![Firewalls Open Source [58 Pages]](http://data.docslib.org/img/db672bbb2f727bfa71a763907fa60be9-1.webp)
FIREWALLS Principes, mise en oeuvre et outils open source
I .T IS OPE N www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – en également présent Et Montpellier. et Nantes, Grenoble, Maroc.au et Ukraine en Benelux, au Lyon, Aix-en-Provence Suisse, en Espagne, Lille, Paris, Poitiers, à implanté Bordeaux, est Smile Enfin, Training. Smile complet, formation de centre d’un et applications) des l’exploitation la et dans (support TMA spécialisée agence d’une aussi dispose Smile riches. interfaces et éditoriale e expertise une – graphique, création la outre proposant interactive, Digital agence Smile 2007 en devenu graphique, studio d’un les dispose Smile dans 2000, Depuis tant projet. de accompagnement clients, qu’en solutions, nos de recherche en accompagne d’avant-projet, phases consulting département proposés. services un des 2005, gamme la Depuis étendu prestataire également a Smile le années, dernières Ces comme français informatique source. open solutions paysage meilleures des l’adoption dans le entreprises grandes plus les accompagner pour choix de dans intégrateur nouveaux apparaît de gagnent solides Smile source open retours solutions risque. sans des bénéficier d’en clients des à ses proposer pour présent sera Smile domaines, que mesure que à et ainsi fur Au respectives, qualités leurs considéré, opérationnels. d’expérience domaine le dans source open solutions meilleures des sélection une présente ouvrages ces de Chacun ». Infrastructure et Système « collection la de cadre le dans », Middleware « et », source open flux de Contrôle est la (2005), Firewall « et », source open VPN Les « également citons 2009, en publiés ouvrages les portails Parmi (2008). les PGIs/ERPs les que ainsi (2008), documents (2004), de électronique gestion et la (2007), contenus virtualisation la (2007), PHP de frameworks les (2006), intelligence gestion business La d’application. domaines différents couvrant blancs livres de gamme une toute à lieu donné a démarche Cette les de source, l’open plus les de produits pérennes. plus et les les robustes plus les aboutis, clients prometteurs ses à proposer plus à manière de les évaluer, les de et produits qualifier les découvrir lui de qui technologique permet veille de active action une mène Smile environ, 2000, Depuis premier le fait en qui source. open ce de solutions et européen français intégrateur monde le dans collaborateurs 1200 de plus compte Smile Libre, PLOSS, et PLOSS RA, des associations clusters régionaux d'entreprises du d'entreprises régionaux libre. logiciel clusters associations des RA, Alliance PLOSS de et libre, PLOSS, logiciel du Libre, défense la et promotion la pour l’association l’APRIL, de membre est Smile source. l’open sur appuyés systèmes de l’intégration et source open solutions de œuvre en mise la dans experts d’ingénieurs société une est Smile Smile P Firewalls et contrôle de flux de contrôle et Firewalls RÉAMBULE marketing, Page 2 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Quelques références références Quelques IEDOM – Yves Rocher - Bureau Veritas - Mindscape – Horus Finance – Lafarge – Optimus – Optimus Projectif– MeilleurMobile.com – Companeo Xinek – – Recherche CoachClub– CG72 – Saint-Gobain – – Jardiland – Lafarge l’air de Armée – – Consultant Audouin Pierre Finance – l’Audiovisuel de Horus National – Mindscape - Institut – Skyrock – France la de Veritas Maison – CDiscount – Ukraine Auchan – Europe ETS – CecimObs Bureau - Rocher Yves – IEDOM EurordisCDC- Arkhineo CAPRIImmobilier Crédit- AgricoleCroix-Rouge - Groupama - AccueilFrançaise Groupe - - - InstitutCapem- MTV - Souriau Mutualiste - France de MontsourisDassault- SystèmesGaz - AFNOR- CFRT- Ministère- - Caisse- Moniteur Tourisme du Groupe - Verspieren d’Epargne - CNOUSNeopost- Industries- Egide ATEL-Hotels- ARC- - LaboratoiresMerck - ExclusiveHotels LibérationCapri- Société- - Ministère- Générale RenaultFigaro Sucden Le l’Emploi- - de - - ConseilAMUE d’Ile-de-France Régional Institut- PolytechPétroleSavoie du- Zodiac Jeulin- Français Atoobi.com - - Notaires- France de listes Loire UDF1001 - - de Jaccede.com ECE - - UCCIFE Air Pays Annonces - Pagesjaunes ImmobilierActive Comexpo- - Média Reed GPdis - Lagardère Midem- - DeDietrich- AEP - - OSEO Internationalpompiers.fr- Femme Actuelle Stanhome-KiotisBouygues- Gîtes- France de meddispar.com -Amnesty Systèmescnous.fr - - LPG - Europe - ETS eau-seine-normandie.fr - eurostar.com- prismapub.com - veristar.com- nationalgeographic.fr - cg21.fr - Voyages-sncf.com - - fratel.org tiru.frfaurecia.comcidil.fr- - bsv-tourisme.frprolea.fr - - jcdecaux.comyves.rocher.fr - - Projectifcredit-cooperatif.fr- editionsbussiere.com- glamour.com- nmmedical.frmedistore.fr- - bloom.com- aesn.fr - Dassault - Systemesworldwatercouncil.org3ds.com croix-rouge.fr- - schneider-electric.com- cci.freaufrance.fr - - cnil.fr- - - calypso.tm.fr inra.fr longchamp.com idtgv.com- metro.fr- stein-heurtey-services.fr- buitoni.fr- bipm.org - aviation-register.com- - Osmoz.com- egide.asso.fr - - spie.fr- ecofi.frnec.fr vizzavi.frsogeposte.frdsv-cea.fr - - france.fr cogedim.frcapem.fr - Editions-cigale.com - hotels-exclusive.com- souriau.com- - pci.fr - odit- Cadremploi.frchocolat.nestle.fr- - creditlyonnais.fr explorimmo.com- meilleurtaux.com- - ConseilCentreDxO - - Régional du Beauté - InternationalHECGS1-France Prestige - - Veolia- & IONIS - AON- Courtage Assurances France Structis- (Bouygues Construction) Degrémont- Suez Conseil- Bouygues TelecomEurope - PrismaRégional d’Ile- de SANEF - Zodiac ETS - Presse AutoConseilConseil- - la CôteIpsos IleVerspieren - - de - Général Régional France d’Or de InstitutNational l’Audiovisuel de Ecureuil - Cogedim Stago GestionIRP- Prolea- Diagnostica - - - l’Environnement Arjowiggins MinistèreJCDecaux- - Tourismedu - DIRENCIDJ- PACA - SAS - - Ministère Finance de Moniteur Groupe - Vega - Finance Versailles PSA de Banque - CNRS- Faceo- - - CIRAD - AmecSpie INRA Sonacotra - CTIFLCamif - RATP - Château - - Lynxial - Bureau - Veritas Commissariat- Société Caisseàl'Energie Atomique- d'Épargne - Générale Visual Applications décisionnelles Applications métier Applications et Portails e-CommerceInternet, et Extranets Intranets Firewalls et contrôle de flux de contrôle et Firewalls Page 3 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Ce livre blanc livre Ce de leur mise en œuvre et configuration, afin d'aider le lecteur dans la dans lecteur le d'utilisation. d'aider contexte à adaptés chaque d'outils sélection afin configuration, et œuvre en mise leur de outils et possibilités les chacun, de caractéristiques les exposons Nous outils. meilleurs des sélection une et fondamentaux, concepts les fois la à ici présentons nous blancs, livres nos de habituel schéma le Selon source open outils et d’architecture « des intitulé traitant livre le collection blanc également ranger d'une peut de on volume laquelle et dans premier d'infrastructure, firewalling le outils de est outils flux, et de principes aux contrôle consacré blanc, livre Ce
ltfre e ats Promne Principes - Performances Hautes web Plateformes Firewalls et contrôle de flux de contrôle et Firewalls
», paru début 2009.», paru début Page 4 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – CLASSIQUES ARCHITECTURES DE FILTRAGE EN MATIÈRE OPENSOURCE L'OFFRE INTRODUCTION PRÉAMBULE Table des matières P P Q FILTRAGE I F Q S Q D P R P C Q S NTERFACES ETITE RODUITS OLITIQUE OURQUOI ILTRAGE UIVI MILE OUTAGE E O UEL UALITÉ IFFÉRENTS UELQUES Particularités Implémentation Politique defiltrage Plan du réseau Untangle pfSense IpCop HFSC PRIO spamd Snort Squid Firewall Builder Uncomplicated Firewall Choix d'une solution de filtrage réseau pf NuFW Netfilter (iptables) Filtrage applicatif Filtrage réseau
S : Q S LIVRE
......
