{"id":63,"date":"2008-03-18T13:49:50","date_gmt":"2008-03-18T12:49:50","guid":{"rendered":"http:\/\/blog.guiguiabloc.fr\/?p=63"},"modified":"2008-03-18T13:49:50","modified_gmt":"2008-03-18T12:49:50","slug":"anatomie-dune-architecture-3","status":"publish","type":"post","link":"http:\/\/blog.guiguiabloc.fr\/index.php\/2008\/03\/18\/anatomie-dune-architecture-3\/","title":{"rendered":"Anatomie d&rsquo;une architecture (3)"},"content":{"rendered":"<p><u><strong>Conception d&rsquo;un Firewall Rouge en Haute-Disponiblit\u00e9 (1\u00e8re Partie)<br \/>\n<\/strong><\/u><\/p>\n<p>En mati\u00e8re de Firewall, il existe pl\u00e9thore de solutions payantes ou libres, packag\u00e9es ou non.<\/p>\n<p>Vous trouverez bien entendu les solutions propri\u00e9taires, mat\u00e9rielles ou logicielles, telles que CheckPoint, Pix,  WatchGuard, Juniper, Arkoon etc&#8230; et des solutions libres \u00ab\u00a0tout en un\u00a0\u00bb, comme Ipcop, M0n0wall, PfSense etc&#8230;<\/p>\n<p>Bref, je ne ferais pas le tour, Google est votre ami, mais dans notre architecture, nous avons principalement deux choix : Iptables sous Linux ou PacketFilter sour *BSD.<\/p>\n<p>Mon choix s&rsquo;est port\u00e9 sur PacketFilter sous OpenBSD.<\/p>\n<p>Je ne m&rsquo;engagerais pas dans une longue discussion sur les diff\u00e9rences Iptables\/PacketFilter, mais pour avoir longuement utilis\u00e9 les deux, ma pr\u00e9f\u00e9rence va vers PacketFilter.<\/p>\n<p>Je vous conseille d&rsquo;ailleurs la lecture de cet excellent article :<\/p>\n<p><a href=\"http:\/\/www.unixgarden.com\/index.php\/securite\/pf-pour-les-nuls\" title=\"PF\" target=\"_blank\">http:\/\/www.unixgarden.com\/index.php\/securite\/pf-pour-les-nuls<\/a><\/p>\n<p><u>Mise au point<\/u> : Avant tout, je veux que vous preniez pleinement conscience qu&rsquo;un Firewall ne r\u00e9glera pas d\u00e9finitivement vos probl\u00e8mes de s\u00e9curit\u00e9.<\/p>\n<p>Ce n&rsquo;est qu&rsquo;un \u00e9l\u00e9ment parmi tant d&rsquo;autres et la fa\u00e7on dont vous allez l&rsquo;utiliser contribuera \u00e9galement \u00e0 votre protection.<\/p>\n<p>D&rsquo;ailleurs, je vais vous donner un petit exemple (l&rsquo;analogie est tordue je l&rsquo;avoue, mais moi aussi \ud83d\ude00 ) :<\/p>\n<p>Imaginons que vous d\u00e9cidiez de faire une f\u00eate chez vous (ou le chez vous est votre LAN).<\/p>\n<p>Vous embauchez un type baraqu\u00e9, tout en muscles, qui se chargera de v\u00e9rifier que les gens entrent bien par la porte d&rsquo;entr\u00e9e et non par les fen\u00eatres ou la porte arri\u00e8re et qu&rsquo;ils ne se baladent pas non plus dans votre chambre ou des pi\u00e8ces de la maison qui n&rsquo;ont rien \u00e0 voir avec la f\u00eate.<\/p>\n<p>On peut dire que c&rsquo;est le comportement basique d&rsquo;un firewall.<\/p>\n<p>Par contre, tout le monde vient et pas forc\u00e9ment des gens que vous souhaitiez voir. Donc vous d\u00e9cidez de ne laisser entrer que les gens que vous avez invit\u00e9 et votre Mastodonte vous aide \u00e0 ne laisser assister \u00e0 votre f\u00eate que les gens d\u00fbment accr\u00e9dit\u00e9s.