L'une des mesures de sécurité les plus efficaces que nous puissions mettre en œuvre dans toute organisation, y compris au niveau personnel, est l'utilisation d'un pare-feu qui remplit la fonction de surveillance et de contrôle de la manière dont les paquets réseau entrent et sortent du réseau local.
Un pare-feu permet d'activer ou de désactiver le trafic via certains ports, d'ajouter de nouvelles règles de trafic et ainsi d'avoir un contrôle beaucoup plus précis et direct sur l'ensemble de la problématique réseau, qui est l'une des plus délicates au niveau de la sécurité.
Aujourd'hui, Solvetic analysera certains des meilleurs pare-feu pour Linux et aura ainsi une alternative de sécurité pratique à mettre en œuvre.
Iptables
Iptables est un outil de ligne de commande fréquemment utilisé pour configurer et gérer l'ensemble de règles de filtrage de paquets dans les environnements Linux 2.4.x et ultérieurs. C'est l'un des outils de pare-feu les plus utilisés aujourd'hui et il a la capacité de filtrer les paquets sur la pile réseau au sein du noyau lui-même.
Le package iptables comprend également ip6tables, avec ip6tables, nous pouvons configurer le filtre de paquets IPv6.
Certaines de ses principales caractéristiques sont
- Énumère le contenu de l'ensemble de règles de filtrage de paquets
- Il inspecte uniquement les en-têtes de paquets, ce qui rend le processus beaucoup plus agile
- Vous permet d'ajouter, de supprimer ou de modifier des règles selon vos besoins dans les ensembles de règles de filtrage de paquets
- Prend en charge la sauvegarde et la restauration avec des fichiers.
Iptables sous Linux gère les fichiers suivants :
C'est un script d'initialisation pour démarrer, arrêter, redémarrer et enregistrer des règles
/etc/init.d/iptables
Ce fichier est l'endroit où les ensembles de règles sont enregistrés
/etc/sysconfig/iptables
S'applique aux binaires Iptables
/ sbin / iptables
Pare-feu IPCop
IPCop Firewall est une distribution de pare-feu Linux destinée aux utilisateurs domestiques et SOHO (petits bureaux).L'interface Web IPCop est très conviviale et facile à utiliser. Vous pouvez configurer un ordinateur en tant que VPN sécurisé pour fournir un environnement sécurisé sur Internet. Il comprend des informations fréquemment utilisées pour offrir une meilleure expérience de navigation Web aux utilisateurs.
Parmi ses principales caractéristiques, nous avons
- Il dispose d'une interface Web à code couleur qui nous permet de surveiller les performances graphiques du processeur, de la mémoire et du disque, ainsi que les performances du réseau.
- Afficher et faire pivoter automatiquement les enregistrements
- Prise en charge de plusieurs langues
- Fournit une mise à jour sécurisée stable et facilement déployable et ajoute les correctifs de niveau de sécurité actuels
Là, nous pouvons télécharger l'image ISO ou le type d'installation en tant que support USB. Ceci est différent de nombreuses applications de pare-feu car il peut être installé en tant que distribution Linux. Dans ce cas, nous sélectionnons l'image ISO et nous devons terminer les étapes de l'assistant d'installation. Une fois que nous avons attribué tous les paramètres, nous aurons accès à IPCop :
Son téléchargement est disponible sur le lien suivant :
Mur de rivage
Shorewall est un outil de configuration de passerelle ou de pare-feu pour GNU/Linux. Avec Shorewall, nous disposons d'un outil de haut niveau pour configurer les filtres réseau car il nous permet de définir les exigences du pare-feu via des entrées dans un ensemble de fichiers de configuration définis.
Shorewall peut lire les fichiers de configuration et à l'aide des utilitaires iptables, iptables-restore, ip et tc, Shorewall peut configurer Netfilter et le sous-système réseau Linux pour qu'ils correspondent aux exigences indiquées. Shorewall peut être utilisé dans un système de pare-feu dédié, un routeur, un serveur multifonction ou un système GNU/Linux autonome.