...... Applications décisionnelles Applications métier Applications e-Commerce et Portails Internet, Extranetset Intranets La liste « liste La blanche liste La noire liste La d'accès contrôle Le en mise La cacherequêtes des DE MATÉRIEL
ENTREPRISE
...... DE
...... NIVEAU
UALITÉ CONNEXION ...... BLANC
NIVEAU
...... ET ...... INTÉGRÉS ......
DE FILTRER ...... RÉFÉRENCES
DE
SERVICE NIVEAUX ...... FILTRAGE
...... FILTRAGE
? ...... CONFIGURATION ......
7
DE 3 grise ...... ? ...... / A ......
...... SERVICE ......
...... POUR ......
...... GENCE » ......
DIFFÉRENTS ......
...... RÉGIONALE ......
USAGES ...... Firewalls et contrôle de flux de contrôle et Firewalls ...... Page 27 13 29 28 28 27 26 24 23 22 22 20 19 18 17 16 16 14 13 13 10 10 27 23 21 18 16 13 12 11 10 10 20 20 20 18 18 5 7 2 8 7 7 4 3 2 3 3 3 3 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – CONCLUSION P H E ARTICULARITÉS NTREPRISE ÉBERGEUR Implémentation Politique defiltrage Plan du réseau Particularités Politique defiltrage Plan du réseau
...... DE
...... TAILLE ......
MOYENNE ...... Firewalls et contrôle de flux de contrôle et Firewalls Page 34 32 31 31 30 30 29 33 30 29 6 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Routage et filtrage et Routage Pourquoi filtrer ? filtrer Pourquoi plqea ds rge e flrg ifrne eo 'rgn t la et l'origine selon différentes filtrage de le trafic. du destination règles que signifie des qui Ce appliquera intégrante. firewall le que et firewall, partie du décision une par modifié une être peut routage sont machine ils dont la de routage, équipements des sur installés de généralement donc sont firewalls sécurité Les de systèmes propres confiance. de dignes plus ne sont les compromise car de machine l'extérieur, d'une comportement est le il observer compromission pouvoir de de cas indispensable en plus, De machine. chaque sur réseau filtrage de complexes systèmes des installer raisonnablement routage peut ne on de celle à E machines. différentes les liée entre réseau flux des souvent l'acheminement est firewall, de notion La de et menaces et anormales utilisations les réseau. de filtre également parle On bloquer. détecter de capables un par sont transite qui et l'extérieur, et machines se les entre réseau chemin le sur placer viennent informatique qui équipements attaque des sont une firewalls Les réseau. cas, composant des plupart la Dans de envoi toujours : pas visibles n'est sont même etc. service, de déni de massives à internet attaques des participation conséquences elle lien de ses en un mais l'attaque ou originaire détectable, cas, document ce un réseau Dans ouvrant malicieux. en attaque exemple déclenché par plus s'agir virus peut n'est une d'un Il utilisateur. machine propre son la par par : mais l'extérieur, indirecte directement est menace compromise de variété autre Une la machine. compromettre expose système tout travail, de différents station simple réseau, d'une attaque commutateur ou d'une d'un serveur s'agisse forme d'un Qu'il la machine. prennent une menaces contre ces directe de nombre attention grand l'entreprise, Un une prêter à de vital internes devenu parfois est réseaux. ces de à il la sécurité permanente ou non, externes, ou qu'il multiples, intentionnelles menaces sont de d'information systèmes s'agisse les contre menaces Les evcsservices u e tauns puet epotr ai de afin exploiter peuvent attaquants les que I NTRODUCTION Firewalls et contrôle de flux de contrôle et Firewalls c'est à dire à c'est spam n effet n Page , 7 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Politique de filtrage de Politique Voici pour illustrer ces propos, un exemple de réseau d'entreprise. réseau de exemple un propos, ces illustrer pour Voici à pas n'assure et l'entreprise, informatiques. ressources des l'ensemble de la sécurité seule elle de sécurité de politique la de ensemble une à zones firewalls des filtrage configuration de la politique résumer généralement peut On serveurs. sûr comme considéré généralement est l'entreprise de confiance. réseau de le Ainsi, niveau leur par généralement caractérisent se zones Les parrouteurs. les effectué est filtrage du la majorité lorsque particulier en zones, plusieurs de partie fasse sous-réseau même qu'un Si ou d'un composée routeur. être peut zone une un par passer sans elles entre directement communiquent très correspondent zones Ces dire à c'est sous-réseaux, des à souvent s'applique. sécurité de politique même une lesquelles pour zones en découpés être peuvent réseaux des plupart de notion la est réseau sécurité la de base de principes des Un la sécurité, de filtrage matière un en appliquer car de pas superflue. n'est redondance à machine, central généralement chaque point sur continue le supplémentaire on alors si devient même routage filtrage, de au soumis L'équipement sera distant réseau d'un filtrage. destination à trafic le tout Ainsi, u 'nent as mais l'Internet, que a pltqe d itae rsa 's in sr q'n sous- qu'un sûr bien n'est réseau filtrage de politique La . u ért smlmn e les simplement décrit qui , Firewalls et contrôle de flux de contrôle et Firewalls on sûr moins u e su-éeu ddé aux dédié sous-réseau le que plusieurs sous-réseaux, il est rare est il sous-réseaux, plusieurs des ensembles de machines qui machines de ensembles des neatos ete les entre interactions zone Page plus . La . 8 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – De Internet ...De Internet ... B De Zone A ...De Zone 'n btmn) t l oe B ls snil, cntté e postes des : à réseau ce applicable sécurité de politique de exemple un Et voici constituée A sensible, zone plus la B, zone internet, comptables. données des la stockant : et zones bâtiment), différents trois étages d'un deux : identifié exemple (par a sous-réseaux deux de on constituée exemples cet Sur • • • Autoriser les connexions de la zone B vers internet uniquement internet etc.) vers (fournisseurs, confiance de services certains sur B zone la de connexions les Autoriser internet. A vers la zone de connexions les Autoriser eue ls cnein rvnn 'nent t ls connexions les et zones. deux d'Internet, les entre provenant connexions les Refuser Interdit Interdit N/A A vers Zone … Firewalls et contrôle de flux de contrôle et Firewalls Interdit N/A Interdit B Zone … vers N/A Filtré Autorisé Internet… vers Page 9 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Différents niveaux Différents Qualité de service de Qualité Filtrage réseauFiltrage Filtrage applicatifFiltrage pour différents pour plus qualitatif, plus fin. plus qualitatif, plus interdire ou autoriser rôle un dans firewall à un d'utiliser possible est Il toujours ressource. une à l'accès pas limite se ne firewall d'un rôle Le d'attaques plus en plus de car web, le et médias. ces cible pour aujourd'hui prennent mails les protéger pour particulier en nécessaires, souvent sont applicatifs filtres les Cependant, performant aussi souvent pas protocole. seul un dans spécialisé logiciel qu'un n'est qui mais protocoles, plusieurs de « filtre un utiliser ou protocole, par applicatif filtre un place en mettre faut il particulier, étant protocole chaque : polyvalent aussi pas n'est mais accès, des fin plus contrôle un permet applicatif firewall qu'un est réseau firewall un avec différence La indésirable courrier le filtrer à ou e-mail. chaque de contenu précises, le analysé après avoir (spam, virus) URL certaines au qu'à l'accès restreindre web ne de permet applicatif firewall un exemple, Par pouvoir pour utilisé applicatif protocole travailler. au spécifique requièrent traitement ils revanche, un En analysent. qu'ils trafic « du compréhension seules les non elles- et applicatives mêmes, données les analysent qu'ils dire à c'est OSI modèle « niveau 7, le niveau au travaillent applicatifs filtres Les principale web...). (mail, services à certains l'accès limiter de Leur ou autre, une cas. depuis inaccessible des zone une rendre majorité un de est la utilisation permettent dans et suffisant 3) filtrage (niveau de routeurs niveau des sont avec niveau ce travailler à d'un de travaillent qui forme capables filtres la les adresse fait, (sous ce leur De contacté port). paquet: de protocole numéro chaque le et de destination (transport) de TCP d'origine, et à c'est (routage) 4, et IP 3 couches dire les d'examiner contentent se réseau filtres Les filtrage. de niveau de parle on profondeur, en moins ou plus contenues informations les inspecter peut il trafic, du d'enveloppes reçoit firewall le où composée moment protocoles. est de niveaux réseau différents aux un correspondent qui sur imbriquées circule qui trame Chaque usages Firewalls et contrôle de flux de contrôle et Firewalls