<\/p>\n<p>L\u00e0, vous vous dites, \u00ab\u00a0ouais super, pas de soucis\u00a0\u00bb. Erreur, jeune padawan&#8230;<\/p>\n<p>Ne laisser entrer que les gens invit\u00e9s est une bonne chose (et un comportement un peu plus \u00e9volu\u00e9 de votre firewall), mais votre pote qui 4 heures plus tard, compl\u00e8tement bourr\u00e9, vomi sur votre canap\u00e9, vous regrettez am\u00e9rement de l&rsquo;avoir invit\u00e9&#8230;<\/p>\n<p>Si vous l&rsquo;aviez fouill\u00e9 \u00e0 l&rsquo;entr\u00e9e et d\u00e9couvert une bouteille de whisky dans son blouson, cela vous aurait peut-\u00eatre mis la puce \u00e0 l&rsquo;oreille sur ses intentions futures.<\/p>\n<p>Et m\u00eame s&rsquo;il n&rsquo;avait rien, jeter un petit coup d&rsquo;oeil sur lui durant la soir\u00e9e et voir qu&rsquo;il abuse un peu des verres pr\u00e9sents, vous aurez peut-\u00eatre alert\u00e9 et permettre d&rsquo;intervenir avant qu&rsquo;il salisse votre beau canap\u00e9 en tissu \ud83d\ude42<\/p>\n<p>Bref, vous voyez que la s\u00e9curit\u00e9 de ne se limite pas \u00e0 controler qui entre et qui sort, mais \u00e9galement \u00e0 surveiller le comportement des invit\u00e9s \ud83d\ude09 . Le pire \u00e9tant, quand vous vous interrogerez sur votre s\u00fbret\u00e9, de vous demander pourquoi votre copine \u00e0 son pull \u00e0 l&rsquo;envers \u00e0 la fin de la soir\u00e9e&#8230;<\/p>\n<p>Je sais l&rsquo;exemple est facile et un peu large, mais il a le m\u00e9rite d&rsquo;essayer de vous faire comprendre que votre Firewall ne fera pas tout.<\/p>\n<p>Sur ce, commencons.<\/p>\n<p>J&rsquo;ai d\u00e9cid\u00e9 de d\u00e9dier des \u00e9quipements au r\u00f4le de Firewall.<\/p>\n<p>Pour cela, vous pouvez tr\u00e8s bien r\u00e9cup\u00e9rer de vieux Pentium 266 Mhz qui feront tr\u00e8s bien l&rsquo;affaire (quoiqu&rsquo;un peu bruyant \ud83d\ude00 ).<\/p>\n<p>Personnellement, j&rsquo;ai choisi la solution <a href=\"http:\/\/www.soekris.com\/\" title=\"soekris\" target=\"_blank\">Soekris<\/a>.<\/p>\n<p>Les boitiers Soekris sont des \u00ab\u00a0mini-pc\u00a0\u00bb (commun\u00e9ment appel\u00e9 Appliance) compos\u00e9 d&rsquo;un processeur 266 Mhz (pour le mien), de 256 Mo de RAM et de  3 ports ethernet.<\/p>\n<p>Ils ont l&rsquo;avantage d&rsquo;\u00eatre totalement silencieux (pas de ventilateur) et ne consomme qu&rsquo;environ 15 W.<\/p>\n<p><a href=\"http:\/\/blog.guiguiabloc.fr\/wp-content\/soekris1.jpg\" title=\"soekris1\"><img src=\"http:\/\/blog.guiguiabloc.fr\/wp-content\/soekris1.thumbnail.jpg\" alt=\"soekris1\" \/><\/a><\/p>\n<p><a href=\"http:\/\/blog.guiguiabloc.fr\/wp-content\/soekris2.jpg\" title=\"soekris2\"><img src=\"http:\/\/blog.guiguiabloc.fr\/wp-content\/soekris2.thumbnail.jpg\" alt=\"soekris2\" \/><\/a><\/p>\n<p>Je l&rsquo;ai achet\u00e9 chez <a href=\"https:\/\/kd85.com\/soekris.html\" title=\"kd85\" target=\"_blank\">KD85<\/a> , le site de l&rsquo;excellent <a href=\"https:\/\/kd85.com\/wim.html\" title=\"Wim\" target=\"_blank\">Wim<\/a>, personnage d\u00e9j\u00e0 embl\u00e9matique du monde OpenBSD en Europe \ud83d\ude00<br \/>\nToujours pour Elwina \ud83d\ude09 , je l&rsquo;ai achet\u00e9 :<\/p>\n<p>Total: EUR 275.00 + Shipping (EUR 19.98) + VAT (21% EUR 61.95)= EUR 356.93<\/p>\n<p>(4801-60 + boitier + alim + support disque ) .