Configurez IPFire pour protéger votre maison ou votre entreprise avec ce pare-feu Linux
IPFire est un système d’exploitation basé sur Linux dont la fonction principale est de pare-feu et également de routeur au sein d’un réseau. Si vous avez besoin d’un pare-feu très professionnel, avec la possibilité d’ajouter des extensions pour augmenter ses fonctionnalités, et tout cela sous un système d’exploitation Linux basé sur Debian, IPFire est la distribution idéale pour vous. Contrairement à d’autres pare-feu, IPFire est très facilement géré avec son interface Web intuitive, vous pouvez donc gérer toutes les fonctionnalités et tous les paramètres directement depuis le navigateur Web, sans avoir à entrer via SSH pour le faire. Aujourd’hui, dans RedesZone, nous allons tout expliquer sur IPFire et comment l’installer sur n’importe quel ordinateur avec deux cartes réseau (une pour WAN et une pour LAN).
IPFire est un système d’exploitation qui consomme très peu de ressources, il peut pratiquement être utilisé sur n’importe quel ordinateur actuel, bien que logiquement, les performances que nous obtenons dépendent du matériel utilisé, et il en va de même si nous avons des milliers de règles dans le pare-feu et nous installer également un système de détection et de prévention des intrusions. Selon nos besoins, nous aurons besoin de matériel meilleur ou pire. Une caractéristique très importante de ce pare-feu est qu’il est basé sur Linux, par conséquent, il utilise iptables pour autoriser ou refuser le trafic, et aussi pour faire les fonctionnalités NAT, isoler le trafic entre les différents sous-réseaux que nous pouvons créer, etc.
Principales caractéristiques
L’objectif principal du système d’exploitation IPFire est d’assurer la sécurité dans les environnements domestiques et professionnels, son moteur de pare-feu est très facile à configurer et son IDS empêche les attaquants d’entrer dans le réseau et empêche les intrusions. Dans la configuration IPFire, nous devrons diviser le réseau en plusieurs zones, ces zones ont des politiques de sécurité différentes par défaut, que nous pourrons ensuite configurer en détail. Par exemple, nous avons des zones pour Internet WAN, LAN, DMZ et aussi WiFi. Un autre point en faveur d’IPFire est ses mises à jour continues, quelque chose d’essentiel dans un pare-feu car il est exposé à Internet. Par conséquent, disposer de mises à jour du système d’exploitation lui-même et des extensions est essentiel pour éviter les failles de sécurité.
IPfire peut être installé sur n’importe quel matériel, bien qu’il soit absolument nécessaire et obligatoire d’avoir deux ou plusieurs cartes réseau, pour segmenter correctement l’ensemble du réseau. Au minimum, nous aurons une interface réseau pour le WAN Internet et une autre interface réseau pour le LAN, de cette façon, nous pourrions alors créer des VLAN dans le LAN pour segmenter le trafic via un commutateur gérable en créant et en gérant les VLAN correspondants que nous nous pouvons créer et gérer sur l’IPfire lui-même. Dans le cas d’avoir plus de deux cartes réseau ou deux ports, nous pourrions avoir un autre port physique spécifique pour créer une DMZ, dans le but que ce réseau soit totalement isolé du réseau LAN principal, et ne puisse communiquer avec le réseau Internet que via le port WAN que nous avons configuré.
Pare-feu et IDS/IPS
IPFire utilise un pare-feu SPI (Stateful Packet Inspection) basé sur IPtables, le pare-feu Linux populaire. Ce logiciel permet un filtrage rapide des paquets et, selon le matériel, il est capable de fournir des bandes passantes supérieures à 10 Gbit/s. Grâce à l’interface utilisateur graphique, nous pourrons créer des groupes d’hôtes et de réseaux pour leur appliquer ultérieurement des règles brèves et ordonnées, ce qui est important pour savoir ce que nous filtrons et également pour maintenir les règles. Bien sûr, cette distribution orientée pare-feu dispose de rapports graphiques et de journaux avancés pour savoir tout ce qui se passe dans le système.
Avec IPFire, nous pouvons configurer le pare-feu pour atténuer et bloquer les attaques par déni de service, en le filtrant directement dans le pare-feu lui-même sans atteindre les serveurs, pour ajouter une couche de protection très importante à nos services Web, FTP, e-mail et autres. . Bien entendu, grâce à son IDS/IPS (Intrusion Detection and Intrusion Prevention System) avancé, IPFire analysera tout le trafic réseau et sera capable de détecter des centaines de types d’attaques réseau, de fuites d’informations, et plus encore d’activité réseau suspecte.
VPN
Aujourd’hui, les réseaux privés virtuels sont très importants pour interconnecter des emplacements distants sur Internet et en toute sécurité. IPFire intègre différents types de VPN, y compris IPsec VPN et également OpenVPN, idéal pour pouvoir interagir avec les fabricants de pare-feu tels que Cisco, Juniper, Mikrotik, D-Link et tous ceux qui utilisent les normes. Grâce à l’incorporation d’OpenVPN, les utilisateurs distants pourront se connecter au bureau comme s’ils s’y trouvaient physiquement, et tout cela de manière sécurisée puisque toutes les communications sont cryptées de bout en bout.