enveloppes
générique
; i »;
» qui intègre la connaissance la intègre qui » s ot dn n meilleure une donc ont ls
application Page
», du Au 10 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Suivi de connexion Suivide omncto u lser ot, qi sn hii lr d'une lors choisi comme multimédias protocoles certains avec pose se problème même Le demandés. sont ports les automatiquement ouvrir la qui pouvoir pour négociation nécessite ports, cette capture firewall le que utilisé donc faut Il connu. port plusieurs un sur négociation toujours sur néanmoins communication mais Ce FTP. archaïque protocole du cas protocole le notamment c'est travailler, pour paquets des contenu le d'examiner besoin parfois à connexion de suivi le Enfin, moins général. plus cas le le est qui ce machines, IP de possède d'adresses que l'on que lors dès indispensable est une NAT du à L'utilisation relatif paquet chaque une de place destination l'adresse en réécrit connexion. de firewall mettre l'adresse le de ou cas, ce source également Dans permet (NAT). d'adresse connexion translation de suivi Le même session. une à relatifs échanges les tout d'autoriser afin établies, connexions des connexion de appelé mécanisme d'un disposent firewalls les cela, réaliser Pour autorisée. être pas réseau doit ne local du hôte d'un alors destination le à firewall, d'Internet le par provenant requête traverser qu'une émises évidemment réponses doivent réponses des des Les pas mais non serveur. clients, constitué les est par trafic du adressées gros requêtes le car sens, son connexion tout de prend suivi le (HTTP), Web le comme protocoles de cas le Dans plutôt c'est être doit faire trafic le ouverte, à connexion serveur. et le client le entre sens deux dans les circuler la de capable cherche fois l'autoriser une et Mais l'on autre. sens, un un que dans dans ce connexions de réalité, l'établissement d'interdire en irréaliste, est l'autre dans pas mais sens un dans réseau trafic du l'ensemble Interdire de temps des fournir un de parfois possibilité la et que ainsi « minimale, trafic du passante maximal traitement bande une de permettent service garantir de qualité la de gestion de algorithmes Certains trafic autre.de par à rapport type un un pénaliser de ou favoriser de possible est et il applicatif, exigences trafic, critères des du selon même parfois destination la et des source la selon utilisé, protocole ont liaisons le Selon des Smile, l'encombrement et de qualité blanc la de livre réseaux. vis à autre vis d'un particulières est l'objet qui routage VOIP la fera particulier de en applications, certaines équipement Or distants. un réseaux sur disponible d'autres ou d'Internet en provenance vers et notamment limitée, souvent passante bande La
pics
» de bande passante pendant une courte durée. courte une pendant de passante » bande ( connection tracking connection Firewalls et contrôle de flux de contrôle et Firewalls ), qui leur permet de garder une trace une garder de permet leur qui ), Page suivi 11 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Quel matériel ? matériel Quel evu oé d ats rsa e milue qaié e e meilleures de et qualité meilleure de réseau rapides...). disques (processeur, traitement de capacités cartes un de gamme, de doté haut plus serveur matériel du vers s'orienter souvent faudra il détection complexe, anti-spam un la ou web trafic du virale de analyse une en d'intrusion, comme tout conséquents plus Mb/s), 7 20-30 niveau services à des (supérieurs offrant élevés débits des supporter Pour Dans convenir. en recyclées peut sont machines bureau firewall. telles de de entreprises machine petites de une beaucoup et même anti- 3 un simple, et proxy niveau spam un comme au 7 niveau de principalement services quelques travaillant proposant firewall/routeur un Pour paquet chaque sur traitements de nombre grand un appliquer doivent qui d'intrusion détection de outils des avec sont on plus commerciaux : OSI firewalls couches les remonte l'on que mesure performance à des et fur de au souvent apparaît besoin Le plupart puissantes. peu la puces de autour matériel, construits de termes exigeante très activité en une pas n'est réseau trafic du simple filtrage Le firewalls des uniquement presque utilise on pratique, de connexion. suivi un permettant la Dans applicatif connexion 7). de niveau (ou suivi du cela appelle On IP). sur (voix H.323 le examine les paquets plus il faut de puissance, en particulier en puissance, de faut il plus paquets les examine Firewalls et contrôle de flux de contrôle et Firewalls réseau traversant la machine. traversant réseau Page 12 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Filtrage niveau 3 niveau Filtrage NuFW (iptables) Netfilter lser tlstus praet l êe pse o n changent en ou poste même le partagent activités. tracer leurs de difficile devient il régulièrement si quelle utilisateurs plus, une De utiliser déterminer etc.). plusieurs windows, doit domaine il veut (DNS, d'information action, source d'une administrateur autre responsable est lorsqu'un physique : personne réseau au uniquement trafic niveau le sur vue de point un ont firewalls les effet, En utilisateurs NuFW sous- qu'un général en n'implémentent de fonctions des ensemble puisqu'ils en perd l'on fonctionnalités que est l'interface simplifiant outils ces de L'inconvénient une dans écrit lisible. plus syntaxe fichier d'un partir à commandes ces automatiquement que tels outils, : iptables configuration de système commandes de nombre certain d'un son successive l'exécution par configure est défaut principal Son des inspection une nécessitent 7. niveau au paquets qui H.323, de ou d'état FTP suivi que le tels permettant protocoles modules de également dispose Il des critère. selon outil trafic principal le la de filtrer heure ports, destination, son de de d'origine, sous-réseau : permettent divers très de critères lui modules nom nombreux Ses le sous connue plus : commande de ligne en d'administration est solution Netfilter partie font elles pourquoi c'est paquets, de le source. open d'exploitation systèmes principaux des intégrante routage avec fortement de interagissent 3 niveau système de solutions des plupart La journée et, via des progr des via et, journée s n ucuh efle u u aot a la rajoute lui qui Netfilter à surcouche une est s a slto aie d itae rsa os Lnx Cette Linux. sous réseau filtrage de native solution la est , à la syntaxe peu intuitive. Cependant il existe de nombreux de existe il Cependant intuitive. peu syntaxe la à , . L' OFFRE ufw O u ipiin a cniuain e exécutant en configuration la simplifient qui , PEN DE Firewalls et contrôle de flux de contrôle et Firewalls NetFilter
FILTRAGE S OURCE ammes utilisateurs, n'importe quel autre quel n'importe utilisateurs, ammes .