Shorewall n'utilise pas le mode de compatibilité ipchains de Netfilter et peut tirer parti des capacités de suivi de l'état de connexion de Netfilter.
Ses principales caractéristiques sont
- Utilisez les fonctionnalités de suivi de connexion de Netfilter pour le filtrage de paquets avec état
- Prend en charge une large gamme d'applications de routeur, de pare-feu et de passerelle
- Gestion centralisée du pare-feu
- Interface graphique avec panneau de contrôle Webmin
- Prise en charge de plusieurs FAI
- Prend en charge le masquage et la redirection de port
- Prend en charge le VPN
Pour son installation, nous exécuterons les opérations suivantes :
sudo apt-get install shorewall
UFW - Pare-feu simple
UFW se positionne actuellement comme l'un des pare-feux les plus utiles, dynamiques et simples à utiliser dans les environnements Linux. UFW signifie Uncomplicated Firewall, et c'est un programme développé pour gérer un pare-feu netfilter. Il fournit une interface en ligne de commande et se veut simple et facile à utiliser, d'où son nom. ufw fournit un cadre simple pour gérer netfilter, ainsi qu'une interface de ligne de commande pour contrôler le pare-feu depuis le terminal.
Parmi ses caractéristiques, on trouve
- Compatible avec IPV6
- Options de journalisation étendues avec connexion et déconnexion
- Surveillance de la santé du pare-feu
- Cadre extensible
- Peut être intégré aux applications
- Il permet d'ajouter, supprimer ou modifier des règles selon les besoins.
Les commandes pour son utilisation sont :
sudo apt-get install ufw (Installer UFW) sudo ufw status (Vérifier l'état UFW) sudo ufw enable (Activer UFW) sudo ufw allow 2290: 2300 / tcp (Ajouter une nouvelle règle)
Vuurmuur
Vuurmuur est un gestionnaire de pare-feu construit sur iptables dans les environnements Linux. Il a une configuration simple et facile à utiliser qui permet des configurations simples et complexes. La configuration peut être entièrement configurée via une interface graphique Ncurses, qui permet une administration à distance sécurisée via SSH ou sur la console.
Vuurmuur prend en charge la mise en forme du trafic, dispose de puissantes fonctions de surveillance qui permettent à l'administrateur de visualiser les journaux, les connexions et l'utilisation de la bande passante en temps réel. Vuurmuur est un logiciel open source et est distribué sous les termes de la GNU GPL
Parmi ses caractéristiques, on trouve
- Ne nécessite pas une connaissance approfondie d'iptables
- A une syntaxe de règle lisible par l'homme
- Prend en charge IPv6 (expérimental)
- Inclut la mise en forme du trafic
- GUI Ncurses, aucun X requis
- Le processus de transfert de port est très simple
- Facile à configurer avec NAT
- Comprend une politique de sécurité par défaut
- Entièrement gérable via ssh et depuis la console (y compris depuis Windows avec PuTTY)
- Scriptable pour l'intégration avec d'autres outils
- Comprend des fonctions anti-usurpation
- Visualisation en temps réel
- Visualisation de la connexion en temps réel
- Il dispose d'une piste d'audit : toutes les modifications sont enregistrées
- Journal des nouvelles connexions et des mauvais paquets
- Comptabilisation du volume de trafic en temps réel
Pour l'installation de Vuurmuur dans Ubuntu 17, nous devons ajouter la ligne suivante dans le fichier /etc/apt/sources.list :
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainDans le cas de l'utilisation de Debian, nous entrerons ce qui suit :
deb ftp://ftp.vuurmuur.org/debian/ squeeze mainPlus tard, nous exécuterons les commandes suivantes :
sudo apt-get update (Mettre à jour les packages) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Installer le pare-feu)Une fois installé, nous pouvons utiliser ce pare-feu pour créer nos règles.
AGRANDIR
pfSense
pfSense est une distribution de logiciel de routeur / pare-feu réseau open source basée sur le système d'exploitation FreeBSD. Le logiciel pfSense est utilisé pour créer des règles de pare-feu/routeur dédiées pour un réseau et se distingue par sa fiabilité et offre de multiples fonctionnalités que l'on retrouve principalement dans les pare-feu commerciaux.
