Accueil > Articles > Quelques solutions pare-feu Open Source

Quelques solutions pare-feu Open Source

Nous présentons dans cet article quelques solutions pare-feu libres.

1. Smoothwall Express

Smoothwall est un projet qui a été initié au Royaume-Uni à l’été 2000 par Lawrence Manning (principal développeur de code) et Richard Morrell (Manager du projet). Leur idée de base était de créer une distribution Linux qui pouvait convertir un ordinateur personnel en un équipement pare-feu. Avec l’aide d’autres contributeurs comme John Faulty et Tom Ellils, la première version du pare-feu Smoothwall a été postée au Sourceforge.net en Aout 2000. La communauté s’est élargie depuis et le produit Smoothwall a aussi évolué.

Il faut noter que la distribution Smoothwall est Open Source et distribué sous licence GPL. C’est un système d’exploitation basé sur RedHat Linux (devenu plus tard Fedora Core Project).

Au moment de l’écriture de ce document, la dernière version distribuée par la communauté Smoothwall est Smoothwall Express 3.0 SP1. Cette version est sortie le 8 Janvier 2009. On peut la télécharger gratuitement à partir du site officiel de Smoothwall (http://www.smoothwall.org/).

Parmi les acquis de la communauté Smoothwall, nous citerons surtout l’attribution en 2008 du prix du meilleur pare-feu Open Source des BOSSIES (Best Open Source Software Awards) à Smoothwall Express.

Les fonctionnalités assurées par défaut par Smoothwall Express sont les suivantes :

  • Possibilité d’administration via une interface web.
  • Consultation de l’état de la machine sur laquelle est installé le pare-feu (état de la mémoire et les disques durs).
  • supervision du trafic réseau en temps réel sur les différentes cartes.
  • services de proxy web, SIP, POP3, IM.
  • service dhcp.
  • service dns (statique et dynamique).
  • service de temps NTP.
  • accès distant via SSH.
  • système de détection d’intrusions.
  • VPN IPSec.
  • filtrage (par état).
  • NAT.
  • priorité de trafic et QoS.
  • consultation de différents types de logs.
  • possibilités de maintenance (mise à jour du système ou de pilotes, backup, add on…).

Plusieurs autres fonctionnalités peuvent être ajoutées via des adds-on.

Il est à noter que le filtrage de Smoothwall Express est basé sur iptables, le module de filtrage du noyau linux. Un livre blanc expliquant plus en détails le fonctionnement de Smoothwall Express 3.0 est disponible ici.

2. IPCop

IPCop est à l’origine un fork de Smoothwall Express. Ceci signifie qu’IPCop est basé sur linux Red hat. La première version est sortie en décembre 2001. Aujourd’hui on est à la version 1.4.21, qui a été mise à disposition du grand public en Juillet 2008. IPCop est distribué sous licence GPL. Il fonctionne aussi sur du matériel non propriétaire.

IPCop partage avec Smoothwall plusieurs fonctionnalités et s’en démarque par d’autres. Par exemple, IPCop ne propose pas de proxy IM ou de proxy POP3. Il supporte par contre le « VLAN trunking » définit par la RFC 802.1Q, le protocole telnet et le protocole d’encapsulation de niveau 2 L2TP. La supervision de trafic en temps réel n’est aussi pas possible sur IPCop.

Plusieurs fonctionnalités peuvent être ajoutées au pare-feu IPCop via des add-on afin de mieux le personnaliser.

3. Vyatta Community Edition

La solution pare-feu de la société Vyatta existe en deux exemplaires. Le premier est payant, le second est libre. On note que la version commerciale est plus souvent maintenue et mise à jour que la solution libre (environ une mise à jour tout les six mois). Le produit commercialisé est en outre toujours stable ce qui n’est pas forcement le cas pour la version libre, dénommée Vyatta Community Edition et dont la dernière version est la version 5.0 issue en Mars 2009.