EN iptables
MATIÈRE . eto des gestion Netfilter Page se 13 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – pf onxos smlaés à u evr (rvnin d o, DoS, de (prévention servir un Service à de simultanées trop font qui connexions utilisateurs les bannir pour ou règles, de jeu le éditer devoir sans connecter se à personne une temporairement autoriser pour Netfilter module au similaire tables de système un possède pf plus De des gérer de capable est et destination, d'adresse. translations de ports des fonction et en adresses trafic du des d'accepter ou bloquer de capable est d'état, suivi pf de solutions aux consacré Smile dans décrites sont d'OpenBSD disponibilité haute de les de et interactions Les QoS la disponibilité. haute routage, de systèmes le particulier en systèmes, ces de réseau pile la paquets, de filtrage le permettre de plus En DragonFlyBSD. et NetBSD OpenBSD, FreeBSD, aujourd'hui dire à c'est BSD, de dérivés systèmes pf utilisateurs. des postes les sur client de défaut principal Le de à l'application. connecter se vient qui l'utilisateur est qui déterminer peut base cette à d'accéder capable application quelle N'importe connexion. chaque de propriétaire le contenant SQL donnée de base une exporte puisqu'il réseau, services Enfin fiable. moins beaucoup est IP qui ce cette avec les : travaillent puis d'authentification phase fonctionnalité la pendant IP une cette à utilisateur propose ne produit « dits firewall autre autres aucun jour ce A essayer firewall. plus le par peut levée alerte chaque à utilisateurs un ne directement relier de permet personne cela plus De tierce accès. même le obtenir pour une réseau adresse son d'usurper et déplacements, ses lors de conserve le serveurs ses à privilégié accès d'un dispose qui réseau administrateur un : d'utilisation souplesse grande plus une permet Ceci l'accès. valider pour programme client le avec dialogue firewall un par lance règles des gérer de l'utilisateur capable est firewall le Ensuite, réseau numérique. certificat au accéder un ou passe de mot un par l'authentifie qui pouvoir machine, sa sur programme de Avant réseau. NuFW ( est similaire à Netfilter dans ses possibilités de base : il possède un possède il : base de possibilités ses dans Netfilter à similaire est akt Filter Packet utilisateur et non plus par sous-réseau. A chaque connexion, le connexion, chaque A sous-réseau. par plus non et utilisateur obe cs lcns e uhniin hqe uiiaer du utilisateur chaque authentifiant en lacunes ces comble NuFW , ou de de , ou : il permet de gérer en temps réel une liste d'accès, par exemple par d'accès, liste une réel temps en gérer de permet il : peut être utilisé comme source d'authentification par des par d'authentification source comme utilisé être peut bruteforcing s a slto aie d itae rsa os les sous réseau filtrage de native solution la est )
authentifiants NuFW Firewalls et contrôle de flux de contrôle et Firewalls ). est la nécessité d'installer un outil côté outil un d'installer nécessité la est haute disponibilité. haute
» se contentent en réalité de lier un lier de réalité en contentent se » pf s'interface avec le reste de reste le avec s'interface pf le livre blanc de blanc livre le avec le système le avec eil of Denial recent Page de 14 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – pass out log on $internet tagged passMAILS_SENT out on $internet tagged LAN_TO_INTERNETblock out log tagged DANGEROUS # Implementation de la politique de filtrage en sortie du firewall pass in on $lan proto tcp from $lan_netpass in toon any$internet port smtp from tag any MAILS_SENT to pass$lan_net in on tag $lan DANGEROUS from $lan_net to #any Classification tag LAN_TO_INTERNET des paquets en entrée du firewall pass out on $net_if proto tcp from $lan_net to any port http pass in on $lan proto tcp from $lan_net to any port telnet tag DANGEROUS classification du trafic : du classification par facilement par globale, internet de filtrage sur possible de est machine politique une à connecter se de il la utilisateurs aux interdire pour modifier forme, exemple, sans cette règle de une règles modifier de jeu un Avec en évidence. clairement est filtrage de politique la où d'abstraction, niveau haut plus « de système un plus, De l'administration. simplifie symboliques noms de et variables de l'utilisation et naturel, langage du proche est syntaxe La internet. vers LAN d'un web trafic le autorise qui règle une d'exemple titre à Voici de fort point Le disponibilité. de celle sasyncd que simple plus beaucoup Netfilter est configuration sa Cependant, pas non et proxy un par par assuré directement est FTP le pour connexion de suivi le effet, En 7. niveau au connexion de suivi de possibilités les concernant que modules de moins de cependant dispose Il précis. OS un sur erronés paquets de et traitement le dans réseau bugs de parti le tirent qui attaques peu certaines d'éviter un purifier de permet qui Ce etc. erronés, paquets de blocage le fragmentés, paquets de ré-assemblage le particulier en trafic, de cœur Enfin, au est il programmes; des OpenBSD. sous à disponibilité haute de solution d'une l'implémentation firewall du l'administration de partie une déléguer de permet qui ce volée, la à règles des rajouter de pf dispose d'un système d'ancres qui permet à un programme utilisateur programme àun permet qui d'ancres système d'un dispose pf , e , e rnet tè trci or ds uiiain n haute en utilisations des pour attractif très rendent le permet d'effectuer quelques opérations d'« opérations quelques d'effectuer permet t son intégration à des outils comme comme outils à des intégration son t pf. pf telnet De même le H.323 n'est pas géré. pas n'est H.323 même le De oamn a apr à rapport par notamment , , il suffit d'ajouter la règle suivante à la partie la à suivante règle la d'ajouter suffit il , Firewalls et contrôle de flux de contrôle et Firewalls
tags
» permet d'obtenir une configuration d'un configuration une d'obtenir permet » spamd Netfilter Netfilter
embellissement , , relayd , est sa syntaxe. sa est , , en particulier en , , , pfsync Page
» du » ou 15 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – pass out tagged DANGEROUS ufw allow proto tcp from any to any port 22 UncomplicatedFirewall deréseaud'unesolution Choix filtrage configuration Interfaces de Interfaces sécurité réseau de base. Sa syntaxe est assez proche de de proche assez est base. de syntaxe Sa réseau sécurité une rapidement place en mettre de permet et routeurs, les que serveurs firewall d'un l'administration projet du but Le choisie. filtrage de la d'automatiser est but le solution la de indépendamment même parfois règle, de jeu d'un dont création logiciels des existe les il Heureusement, pour particulier en règles. de d'édition terme en aisée “culture” propre sa possède produit chaque leur plus, toujours De Source. conséquent très Open produits des l'habitude pas pas et Par n'ont qui administrateurs puissantes d'origine. n'est sont d'exploitation présentées configuration système avons au nous intégrées que solutions Les la décision. emporte qui critère ce c'est souvent bien Linux, sous que disponible que noter à est Il de le filtrage, le suivi temps la et NAT même en gérer le de permet exotique. qui exemple unifié, protocole plus système par d'un 7 comme niveau spécialisés connexion modules des d'utiliser la pencher définitive. faire façon de peuvent balance particuliers cas quelques seuls et générales, Ainsi, étapes deux en configuration sens. de son tout prend type ce différents, droits des chacun ayant différents sous-réseaux plusieurs avec complexe réseau un Dans qui la règle changer de suffit qui règles des l'ensemble changer de besoin pas dangereux, trafic le autoriser temporairement souhaite on si même, De log). le dans notification et la connexion de (abandon appropriées mesures partie les la prendra règle et de jeu dangereux, du étant politique comme classifiés sont paquets ces Ainsi pf t et QoS Netfilter . pf ufw n'est disponible que sous BSD, et que que et BSD, sous que disponible n'est ot tè iiars e em e fonctionnalités de terme en similaires très sont or « pour , Firewalls et contrôle de flux de contrôle et Firewalls Netfilter traite Netfilter nopiae FireWall Uncomplicated ce