|
Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informatique & télécommunicationspar Haleem SHITOU OGUNGBEMI Université de Lomé - Licence professionnelle en Maintenance et Réseaux Informatiques 2019 |
11.6.3.2 Quelques solutions libresLes pare-feu du domaine libre n'ont rien à envier aux pare-feu commerciaux. Nous présenterons dans cette parie certaines solutions open source à savoir : Smoothwall Express, IPCop, m0n0wall, PFSense et NuFW. · Smoothwall Express Smoothwall est un projet qui a été initié au Royaume-Uni à l'été 2000 par Lawrence Manning (principal développeur de code) et Richard Morrell (Manager du projet). Leur idée de base était de créer une distribution Linux qui pouvait convertir un ordinateur personnel en un équipement pare-feu Il faut noter que la distribution Smoothwall est Open Source et distribué sous licence GPL. C'est un système d'exploitation basé sur RedHat Linux (devenu plus tard Fedora Core Project).Parmi les acquis de la communauté Smoothwall, nous citerons surtout l'attribution en 2008 du prix du meilleur pare-feu Open Source des BOSSIES (Best Open Source Software Awards) à Smoothwall Express. Les fonctionnalités assurées par défaut par Smoothwall Express sont les suivantes : · Possibilité d'administration via une interface web. · Consultation de l'état de la machine sur laquelle est installé le pare-feu (état de la mémoire et les disques durs). · supervision du trafic réseau en temps réel sur les différentes cartes. · services de proxy web, SIP, POP3, NAT · service dhcp, dns, NTP · accès distant via SSH. · système de détection d'intrusions. · de trafic et QoS,..... · IPCop IPCop est à l'origine un fork de Smoothwall Express. Ceci signifie qu'IPCop est basé sur linux Red hat. La première version est sortie en décembre 2001. Aujourd'hui on est à la version 1.4.21, qui a été mise à disposition du grand public en Juillet 2008. IPCop est distribué sous licence GPL. Il fonctionne aussi sur du matériel non propriétaire. IPCop partage avec Smoothwall plusieurs fonctionnalités et s'en démarque par d'autres. Par exemple, IPCop ne propose pas de proxy IM ou de proxy POP3. Il supporte par contre le « VLAN trunking » définit par la RFC 802.1Q, le protocole Telnet et le protocole d'encapsulation de niveau 2 L2TP. La supervision de trafic en temps réel n'est aussi pas possible sur IPCop. Plusieurs fonctionnalités peuvent être ajoutées au pare-feu IPCop via des add-on afin de mieux le personnaliser. · M0n0wall M0n0wall est un système d'exploitation pare-feu libre basée sur le noyau FreeBSD et non pas linux. La particularité de m0n0wall est qu'il est le premier système d'exploitation de type UNIX démarrant à partir d'une séquence de boot basée exclusivement sur des fichiers d'extension .php au lieu des scripts shell classiques. M0n0wall est aussi le premier pare-feu à stocker l'intégralité de sa configuration dans un unique fichier (de type xml). M0n0wall est destiné à être embarqué sur une appliance. Il existe aussi sous forme de live-CD. Les possibilités d'exploitations sont ainsi réduites afin de pouvoir alléger le système pour qu'il soit facilement portable sur du matériel... On ne trouve par exemple pas d'IDS ou d'IPS qui demandent des ressources mémoires plutôt élevées. On ne trouve pas aussi de serveur FTP, proxy, serveur de temps, analyseur de log... · PFSense PFSense est le descendant de m0n0wall. C'est donc un système d'exploitation pare-feu basé sur le noyau FreeBSD et sur le module de filtrage « ipfw ». La configuration de PFSense est stockée dans un seul fichier xml à l'instar de m0n0wall. La séquence de démarrage est aussi fondée sur des fichiers php. Néanmoins, PFSense n'est pas vraiment orienté à l'embarqué. Ceci explique la panoplie de fonctionnalités offertes par cette distribution. Par rapport à m0n0wall (son ancêtre), Pfsense offre en plus les possibilités suivantes : · Common Address Redundency Protocol (CARP) et PFsync (synchronisation entre machines PFSense) · Possibilités d'alias étendue (alias pour interfaces réseau, utilisateurs...). · Configuration XML de synchronisation entre maître et hôte de backup permettant de faire un point unique d'administration pour un cluster pare-feu. La synchronisation est assurée via XML-RPC. · Equilibrage de charge (load balancing) pour les trafics entrant et sortant. · Graphes montrant les statuts des files d'attentes. · Support du protocole SSH pour l'accès distant. · Support de multiples interfaces réseaux WAN. · Serveur PPPoE. · Vyatta Community Edition La solution pare-feu de la société Vyatta existe en deux exemplaires. Le premier est payant, le second est libre. On note que la version commerciale est plus souvent maintenue et mise à jour que la solution libre (environ une mise à jour tous les six mois). Le produit commercialisé est en outre toujours stable ce qui n'est pas forcément le cas pour la version libre, dénommée Vyatta Community Edition et dont la dernière version est la version 5.0 issue en Mars 2009. Au sujet des fonctionnalités, on peut dire que Vyatta Community Edition se distingue des autres produits libres qu'on vient d'énumérer. En effet et comme cité ici, Vyatta Community Edition offre des services de haute disponibilité, beaucoup plus de services de routage, possibilités de VPN SSL... Bref, toutes les fonctionnalités qu'on trouve dans les produits Cisco (ou presque) sont présentes dans la solution Vyatta. A noter la présence d'un IPS (système de prévention d'intrusions) au lieu d'un simple IDS (système de détection d'intrusions). |
|