Vyatta se veut d’être un concurrent direct aux produits Cisco. En effet, et même si le pare-feu Vyatta est basé sur le noyau linux Debian, l’exploitation en ligne de commandes rappelle beaucoup l’utilisation de Cisco IOS. Ainsi, deux modes d’emploi sont possibles pour Vyatta : le mode de « Configuration » (passage via la commande configure en ligne de commande) et le mode « Operation ». Le bash de Vyatta est en fait personnalisé pour fonctionner selon ces deux modes.

Même les vidéos publicitaires de Vyatta, disponibles ici soulignent les avantages de ce produit en le comparant aux produits Cisco. On évoque  par exemple que Vyatta fonctionne sur du matériel non propriétaire qui coute beaucoup moins cher, chose non vraie pour les produits Cisco.

Au sujet des fonctionnalités, on peut dire que Vyatta Community Edition se distingue des autres produits libres qu’on vient d’énumérer. En effet et comme cité ici, Vyatta Community Edition offre des services de haute disponibilité, beaucoup plus de services de routage, possibilités de VPN SSL… Bref, toutes les fonctionnalités qu’on trouve dans les produits Cisco (ou presque) sont présentes dans la solution Vyatta. A noter la présence d’un IPS (système de prévention d’intrusions) au lieu d’un simple IDS (système de détection d’intrusions).

4. m0n0wall

M0n0wall est un système d’exploitation pare-feu libre basée sur le noyau FreeBSD et non pas linux. La particularité de m0n0wall est qu’il est le premier système d’exploitation de type UNIX démarrant à partir d’une séquence de boot basée exclusivement sur des fichiers  d’extension .php au lieu des scripts shell classiques. M0n0wall est aussi le premier pare-feu à stocker l’intégralité de sa configuration dans un unique fichier (de type xml).

M0n0wall est destiné à être embarqué sur une appliance. Il existe aussi sous forme de live-CD. Les possibilités d’exploitations sont ainsi réduites afin de pouvoir alléger le système pour qu’il soit facilement portable sur du matériel… On ne trouve par exemple pas d’IDS ou d’IPS qui demandent des ressources mémoires plutôt élevées. On ne trouve pas aussi de serveur FTP, proxy, serveur de temps, analyseur de log…

D’autres fonctionnalités qu’on n’est pas habitué à trouver dans les autres pare-feu sont par contre présentes dans m0n0wall. On en site surtout l’option portail captif et le service SNMP.

Il est à noter que le filtrage de m0n0wall est basé sur le pare-feu logiciel de FreeBSD, le « ipfw », présenté ici comme plus complet que les autres pare-feu logiciels FreeBSD, à savoir « pf » et « ipfilter ».

5. PFSense

PFSense est le descendant de m0n0wall. C’est donc un système d’exploitation pare-feu basé sur le noyau FreeBSD et sur le module de filtrage « ipfw ». La configuration de PFSense est stockée dans un seul fichier xml à l’instar de m0n0wall. La séquence de démarrage est aussi fondée sur des fichiers php.

Néanmoins, PFSense n’est pas vraiment orienté à l’embarqué. Ceci explique la panoplie de fonctionnalités offertes par cette distribution. Par rapport à m0n0wall (son ancêtre), Pfsense offre en plus les possibilités suivantes :

  • Common Address Redundency Protocol (CARP) et PFsync (synchronisation entre machines PFSense)
  • Possibilités d’alias étendue (alias pour interfaces réseau, utilisateurs…).
  • Configuration XML de synchronisation entre maître et hôte de backup permettant de faire un point unique d’administration pour un cluster pare-feu. La synchronisation est assurée via XML-RPC.
  • Equilibrage de charge (load balancing) pour les trafics entrant et sortant.
  • Graphes montrant les statuts des files d’attentes.
  • Support du protocole SSH pour l’accès distant.
  • Support de multiples interfaces réseaux WAN.
  • Serveur PPPoE.

