Sécurité périmétrique (Pare-feu, Proxy, authentification)

La sécurité périmétrique est l'ensemble des moyens existants pour protéger les infrastructures contre des intrusions indésirables. Cela comprend les pare-feux, les proxys, les anti-virus, les bastions et les systèmes d'authentification.

• PFSense
• IPFire-IPCop
• Fortinet
• Stormshield

Netfilter est un framework de manipulation des paquets réseau intégré au noyau Linux depuis sa version 2.4. Il est communément utilisé comme pare-feu ou pour effectuer des opérations de routage ou de translations de paquets (NAT).

On le configure grâce aux commandes suivantes, selon le protocole :

• IPtables pour IPv4
• IP6tables pour IPv6
• ARPtables pour ARP
• Ebtables pour les trames Ethernet

Configurer IPtables (pare-feu, NAT)

Découverte d'IPtables

Solution de filtrage propriétaire de Microsoft (obsolète).

Installation & configuration du pare-feu ForeFront TMG

Un serveur mandataire Web (ou proxy) est une machine qui intercepte les requêtes HTTP/HTTPS des appareils clients sur le réseau pour les analyser, afin d'appliquer une politique de sécurité concernant l'accès au Web et d’accélérer le chargement des pages grâce à des techniques de mises en cache . Le serveur proxy envoie et reçoit les requêtes à destination de ses clients avec sa propre adresse, à la différence du pare-feu applicatif, qui modifie les paquets à la volée (sans modifier les adresses IP source et destination).

Pour les reverse proxys, voir la partie Hébergement web

Configuration Manuelle de Squid

Configurer Squid & SquidGuard avec Webmin (Obsolète, pour Debian 8)

Les IDS, pour Intrusion Detection System, ont pour rôle d'inspecter profondément les paquets circulant sur un réseau (au niveau applicatif) afin de détecter de potentielles intrusions et d'alerter l'administrateur.

Les IPS, pour Intrusion Prevention System, sont des IDS améliorés avec la capacité de bloquer les tentatives d'attaques.

Principe et configuration de Fail2ban

Principe de CrowdSec

Tutoriel d'installation officiel de CrowdSec

Installation des Bouncers

Régler l'erreur avec sqlite pour améliorer les performances

📖 Documentation officielle CrowdSec

Ajouter une vérification Captcha pour nginx en cas de doute sur un visiteur

Un bastion est une machine qui sert de proxy pour accèder à des machines isolées sur un réseau sécurisé. Cela permet de contrôler finement les accès aux machines.

Utiliser un hôte comme intermédiaire pour se connecter à un équipement grâce à SSH

Guacamole est un bastion web Open Source développé par la fondation Apache. Il est compatible avec la plupart des protocoles de prise en main à distance : SSH, VNC, RDP… et permet l'authentification SSO via différents protocoles standards.

Installer et configurer un bastion Guacamole

Guacamole n'est pas compatible avec tomcat 10, installer tomcat 9 à la place ⇒ Installer Tomcat9 manuellement.

Configurer Apache Guacamole pour accèder aux machines d'un réseau à distance ⇒ Extension JDBC for Guacamole 1.3.0 ⇒ régler le problème de fuseau horaire

Teleport est un bastion web moderne, modulaire, et simple à installer. Il est compatible avec de nombreux protocoles de prise en main à distance, hyperviseurs, gestionnaire de conteneurs, et propose de nombreuses fonctions de sécurité par défaut ainsi qu'une customisation avancée.

Installer et configuration un bastion Teleport

Bastillion est un bastion web opensource pour les connexions SSH simple à installer.

Site officiel de Bastillion

802.1X est une norme qui permet l'authentification d'un utilisateur sur un réseau filaire ou sans-fil. Elle s'appuie sur le protocole standard EAP (Extensible Authentication Protocol) ainsi que sur un serveur d'authentification (tel que RADIUS, TACACS, CAS).