LDAP.<\/li>\n<li>Mise en place d\u2019une redirection vers un serveur web et\/ou FTP dans la DMZ<\/li>\n<li>Pour mettre en place de la redondance avec KeepAlived <a title=\"IpFire -redondance\" href=\"http:\/\/general.sio57.info\/wp\/?p=509\" target=\"_blank\">c&rsquo;est l\u00e0<\/a><\/li>\n<\/ul>\n<h2><a name=\"_Toc406598832\"><\/a>Concepts d\u2019IPFIRE<\/h2>\n<p>Dans Ipfire (qui a repris le concept d\u2019IPCOP), chaque interface du firewall est repr\u00e9sent\u00e9e par une couleur.<\/p>\n<ul>\n<li>Rouge\u00a0: carte vers Internet (ici 192.168.100.0\/24)<\/li>\n<li>Vert\u00a0: carte vers le r\u00e9seau local (192.168.0.0\/24)<\/li>\n<li>Orange\u00a0: carte vers la DMZ (192.168.10.0\/29)<\/li>\n<li>Bleu\u00a0: carte pour le r\u00e9seau wifi<\/li>\n<\/ul>\n<p>Par d\u00e9faut IPFire agit comme un pare-feu et r\u00e8gle les acc\u00e8s ainsi\u00a0:<\/p>\n<p>Il fait proxy web, et IDS. On peut aussi lui ajouter des add-ons. L\u2019installation de base est simple, le param\u00e9trage parfois moins en fonction de l\u2019infrastructure.<\/p>\n<h2><a name=\"_Toc406598833\"><\/a>Mise en oeuvre<\/h2>\n<h3>Sch\u00e9ma<\/h3>\n<p>&nbsp;<\/p>\n<p><a href=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-442\" src=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx-300x101.jpg\" alt=\"ipfire esx\" width=\"300\" height=\"101\" srcset=\"https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx-300x101.jpg 300w, https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx.jpg 355w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a> <a href=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/sch-ipfire.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-443\" src=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/sch-ipfire-300x243.jpg\" alt=\"sch-ipfire\" width=\"300\" height=\"243\" srcset=\"https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/sch-ipfire-300x243.jpg 300w, https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/sch-ipfire.jpg 669w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3>Organisation<\/h3>\n<p>4 machines virtuelles minimum<\/p>\n<ol>\n<li>1 VM IP Ipfire\u00a0:<\/li>\n<\/ol>\n<ul>\n<li>Vm linux d\u00e9marr\u00e9e \u00e0 partir de Ipfire.iso<\/li>\n<\/ul>\n<p>avec 3 cartes r\u00e9seaux virtuelles (<em>Avant le d\u00e9marrage de la vm, noter les adresses Mac de chaque interface virtuelle)<\/em><\/p>\n<ul>\n<li>La carte rouge sera en mode pont vers Internet<\/li>\n<li>La carte verte sera en mode r\u00e9seau interne (pour ce test) \u00e0 renommer \u2018vert\u2019 par exemple<\/li>\n<li>La carte orange sera fix\u00e9e en r\u00e9seau interne, \u00e0 renommer \u2018DMZ\u2019.<\/li>\n<\/ul>\n<p><a href=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-442\" src=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx-300x101.jpg\" alt=\"ipfire esx\" width=\"300\" height=\"101\" srcset=\"https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx-300x101.jpg 300w, https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/ipfire-esx.jpg 355w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<ol>\n<li>Pour le client vert\u00a0:<\/li>\n<\/ol>\n<ul>\n<li>1 carte sur le r\u00e9seau interne virtuel \u2013vert<\/li>\n<li>Syst\u00e8me client au choix\u00a0: besoin d\u2019un navigateur.