Pfsense peut être associé à de nombreux packages logiciels gratuits tiers pour des fonctionnalités supplémentaires.
Parmi ses caractéristiques, on trouve
- Hautement configurable et mis à jour à partir de son interface Web
- Peut être déployé comme pare-feu de périmètre, routeur, serveur DHCP et DNS
- Peut être configuré comme point d'accès sans fil et point de terminaison VPN
- Offre la mise en forme du trafic et des informations en temps réel sur le serveur
- Équilibrage de charge entrant et sortant.
Là, nous pouvons télécharger l'option en fonction de l'architecture avec laquelle nous travaillons. Une fois l'image ISO téléchargée, nous procédons à sa gravure sur un CD ou un support USB et nous démarrons à partir de là. Nous sélectionnons l'option 1 ou 2 et après avoir défini les paramètres, le processus d'installation commencera.
L'image ISO de pfSense est disponible sur le lien suivant :
IPFire
IPFire a été conçu avec divers paramètres de modularité et un haut niveau de flexibilité permettant aux administrateurs d'en implémenter facilement de nombreuses variantes, telles qu'un pare-feu, un serveur proxy ou une passerelle VPN. La conception modulaire d'IPFire garantit qu'il fonctionne exactement selon votre configuration. En utilisant IPFire, nous aurons une gestion simple et il pourra être mis à jour via le gestionnaire de paquets, ce qui rendra sa maintenance beaucoup plus simple.
Les développeurs IPFire se sont concentrés sur la sécurité et l'ont développé en tant que pare-feu SPI (Stateful Packet Inspection). Les principales caractéristiques d'IPFire reposent sur différents segments tels que :
SécuritéL'objectif principal d'IPFire est la sécurité, et a donc la capacité de segmenter les réseaux en fonction de leurs niveaux de sécurité respectifs et facilite la création de politiques personnalisées qui gèrent chaque segment.
La sécurité des composants modulaires d'IPFire est l'une de vos priorités. Les mises à jour sont signées numériquement et cryptées afin qu'elles puissent être automatiquement installées par Pakfire (le système de gestion de paquets IPFire). Étant donné qu'IPFire a tendance à se connecter directement à Internet, il s'agit d'un risque de sécurité car il peut être une cible de choix pour les pirates et autres menaces. Le gestionnaire de packages simple de Pakfire permet aux administrateurs d'avoir l'assurance qu'ils exécutent les dernières mises à jour de sécurité et correctifs de bogues pour tous les composants qu'ils utilisent.
Avec IPFire, nous aurons une application qui nous protège des exploits zero-day en éliminant des classes entières d'erreurs et en exploitant des vecteurs.
Pare-feuIPFire utilise un pare-feu SPI (Stateful Packet Inspection), qui est construit sur netfilter (le cadre de filtrage de paquets de Linux). Dans le processus d'installation d'IPFire, le réseau est configuré en différents segments distincts, et chaque segment représente un groupe d'ordinateurs partageant un niveau de sécurité commun :
Les segments sont :
- Vert : Le vert indique une zone « sûre ». C'est là que séjournent tous les clients réguliers. Il est généralement constitué d'un réseau local filaire.
- Rouge : le rouge indique un "danger" dans la connexion Internet. Rien du réseau n'est autorisé à traverser le pare-feu à moins que nous, administrateurs, ne le configurions spécifiquement.
- Bleu : Le bleu représente la partie « sans fil » du réseau local (sa couleur a été choisie car c'est la couleur du ciel). Étant donné que le réseau sans fil peut être utilisé par les utilisateurs, il est identifié de manière unique et des règles spécifiques régissent les clients qui s'y trouvent. Les clients sur ce segment de réseau doivent être explicitement autorisés avant de pouvoir accéder au réseau.
- Orange : Orange est connue sous le nom de « zone démilitarisée » (DMZ). Tous les serveurs accessibles au public sont ici séparés du reste du réseau pour limiter les failles de sécurité.
