| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| filtrage_securite_reseau [2024/03/02 15:00] – [Bastions Web] superadmin | filtrage_securite_reseau [2025/02/13 08:59] (Version actuelle) – [Teleport] superadmin |
|---|
| ====== Filtrage & sécurisation du réseau ====== | ====== Sécurité périmétrique (Pare-feu, Proxy, authentification) ====== |
| |
| | La sécurité périmétrique est l'ensemble des moyens existants pour protéger les infrastructures contre des intrusions indésirables. Cela comprend les pare-feux, les proxys, les anti-virus, les bastions et les systèmes d'authentification. |
| ===== Pare-feux ===== | ===== Pare-feux ===== |
| |
| |
| ==== Microsoft Forefront TMG ==== | ==== Microsoft Forefront TMG ==== |
| | |
| | Solution de filtrage propriétaire de Microsoft (obsolète). |
| |
| [[https://www.it-connect.fr/installation-de-forefront-tmg-2010/|Installation & configuration du pare-feu ForeFront TMG]] | [[https://www.it-connect.fr/installation-de-forefront-tmg-2010/|Installation & configuration du pare-feu ForeFront TMG]] |
| |
| Un serveur mandataire Web (ou proxy) est une machine qui intercepte les requêtes HTTP/HTTPS des appareils clients sur le réseau pour les analyser, afin d'appliquer une politique de sécurité concernant l'accès au Web et d’accélérer le chargement des pages grâce à des techniques de mises en cache . Le serveur proxy envoie et reçoit les requêtes à destination de ses clients avec sa propre adresse, à la différence du pare-feu applicatif, qui modifie les paquets à la volée (sans modifier les adresses IP source et destination). | Un serveur mandataire Web (ou proxy) est une machine qui intercepte les requêtes HTTP/HTTPS des appareils clients sur le réseau pour les analyser, afin d'appliquer une politique de sécurité concernant l'accès au Web et d’accélérer le chargement des pages grâce à des techniques de mises en cache . Le serveur proxy envoie et reçoit les requêtes à destination de ses clients avec sa propre adresse, à la différence du pare-feu applicatif, qui modifie les paquets à la volée (sans modifier les adresses IP source et destination). |
| | |
| | Pour les reverse proxys, voir la partie [[hebergement_web_sgbd#hebergement_web|Hébergement web]] |
| |
| ==== Squid ==== | ==== Squid ==== |
| ===== IDS/IPS ==== | ===== IDS/IPS ==== |
| |
| | Les IDS, pour Intrusion Detection System, ont pour rôle d'inspecter profondément les paquets circulant sur un réseau (au niveau applicatif) afin de détecter de potentielles intrusions et d'alerter l'administrateur. |
| | |
| | Les IPS, pour Intrusion Prevention System, sont des IDS améliorés avec la capacité de bloquer les tentatives d'attaques. |
| ==== Fail2ban ==== | ==== Fail2ban ==== |
| |
| ===== Bastions ===== | ===== Bastions ===== |
| |
| ==== Bastion SSH ==== | Un bastion est une machine qui sert de proxy pour accèder à des machines isolées sur un réseau sécurisé. Cela permet de contrôler finement les accès aux machines. |
| |
| [[https://blog.octo.com/le-bastion-ssh/|Utiliser un hôte comme intermédiaire pour se connecter à un équipement grâce à SSH]] | [[https://blog.octo.com/le-bastion-ssh/|Utiliser un hôte comme intermédiaire pour se connecter à un équipement grâce à SSH]] |
| |
| ==== Bastions Web ==== | ==== Apache Guacamole ==== |
| | |
| === Apache Guacamole === | |
| |
| Guacamole est un bastion web Open Source développé par la fondation Apache. Il est compatible avec la plupart des protocoles de prise en main à distance : SSH, VNC, RDP... et permet l'authentification SSO via différents protocoles standards. | Guacamole est un bastion web Open Source développé par la fondation Apache. Il est compatible avec la plupart des protocoles de prise en main à distance : SSH, VNC, RDP... et permet l'authentification SSO via différents protocoles standards. |
| [[https://www.it-connect.fr/tuto-apache-guacamole-bastion-rdp-ssh-debian/|Installer et configurer un bastion Guacamole]] | [[https://www.it-connect.fr/tuto-apache-guacamole-bastion-rdp-ssh-debian/|Installer et configurer un bastion Guacamole]] |
| |
| :!: Guacamole n'est pas compatible avec tomcat 10, installer tomcat 9 à la place. | :!: Guacamole n'est pas compatible avec tomcat 10, installer tomcat 9 à la place => [[https://kifarunix.com/how-to-install-tomcat-9-on-debian-12/?utm_content=cmp-true|Installer Tomcat9 manuellement]]. |
| |
| [[https://rdr-it.com/guacamole-gerer-acces-environnement-informatique/|Configurer Apache Guacamole pour accèder aux machines d'un réseau à distance]] => [[https://archive.apache.org/dist/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz|Extension JDBC for Guacamole 1.3.0]] => [[https://stackoverflow.com/questions/49518683/the-server-time-zone-value-cest-is-unrecognized|régler le problème de fuseau horaire]] | [[https://rdr-it.com/guacamole-gerer-acces-environnement-informatique/|Configurer Apache Guacamole pour accèder aux machines d'un réseau à distance]] => [[https://archive.apache.org/dist/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz|Extension JDBC for Guacamole 1.3.0]] => [[https://stackoverflow.com/questions/49518683/the-server-time-zone-value-cest-is-unrecognized|régler le problème de fuseau horaire]] |
| |
| === Teleport === | ==== Teleport ==== |
| |
| Teleport est un bastion web moderne, modulaire, et simple à installer. Il est compatible avec de nombreux protocoles de prise en main à distance, hyperviseurs, gestionnaire de conteneurs, et propose de nombreuses fonctions de sécurité et de customisation avancées. | Teleport est un bastion web moderne, modulaire, et simple à installer. Il est compatible avec de nombreux protocoles de prise en main à distance, hyperviseurs, gestionnaire de conteneurs, et propose de nombreuses fonctions de sécurité par défaut ainsi qu'une customisation avancée. |
| |
| [[https://www.it-connect.fr/comment-deployer-un-bastion-dadministration-avec-la-solution-open-source-teleport/|Installer et configuration un bastion Teleport]] | [[https://www.it-connect.fr/comment-deployer-un-bastion-dadministration-avec-la-solution-open-source-teleport/|Installer et configuration un bastion Teleport]] |
| | |
| | ==== Bastillion ==== |
| | |
| | Bastillion est un bastion web opensource pour les connexions SSH simple à installer. |
| | |
| | [[https://www.bastillion.io/|Site officiel de Bastillion]] |
| | |
| ===== Authentification 802.1X ===== | ===== Authentification 802.1X ===== |
| |
| 802.1X est une norme qui permet l'authentification d'un utilisateur sur un réseau filaire ou sans-fil. Elle s'appuie sur le protocole standard EAP (Extensible Authentication Protocol) ainsi que sur un serveur d'authentification (tel que [[radius|RADIUS]], TACACS, CAS). | 802.1X est une norme qui permet l'authentification d'un utilisateur sur un réseau filaire ou sans-fil. Elle s'appuie sur le protocole standard EAP (Extensible Authentication Protocol) ainsi que sur un serveur d'authentification (tel que [[radius|RADIUS]], TACACS, CAS). |
| |