Dans deux des billets précédents, nous avons vu comment configurer un serveur Proxy avec Squid et nous avons installé DansGuardian pour mettre en place une politique de filtrage du net. Aujourd'hui nous allons voir comment installer et configurer un pare-feu. Quand on parle firewall sous Linux, on pense tout de suite à iptables, mais ce n'est pas celui que je vais présenter. Il est possible d'obtenir des résultats très convaincants grâce à des outils plus simples à appréhender, notamment UFW (en ligne de commande), et son alter ego graphique, GUFW.
UFW signifie Uncomplicated Firewall et GUFW signifie Graphic Uncomplicated Firewall. Tout un programme ! :)
Ce qui suit a été réalisé sur une distribution Linux Debian 7.0 (Wheezy) avec le bureau LXDE.
Après avoir testé les deux, j'ai trouvé qu'il était plus simple d'utiliser UFW que GUFW. Cela reste purement subjectif et les résultats seront identiques, quelque soit l'outil utilisé. Je vais décrire ci-dessous les manipulations que j'ai faites pour obtenir un pare-feu fonctionnel. Bien entendu, quelques ajustements pourront s'avérer nécessaires pour que cela soit parfaitement opérationnel pour votre utilisation. Tout comme pour Squid et DansGuardian, nous allons faire une configuration de base qu'il sera toujours possible de compléter par la suite au gré des besoins.
La première chose à faire consiste, sans surprise, à installer le logiciel. On passera par un terminal Administrateur et l'on tapera :
- apt-get install ufw
La meilleure protection va consister à tout bloquer, aussi bien en entrée qu'en sortie, puis à autoriser ce que l'on souhaite, au cas par cas. Mais bien sûr, avant cela, il faut activer le pare-feu. Pour cela, taper (toujours dans un terminal Administrateur) :
- ufw enable
Le pare-feu peut garder une trace de l'activité qu'il intercepte, et il sera pertinent de s'y reporter par la suite pour affiner les règles. Nous allons donc activer la journalisation, avec la commande suivante :
- ufw logging on
Le journal (ufw.log) est consigné dans le répertoire /var/log/.
Dans la mesure où par défaut, le pare-feu autorise le trafic sortant et interdit le trafic entrant, nous allons devoir modifier son comportement, pour plus de sécurité :
- ufw default deny incoming
- ufw default deny outgoing
Il s'agit maintenant d'autoriser les principaux ports pour pouvoir surfer, lire son courriel et accéder à son réseau local. L'ordre dans lequel les règles sont créées a son importance. Par exemple, si l'on souhaite accéder au net, nous allons ouvrir trois ports (DNS, HTTP et HTTPS). Si l'on autorise le DNS après HTTP et HTTPS, la résolution de noms ne se fera pas, et l'on ne pourra accéder aux sites que l'on souhaite visiter. Si l'on se trompe dans l'ordre d'entrée des règles, il est bien sûr possible d'effacer une règle et de la réécrire en faisant en sorte de la placer au bon endroit.
Voici les règles que j'ai mises en place pour mon installation.
Pour pouvoir accéder au net :
- ufw allow out 53
- ufw allow out 80/tcp
- ufw allow out 443/tcp
Pour la messagerie :
Ces réglages permettront d'utiliser un logiciel de messagerie, ainsi que les messageries en ligne comme GMail ou Outlook par exemple, en débloquant les protocoles SMTP, POP3, IMAP et leurs pendants sécurisés.
- ufw allow out smtp
- ufw allow out pop3
- ufw allow out imap
- ufw allow out 465/tcp
- ufw allow out pop3s
- ufw allow out imaps
Pour accéder à son réseau local de l'extérieur, il est nécessaire d'activer le protocole FTP (qui utilise les ports 20 et 21) :
- ufw allow 20,21 ftp
Nous allons aussi faire en sorte de permettre à notre réseau local de fonctionner, pour cela, taper la commande suivante (vérifier la plage d'adresse utilisée par ses machines grâce à la commande ifconfig, certains réseaux locaux peuvent être sur la plage 192.168.1.xxx par exemple) :
- ufw allow from 192.168.0.0/24
Cette commande permet d'autoriser toutes les machines disposant d'une adresse IP allant de 192.168.0.0 à 192.168.0.255 à se connecter. Pratique si les machines ont des adresses IP dynamiques. Si leur adresse IP est statique, il est possible de n'autoriser que celles que l'on souhaite, ce qui est un plus en terme de sécurité. Ainsi, si l'on souhaite que la machine ayant l'adresse 192.168.0.5 puisse accéder au net, et uniquement celle-ci, on pourra taper :
- ufw allow from 192.168.0.5
Il est possible de voir les règles mises en place en tapant la commande suivante :
- ufw status
Ces réglages de base devraient vous permettre de faire le minimum sur le net, tout en étant protégé. Pour aller plus loin, ne pas hésiter à consulter la documentation en français de UFW.
Et pour vérifier le fonctionnement de ses réglages, rien de tel qu'un petit détour (tournicoti, tournicoton !) chez Zébulon. :)
Et pour vérifier le fonctionnement de ses réglages, rien de tel qu'un petit détour (tournicoti, tournicoton !) chez Zébulon. :)
Aucun commentaire:
Enregistrer un commentaire