Là, nous pouvons télécharger l'image ISO d'IPFire car elle est gérée comme une distribution indépendante et une fois le démarrage configuré. Nous devons sélectionner l'option par défaut et nous suivrons les étapes de l'assistant. Une fois installé, nous pouvons accéder via le Web avec la syntaxe suivante :
http : // adresse_IP : 444
AGRANDIR
IPFire peut être téléchargé sur le lien suivant :
SmoothWall et SmoothWall Express
SmoothWall est un pare-feu Linux open source avec une interface Web hautement configurable. Son interface Web est connue sous le nom de WAM (Web Access Manager). , et nécessite peu ou pas de connaissances Linux pour être installé et utilisé.
Parmi ses principales caractéristiques, on trouve
- Prend en charge les réseaux LAN, DMZ et sans fil, en plus des réseaux externes
- Filtrage de contenu en temps réel
- Filtrage HTTPS
- Proxy de soutien
- Affichage des journaux et surveillance de l'activité du pare-feu
- Gestion des statistiques de trafic par IP, interface et requête
- Facilité de sauvegarde et de restauration.
Une fois l'ISO téléchargée, on en part et on verra ce qui suit :
Là, nous sélectionnons l'option la plus appropriée et nous suivrons les étapes de l'assistant d'installation. Comme IPFire, SmoothWall nous permet de configurer des segments de réseau pour augmenter les niveaux de sécurité. Nous allons configurer les mots de passe des utilisateurs. De cette façon, cette application sera installée et nous pourrons y accéder via l'interface web pour sa gestion :
AGRANDIR
SmoothWall nous propose une version gratuite appelée SmoothWall Express qui peut être téléchargée au lien suivant :
Pare-feu de sécurité ConfigServer (CSF)
Il a été développé comme un pare-feu multiplateforme très polyvalent basé sur le concept de pare-feu Stateful Packet Inspection (SPI). Il prend en charge presque tous les environnements de virtualisation tels que Virtuozzo, OpenVZ, VMware, XEN, KVM et Virtualbox.
CSF peut être installé sur les systèmes d'exploitation suivants
- RedHat Enterprise v5 à v7
- CentOS v5 à v7
- CloudLinux v5 à v7
- Fedora v20 à v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 à v15
- Slackware v12
Parmi ses nombreuses caractéristiques, on trouve
- Script de pare-feu SPI iptables direct
- Il dispose d'un processus Daemon qui vérifie les erreurs d'authentification de connexion pour : Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (serveurs cPanel uniquement), Pure-ftpd, vsftpd, Proftpd, Pages Web protégé par mot de passe ( htpasswd), les échecs de mod_security (v1 et v2) et Exim SMTP AUTH.
- Correspondance d'expressions régulières
- Suivi des connexions POP3 / IMAP pour imposer les connexions horaires
- Notification de connexion SSH
- Notification de connexion SU
- Blocage excessif de la connexion
- Intégration de l'interface utilisateur pour cPanel, DirectAdmin et Webmin
- Mise à niveau facile entre les versions de cPanel / WHM, DirectAdmin ou Webmin
- Mise à niveau facile entre les versions de shell
- Préconfiguré pour fonctionner sur un serveur cPanel avec tous les ports cPanel standard ouverts
- Préconfiguré pour fonctionner sur un serveur DirectAdmin avec tous les ports DirectAdmin standard ouverts
- Configurez automatiquement le port SSH s'il n'est pas standard dans l'installation
- Bloque le trafic sur les adresses IP de serveur inutilisées - Aide à réduire les risques pour le serveur
- Alertes lorsque les scripts de l'utilisateur final envoient un nombre excessif d'e-mails par heure afin d'identifier les scripts de spam
- Rapports de processus suspects - Rapports de vulnérabilités potentielles s'exécutant sur le serveur
- Rapports excessifs sur les processus des utilisateurs
- Bloquez le trafic sur une variété de listes de blocage, y compris la liste de blocage DShield et la liste DROP de Spamhaus
- Protection des colis BOGON
- Paramètres préconfigurés pour une sécurité de pare-feu faible, moyenne ou élevée (serveurs cPanel uniquement)
- IDS (Intrusion Detection System) où la dernière ligne de détection vous avertit des changements dans les binaires du système et de l'application
- Protection contre les inondations SYN, et bien d'autres.