trafic trafic ce : sera privilégié lors de la nécessité la de lors privilégié sera sous Linux. Ce projet vise plus les plus vise projet Ce Linux. sous pf un u s un est lui à quant identifient s e faciliter de est » pf : Netfilter ce trafic, il trafic, ce Page n'est 16 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – ufw delete allow apache Firewall Builder Firewall aieet u éeu tpqe tl qe cu rsné n fn d ce : exemple un Voici de fin en configurer présentés ceux de que permettant tel document. assistants configurer typique réseau des de un également permet rapidement et intègre Il horaire port. plage de redirections de les et (NAT) d'adresse translations notion les automatiquement la gère services, Builder Firewall plusieurs sur correspondante firewalls les comme réseau équipements firewalls : configuration différents produits la automatiquement d'installer et créer de permet qu'il est avantage Son filtrage. de politique Builder Firewall à connexion les d'interdire permet exemple, Apache. par commande, Cette : simultanément application même par une utilisés ports les tout ufw gère la notion d'application, et permet par exemple de désactiver de exemple par permet et d'application, notion la gère permet de manipuler des hôtes, des sous-réseaux, des sous-réseaux, des hôtes, des manipuler de permet
est une interface graphique permettant de créer une créer de permettant graphique interface une est Firewalls et contrôle de flux de contrôle et Firewalls Netfilter firewalls , Cisco PIX Cisco pf . t mm certains même et , Page 17 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – filtrage niveau 7 niveau filtrage Squid e rgams sn rs séilss l e cmotn a les pas comportent ne ils utilisés être pas donc spécialisés, peuvent ne et Squid très de avancées fonctionnalités sont programmes effet ces En antivirus. un avec l'interface est répandue plus la L'utilisation des à Squid l'accès interdire ou autoriser et de sites. catégories etc.) pornographiques sites sociaux, réseaux ligne, en (jeux catégorie par classées d'URL publiques l'outil Squid donc par passer est à web. trafic le filtrer pour web Il trafic le client. tout forcer côté pour trafic de configuration redirection la permettant réseau sans firewall un d'utiliser l'utiliser possible de permet qui Squid d'utiliser permet effet qui en web, trafic le filtrer d'accès pour contrôle de fonctionnalité la C'est web site du réseau, sous son de etc. de la journée, l'heure demandé, de l'utilisateur, de fonction en d'accès Squid la allège et navigation de confort le serveurs. des charge améliore passante, bande la de économise Cela tard. plus faite est requête même la si rapidement plus délivré être pour proxy le sur conservé est requête chaque de résultat Le mémoire, (pour procuration Web le et clients, les entre Squid une de spécialisés certaines nécessitent modules de des disponibilité haute de fonctionnalités exemple et optimisations, par cas filtrage. le de destination, C'est solution ou la de natif langage de le spécifiques, dans manuelle configuration plate-formes très ses les applications toute de comme que, fonctionnalités et contrepartie La graphiques, interfaces implémentation. son non et filtrage de politique la sur concentrer se de et particulière plate-forme que tels outils Les Le d'accèscontrôle requêtesen cacheLa des mise permet d'authentifier ses utilisateurs, et de définir des contrôles des définir de et utilisateurs, ses d'authentifier permet d'intermédiaire servir de est but Son HTTP. proxy serveur un est et éaeet sitrae vc date programmes. d'autres avec s'interfacer également peut : trafic le filtrer pour externes programmes des d'utiliser permet SquidGuard ). À ce titre, il possède deux fonctionnalités principales : principales fonctionnalités deux possède il ).titre, À ce emt d ée uoaiumn e listes des automatiquement gérer de permet ieal Builder Firewall Firewall Builder Firewall Firewalls et contrôle de flux de contrôle et Firewalls Squid emtet d 'frnhr d'une s'affranchir de permettent , n'implémente pas la totalité des totalité la pas n'implémente , possède un mode « mode un possède pf . Squid proxy usuiie utiliser puis , en anglais signifie anglais en Netfilter
transparent ou des ou Page Squid 18
» www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – rev:7;) flow:established; content:".mp3";alert nocase; tcp classtype:policy-violation;$HOME_NET any <> $EXTERNAL_NET sid:564; 5555 (msg:"P2P Napster Client Data"; Snort ax pstf t puet dcuae 'diitaer or faciliter Pour l'administrateur. projet que le telle interface décourager sonde peuvent d'une l'utilisation et positifs faux de journaux Les légitime. est celui-ci si même suspect, comportement moindre au alertes des déclencheront Snort message le contient extérieur réseau le ".mp3" et local réseau le port le entre sur 5555 TCP connexion lorsqu'une alerte une déclenche règle Cette : de règle exemple un Voici besoins. propres l'adapter à ses le ou règles Web, Les proxy un travers à instantanée piratés. fichiers de téléchargement un à messagerie connexion la de comme 3 service niveau au ainsi invisibles et actions d'entreprise, des réseau bloquer un sur souhaitables non comportements attaques, véritables de plus qui En ce bloquée est connexion la détecté, l'attaque. permet d'annuler est suspect paquet qu'un filtre, mode En est attaque lorsqu'une alertes des envoie détectée. et réseau trafic le analyse serveur le sonde, mode En Snort récentes. failles les détecter pour motifs des fournit EmergingThreats site le et jours, 30 de sources plusieurs depuis disponibles également sont gratuits règles de jeux Des de d'attaques, nombre grand très un virus. derniers tout aux classiques failles de l'exploitation détecter de permettant motifs des payant) abonnement (contre fournit SourceFire société la recherche, Snort intrusions. des la prévention Snort des filtrage le nuisances. et autres intempestifs cookies publicités, popup, est possibilité autre Une proxy. que tant en directement ips e bacu e mtf, cran ot tè tit et stricts très sont certains motifs, de beaucoup de dispose filtre. ou : sonde de fonctionnement modes deux de dispose de motifs des sur basé détection de moteur d'un doté est et détection la est premier but Son réseau. d'analyse outil un est
: la société SourceFire fournit ses motifs gratuitement au bout au gratuitement motifs ses fournit SourceFire société la : snort snort sont relativement simples à écrire, ce qui permet de permet qui ce écrire, à simples relativement sont devient un système de prévention d'intrusion : dès : d'intrusion prévention de système un devient Firewalls et contrôle de flux de contrôle et Firewalls snort BASE snort , il sera souvent nécessaire d'utiliser une d'utiliser nécessaire souvent sera il , . snort à simplement un but préventif : il : préventif but un simplement à est capable de détecter certains détecter de capable est snort sont rapidement remplis de remplis rapidement sont Page 19 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – spamd réessayer plus tard. plus réessayer à machine la invite et mail, le recevoir à prêt être pas ne prétend celui-ci contacte inconnue machine Lorsqu'une blanche. liste sur ni noire, liste sur ni n'est terme le autres, deux les que « telle liste véritable d'une pas s'agit ne Il liste sur machine d'une arrivant réel. mails de serveur au immédiatement transmis est blanche mail Tout protégé. serveur au mails des envoyer à autorisé explicitement a l'administrateur que confiance de hôtes des l'ensemble contient blanche liste la noire, liste la de Contraire les sont écouter. à ne pas machines quelles savoir pour local, l'administrateur par maintenue liste telles de jour listes. à mettent et spam de massifs envois le les travers traquent à monde organisations nombreuses de accepté, sera ne mail aucun de noire liste La ne et simples les commandes SMTP, quelques d'erreur. en cas ré-émis jamais sont de protocole moyen au le envoyés correctement sont mails d'implémenter pas soucient ne spam de ne quantités grandes très de envoyant machines intelligence les effet, En une via mail du émis. contenu du élaborée, artificielle profondeur en que tels analyse systèmes des à Contrairement de serveur le considérablement soulager réel.mails de permet qui ce filtrage de travail premier un d'effectuer afin mails de serveur un comme lui-même en spamd courrier de l'envoi dire à c'est spam, les masse. bloquer de est but Son spamd Ainsi informations. d'autres de et sondes les légitime. application par une déclenché motif un désactivant fréquence, affiner peut l'administrateur leur provenance, BASE