Grâce au fait qu’il est basé sur Linux, nous pouvons installer d’autres VPN comme le populaire WireGuard, mais nous n’aurons pas d’interface utilisateur graphique pour créer les différents pairs, nous devrons tout faire manuellement via SSH pour entrer par le console, un handicap pour les utilisateurs qui ne veulent rien exécuter par console et veulent tout avoir via l’interface utilisateur graphique du système d’exploitation IPfire lui-même.
Autres caractéristiques
IPFire intègre un grand nombre de fonctionnalités de routeurs professionnels et de pare-feux professionnels, certaines des principales fonctionnalités supplémentaires sont la possibilité de configurer un serveur proxy de manière avancée, un serveur DHCP, intègre un cache de nom de domaine, un serveur NTP pour l’époque, WoL ( Wake ON LAN), serveur DDNS, QoS avancé, un enregistrement complet de tous les événements qui se produisent dans le système d’exploitation, etc.
L’une des fonctionnalités les plus importantes est la possibilité d’installer des extensions, grâce à ce logiciel supplémentaire, nous pouvons étendre les fonctionnalités de ce pare-feu professionnel. Certaines des extensions les plus populaires sont :
- Serveur de fichiers réseau avec Samba et NFS.
- Serveur d’impression réseau.
- Astérisque pour un standard VoIP.
- Teamspeak.
- Serveur d’enregistrement vidéo.
- Serveur de messagerie et antispam.
- Serveur antivirus utilisant le moteur ClamAV.
- Serveur de diffusion.
- Tor pour naviguer anonymement sur Internet
- Plus de plugins qui peuvent être téléchargés directement à partir du wiki principal de votre site Web.
IPFire peut également fonctionner dans une architecture ARM, ce qui lui permet de fonctionner sous des appareils aussi intéressants qu’un Raspberry Pi ou un équipement similaire. Il peut également être installé dans Amazon Cloud pour avoir IPFire dans le cloud, et que toutes les communications fonctionnent via VPN. Enfin, il ne faut pas oublier que ce pare-feu avancé permet l’installation de plugins pour augmenter les fonctionnalités du pare-feu.
Téléchargez et installez IPFire
Le téléchargement et l’utilisation d’IPFire sont entièrement gratuits, il suffit d’entrer sur le site officiel et d’aller directement dans l’onglet «Télécharger». Dans cette section, nous devrons choisir l’architecture de notre équipement, normalement ce sera l’architecture X86_64, mais si vous utilisez l’architecture ARM, vous devrez installer celle qui convient qui se trouve juste en dessous. Une fois dans la section de téléchargement, nous procédons au téléchargement de l’image «ISO Image» pour la charger à partir d’un CD ou d’une clé USB. Étant un système d’exploitation amorçable, nous pouvons utiliser n’importe quel logiciel pour le démarrer plus tard.
Une fois que nous l’avons téléchargé, nous pouvons le graver sur un CD, le copier sur une clé USB amorçable, etc. Dans notre cas, nous allons installer IPFire dans une machine virtuelle avec VMware, afin que vous puissiez voir comment l’installer de manière virtuelle et le tester dans un environnement de test contrôlé, pour le déplacer plus tard en production. Dans cet environnement de test, nous allons créer deux cartes réseau, une en mode pont pour se connecter de manière réelle au réseau local, et une autre en mode hôte uniquement pour pouvoir accéder à l’administration IPFire via le web depuis notre ordinateur, sans dépendre du réseau local.
Configuration de la machine virtuelle dans VMware
Dans notre cas, nous allons utiliser VMware Workstation 15.5 PRO, mais n’importe quelle version serait utilisée pour installer ce système d’exploitation orienté pare-feu. La première chose que nous devons faire lors de l’ouverture de VMware est de cliquer sur « Créer une nouvelle machine virtuelle », comme vous pouvez le voir sur l’écran suivant :
Dans l’assistant de configuration de la machine virtuelle, nous devrons choisir l’image ISO IPFire, sélectionner que le système d’exploitation est un Linux basé sur Ubuntu 64 bits, bien qu’il puisse également choisir une dernière version de Debian, cela fonctionnera quand même. Dans le menu suivant, nous choisissons le chemin de la VM, le disque réservé à la machine virtuelle, et enfin, nous verrons un résumé de tout le matériel que cette machine virtuelle que nous allons créer aura.
Avant de terminer, il faut cliquer sur « Personnaliser le matériel » pour ajouter une carte réseau supplémentaire, et configurer correctement les cartes réseau.
Quel que soit le nombre de processeurs et de cœurs (nous recommandons 1 processeur et 2 cœurs), et de RAM (nous recommandons un minimum de 2 Go), nous devons ajouter une deuxième carte réseau, car nous aurons l’Internet WAN (réseau) et le LAN (vert). Nous cliquons sur «Ajouter» et cliquez sur «Adaptateur réseau» pour l’ajouter.
