Bonjour à tous,
Dans ce nouvel article, je vous propose de faire le tour de « quelques solutions » de sécurité périmétrique gratuite que vous pouvez mettre en place en 2024, si vous n’êtes pas encore équipé.
Souvent en tant qu’Administrateur système et réseau, nous sommes sensibilité à la cybersécurité de nos infras, ce qui n’est pas forcement le cas des autres personnes avec qui ont travail et la direction qui a tendance à ne pas prendre cette problématique au sérieux.
Les équipements de sécurité coutent souvent cher et il n’est pas toujours facile d’avoir des budgets surtout dans les PME.
C’est pour cette raison, que je vous propose cet article afin de pouvoir mettre des solutions en place à moindre coût.
Firewall – Pare feu – Proxy
En 2023, encore beaucoup d’entreprises et de collectivités ne sont pas équipé de Pare-Feu et utilise comme passerelle Internet la box opérateur qui est totalement dépourvu de sécurité.
Il y a quelques années en arrière, le pare-feu était vu comme le Big Brother de l’entreprise, qui permettait de voir tout ce que les gens allaient consultés sur Internet.
Pour moi en 2023, ce constat n’est plus ! Pourquoi ? Si une personne souhaite aller sur Internet sans laisser de trace sur son lieu de travail, elle n’a cas utilisé son téléphone … Est ce réellement au service informatique de contrôler si les gens travaillent ou consulte les réseaux sociaux ? Non c’est à leur responsable de gérer ça …
Le principal rôle du firewall est de filtrer les flux entrant et sortant en les analysants, cette analyse peut bloquer une attaque connue grâce à l’IDS. On peut aussi bloquer les IPs de serveur C&C (Command & Control) et empêcher un virus (Ransomware) sur un ordinateur interne de s’activer
Il existe de nombreuse solution gratuite de Firewall sur Internet, pour ma part voici celle que je peux vous conseillé par ordre de préférence
Pfsense est la solution pour moi la plus aboutie car présente depuis de nombreuse années, avec une forte communauté et de nombreuse fonctionnalité
OPNsense est un fork de pfsense que j’ai essaie que je trouve moins agréable.
L’avantage de ceux deux solutions c’est qu’il est possible d’installer Crowdsec dessus et d’d’augmenter le niveau de sécurité des applications publiés directement depuis le firewall.
En plus de la partie sécurité, les pare-feu apportent d’autres choses :
- VPN
- Proxy
- Statistique d’utilisation de la bande passante
- DHCP
- DNS
- …
MTA – Mail Transfert Agent
Si beaucoup d’entreprise n’ont pas de firewall, de MTA c’est encore plus vrai.
Pour faire simple, le MTA est un « pare-feu » pour les e-mails, une solution MTA va permettre de filtrer les emails entrant et sortant vers un domaine de messagerie avec les fonctionnalités suivantes :
- Vérification antispam par des listes
- Vérification SPF et DKIM
- Analyse anti-virus
- Gestion de quarantaine utilisateur
- Signature DKIM des messages sortants
- ….
On a souvent deux cas :
- Messagerie en interne, on publie le service SMTP directement sur Internet pour la réception des emails qui est la pire des situations … On a aussi de SI qui pense que le firewall en place est une protection suffisante en activant les listes antispam, ce qui n’est pas mieux (je ne parle pas de firewall qui intègre un MTA comme Sophos)
- La messagerie est hébergé chez un prestataire (Google, Microsoft, OVH … ) et on fait confiances au fournisseurs, là aussi c’est une grossière erreur, souvent les mécanismes de sécurité sont au plus bas.
Ici, la seule solution gratuite qui fait concurrence à des solutions commerciales que je connaisse est Proxmox Mail Gateway.
J’ai personnellement tester la solution qui m’a donnée entière satisfaction.
Reverse proxy
Là aussi, on ne va pas faire le bilan catastrophique du nombre d’applications publiés directement sur Internet sans avoir le moindre mécanisme de protection ….
A minima un firewall avec IDS d’activé permet de bloquer certaines attaques
Un reverse proxy pour être efficace , ne doit pas seulement être un serveur Web qui transfert simplement les requêtes vers le serveur de destination.