liste grise liste La blanche liste La noire liste La « liste emt d osle e ttsius sr ls aets leur alertes, les sur statistiques des consulter de permet vient se placer devant le serveur de mails de l'entreprise, et agit et l'entreprise, de mails de serveur le devant placer se vient mails. des traitement le dans spécialisé applicatif filtre un est spamd
» désigne le comportement de de comportement le désigne » grise est capable de se baser sur ces listes, ainsi que sur une sur que ainsi listes, ces sur baser se de capable est
spamd » spamd, est une liste de l'ensemble des serveurs dont serveurs des l'ensemble de liste une est Firewalls et contrôle de flux de contrôle et Firewalls lui, se focalise sur la façon dont le mail est mail le dont façon la sur focalise se lui, spamd spamd spamd SpamAssassin dispose de trois « trois de dispose snort face à une machine qui machine une à face pour la première fois, première la pour a xml en exemple par , u ot une font qui ,
listes Page
» : » 20 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – QoS : Qualité de Qualité : QoS l eit ifrns agrtms pretn e dfnr ue qaié de qualité une définir de permettant : utilisés plus les parmi deux voici en service, algorithmes différents existe Il il ou moment au sort. QoS de règle la appliquer puis routeur, le dans entre il ou en moment au trafic le identifier routeurs, temps premier un dans faudra les il effet sur QoS de règles de création la compliquer peut Ceci sortants la machine. de paquets des qu'à s'appliquer peut ne des QoS la que évident ont est Il qui et files paquets, des les créer rangés de réseau. la trame de le sur l'émission de moment au sont différentes priorités permet lesquelles QoS dans La d'attentes applications. les par déclenchées une sont elles ou l'ordre dans sans émises sont réseau trames les : QoS de solution d'attente file de notion la est QoS en important concept Un temps. même en effectuées sont trafic du priorisation de et filtrage de décisions par gérée est QoS la BSD, Sous les ainsi évite et règles certaines par redondances. interceptés à été permet ayant paquet de paquets marquage de système un mais l'outil via noyau le par ( service de qualité la Linux, Sous s'échapper. de difficile est il de laquelle mare goudron de un perdre « un fait technique cette appelle qui ressources. On de ce peu très consomme lentement mais spammeur très au précieux mail temps le traîner fait acceptant il serveur en véritable au l'échange mail le transmettre de liste lieu sur au mais hôte lorsqu'un lui, effet à En connecte se type. noire même du logiciels autres aux Enfin, délai est réactivité la d'un prospection...). ou (recrutement, primordiale et l'avance à connus pas l'introduction sont ne interlocuteurs ou les messagerie de applications est système des dans le gênant être contacte peut mail Cela technique protégé. serveur qu'un fois première cette la systématique de L'inconvénient sur passé blanche. liste est serveur le ultérieurement, ré-émis pour effectivement est conçus mail mal le suffisamment si cependant, mail, du sont l'envoi abandonnent et spam invitation cette ignorer de robots des plupart La service spamd dispose d' dispose tc . La configuration est indépendante de de indépendante est configuration La . une fonctionnalité supplémentaire par rapport par supplémentaire fonctionnalité une Firewalls et contrôle de flux de contrôle et Firewalls spamd fait semblant d'accepter la connexion, la d'accepter semblant fait
tar ALTQ QoS: Quality of Service of Quality QoS:
pit , une structure intégrée à à intégrée structure une ,
», du mot anglais désignant une désignant anglais mot du », tc d'identifier les d'identifier ) est contrôlée est ) Netfilter Page pf . Les . 21 , www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – PRIO HFSC éopr l ad asne dsoil e fçn lgqe oc un voici logique, de façon permet de qu'il disponible dire passante : exemple à bande c'est la hiérarchique, découper algorithme un est HFSC priorité. et une la réception, dès transférés être doivent qui paquets les pour réel, temps en « traitement de exigence de parle (on la transmission et maximale, passante la de début au importante bande plus passante bande une d'allouer la possibilité définit courbe Cette d'attente. file chaque pour service de courbe une définissant en flux, le finement plus à Contrairement donnée VOIP de débit un la de exemple par fois cas le c'est transmission, de la délai faible un et garanti, à nécessitent protocoles certains effet, En : exigences deux HFSC lorsqu'une observée réactivité et de configurer à perte simple la est passante. bande en sature connexion partie il grande car en utilisé élimine souvent est algorithme Cet importants flux réactivité. de des besoin ont qui applications des ne perturbent permetque d'éviter il et mais contrôle, flux, de du minimum fin un d'obtenir contrôle un pas permet ne algorithme Cet priorité. haute plus la a qui celui d'abord choisit celui-ci noyau, le par émis être doit paquet lorsqu'un et priorité certaine une possède flux Chaque priorités. les sur PRIO • • peéappelé , . est un algorithme de QoS permettant de satisfaire simultanément satisfaire de permettant QoS de algorithme un est Le délai de transmission de délai Le transmission de La vitesse PRIQ PRIO sous BSD, est un algorithme basique de QoS basé QoS de basique algorithme un est BSD, sous , il est possible avec avec possible est il , Firewalls et contrôle de flux de contrôle et Firewalls
burst
) n pu glmn éii une définir également peut On »). HFSC de contrôler beaucoup contrôler de Page 22 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Produits intégrés Produits IpCop d'analyse applicative sont limitées. sont applicative d'analyse Cependant, pour rouge parconvention. cette intuitif plus rendu : confiance de niveau est règle de jeu d'un L'élaboration etc. local, réseau le pour vert internet, son représentant identifié couleur est une machine la par à connecté réseau Chaque web. interface une d' configuration La et OpenVPN, ressources. de matières en pré-requis faibles ses de Squid, de raison en entreprise petite de ou machine domestique firewall que tant en bureau une Netfilter, à vie redonner pour utilisée souvent comme est Elle d'autres. précédemment présentées Source Open solutions de autour construite est elle VPN, d'accès point IpCop un cités. à partir produits des construites à prêtes l'emploi solutions construire de « permettant individuels firewall composants ces de plus En externalisé, environnement priorise. un que l'on vers fichiers de copie la exemple "classique" par web et trafic le entre distinction la faisant en passante tout fichiers, de bande transferts aux reste le la et etc.) (management, toute critiques applications aux de 10% 10% téléphonie), la exemple d'allouer (par réel temps applications aux disponible exemple par choisit On est une distribution Linux utilisable comme routeur, firewall et firewall routeur, comme utilisable Linux distribution une est
a carte la à IPCop est avant tout un outil de filtrage réseau, ses capacité ses réseau, filtrage de outil un tout avant est IPCop
