Différences

Ci-dessous, les différences entre deux révisions de la page.

--- filtrage_securite_reseau [2023/05/20 10:36] – superadmin
+++ filtrage_securite_reseau [2025/02/13 08:59] (Version actuelle) – [Teleport] superadmin
@@ Ligne 1: / Ligne 1: @@
-====== Filtrage & sécurisation du réseau ======
+====== Sécurité périmétrique (Pare-feu, Proxy, authentification) ======
+La sécurité périmétrique est l'ensemble des moyens existants pour protéger les infrastructures contre des intrusions indésirables. Cela comprend les pare-feux, les proxys, les anti-virus, les bastions et les systèmes d'authentification.
 ===== Pare-feux =====
-[[equipements_reseau#pare-feu|Voir ici]]
+==== Pare-feux en mode appliance / OS ====
-==== PfSense ====
+  * [[PFSense]]
+  * [[IPFire-IPCop]]
-Voir [[PFSense]]
+  * [[Fortinet]]
+  * [[Stormshield]]
-==== IPFire/IPCop ====
-Voir [[IPFire-IPCop]]
-==== Fortigate ====
-Voir [[Fortinet]]
-==== Stormshield ====
-Voir [[Stormshield]]
 ==== Netfilter ====
-Les commandes IPtables, ip6tables, arptables, et ebtables servent à configurer le framework **Netfilter** integré au noyau Linux. Celui-ci permet de manipuler les flux réseaux au niveau des protocoles IP, ARP, et Ethernet (L2/L3 OSI) au travers de règles de routage ou de NAT.
+Netfilter est un framework de manipulation des paquets réseau intégré au noyau Linux depuis sa version 2.4. Il est communément utilisé comme pare-feu ou pour effectuer des opérations de routage ou de translations de paquets (NAT).
-[[https://fr.wikipedia.org/wiki/Netfilter|Page Wikipédia de Netfilter]]
+On le configure grâce aux commandes suivantes, selon le protocole :
+  * IPtables pour IPv4
+  * IP6tables pour IPv6
+  * ARPtables pour ARP
+  * Ebtables pour les trames Ethernet
 [[https://www.malekal.com/tutoriel-iptables/| Configurer IPtables (pare-feu, NAT)]]
+[[https://www.formatux.fr/formatux-securite/module-040-iptables/index.html|Découverte d'IPtables]]
 ==== Microsoft Forefront TMG ====
+Solution de filtrage propriétaire de Microsoft (obsolète).
 [[https://www.it-connect.fr/installation-de-forefront-tmg-2010/|Installation & configuration du pare-feu ForeFront TMG]]
@@ Ligne 37: / Ligne 35: @@
 Un serveur mandataire Web (ou proxy) est une machine qui intercepte les requêtes HTTP/HTTPS des appareils clients sur le réseau pour les analyser, afin d'appliquer une politique de sécurité concernant l'accès au Web et d’accélérer le chargement des pages grâce à des techniques de mises en cache . Le serveur proxy envoie et reçoit les requêtes à destination de ses clients avec sa propre adresse, à la différence du pare-feu applicatif, qui modifie les paquets à la volée (sans modifier les adresses IP source et destination).
+Pour les reverse proxys, voir la partie [[hebergement_web_sgbd#hebergement_web|Hébergement web]]
 ==== Squid ====
@@ Ligne 43: / Ligne 43: @@
 [[https://elwan7.wordpress.com/2011/08/21/configuration-de-squid-avec-webmin/|Configurer Squid & SquidGuard avec Webmin]] (Obsolète, pour Debian 8)
 ===== IDS/IPS ====
-=== Fail2ban ===
+Les IDS, pour Intrusion Detection System, ont pour rôle d'inspecter profondément les paquets circulant sur un réseau (au niveau applicatif) afin de détecter de potentielles intrusions et d'alerter l'administrateur.
+Les IPS, pour Intrusion Prevention System, sont des IDS améliorés avec la capacité de bloquer les tentatives d'attaques.
+==== Fail2ban ====
 [[https://doc.ubuntu-fr.org/fail2ban|Principe et configuration de Fail2ban]]
-=== CrowdSec ===
+==== CrowdSec ====
 [[https://www.cachem.fr/crowdsec-fail2ban-moderne-collaboratif/|Principe de CrowdSec]]
@@ Ligne 62: / Ligne 64: @@
 [[https://doc.crowdsec.net/|📖 Documentation officielle CrowdSec]]
+[[https://docs.crowdsec.net/u/bouncers/nginx/#when-using-captcha-remediation|Ajouter une vérification Captcha pour nginx en cas de doute sur un visiteur]]
 ===== Bastions =====
-==== Bastion SSH ====
+Un bastion est une machine qui sert de proxy pour accèder à des machines isolées sur un réseau sécurisé. Cela permet de contrôler finement les accès aux machines.
 [[https://blog.octo.com/le-bastion-ssh/|Utiliser un hôte comme intermédiaire pour se connecter à un équipement grâce à SSH]]
+==== Apache Guacamole ====
+Guacamole est un bastion web Open Source développé par la fondation Apache. Il est compatible avec la plupart des protocoles de prise en main à distance : SSH, VNC, RDP... et permet l'authentification SSO via différents protocoles standards.
+[[https://www.it-connect.fr/tuto-apache-guacamole-bastion-rdp-ssh-debian/|Installer et configurer un bastion Guacamole]]
+:!: Guacamole n'est pas compatible avec tomcat 10, installer tomcat 9 à la place => [[https://kifarunix.com/how-to-install-tomcat-9-on-debian-12/?utm_content=cmp-true|Installer Tomcat9 manuellement]].
+[[https://rdr-it.com/guacamole-gerer-acces-environnement-informatique/|Configurer Apache Guacamole pour accèder aux machines d'un réseau à distance]]  => [[https://archive.apache.org/dist/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz|Extension JDBC for Guacamole 1.3.0]] => [[https://stackoverflow.com/questions/49518683/the-server-time-zone-value-cest-is-unrecognized|régler le problème de fuseau horaire]]
+==== Teleport ====
+Teleport est un bastion web moderne, modulaire, et simple à installer. Il est compatible avec de nombreux protocoles de prise en main à distance, hyperviseurs, gestionnaire de conteneurs, et propose de nombreuses fonctions de sécurité par défaut ainsi qu'une customisation avancée.
+[[https://www.it-connect.fr/comment-deployer-un-bastion-dadministration-avec-la-solution-open-source-teleport/|Installer et configuration un bastion Teleport]]
+==== Bastillion ====
+Bastillion est un bastion web opensource pour les connexions SSH simple à installer.
+[[https://www.bastillion.io/|Site officiel de Bastillion]]
 ===== Authentification 802.1X =====