Une fois les deux ajoutés, nous devrons les configurer comme suit :
- Adaptateur 1 : VMnet1 personnalisé (hôte uniquement)
- Adaptateur 2 : pont (automatique)
Ensuite, vous pouvez voir à quoi ressemblerait cette configuration.
Dans le système d’exploitation Windows 10, nous devons aller dans «Panneau de configuration / Centre réseau et partage / Modifier la configuration de l’adaptateur» et changer l’adresse IP en VMware Network Adapter VMnet1, en mettant l’IP 192.168.1.2/24 comme vous pouvez le voir ci-dessous. Une fois terminé, cliquez sur accepter et accepter pour quitter le menu de configuration.
Une fois que nous avons tout configuré au niveau de la machine virtuelle, nous pouvons exécuter la machine virtuelle pour commencer l’installation.
Installation d’IPFire sur VMware
Lorsque nous démarrons la machine virtuelle, nous pouvons voir un menu d’installation très simple via l’interface utilisateur graphique, nous devrons sélectionner la première option «Installer IPFire 2.25», ou simplement attendre quelques secondes car il s’exécutera automatiquement lorsque ce temps passera
Une fois l’installation de ce système d’exploitation démarrée, nous devrons définir la langue d’installation, nous avons l’espagnol disponible donc nous n’avons aucun problème avec la langue. Ensuite, nous serons accueillis à l’installation et nous aurons un bouton pour commencer l’installation. À travers les différents menus, nous devons nous déplacer avec l’onglet, la barre d’espace pour sélectionner les options, et avec la touche « enter » pour les boutons OK ou annuler.
Dans ces menus, il indiquera également que le disque dur dont nous disposons sera effacé avec toutes les données, nous devrons choisir le système de fichiers d’installation, il est recommandé que ce soit EXT4, qui est le plus typique des systèmes d’exploitation Linux. Une fois que nous l’avons sélectionné, le système d’exploitation commencera à être installé et en moins d’une minute, nous l’aurons disponible. Ensuite, il nous dira qu’il a été installé avec succès et il nous faudra redémarrer IPFire. Une fois que nous avons redémarré, il redémarrera et continuera à exécuter cet assistant d’installation.
Dans les menus suivants, nous devons choisir le type de clavier, le fuseau horaire, le nom d’hôte de l’IPfire lui-même, ainsi que le nom de domaine du système d’exploitation.
Ensuite, nous devons entrer à la fois le mot de passe root et le mot de passe admin, le mot de passe root sera utilisé pour accéder à la console ou SSH, et le mot de passe admin pour l’interface utilisateur graphique. Un détail très important est que lorsque nous entrons le mot de passe dans le champ mot de passe, la clé n’est pas reflétée, même pas avec des astérisques, nous devons la mettre «à l’aveugle» par sécurité, pour empêcher les autres utilisateurs de voir la longueur de la clé.
Le menu de configuration principal d’IPFire a un total de quatre options, que nous devons configurer pour commencer à travailler avec le système d’exploitation orienté pare-feu :
- Type de configuration réseau : ici il faut choisir entre VERT + ROUGE, VERT + ROUGE + ORANGE, VERT + ROUGE + BLEU, VERT + ROUGE + ORANGE + BLEU. La chose la plus normale est d’avoir GREEN + RED, sans DMZ ou quoi que ce soit, mais plus tard, nous pouvons le configurer sans problème dans le système d’exploitation lui-même. Dans ce tutoriel nous allons voir comment le faire avec GREEN + RED, c’est-à-dire deux interfaces réseau.
- Affectation des contrôleurs et des cartes : il faut affecter les cartes réseau à leurs interfaces respectives VERTE et ROUGE. Il est essentiel que nous attribuions la carte réseau dans le pont au ROUGE, et la carte réseau dans vmnet1 que nous l’attribuions au VERT.
- Configuration de l’ adresse : nous allons configurer le serveur DHCP en VERT, et le mode de connexion Internet en RÉSEAU.
- Paramètres de la passerelle : cette option n’est utilisée que si nous avons une IP fixe en RÉSEAU.
La première chose que nous allons faire est de sélectionner le type de configuration réseau VERT + ROUGE, puis nous devons entrer VERT et sélectionner la carte réseau.
Comment savoir quelle carte VMware est en mode bridge ou vmnet1 ? Avec l’adresse MAC, on peut ainsi attribuer correctement les cartes aux différents réseaux VERT et ROUGE. Dans VMware, nous cliquons sur «Paramètres de la machine virtuelle», sélectionnez une carte réseau et cliquez sur «Avancé …» en bas à droite. Ici nous obtiendrons l’adresse MAC, dans notre cas, la première correspond au VERT, et la seconde au ROUGE (par défaut, nous n’avons besoin de connaître que le MAC d’une des cartes).
Une fois que nous les avons attribués, ils apparaîtront comme suit :