Option 1 InstallationTéléchargez le fichier .tgz sur le lien suivant :
Installation de l'option 2Ou exécutez les lignes suivantes :
cd/usr/src/wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd/usr/src/csf sh install.sh
ClearOS
ClearOS 7, Community Edition est un système d'exploitation de serveur Linux open source conçu pour les experts Linux et les amateurs qui utilisent l'open source et apportent des suggestions et de nouvelles idées à une communauté mondiale d'utilisateurs.
Toutes les mises à jour, corrections de bogues, correctifs et correctifs de sécurité sont fournis gratuitement à partir de sources en amont. Les fonctions couvrent plus de 75 fonctions informatiques allant du contrôle de domaine, au contrôle du réseau et de la bande passante, à la messagerie et bien plus encore.
Comme il s'agit d'une distribution Linux, nous allons télécharger l'image ISO et configurer le démarrage sur un support USB ou CD/DVD. On peut voir que son environnement d'installation est similaire à Ubuntu. Nous allons suivre les étapes de l'assistant d'installation :
Nous configurons le mot de passe root et nous continuerons l'installation. Une fois connecté, nous verrons la fenêtre suivante où les instructions pour l'accès via le Web seront données. Nous pouvons cliquer sur l'option Exit to Text Console pour accéder à la console ClearOS. Là, nous pouvons effectuer certaines des actions disponibles:
ClearOS propose plusieurs options de produits mais la version gratuite est la Community Edition qui est disponible sur le lien suivant :
OPNsense
OPNsense est une plate-forme de pare-feu et de routage basée sur FreeBSD, open source, facile à utiliser et facile à construire. OPNsense inclut la plupart des fonctionnalités disponibles dans les pare-feux commerciaux coûteux et comprend un riche ensemble de fonctionnalités issues d'offres commerciales avec les avantages de sources ouvertes et vérifiables.
OPNsense a commencé comme un fork de pfSense® et m0n0wall en 2014, avec sa première version officielle en janvier 2015. OPNsense propose des mises à jour de sécurité hebdomadaires par petits incréments pour garder une longueur d'avance sur les nouvelles menaces émergentes aujourd'hui. Un cycle de publication fixe de 2 versions majeures chaque année offre aux entreprises la possibilité de planifier des améliorations au niveau de la sécurité.
Certaines de ses principales caractéristiques sont :
- Façonneur de trafic
- Authentification à deux facteurs à l'échelle du système
- Portail captif
- Forward Caching Proxy (transparent) avec prise en charge de la liste noire
- Réseau privé virtuel avec prise en charge IPsec, OpenVPN et PPTP hérité
- Haute disponibilité et basculement matériel (avec configuration synchronisée et tables d'état synchronisées)
- Détection et prévention des intrusions
- Outils intégrés de reporting et de surveillance, y compris les graphiques de RRC
- Exportateur Netflow
- Surveillance des flux réseau
- Prise en charge des plugins
- Serveur DNS et routeur DNS
- Serveur et relais DHCP
- DNS dynamique
- Sauvegarde de la configuration cryptée sur Google Drive
- Pare-feu d'inspection sanitaire
- Contrôle granulaire de la table d'état
- Prise en charge du réseau local virtuel 802.1Q
Une fois l'image ISO téléchargée, nous procédons à l'installation. Au cours du processus d'installation, il sera nécessaire de configurer les paramètres réseau, le VLAN, etc. :
Une fois ce processus terminé, nous pourrons accéder via le Web et effectuer les ajustements pertinents au niveau du pare-feu.
AGRANDIR
Son téléchargement est disponible sur le lien suivant :
Avec ces options de pare-feu, nous pouvons maintenir les meilleurs niveaux de sécurité dans nos distributions Linux.