, cran rjt pn suc rpsn des proposent source open projets certains », Firewalls et contrôle de flux de contrôle et Firewalls est très simple et repose principalement sur principalement repose et simple très est Page 23 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – pfSense ore qi l opsn e atcle a pl éeu FeBD, et FreeBSD), réseau pile la particulier (en et particuliers. institutions par nombreuses de utilisé composent le qui source pfSense de présentés terme composants en de complet système des d'un applicatif. de niveau filtres des installer d'y permettant paquets disposant extrêmement et 3 plupart niveau unifié, filtrage orienté fonctionnalités, système la un de proposant défaut main. en prise de difficulté leur est précédemment principal Le liens plusieurs entre bande la de trafic en d'augmentation entièrement ou le dernier, passante. redondance de ce répartir but un que firewall/routeur, de dans internet, fonctionnalités possibilité de en la plus particulier possède utilisation mais web. FreeBSD interface une une via configurable pour conçue projet Le est un produit très stable, grâce à la robustesse des outils open outils des robustesse la à grâce stable, très produit un est pfSense propose une distribution de FreeBSD spécialement FreeBSD de distribution une propose Firewalls et contrôle de flux de contrôle et Firewalls l et léuvln d' l'équivalent est Il pfSense y remédie en remédie y IPCop Page sous 24 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Configuration des règles de filtrage sous sous filtrage de règles des Configuration : limitées sont applicatif traitement de capacités ses En revanche, : sont avantages principaux Ses • • • • • • • • La seule solution antispam disponible est est disponible antispam solution La seule sortant. FTP le pour que fonctionne ne 7 niveau d'état suivi de système Le intégrée. web d'administration interface d'une pas dispose ne et upgrades des lors supporté pas n'est mais FreeBSD via installé Snort qui supplémentaires composants ( dans l'interface alors s'intègrent des rajouter de possibilité La CARP/ et HFSC que telles disponibilité haute de et QoS de avancées fonctions Des filtrage, (routage, composants QoS) VPN, différents les gérer entre de cohérence La permet qui alias par configuration complexes. règles de jeux des facilement de système Un à utiliser facile Web d'administration interface Une n'est pas officiellement disponible sur sur disponible officiellement pas n'est pfsync Firewalls et contrôle de flux de contrôle et Firewalls . Squid pfSense , outils de monitoring, etc.) monitoring, de , outils spamd : pfSense : il peut être peut il : Page 25 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Untangle e rsa, o et dn e pae ut erèe u otu plus sous contenu de du filtre Configuration routeur un derrière juste placer avancées. applicatif filtrage le donc ( peut fonctionnel on réseau, le plus, De : sont principales limitations Ses des détriment : sont avantages Ses au dernier ce que applicatif filtrage réseau. capacités le sur axé plus Untangle • • • • N'est pas utilisable comme concentrateur VPN IPSEC VPN concentrateur comme pas utilisable N'est de Pas redondance. centralisé. management de Possibilité IDS. et d'un antivirus d'un antispam, filtre d'un Intégration s npoe iiar à similaire projet un est Untangle pfSense est capable de fonctionner de façon transparente sur transparente façon de fonctionner de capable est par exemple) pour lui rajouter des capacités de capacités des rajouter lui pour exemple) par Firewalls et contrôle de flux de contrôle et Firewalls pfSense Untangle , basé sur Linux, beaucoup Linux, sur basé , : Page 26 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Petite entreprise / entreprise Petite Agence régionale Agence Planréseaudu e rsa as ls PETE o e nens rgoae e plus de régionales antennes les source. open VPN aux consacré Smile de blanc livre dans le un ou rajoutera on PME/TPE cas auquel entreprises, les grandes dans réseau Typiquement de réseau. petit (mail, type ce serveurs rencontre On internet. accès un et métier...) application un intranet, quelques postes, de représente centaine d'une figure moins de constitué de cas premier Ce figure de cas 3 dans filtrage de matière habituels. en courantes pratiques présente les section Cette ici. présentées classiques à architectures souvent des ramène une se on firewall, d'un place en mise la faciliter de Afin A RCHITECTURES Firewalls et contrôle de flux de contrôle et Firewalls
CLASSIQUES VPN comme présenté comme VPN Page 27 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – # Les serveurs peuvent envoyer des mails et des requêtes DNS pass in on $wifi_if proto udp frompass $wifi_net in on $wifi_if to $serveurs proto porttcp from$services_int_udppass $wifi_net in on $lan_if to $serveurs proto udpport from $services_intpass $lan_net in on to$lan_if $serveurs proto port tcp $services_int_udpfrompass $lan_net in on to$inet_if $serveurs proto port tcp $services_int from# Lesany serveursto $serveurs sont portaccessibles $services_ext depuis internet, les postes, et lepass wifi out block in log # Tout traffic non autorise par une regle est interdit et journalise # Les clients peuvent accéder au web via le proxy local pass in on $dmz_if proto tcp frompass $serveurs in on $dmz_ifto any portproto smtp {tcp,udp} from $serveurs to any port domain Politique de de Politique filtrage Implémentation Voici une implémentation possible avec avec possible implémentation une Voici : applicatif Et niveau au : réseau niveau au en place mise la politique Voici sous-réseaux les tous pour routeur de sert réseau. sous vers chaque trafic le tout central et filtre correspondant, firewall Un PDA...) portables, (PC fil sans équipements des parfois et serveurs, des travail, de stations des contient entreprise petite de classique réseau Un • • • • • • • L'ensemble du trafic est surveillé par surveillé trafic est du L'ensemble par protégée est internet depuis mail serveur le sur mails de L'arrivée sont mobiles équipements des et par filtrés postes des Web au accès Les nom de internet. vers résolutions les et mails les relayer peuvent serveurs Les Web. au accès ont mobiles équipements les et travail de postes les serveurs, Les depuis autorisé est mobiles. équipements les et de travail postes les depuis et internet serveurs les par offerts services aux L'accès interdit. est explicitement autorisé non trafic Tout spamd Squid Firewalls et contrôle de flux de contrôle et Firewalls pf de la politique réseau : réseau de la politique snort . Page 28 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Entreprise de taille de Entreprise pass in on $wifi_if proto tcp frompass $wifi_net in on $lan_if to localhost proto tcpport from 3128 $lan_net to localhost port 3128 Particularités Planréseaudu moyenne un firewall externe externe firewall un interne firewall un firewalls, deux par protégés sont réseaux Les des et interne, en gérés et hébergés métiers. métier, applications des versions futures les pour tests de serveurs support applications de serveurs les des pour : serveurs serveurs de des extranet, un dans infogérés etc.) types comptabilité, (messagerie, 3 possède usine Cette d'administration équipe une réseau. et métier, applications développement les et sur recherche travaillant de équipe une partie atelier, une comportant un usine administrative, une moyenne, taille de réseaux les dans courants concepts les illustrer pour exemple comme choisi avons Nous Snort de d'URL listes les à jour tenir à veiller simplement faudra Il maintenance. de peu demande et place en mettre à simple relativement est type ce de architecture Une . FWE Squid . Le firewall interne est relativement basique et basique relativement est interne firewall Le . Firewalls et contrôle de flux de contrôle et Firewalls e lcls ald de mail blacklist les , spamd , et les motifs de motifs les et , Page FWI et 29 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Politique de de Politique filtrage Particularités Hébergeur itae y sn on lvs eedn a qaié d evc devient service de qualité la cependant en d'intrusions. la détection même de que primordiale élevés, besoins les moins et sont serveurs, type des y de que filtrage effet réseau en d'un trouve n'y différent on légèrement entreprise, est d'hébergeur réseau Un expliquera Smile de blanc livre comme futur agissent tolérance. cette d'assurer afin passage, de point unique un qui être firewalls un de devra couples des type place en mettre ce : comment de pannes infrastructure aux une fiable, tolérante être pour sûr, Bien l'entreprise. de siège au situé généralement extérieur, : firewall le unique contrôle de point un par passe et centralisé est d'internet provenance en ou vers viennent trafic du qui l'ensemble Souvent, réseau. d'agences leur à ou s'interconnecter extranet, d'un disposant moyenne taille entreprises de les dans rencontré fréquemment est d'architecture type Ce : sont flux autres Les : principaux flux les montrés sont schéma Sur le IDS. et d'un applicatif