IPFire est une distribution Linux dédiée pour les pare-feu ou autres appliances réseau. Vous n'avez pas besoin de matériel particulièrement spécial pour exécuter un pare-feu; un vieux PC ou un Tarte aux framboises est très bien (vous pouvez trouver des ISO sur Page de téléchargements d'IPFire), mais notez qu'au moins deux adaptateurs réseau sont nécessaires. Quoi qu'il en soit, vous pouvez également exécuter IPFire sur une machine virtuelle (à laquelle vous pouvez ajouter autant d'adaptateurs Ethernet virtuels que vous le souhaitez). Sur un matériel raisonnable et de petits réseaux, cela fonctionnera très bien, bien que si la machine hôte peut être compromise, le pare-feu virtuel peut aussi en perdre, nous perdons donc certains points de sécurité en procédant de cette façon.
Si vous souhaitez utiliser une machine virtuelle pour IPFire, vous pouvez utiliser l'ISO 32 bits du répertoire IPFire / sur le disque.Pour une petite installation, la virtualisation est peu susceptible de faire la différence – les besoins en mémoire sont faibles, mais n'essayez pas pour une configuration plus grande et plus complexe. Le cryptage / décryptage du trafic VPN nécessite un peu de puissance CPU, donc si vous prévoyez d'autoriser un accès gourmand en données à votre VPN, sachez-le. Soit dit en passant, vous trouverez des instructions sur la configuration des instances cloud de IPFire sur AWS et Nuage de Hetzner sur le site IPFire.
Vous pouvez acheminer l'intégralité de votre réseau domestique via IPFire (en le définissant comme passerelle par défaut sur votre routeur domestique et en modifiant les paramètres) ou, si d'autres utilisateurs n'aiment pas l'idée d'envoyer tout leur trafic via le pare-feu matériel, vous pouvez simplement router machines sélectionnées via IPFire
Installer IPFire
L'installation (qu'elle soit réelle ou virtuelle) est simple, mais notez que tout le lecteur cible sera effacé; le programme d'installation ne fournit aucun moyen de double démarrage à partir d'un seul lecteur. Une fois le système installé, retirez le support d'installation (sauf s'il s'agit d'un Raspberry Pi, auquel cas vous avez flashé le système d'exploitation sur une carte microSD) et redémarrez pour effectuer la configuration initiale du système. Tout est assez standard – localisation, utilisateurs et tout le reste – la partie importante est la configuration finale du réseau.
Comme nous l'avons mentionné, vous avez besoin d'au moins deux adaptateurs réseau. Il n'y a aucun moyen de contourner cela. Si vous exécutez une machine virtuelle, vous pouvez en ajouter une deuxième en quelques clics et redémarrer pour continuer la configuration. Si vous utilisez un Raspberry Pi ou un autre appareil avec un réseau filaire et sans fil, cela fonctionnera correctement (sous réserve que vous configuriez un point d'accès avec hostapd).
Configuration de réseaux rouges et verts sur IPFire
Pour une configuration à deux adaptateurs, nous devons attribuer un appareil au réseau vert et l'autre appareil au réseau rouge. Vous pouvez utiliser jusqu'à quatre adaptateurs avec IPFire, et les choses deviennent encore plus colorées si vous faites cela. Utilisez la première option si vous devez configurer davantage d'adaptateurs et utilisez la deuxième option pour attribuer des couleurs au matériel réseau.
En règle générale, le réseau vert sera votre réseau privé et le réseau rouge se réfère à celui connecté à Internet. En pratique (si vous n'utilisez pas IPFire sur une machine qui se connecte directement à votre FAI), ceux-ci se connecteront tous les deux via votre routeur domestique, mais votre interface réseau verte se connectera (via un câble croisé, sans fil ou un autre commutateur de routeur) à les machines que vous souhaitez que IPFire protège. L'idée est que le trafic peut passer du vert au rouge, mais pas dans l'autre sens.
Configuration des adresses IP pour IPFire
Les adresses IP doivent être configurées pour les périphériques réseau sous le contrôle d'IPFire. Dans la configuration décrite ci-dessus, où nous avons un réseau sécurisé «sous» notre réseau local domestique, l'interface rouge doit se conformer au reste du réseau local avec une adresse IP probable de la forme 192.168.0.x. L'interface verte peut être techniquement tout ce que vous voulez, mais il est judicieux d'utiliser une autre adresse IP privée désignée telle que 10.0.0.1 ou (192.168.1.1 si vous préférez).
L'interface rouge (dans cette configuration) peut être configurée pour recevoir une adresse IP via DHCP qui offre la configuration la plus simple, mais vous voudrez probablement configurer une IP statique plus tard ou vous poursuivrez votre instance IPFire après un redémarrage . Pour obtenir une adresse IP statique, vous devez définir la passerelle sur celle de votre routeur domestique. Si vous exécutez IPFire virtuellement, alors DHCP utilisera le réseau NAT de votre hyperviseur qui devrait fonctionner correctement.