6. NuFW

NuFW est l’acronyme de « Now User Filtering Works ». Ce pare-feu logiciel est une extension d’iptables Netfilter, la couche pare-feu des systèmes linux. Il ajoute la notion d’authentification au filtrage classique. NuFW est disponible sous formes de packages téléchargeables pour les systèmes d’exploitations linux Debian et mandriva, ou sous forme binaire tarball.

Le déploiement de la solution NuFW nécessite des clients pour l’authentification au près du pare-feu. Ainsi, si un utilisateur veut accéder à une zone bien précise, le procédé d’accès sera le suivant :

  • Requête d’accès d’un client au près du pare-feu NuFW
  • Le pare-feu NuFW vérifie l’autorisation de passage de l’utilisateur grâce à un annuaire LDAP.
    • Si l’utilisateur n’est pas autorisé à passer la requête sera rejetée, sinon le pare-feu demandera à l’utilisateur de s’authentifier.
    • Les autorisations d’accès s’attribuent donc par utilisateurs et non plus par adresses réseau.

La solution NuFW est utilisée dans les boîtiers pare-feu d’EdenWALL, la société à l’origine du projet NuFW.

7. Récapitulation

Nous présentons ci-dessous un tableau comparatif des différentes solutions pare-feu libre qu’on vient de présenter. Cette comparaison ne contiendra néanmoins pas le logiciel pare-feu NuFW qui ne se présente pas en tant que système d’exploitation. Notez aussi que « x » signifie que la fonctionnalité est présente et que le signe « _ » signifie qu’elle est absente :

Smoothwall Express

Vyatta Community IPCOP PFSence M0n0wall
services
proxy web x x x ajouter Squid _
proxy IM x _ _ _ _
proxy POP3 x _ _ _ _
proxy SIP x _ _ _ _
dhcp x x x x x
dns statique x x x x x
dns dynamique x _ x x x
dns forward _ x _ x x
telnet _ x x _ _
ssh x x x x _
NTP (serveur de temps) x _ x x x
taches programmées _ _ x x x
webGUI  via HTTP x _ x x x
webGUI via HTTPS x x x x x
VPN
IPSec x x x x x
PPTP x x _ x x
L2TP _ x _ x _
clés RSA x x x x x
DES x x x x x
3DES x x x x x
AES _ x x x x
Haute disponibilité
Load Balance _ x _ x _
Multi-WAN _ x _ x _
Capacité de Failover _ x _ x _
QoS
Priorité selon type de trafic x x x x x
Lissage de trafic (limitation) x x x x x
Outils connectivité (webGUI)
traceroute x x _ x x
ping x x x x x
whois x _ _ _ _
Filtrage et sécurité
Avec état x x x x x
Filtrage d’URL add-On x add-on _ _
Filtrage de contenu web add-On x add-on _ _
Temps d’accès par utilisateur x _ _ _ _
IDS x x x _ _
Antivirus web (HTTP/FTP) x _ x _ _
Email AntiVirus/AntiSpam x _ add-on _ _
Hotspot/Portail captif _ _ _ x x
Routage
NAT (dynamique) x _ x x x
1:1 NAT (SNAT) _ x _ x x
Port Address Translation x x x x
Politique de Routage (Policy Routing) _ x _ x _
Support de VLAN Trunking (802.1Q) _ x _ _ _
Licence GPL GPL GPL BSD BSD
Ordonnancement des règles statique statique statique statique statique
de filtrage
Administration
Recherche de mises à jour x _ _ x _
mises à jour automatique _ _ _ x _
backup x x x x x
add-on x _ x x

x

Source : http://www.securinets.com/

Extrait du rapport de PFE de Mourad BELKHODJA.

Publicités
Catégories :Articles
  1. Aucun commentaire pour l’instant.
  1. No trackbacks yet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :