Site icon RDR-IT

Solutions de sécurité périmétrique gratuite à mettre en place en 2024 si vous n’en avez pas encore

Romain

Bonjour à tous,

Dans ce nouvel article, je vous propose de faire le tour de « quelques solutions » de sécurité périmétrique gratuite que vous pouvez mettre en place en 2024, si vous n’êtes pas encore équipé.

Souvent en tant qu’Administrateur système et réseau, nous sommes sensibilité à la cybersécurité de nos infras, ce qui n’est pas forcement le cas des autres personnes avec qui ont travail et la direction qui a tendance à ne pas prendre cette problématique au sérieux.

Les équipements de sécurité coutent souvent cher et il n’est pas toujours facile d’avoir des budgets surtout dans les PME.

C’est pour cette raison, que je vous propose cet article afin de pouvoir mettre des solutions en place à moindre coût.

  1. Firewall – Pare feu – Proxy
  2. MTA – Mail Transfert Agent
  3. Reverse proxy
  4. Bastion
  5. Bonus : Keycloak

Firewall – Pare feu – Proxy

En 2023, encore beaucoup d’entreprises et de collectivités ne sont pas équipé de Pare-Feu et utilise comme passerelle Internet la box opérateur qui est totalement dépourvu de sécurité.

Il y a quelques années en arrière, le pare-feu était vu comme le Big Brother de l’entreprise, qui permettait de voir tout ce que les gens allaient consultés sur Internet.

Pour moi en 2023, ce constat n’est plus ! Pourquoi ? Si une personne souhaite aller sur Internet sans laisser de trace sur son lieu de travail, elle n’a cas utilisé son téléphone … Est ce réellement au service informatique de contrôler si les gens travaillent ou consulte les réseaux sociaux ? Non c’est à leur responsable de gérer ça …

Le principal rôle du firewall est de filtrer les flux entrant et sortant en les analysants, cette analyse peut bloquer une attaque connue grâce à l’IDS. On peut aussi bloquer les IPs de serveur C&C (Command & Control) et empêcher un virus (Ransomware) sur un ordinateur interne de s’activer

Il existe de nombreuse solution gratuite de Firewall sur Internet, pour ma part voici celle que je peux vous conseillé par ordre de préférence

IPFire
PFsense
OPNsense

Pfsense est la solution pour moi la plus aboutie car présente depuis de nombreuse années, avec une forte communauté et de nombreuse fonctionnalité

OPNsense est un fork de pfsense que j’ai essaie que je trouve moins agréable.

L’avantage de ceux deux solutions c’est qu’il est possible d’installer Crowdsec dessus et d’d’augmenter le niveau de sécurité des applications publiés directement depuis le firewall.

En plus de la partie sécurité, les pare-feu apportent d’autres choses :

MTA – Mail Transfert Agent

Si beaucoup d’entreprise n’ont pas de firewall, de MTA c’est encore plus vrai.

Pour faire simple, le MTA est un « pare-feu » pour les e-mails, une solution MTA va permettre de filtrer les emails entrant et sortant vers un domaine de messagerie avec les fonctionnalités suivantes :

On a souvent deux cas :

Ici, la seule solution gratuite qui fait concurrence à des solutions commerciales que je connaisse est Proxmox Mail Gateway.

J’ai personnellement tester la solution qui m’a donnée entière satisfaction.

Reverse proxy

Là aussi, on ne va pas faire le bilan catastrophique du nombre d’applications publiés directement sur Internet sans avoir le moindre mécanisme de protection ….

A minima un firewall avec IDS d’activé permet de bloquer certaines attaques

Un reverse proxy pour être efficace , ne doit pas seulement être un serveur Web qui transfert simplement les requêtes vers le serveur de destination.

Il doit avoir des mécanismes de sécurité :

En plus de « sécurisé » les applications, le reverse proxy apporte :

Il existe beaucoup de solution gratuite pour mettre en place un reverse proxy

Le nombre de solution de manque et en plus il est possible d’installer Crowdsec avec la plupart des solutions 🙂

Si vous publiez des serveurs Exchange sur Internet, je conseille d’utiliser Kemp ou ARR.

Bastion

Dernier point de cet article : un bastion.

Là aussi en scannant Internet, on trouve facilement des serveurs d’entreprise exposés sur Internet en RDP (Bureau à distance) ou SSH, pour la prise de main à distance soit pour les personnes du SI (la je suis désespéré) ou pour les prestaires.

Dans les deux cas, c’est pas top !

Un bastion est un application (souvent Web) qui va mettre à disposition un portail Web (en HTTPS derrière un reverse proxy) va permettre de se connecter à des serveurs que l’on aura publié dessus.

La majorité des bastions prennent charge le SSH et le Bureau à Distance, ce qui permet de ne pas les publier sur Internet.

En plus ça, vous aurez des logs de qui c’est connecté à quoi et quand ! Et bonus, il est possible d’enregistré les sessions en vidéo.

L’autre avantage d’utilise un bastion, c’est de s’affranchir de solution de prise de main à distance comme :

En solution de Bastion gratuite vous avez :

Bonus : Keycloak

Pour finir en bonus, je vais vous parler de Keycloak, qui est un portail d’authentification unique (SSO) qui prend en charge OpenID et SAML.

Si vous avez des applications compatibles avec ces protocoles d’authentification (Guacamole l’est), vous allez pouvoir mettre ce portail en place et celui-ci va vous permettre de « sécurisé » un peu plus vos applications avec :

Deviner quoi ? On peut protéger Keycloak derrière un reverse proxy avec une collection Crowdsec 🙂

Plusieurs tutoriels sur Keycloak sont en préparation …

J’espère que ce tutoriel, vous aura donner des pistes de solutions à mettre en place.

Si vous avez d’autres idées et solutions sur la protection périmétrique gratuite, j’attend vos commentaires avec impatiente.

En 2024, vous allez mettre quoi en place ?

Quitter la version mobile