sécuriser un réseau avec les opensource Fermé

Question

Bonjour,
je suis actuellement sur un grand projet (mon projet de fin d'étude du master) pour sécuriser le réseau interne d'une societé pour un accès à internet, mais seulement avec les opensources. j'ai eu comme idée d'utiliser freebsd comme une machine pour le filtrage des paquets (vu que freebsd est un système très stable, hautement sécurisé et très performant), VLS pour faire du load-balancing (j'ai pris fedora comme OS pour le faire) , squid pour le relayage HTTP, snort comme IDS/IPS. biensur j'ai analysé le réseau pour définir les DMZ à mettre en place.
donc ma question est la suivante: est-ce freebsd est un bon choix pour mettre un bon firewall, performant et très sécurisé? si oui lekel de ces 2 firewall est mieux: IPFW ou PF? le squid est-il est un bon proxy? si non lekel vous pouvez me conseiller? et enfin le snort est-il une bonne idée? si oui y a t-il une documentation complète en français ou anglais qui soit bien expliquée? si non quel IDS opensource vous pouvez me conseiller?
merçi à tous.

fiddy · Answer

Salut,
Oui bonne idée pour freebsd (voire même netbsd). Ou tout simplement, tu peux installer ipcop. Distribution dédié pour le firewall.
Oui squid est un bon proxy.
Snort également peut être une bonne idée pour surveiller le réseau. Attention par contre à l'endroit où tu le mettras dans le réseau. Pour la doc : https://www.snort.org/docs/

Enfin, réfléchis également à l'architecture du réseau qui est important pour une bonne sécurité.

Cdlt

oberfaulersgeist · Answer

merçi fiddy pour ta réponse rapide. en effet je suis en cours de réalisation d'une architecture en analysant les points sensible du réseau. pour le snort, ya til un endroit spécial où je pourrai le mettre ou bien par exemple je pourrai le mettre dans chaque dmz critique puisque j'ai prévu 4 DMZ, 1 publique qui réunie les serveur public (ex ftp, http) sachant biensur que je pourrai mettre en place une jail pour sécuriser ces services, 1 dmz dédié au serveur métier de l'entreprise, 1 dmz privé pour réunir les service d'authentifications (squid) et les autres services pour les utilisateur du LAN et 1 dmz pour l'administration de l'ensemble du réseau (sauf pour le lan biensur). j'avais songé au début d'utiliser une distribution linuxienne comme ipcop, mais j'ai remarqué que les *bsd sont + sécurisé que les linux, et j'ai choisis freebsd parceque il est hautement sécurisé comparé au linux et biensur le plus performant comparé aux linux et aux reste des *bsd. bon une dernière question, quel firewall utiliser sous freebsd? ip filter, ipfw ou PF? et biensur il doit gérer efficacement les session statefull inspection les plus complexe et doit etre très robuste.
cordialement.

fiddy · Answer

Pour les firewalls, je ne pourrais pas te répondre objectivement.
Pour les jails, c'est bien, mais ne mise pas ta sécurité de tes services dessus. Un jail ça se break.
Attention aussi à la sécurité des postes dans le LAN. Il faut une bonne politique de sécurité.
N'oublie pas non plus, la redondance de services pour assurer la disponibilité.
Pour le placement de snort, tu peux le mettre sur chacune de tes DMZ ainsi que dans le LAN.

oberfaulersgeist · Answer

tu as entièrement raison fiddy, les jails ne sont que des + pour les services. pour les redondances, je me concentrerai sur les services qui sont critiques pour la societé, surtout les firewall, le proxy, le mail et le dns. pour le reste je pourrai l'étudier au fur à mesure de la mise en place de cette maquette. bon il me reste seulement le choix du firewall, je pense que je vais utiliser le PF en attendant biensur du nouveau sur ce sujet.
merçi fiddy.

oberfaulersgeist · Answer

re,
j'aimerai avoir des guides pour les étapes nécessaires pour sécuriser freebsd pour les cas suivants:
1- comme firewall
2- comme serveur web/ftp
merçi d'avance

Sécuriser un réseau avec les opensource

5 réponses

Discussions similaires