Je vais bientôt refaire complètement les firewalls d'une boite qui bosse dans le Web (création et hébergement).
Actuellement c'est des GNAP montés en RAMdisk dont l'image est sur une clé USB reliée à la machine.
Donc les FW c'est du netfilter/iptable. Et toute la config (règles) se fait avec des fichiers texte (syntaxe maison) et des scripts Python maison qui parse les fichiers, puis créent toutes les règles iptables, et commit le tout sur les FW.
Bon struc ça commence à être relou, les fichiers de règles sont devenus énormes, et en plus on a d'autres problèmes liés à l'OS (dès que tu veux installer un truc sur le fw faut refaire l'image, pi les fichiers écrits ailleurs que dans /etc ne sont pas sauvegardés, etc...)
Donc là je commence à étudier un peu skon peut faire. Bien sûr les admins ont déjà un peu cogité à ça aussi.
En même temps on se dote d'une toute nouvelle salle serveur delamortkitue, et donc l'archi réseau en est aussi modifée. Voilà les premiers besoins identifiés pour le futur FW du site principal :
[*] 5 interfaces réseau (eth0 pour l'accès Net via un routeur fibre Completel)
[*] dont 3 en trunk 802.1Q car supportant 2 VLAN chacune
[*] possibilité de règle dynamiques pour bloquer des attaques type scan de port, donc blacklister temporairement une IP. On voudrait même, à terme, pouvoir coupler le fw avec un IDS - Snort ou autre.
[*] possibilité de load balancing entre deux FW clones
[*] pouvoir intégrer un agent SNMP v3 (bon ça on l'a déjà sur nos FW en fait) pour intégration à notre supervision (Nagios+Centreon). On veut avoir la BP, sur chaque interface of course, voire même pour chaque VLAN supporté, mais bon ça ca sera plus de l'ordre de la config de l'agent.
[*] Interface évoluée pour la définition des règles. Pas forcément tout graphique d'ailleurs, ca peut être écrire une règle à la main, mais avec une syntaxe 'achement plus simple que iptable.
Donc voilà ça fait quand même des demandes assez pointues. On se tourne vers du fw logiciel opensource simplement pcq les boiboites Checkpoint/Arkoon/&co bah spa donné.
Pour l'instant les premières solutions envisagées c'est :
[*] une distrib Linux + iptable + Shorewall. Des retours sur la Webmin de Shorewall ??
[*] Linux + iptable + FireHOL : simplifie la création des règles, mais incomplet pour ce qu'on veut, je pense notamment au couplage avec Snort ou au load balancing
[*] distrib toute prête IpCop : euh 5 interfaces, des VLAN et tout, va savoir s'en sortir IpCop ? :/
[*] et vu que ca a été souvent évoqué ici, perso je pensais à du pfSense.
Quelques petites questions sur pfSense pour ceux qui ont déjà bien les mains dedans :
1/ pour les techs habitués à Linux et iptable, le passage à FreeBSD et Packet Filter est pas trop dépaysant ?!? Pcq bon là on peut pas trop se planter, les techos auront pas le temps de passer la journée à apprendre les subtilités de BSD et PF.
2/ le FW n'a pas de notion de VLAN directement, je présume qu'on va définir des variables pour chaque VLAN donnant la plage d'adresses IP utilisées dans ce VLAN ??
Tout retour sur vos déploiements de ce genre de solutions est bienvenu.
Peut-être aussi qu'il existe d'autres solutions encore non-évoquées ici !
génial !