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ol start=\"2\">\n<li>Un serveur Web et un serveur FTP pour la DMZ<\/li>\n<\/ol>\n<ul>\n<li>1 carte sur le r\u00e9seau interne virtuel \u2013DMZ<\/li>\n<li>Adressage fixe<\/li>\n<\/ul>\n<ol start=\"3\">\n<li>Un serveur Active Directory pour la fonction proxy d&rsquo;authentification \u00a0(r\u00e9seau vert)<\/li>\n<\/ol>\n<p>Facultatif\u00a0: Un serveur DHCP (r\u00e9seau vert)<\/p>\n<h2><a name=\"_Toc406598835\"><\/a>Installation d\u2019IPFIRE<\/h2>\n<p>D\u00e9marrage de la vm Ipfire<\/p>\n<p>Choisir les options courantes d\u2019installation (fran\u00e7ais, clavier, etc) et les passwords \u00a0\u2013 attention au choix de clavier). La vm va red\u00e9marrer<\/p>\n<p>Les \u00e9tapes sont\u00a0:<\/p>\n<ol>\n<li>attribution des param\u00e8tres r\u00e9seau.<\/li>\n<\/ol>\n<ul>\n<li>Choix du type de r\u00e9seau\u00a0: rouge +vert + orange dans notre cas.<\/li>\n<\/ul>\n<ol start=\"2\">\n<li>Attribution des cartes<\/li>\n<\/ol>\n<ul>\n<li>Pour chaque interface s\u00e9lectionner la carte virtuelle ad\u00e9quate \u00e0 l\u2019aide de l\u2019adresse mac. (que vous avez pens\u00e9 \u00e0 relever avant de d\u00e9marrer la vm\u00a0!)<\/li>\n<\/ul>\n<ol start=\"3\">\n<li>Attribution des IP\u00a0:<\/li>\n<\/ol>\n<ul>\n<li>Carte rouge en DHCP<\/li>\n<li>Carte verte en 192.168.0.254\/24 par exemple<\/li>\n<li>Carte orange en 192.168.10.254\/29<\/li>\n<\/ul>\n<ol start=\"4\">\n<li>Passerelle et DNS<\/li>\n<\/ol>\n<ul>\n<li>Donner les DNS et la passerelle pour atteindre Internet.<\/li>\n<\/ul>\n<p>Si il n\u2019y pas d\u00e9j\u00e0 un serveur DHCP dans le LAN, \u00a0activer l\u2019option DHCP pour le r\u00e9seau vert (ou fixer l\u2019adresse du client).<\/p>\n<p>Plage de 192.168.0.10 \u00e0 192.168.0.20 passerelle = interface verte d\u2019ipfire<\/p>\n<p>IpFire red\u00e9marre il est fonctionnel \u00e0 ce niveau.<\/p>\n<p>Pour refaire l\u2019installation se loger en root sur Ipfire<\/p>\n<blockquote><p><strong><em>Taper\u00a0: setup pour reconfigurer\u00a0les choix de d\u00e9marrage<\/em><\/strong><\/p><\/blockquote>\n<h2><a name=\"_Toc406598836\"><\/a>Param\u00e9trage depuis l\u2019interface Web<\/h2>\n<ul>\n<li>D\u00e9marrer la vm cliente<\/li>\n<li>Elle doit r\u00e9cup\u00e9rer une adresse IP si le r\u00e9seau interne virtuel est correctement param\u00e9tr\u00e9.<\/li>\n<li>Depuis le navigateur aller \u00e0 l\u2019adresse <a href=\"https:\/\/192.168.10.254:444\">https:\/\/192.168.10.254:444<\/a><\/li>\n<li>Accepter le certificat \u2013 l\u2019alerte est due \u00e0 l\u2019auto signature du certificat.<\/li>\n<\/ul>\n<p>IPfire pr\u00e9sente son interface<\/p>\n<h3><a name=\"_Toc406598838\"><\/a>Param\u00e9trer des r\u00e8gles sp\u00e9cifiques<\/h3>\n<ul>\n<li><del>Par d\u00e9faut le par feu est en mode 0.\u00a0<\/del><\/li>\n<li><del>Pour param\u00e9trer ses propres r\u00e8gles passer en mode 1.<\/del><\/li>\n<li>Depuis la version 2.15\u00a0on ajoute directement les r\u00e8gles depuis Parefeu : firewall rules<\/li>\n<li>Dans la partie Iptables on peut v\u00e9rifier le param\u00e9trage exact des r\u00e8gles.<\/li>\n<\/ul>\n<h3>Transfert de port<\/h3>\n<p>Permet de rediriger les demandes publiques vers les serveur web et FTP de la DMZ.<\/p>\n<ul>\n<li>Une demande vient de l\u2019interface rouge, (c\u2019est-\u00e0-dire n\u2019importe quelle adresse IP source puisse utiliser acc\u00e9der \u00e0 vos serveurs web).<\/li>\n<li>Le port qui est demand\u00e9 par la source est 80 pour le http, 21 pour ftp ou un autre port en fonction de l&rsquo;appli.