À moins que vous ne vouliez imposer à tous ceux qui utilisent votre réseau privé d'utiliser IP statique, l'interface verte aura besoin d'un serveur DHCP. Activez-le et utilisez les paramètres suivants (ou quelque chose comme ça):
Adresse de départ: 10.0.0.2
Adresse de fin: 10.0.0.11
DNS primaire: 10.0.0.1 ????Si vous utilisez libvirt ou Virtualbox, cela ne fonctionnera pas car le périphérique NAT virtuel a son propre serveur DHCP qui gênera. Vous devrez donc configurer des adresses IP statiques pour les machines virtuelles que IPFire doit protéger ici. Pour les distributions de bureau, cela est plus facile à réaliser en définissant une configuration IP statique dans Network Manager. Pour une machine physique, vous pouvez vous connecter à l'hôte IPFire de l'interface verte soit par une connexion directe par câble (les anciennes cartes 100 Mbits nécessitent un câble croisé, les cartes Gigabit Ethernet non) ou via un commutateur.
Test, configuration de DNS sur IPFire
Cela devrait être tout ce dont vous avez besoin pour terminer la configuration initiale de l'instance IPFire. Vous devriez pouvoir vous connecter à IPFire en accédant à https://10.0.0.1:444. La première chose que vous verrez est un avertissement de sécurité désagréable car IPFire utilise un certificat auto-signé. Vous pouvez ignorer cela en toute sécurité, nous le promettons. La prochaine chose que vous verrez est une boîte de connexion, dans laquelle vous devez vous identifier en tant que administrateur en utilisant le mot de passe que vous avez configuré plus tôt. Ensuite, vous serez présenté avec l'interface Web intuitive d'IPFire.
Par défaut, IPFire transmet les requêtes DNS au serveur DNS sur l'interface rouge, qui est probablement votre FAI, via votre routeur domestique. Vous pouvez utiliser un service public pour cela, comme 1.1.1.1 de CloudFlare ou 8.8.8.8 de Google. Pour ce faire, accédez à Réseau> Système de noms de domaine. Décochez la case Utiliser le DNS attribué par le FAI, puis cliquez sur le bouton Ajouter en haut. Seule une adresse IP est requise.
Création de règles sur IPFire
Nous allons mettre en place une règle simple pour permettre au réseau Red d'accéder à l'interface Web sur l'hôte. Ce n'est pas quelque chose que vous voudriez faire dans la vraie vie, mais cela sert à montrer la procédure pour ajouter des règles. Accédez à Pare-feu> Règles de pare-feu et cliquez sur le bouton Nouvelle règle. Dans la section Source, sélectionnez l'option Réseaux standard et choisissez ROUGE. Cochez la case Utiliser NAT ci-dessous et choisissez NAT de destination.
Dans la section Destination, sélectionnez l'option Pare-feu et choisissez VERT – 10.0.0.1. Dans la section Protocole, choisissez TCPm, sélectionnez Tout dans la liste déroulante Réseaux standard et dans la section Source, saisissez 444 dans la zone Port externe. Dans la zone Paramètres supplémentaires, vous pouvez choisir de consigner, limiter ou limiter le débit de ces connexions, mais cela ne nous dérangera pas. Cliquez simplement sur Ajouter. Cliquez sur Mettre à jour, puis vous devriez pouvoir vous connecter à l'interface Web d'IPFire depuis n'importe où sur votre réseau local.
Modules complémentaires IPFire
IPFire a tout ce dont vous avez besoin et plus encore pour exécuter une solution de pare-feu avancée. Mais sa fonctionnalité peut être étendue bien au-delà de ce qui est dans la boîte. D'une part, c'est sa propre distribution avec son propre gestionnaire de paquets (Pakfire) qui peut être utilisé directement ou en arrière-plan pour installer des fonctionnalités supplémentaires.
Si vous voulez un VPN, vous pouvez le configurer via OpenVPN en quelques clics. Deux configurations sont proposées – le Roadwarrior au son apocalyptique approprié et le Net-to-Net plus descriptif. Le premier pourrait également être appelé client-à-net, et c'est exactement ce qui est nécessaire pour vous, un Roadwarrior bien en dehors de la connectivité réseau sûre, pour crypter vos communications vers votre serveur de confiance.
Vous pouvez facilement configurer Tor, souvent mentionné dans la même phrase que les VPN, sur IPFire. Vous pouvez configurer votre instance pour accéder aux nœuds .onion et acheminer uniquement votre trafic (ou seulement certaines parties de celui-ci) via Tor. Ou, si vous avez la bande passante disponible, vous pouvez configurer un relais et bénéficier à toute la communauté Tor. Plus conventionnellement, vous pouvez également ajouter un réseau sans fil (généralement désigné par l'interface BLEUE) à votre instance. Nous avons mentionné qu'il était possible de le faire sur un Raspberry Pi (qui n'a que deux interfaces réseau), mais le faire en tant que troisième interface vous évite d'avoir à configurer Hostapd vous-même.
Cet article a été initialement publié dans Linux Format Magazine Numéro 262.
Commentaires
Laisser un commentaire