Il doit avoir des mécanismes de sécurité :
- Crowdsec ou Fail2Ban
- Mod_security (Nginx et Apache)
- Géolocalisation
- Limitation des requêtes pour empêcher l’accès au backend de l’application
- …
En plus de « sécurisé » les applications, le reverse proxy apporte :
- Economie d’adresse IP
- Centralisation des certificats SSL si décharge
Il existe beaucoup de solution gratuite pour mettre en place un reverse proxy
Le nombre de solution de manque et en plus il est possible d’installer Crowdsec avec la plupart des solutions 🙂
Si vous publiez des serveurs Exchange sur Internet, je conseille d’utiliser Kemp ou ARR.
Bastion
Dernier point de cet article : un bastion.
Là aussi en scannant Internet, on trouve facilement des serveurs d’entreprise exposés sur Internet en RDP (Bureau à distance) ou SSH, pour la prise de main à distance soit pour les personnes du SI (la je suis désespéré) ou pour les prestaires.
Dans les deux cas, c’est pas top !
Un bastion est un application (souvent Web) qui va mettre à disposition un portail Web (en HTTPS derrière un reverse proxy) va permettre de se connecter à des serveurs que l’on aura publié dessus.
La majorité des bastions prennent charge le SSH et le Bureau à Distance, ce qui permet de ne pas les publier sur Internet.
En plus ça, vous aurez des logs de qui c’est connecté à quoi et quand ! Et bonus, il est possible d’enregistré les sessions en vidéo.
L’autre avantage d’utilise un bastion, c’est de s’affranchir de solution de prise de main à distance comme :
- Teamviewer
- AnyDesk
- …
En solution de Bastion gratuite vous avez :
- Guacamole
- Teleport (Comment déployer un bastion d’administration avec la solution open source Teleport ?)
Bonus : Keycloak
Pour finir en bonus, je vais vous parler de Keycloak, qui est un portail d’authentification unique (SSO) qui prend en charge OpenID et SAML.
Si vous avez des applications compatibles avec ces protocoles d’authentification (Guacamole l’est), vous allez pouvoir mettre ce portail en place et celui-ci va vous permettre de « sécurisé » un peu plus vos applications avec :
- Anti brute force
- OTP
Deviner quoi ? On peut protéger Keycloak derrière un reverse proxy avec une collection Crowdsec 🙂
Plusieurs tutoriels sur Keycloak sont en préparation …
J’espère que ce tutoriel, vous aura donner des pistes de solutions à mettre en place.
Si vous avez d’autres idées et solutions sur la protection périmétrique gratuite, j’attend vos commentaires avec impatiente.
En 2024, vous allez mettre quoi en place ?
Superbe article ! Merci pour cette vision qui permet aux TPE / PME de pouvoir se protéger sans manger la trésoreries de la société dans des solutions fort couteuses.
Suggestion d’article pour présenter les bonnes pratiques sur pfsense ? les chose à mettre en place et comment avoir et savoir quoi surveiller sur ce genre d’équipement ?
Merci pour le travail accomplie
Bonjour,
Je suis entrain de préparer une série de tutoriel sur la mise en place d’un pare-feu pfSense, mais cela me prend un peu de temps, car le but est de trouver les bons plugins à mettre en place avec la bonne configuration pour avoir quelques choses qui est pertinent en terme de sécurité de de configuration. Et surtout éviter d’avoir un « sapin de Noel » comme intégré un plugin de reverse proxy sur un firewall qui n’a rien à faire là.
Merci pour ce retour dont je partage pas mal de solutions en commun. Keycloak j’ai testé mais il ne m’a pas donné entièrement satisfaction notamment par une documentation d’install changeante régulièrement et une mise en place des autorisations d’accès aux applications obscure. Au plaisir de lire ton futur retour dessus.
Pour ma part, j’ai adopté LemonLDAP::NG qui reprend les mêmes fonctionnalités sauf celle du multi-royaume mais qui intègre un bouncer Crowdsec. Je prépare une série d’articles sur l’installation et la configuration de cet IAM.