5
L'organisation d'une infrastructure moderne de bureau à distance implique l'utilisation d'un virtualiseur comme Proxmox ou VMWare sur les serveurs, ce qui est dû à la nécessité de déployer un certain nombre de machines virtuelles avec différents niveaux d'accès, une communication inter-serveurs limitée et un accès au réseau global. L'option la plus simple pour contrôler l'accès à une machine virtuelle à l'intérieur d'un virtualiseur consiste à utiliser un routeur logiciel périphérique doté d'un puissant pare-feu, qui est installé sur l'une des machines virtuelles du serveur.
Router OS est le grand gagnant parmi les routeurs logiciels. Cependant, il ne dispose pas d'une version gratuite complète. Il existe plusieurs solutions alternatives à code source ouvert basées sur FreeBSD - pfSense et OPNSense. Il s'agit de routeurs-firewalls logiciels complets, dotés d'un ensemble de modules et de plug-ins nécessaires à la gestion du réseau et à l'accès aux équipements finaux de l'infrastructure distante.
pfSense est la suite logique du projet m0n0wall.
pfSense est soutenu et développé par Netgate comme l'un de ses principaux produits. Le routeur logiciel n'est pas payant et peut être utilisé gratuitement car ce produit est fourni sous la licence Apache 2.0. Disponible sous forme d'image ISO, il peut être installé sur une machine virtuelle avec des paramètres très modestes.
Caractéristiques de pfSense
Veuillez noter que ce produit comporte de nombreux modules préinstallés et qu'il permet également l'installation de plugins supplémentaires qui étendent les capacités standard du routeur.
Pare-feu
Voici quelques caractéristiques principales qui révèlent les capacités de ce module :
- l'inspection dynamique des paquets (SPI), qui permet de filtrer les connexions au réseau
- filtrage basé sur les adresses IP et DNS avec protection anti-spoofing
- prise en charge des règles basées sur l'heure et la limitation du nombre de connexions
- le mappage NAT bidirectionnel est activé
Routeur
Les caractéristiques énumérées ci-dessous montrent clairement que ce composant de pfSense est totalement autonome :
- prise en charge de plusieurs adresses IP par interface
- la prise en charge de plusieurs réseaux étendus est activée pour la tolérance aux pannes et/ou l'équilibrage de la charge
- serveur PPPoE intégré
- le routage basé sur une politique est pris en charge
- le fonctionnement simultané du routage IPv4 et IPv6 est autorisé
VPN
Il s'agit peut-être de l'un des composants les plus importants d'un routeur logiciel pour infrastructure distante :
- les protocoles et technologies de réseau privé virtuel les plus populaires sont pris en charge - IPsec, OpenVPN, WireGuard
- il est possible d'organiser une connexion site à site avec un cryptage SSL
- les configurations pour les clients VPN sur différents systèmes d'exploitation sont disponibles dans l'interface graphique
- il existe un support pour le multi-tunneling avec basculement entre les tunnels
- l'authentification RADIUS ou LDAP est disponible, ce qui est pratique si vous disposez d'AD dans l'infrastructure.
Prévention des attaques
Dans le contexte des cyber-menaces modernes, un ensemble de fonctions et de mécanismes d'analyse du trafic est un avantage indéniable de pfSense :
- Snort est utilisé comme analyseur de paquets (système IDS/IPS)
- l'analyse et la détection des applications L7 sont prises en charge grâce à l'intégration d'une base de données contenant une liste actualisée des menaces
- il est possible de configurer le système de sécurité individuellement sur l'interface sélectionnée avec l'inspection approfondie des paquets.
Autres caractéristiques de pfSense
L'énumération de tous les modules et services prendrait plus d'une page du blog, mais pour une compréhension plus objective des capacités du routeur logiciel, nous pouvons souligner les points suivants :
- disponibilité des services réseau standard - serveur DHCP, redirection DNS
- facilité de mise en place de sauvegardes et de retour à des points de restauration
- un référentiel de mise à jour unique avec la possibilité d'effectuer des mises à jour en cliquant sur un bouton
- la mise en forme du trafic est prise en charge par la vitesse du canal ou le volume de données
- grâce à une interface graphique pratique, un journal lisible de ce qui se passe sur le routeur est fourni
- il est possible de recevoir des notifications du routeur par courrier électronique.
OPNSense - un fork qui peut surpasser le code original
OPNSense est un routeur logiciel qui est fonctionnellement très similaire à pfSense. La différence évidente pour la plupart, même pour les utilisateurs expérimentés et les administrateurs de système, sera une interface complètement redessinée. Une autre différence est l'ensemble des plugins et add-ons dans le référentiel de logiciels supplémentaires à installer. En raison de la similitude, il est difficile de distinguer les caractéristiques individuelles d'OPNSense et l'utilisateur peut faire son choix en fonction de la commodité de l'interface graphique ou de ses préférences dans l'ensemble des plugins disponibles.
Plutôt qu'une conclusion
Un examen rapide des fonctionnalités de pfSense et de son successeur OPNSense montre clairement que ce routeur logiciel est destiné à des projets d'infrastructure très complexes, comprenant non seulement des serveurs et des services distants, mais aussi des bureaux locaux. Les mécanismes de protection et d'authentification des utilisateurs conviennent aussi bien à la construction d'une petite infrastructure de bureau hybride qu'à celle d'un grand réseau d'entreprise comprenant des dizaines de serveurs distants, d'employés et de succursales.