<\/p>\n<p>L&rsquo;id\u00e9al pour notre infrastructure \u00e9tant d&rsquo;en avoir 2 (pour la haute disponibilit\u00e9).<\/p>\n<p>Le co\u00fbt de la \u00ab\u00a0b\u00eate\u00a0\u00bb \u00e9tant assez \u00e9lev\u00e9, le deuxi\u00e8me firewall peut tr\u00e8s bien (et c&rsquo;est ce que j&rsquo;ai fait), tourn\u00e9 dans une machine virtuelle (VMware, Xen etc&#8230;) a qui l&rsquo;ont aura affact\u00e9 des cartes r\u00e9seaux d\u00e9di\u00e9s.<\/p>\n<p>L&rsquo;installation d&rsquo;<a href=\"http:\/\/www.openbsd.org\/42.html\" title=\"openbsd\" target=\"_blank\">OpenBSD 4.2<\/a> sur Soekris ne pose vraiment aucun soucis et vous trouverez des tutos \u00e0 foison sur le Net (idem pour l&rsquo;installation sous VMware).<\/p>\n<p>Personnellement, j&rsquo;ai opt\u00e9 pour une installation sur un disque dur de 40Go via PXE.<\/p>\n<p>C\u00f4t\u00e9 configuration de base, j&rsquo;ai affect\u00e9 aux pattes rouges sisO et em0 (carte ethernet cot\u00e9 Freebox), l&rsquo;ip 192.168.0.5 pour le firewall-a et 192.168.0.15 pour le firewall-b.<\/p>\n<p>Les interfaces c\u00f4t\u00e9 Vert ont pour ip 192.168.1.5 et 192.168.1.15.<\/p>\n<p>Nous gardons la troisi\u00e8me interface pour la synchronisation des \u00e9tats firewall que nous allons voir plus loin.<\/p>\n<p>Nos deux \u00ab\u00a0firewalls\u00a0\u00bb install\u00e9s et configur\u00e9s sous OpenBSD 4.2, nous allons maintenant mont\u00e9 notre haute disponibilit\u00e9 avec un concept de tuerie : <a href=\"http:\/\/en.wikipedia.org\/wiki\/Common_Address_Redundancy_Protocol\" title=\"CARP\" target=\"_blank\">CARP<\/a>.<\/p>\n<p>A suivre&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Conception d&rsquo;un Firewall Rouge en Haute-Disponiblit\u00e9 (1\u00e8re Partie) En mati\u00e8re de Firewall, il existe pl\u00e9thore de solutions payantes ou libres, packag\u00e9es ou non. Vous trouverez bien entendu les solutions propri\u00e9taires, mat\u00e9rielles ou logicielles, telles que CheckPoint, Pix, WatchGuard, Juniper, Arkoon &hellip; <a href=\"http:\/\/blog.guiguiabloc.fr\/index.php\/2008\/03\/18\/anatomie-dune-architecture-3\/\">Read More <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[16,3,8],"tags":[],"_links":{"self":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/63"}],"collection":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/comments?post=63"}],"version-history":[{"count":0,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/63\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/media?parent=63"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/categories?post=63"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/tags?post=63"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}