<\/li>\n<li>La destination sera dans la DMZ, l\u2019adresse IP de la machine Web, ou FTP<\/li>\n<li>Enfin le port sera celui correspondant au protocole ad\u00e9quat.<\/li>\n<li><a href=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/redirection-nat.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-485\" src=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/redirection-nat-300x192.jpg\" alt=\"redirection nat\" width=\"420\" height=\"269\" srcset=\"https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/redirection-nat-300x192.jpg 300w, https:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/redirection-nat.jpg 650w\" sizes=\"auto, (max-width: 420px) 100vw, 420px\" \/><\/a><\/li>\n<\/ul>\n<h3><a name=\"_Toc406598839\"><\/a>Param\u00e9trage du Proxy<\/h3>\n<p>Authentification<\/p>\n<p>Dans l\u2019onglet r\u00e9seau, cochez les cases de web proxy<\/p>\n<p><span style=\"color: #800000;\"><strong>Attention on ne peut pas avoir de proxy transparent et d\u2019authentification<\/strong><\/span>. C\u2019est l\u2019un ou l\u2019autre.<\/p>\n<p>Dans le bas de la page, il faut choisir LDAP puis valider.<\/p>\n<p>Il faut ensuite donner le lien vers le serveur Active Directory et d\u00e9clarer le nom de domaine LDAP ainsi que celui de l\u2019administrateur.<\/p>\n<ul>\n<li>Attention cn= users,dc=domaine,dc=com<\/li>\n<li>Cr\u00e9er ensuite un utilisateur avec des droits sur l\u2019annuaire<\/li>\n<li>Renseigner cet utilisateur cn=ipfire, cn=users, dc=domain, dc=com<\/li>\n<li>Ainsi que le mot de passe<\/li>\n<\/ul>\n<p><em>Si l&rsquo;authentification LDAP ne fonctionne pas, il faut suivre cette proc\u00e9dure<\/em> :<a href=\"http:\/\/general.sio57.info\/wp\/?p=689\">http:\/\/general.sio57.info\/wp\/?p=689<\/a><\/p>\n<h2>Pour installer un vpn sur IPfire<\/h2>\n<p><a href=\"http:\/\/general.sio57.info\/wp\/?p=802\">http:\/\/general.sio57.info\/wp\/?p=802<\/a><\/p>\n<h2>Pour faire de la redondance (VRRP) avec IPfire<\/h2>\n<p><a href=\"http:\/\/general.sio57.info\/wp\/?p=509\">http:\/\/general.sio57.info\/wp\/?p=509<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les firewalls sont logiciels ou mat\u00e9riels, le monde Linux fournit des outils souvent bas\u00e9s sur \u2018IP Tables\u2019 pour mettre en \u0153uvre un pare-feu. Ils existent aussi des distributions sp\u00e9cifiquement d\u00e9di\u00e9s comme Ipfire (utilis\u00e9 ici). Au niveau des appliances, les fournisseurs sont nombreux et proposent des UTM (Unified threat management), boitier qui referme regroupe de nombreuses fonctionnalit\u00e9s comme le firewall, l\u2019antivirus, l\u2018anti spams.<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,6,27,44],"tags":[63,64,54],"class_list":["post-412","post","type-post","status-publish","format-standard","hentry","category-7-application","category-securite","category-sisr1","category-sisr5","tag-firewall","tag-pare-feu","tag-proxy"],"_links":{"self":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts\/412","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=412"}],"version-history":[{"count":13,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts\/412\/revisions"}],"predecessor-version":[{"id":1072,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts\/412\/revisions\/1072"}],"wp:attachment":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=412"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=412"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=412"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}