| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| filtrage_securite_reseau [2023/05/20 10:47] – superadmin | filtrage_securite_reseau [2025/02/13 08:59] (Version actuelle) – [Teleport] superadmin |
|---|
| ====== Filtrage & sécurisation du réseau ====== | ====== Sécurité périmétrique (Pare-feu, Proxy, authentification) ====== |
| |
| | La sécurité périmétrique est l'ensemble des moyens existants pour protéger les infrastructures contre des intrusions indésirables. Cela comprend les pare-feux, les proxys, les anti-virus, les bastions et les systèmes d'authentification. |
| ===== Pare-feux ===== | ===== Pare-feux ===== |
| |
| |
| ==== Microsoft Forefront TMG ==== | ==== Microsoft Forefront TMG ==== |
| | |
| | Solution de filtrage propriétaire de Microsoft (obsolète). |
| |
| [[https://www.it-connect.fr/installation-de-forefront-tmg-2010/|Installation & configuration du pare-feu ForeFront TMG]] | [[https://www.it-connect.fr/installation-de-forefront-tmg-2010/|Installation & configuration du pare-feu ForeFront TMG]] |
| |
| Un serveur mandataire Web (ou proxy) est une machine qui intercepte les requêtes HTTP/HTTPS des appareils clients sur le réseau pour les analyser, afin d'appliquer une politique de sécurité concernant l'accès au Web et d’accélérer le chargement des pages grâce à des techniques de mises en cache . Le serveur proxy envoie et reçoit les requêtes à destination de ses clients avec sa propre adresse, à la différence du pare-feu applicatif, qui modifie les paquets à la volée (sans modifier les adresses IP source et destination). | Un serveur mandataire Web (ou proxy) est une machine qui intercepte les requêtes HTTP/HTTPS des appareils clients sur le réseau pour les analyser, afin d'appliquer une politique de sécurité concernant l'accès au Web et d’accélérer le chargement des pages grâce à des techniques de mises en cache . Le serveur proxy envoie et reçoit les requêtes à destination de ses clients avec sa propre adresse, à la différence du pare-feu applicatif, qui modifie les paquets à la volée (sans modifier les adresses IP source et destination). |
| | |
| | Pour les reverse proxys, voir la partie [[hebergement_web_sgbd#hebergement_web|Hébergement web]] |
| |
| ==== Squid ==== | ==== Squid ==== |
| ===== IDS/IPS ==== | ===== IDS/IPS ==== |
| |
| === Fail2ban === | Les IDS, pour Intrusion Detection System, ont pour rôle d'inspecter profondément les paquets circulant sur un réseau (au niveau applicatif) afin de détecter de potentielles intrusions et d'alerter l'administrateur. |
| | |
| | Les IPS, pour Intrusion Prevention System, sont des IDS améliorés avec la capacité de bloquer les tentatives d'attaques. |
| | ==== Fail2ban ==== |
| |
| [[https://doc.ubuntu-fr.org/fail2ban|Principe et configuration de Fail2ban]] | [[https://doc.ubuntu-fr.org/fail2ban|Principe et configuration de Fail2ban]] |
| |
| === CrowdSec === | ==== CrowdSec ==== |
| |
| [[https://www.cachem.fr/crowdsec-fail2ban-moderne-collaboratif/|Principe de CrowdSec]] | [[https://www.cachem.fr/crowdsec-fail2ban-moderne-collaboratif/|Principe de CrowdSec]] |
| |
| [[https://doc.crowdsec.net/|📖 Documentation officielle CrowdSec]] | [[https://doc.crowdsec.net/|📖 Documentation officielle CrowdSec]] |
| | |
| | [[https://docs.crowdsec.net/u/bouncers/nginx/#when-using-captcha-remediation|Ajouter une vérification Captcha pour nginx en cas de doute sur un visiteur]] |
| |
| ===== Bastions ===== | ===== Bastions ===== |
| |
| ==== Bastion SSH ==== | Un bastion est une machine qui sert de proxy pour accèder à des machines isolées sur un réseau sécurisé. Cela permet de contrôler finement les accès aux machines. |
| |
| [[https://blog.octo.com/le-bastion-ssh/|Utiliser un hôte comme intermédiaire pour se connecter à un équipement grâce à SSH]] | [[https://blog.octo.com/le-bastion-ssh/|Utiliser un hôte comme intermédiaire pour se connecter à un équipement grâce à SSH]] |
| | |
| | ==== Apache Guacamole ==== |
| | |
| | Guacamole est un bastion web Open Source développé par la fondation Apache. Il est compatible avec la plupart des protocoles de prise en main à distance : SSH, VNC, RDP... et permet l'authentification SSO via différents protocoles standards. |
| | |
| | [[https://www.it-connect.fr/tuto-apache-guacamole-bastion-rdp-ssh-debian/|Installer et configurer un bastion Guacamole]] |
| | |
| | :!: Guacamole n'est pas compatible avec tomcat 10, installer tomcat 9 à la place => [[https://kifarunix.com/how-to-install-tomcat-9-on-debian-12/?utm_content=cmp-true|Installer Tomcat9 manuellement]]. |
| | |
| | [[https://rdr-it.com/guacamole-gerer-acces-environnement-informatique/|Configurer Apache Guacamole pour accèder aux machines d'un réseau à distance]] => [[https://archive.apache.org/dist/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz|Extension JDBC for Guacamole 1.3.0]] => [[https://stackoverflow.com/questions/49518683/the-server-time-zone-value-cest-is-unrecognized|régler le problème de fuseau horaire]] |
| | |
| | ==== Teleport ==== |
| | |
| | Teleport est un bastion web moderne, modulaire, et simple à installer. Il est compatible avec de nombreux protocoles de prise en main à distance, hyperviseurs, gestionnaire de conteneurs, et propose de nombreuses fonctions de sécurité par défaut ainsi qu'une customisation avancée. |
| | |
| | [[https://www.it-connect.fr/comment-deployer-un-bastion-dadministration-avec-la-solution-open-source-teleport/|Installer et configuration un bastion Teleport]] |
| | |
| | ==== Bastillion ==== |
| | |
| | Bastillion est un bastion web opensource pour les connexions SSH simple à installer. |
| | |
| | [[https://www.bastillion.io/|Site officiel de Bastillion]] |
| |
| ===== Authentification 802.1X ===== | ===== Authentification 802.1X ===== |