filtrage de fonctionnalités de doté être donc devra il internet, avec connexion la assure il car sensible plus est lui externe firewall Le réseau. niveau filtrage de contente se ne • • • • • • • • La DMZ de production est accessible depuis internet (de façon (de internet depuis accessible restreinte) est production de DMZ La à l'extranet accède production de La DMZ et à l'extranet production de à la DMZ accède tests de La DMZ réseau. le à tout accèdent réseau administrateurs Les à et l'extranet production, de serveurs aux tests, de serveurs aux accède La R&D extranet et métier applications qu'aux n'accède L'atelier à internet accède L'administratif l'extranet de applications aux accède L'administratif Firewalls et contrôle de flux de contrôle et Firewalls Page 30 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Politique de de Politique filtrage Planréseaudu passante à chaque client. De plus un IDS ou un IPS permettent de de permettent scan le IPS service, IPS. cas d'un le dans réagir et de immédiatement etc. ports, un de déni ou le comme IDS attaques un les rapidement plus détecter De client. chaque à passante bande certaine une garantir de afin utilisées sont QoS de fonctions Les souvent également ont autre application. d'une données des récupérer serveurs Les l'hébergeur. internet à connecter se pouvoir de besoin de privé réseau le type depuis d'administration de services les et réseau internet, fournis depuis serveurs services les un par les que dans n'autoriser de que simplement simple s'agit Il plus entreprise. est filtrage de politique La au réseau leur à externe de plateforme et VPN. d'un moyen d'accès, leur contrôle connecter du partie utiliser une pouvoir même un permeteux Ceci gérer clients, intercalé. de être les clients l'hébergeur peut aux client suivant le par par Puis, géré géré secondaire, internet. firewall principal avec firewall l'interconnexion un assure architecture, cette Dans Firewalls et contrôle de flux de contrôle et Firewalls pour leur mise à jours ou pour ou jours à mise leur Page 31 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – pass out on $internet tagged OUT_CLIENT2pass out queueon $internet qos_out_client2 tagged OUT_CLIENT1# Trafic queuesortant qos_out_client1 block out log on $serveurs taggedpass IN_DANGEROUS out on $serveurs tagged IN_ADMINpass out queue on $serveurs qos_in_admin tagged IN_CLIENT3pass out queue on $serveurs qos_in_client3 tagged IN_CLIENT2pass out queue on $serveurs qos_in_client2 tagged IN_CLIENT1# Trafic queue entrant qos_in_client1 ## Politique de filtrage et de QoS##################################### ## #(etc.) pass in on $internet proto tcp from# Flux any àto risques $client3 \ pass in on $intranet proto tcp from# Administration $administrateurs to any \ #(etc. une regle de classification par flux entrant ou sortant) pass in on $internet proto tcp from# Clients any to protégés$client3 par\ ce firewall pass in on $serveurs from $client2pass to inany on tag $internet OUT_CLIENT2 from any to pass$client2 in on tag $serveurs IN_CLIENT2 from $client1pass to inany on tag $internet OUT_CLIENT1 from any to #$client1 Clients tagdisposant IN_CLIENT1 de leur firewall## Classification du trafic ## ##############################block all ## Politique ###############################par defaut ## block out log on $internet taggedpass OUT_DANGEROUS out on $internet tagged OUT_CLIENT3 queue qos_out_client3 Implémentation oc e ju d èls p u frwl rnia orsodn cette à correspondant principal firewall du pf règles : architecture de jeu le Voici de rôle un également a firewall le filtre, trafic facturation. pour client chaque de le comptabiliser peut de il trafic, le rôle tout reçoit il comme son monitoring, de plus En port $admin_services_tcp tag IN_DANGEROUS port $admin_services_tcp tag IN_ADMIN port $client3_services_tcp tag IN_CLIENT3 Firewalls et contrôle de flux de contrôle et Firewalls Page 32 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – Particularités èl s rs be dpé à u éegu u ot puor agir pouvoir devoir sans doit filtrage qui de ponctuelles. exceptions hébergeur politique des gérer de capable étant un en sa tout une, par une règle chaque à sur retoucher globalement adapté et bien rapidement très est sur partie règle la dans présentée déjà été à qui tags, « une utilise on règle, de jeu ce Dans Firewalls et contrôle de flux de contrôle et Firewalls
politique de filtrage de politique pf , ce type de jeu de jeu de type ce ,
» basée sur les sur basée » Page 33 www.smile.fr © Smile – Open Source Solutions Édition– AoûtSource Smile2009 © Open – t pu e nrsrcue at d am, ls milus otl de rapport outils meilleurs meilleur les gamme, de et maîtrise. un flexibilité combiner de permettront source open haut firewalling infrastructures des offriront pour Et serveur, petit un qualité/prix. sur déployées dédiées, distributions des alors visée, est qui simplicité en la c'est si l'emploi, Mais, à prêts boîtiers Certains « solutions mode des sens. déployer de encore, pas n'a plus propriétaires domaine ce dans pourquoi C'est essentiels: atouts des présente source l'open sécurité, En matière de • • • compromis à faire. compromis de avoir jamais ne de permet qui déploiement, de coût moindre Le de milliers de « centaines « au code du L'ouverture des à associée opérationnels déploiements robustesse La
back-door appliance
», peuvent être des alternatives gages de simplicité. de gages alternatives des être peuvent », » dans des composants critiques composants dans des » C Firewalls et contrôle de flux de contrôle et Firewalls ONCLUSION
peer review peer
», qui garantit l'absence de l'absence garantit qui », Page 34 Les livres blancs Smile
. Introduction à l’open source . Les 100 bonnes pratiques du web et au Logiciel Libre Cent et quelques « bonnes pratiques du web », usages et astuces, incontournables ou tout Son histoire, sa philosophie, ses grandes figures, simplement utiles et qui vous aideront à construire son marché, ses modèles économiques, ses un site de qualité. [26 pages] modèles de support et modèles de développement. [52 pages] . ERP/PGI: les solutions open source
. Gestion de contenus : les solutions Des solutions open source en matière d’ERP sont open source tout à fait matures et gagnent des parts de marché dans les entreprises, apportant flexibilité et coûts Dans la gestion de contenus, les meilleures réduits. [121 pages] solutions sont open source. Du simple site à la solution entreprise, découvrez l’offre des CMS open . GED : les solutions open source source. [58 pages] Les vraies solutions de GED sont des outils tout à fait spécifiques ; l’open source représente une . Portails : les solutions open source alternative solide, une large couverture fonctionnelle et une forte dynamique. [77 pages] Pour les portails aussi, l’open source est riche en solutions solides et complètes. Après les CMS, . Référencement : ce qu’il faut savoir Smile vous propose une étude complète des meilleures solutions portails. [50 pages] Grâce à ce livre blanc, découvrez comment optimiser la "référençabilité" et le positionnement . 200 questions pour choisir un CMS de votre site lors de sa conception. [45 pages] . Toutes les questions qu’il faut se poser pour choisir Décisionnel : les solutions open source l’outil de gestion de contenu répondra le mieux à Découvrez les meilleurs outils et suites de la vos besoins. [46 pages] business intelligence open source. Les livres blancs Smile sont . Conception d'applications web [78 pages] téléchargeables . Collection Système et Infrastructure : gratuitement sur Synthèse des bonnes pratiques pour l'utilisabilité www.smile.fr et l'efficacité des applications métier construites en . Virtualisation open source [41 pages] technologie web. [61 pages] . Architectures Web open source [177 pages] . Les frameworks PHP . Firewalls open source [58 pages]
Une présentation complète des frameworks et . VPN open source [31 pages] composants qui permettent de réduire les temps . Cloud Computing [42 pages] de développement des applications, tout en améliorant leur qualité. [77 pages] . Middleware [91 pages]
Contactez-nous, nous serons heureux de vous présenter nos réalisations de manière plus approfondie ! +33 1 41 40 11 00 / [email protected]