Guide de configuration avancée pour IPFire
Sommaire
IPFire est un pare-feu faisant naturellement office de routeur basé sur une distribution Linux, idéale pour protéger et sécuriser votre infrastructure informatique. Ce tutoriel vous guidera à travers une configuration avancée d'IPFire
1. Serveurs DNS
Les serveurs DNS permettent de résoudre les noms de domaine en adresses IP. Voici la configuration des serveurs DNS recommandée pour une meilleure sécurité et confidentialité :
Allez dans Network → Domain Name System et ajoutez un ou plusieurs serveurs DNS de votre choix.
Ci-dessous des exemples :
Cloudflare : ce serveur est rapide, sécurisé, et privé, offrant un service DNS performant.
• IP address: 1.1.1.1
• TLS Hostname: one.one.one.one
NextDNS : un service de DNS personnalisable qui offre un contrôle total sur les filtres de sécurité et la confidentialité.
• IP address: 45.90.28.0 ou 45.90.30.0
• TLS Hostname: dns1.nextdns.io
Quad9 : un autre service de DNS sécurisé qui bloque l'accès à des sites malveillants et protège les utilisateurs contre le phishing.
• IP address: 9.9.9.9
• TLS Hostname: dns9.quad9.net
DNS4EU : offre une solution DNS européenne souveraine, sécurisée et respectueuse de la vie privée. Il est conforme RGPD.
• IP address: 86.54.11.100
• TLS Hostname: unfiltered.joindns4.eu
Configuration DNS
• Use ISP-assigned DNS servers : Désactivé
En désactivant cette option, vous vous assurez que IPFire utilise uniquement les serveurs DNS configurés manuellement, ce qui améliore la confidentialité et la sécurité. Vous vous affranchissez des DNS de votre fournisseur d'accès à Internet (ISP), qui peuvent être moins sûrs.
• Protocol for DNS queries : TLS
Utiliser DNS over TLS (DoT) permet de chiffrer les requêtes DNS entre IPFire et le serveur DNS. Cela protège contre l'espionnage des requêtes DNS et les attaques de type "man-in-the-middle".
• QNAME Minimisation : Strict
La minimisation QNAME permet de réduire la quantité d'informations envoyées lors des requêtes DNS. Cela renforce la confidentialité en ne divulguant que les informations strictement nécessaires.
Vérification DoT
Vous pouvez vérifier que vos requêtes DNS sont bien chiffrées et encapsulées par DoT via le lien suivant :
Vérification DNSSEC
DNSSEC (DNS Security Extensions) permet de vérifier l'intégrité des réponses DNS en s'assurant qu'elles proviennent de sources légitimes. Vérifiez si DNSSEC est activé pour garantir la sécurité de vos requêtes DNS via le lien suivant :
2. Serveur DHCP
Le DHCP (Dynamic Host Configuration Protocol) attribue automatiquement des adresses IP aux dispositifs connectés à votre réseau. Activez le DHCP sur les interfaces souhaitées.
Allez dans Network → DHCP Server
Configuration DHCP
• Green Interface :
Cela permet à IPFire de distribuer des adresses IP automatiquement aux périphériques connectés sur le réseau local (LAN).
• Blue Interface :
L'interface bleue est généralement utilisée pour un réseau sans fil ou un réseau invité. En activant cette option, vous permettez aux périphériques sans fil ou invités d'obtenir une adresse IP via DHCP.
• Mise à jour DNS (RFC2136) : Désactivé
La fonctionnalité DNS Update dans IPFire permet aux clients DHCP de mettre à jour leurs propres entrées DNS conformément à la norme RFC2136. Cela garantit que la résolution des noms d'hôte dans le réseau local reste cohérente lorsque l'adresse IP d'un client change.
Cependant RFC2136 peut augmenter la vulnérabilité du système DNS. Il est recommandé de ne pas activer cette fonctionnalité (ou de l'activer uniquement brièvement) en raison d'un problème de conception. De plus, cela peut entraîner de nombreux enregistrements inutiles.
3. Règles du Pare-feu
Les règles de pare-feu régissent le trafic entrant et sortant de votre réseau.
Allez dans Firewall → Firewall Rules, et ajoutez les règles selon vos besoins.
Règles de Pare-feu
Source GREEN → Destination RED
• HTTP : Port 80 TCP (Accès HTTP vers Internet)
• HTTPS : Port 443 TCP (Accès HTTPS sécurisé vers Internet)
Source BLUE → Destination RED
• HTTPS : Port 443 TCP (Accès HTTPS sécurisé vers Internet pour les périphériques sans fil)
• Google Playstore : Port 5228 TCP (Accès aux services Google Play pour les appareils Android)
Accès du Pare-feu entrant
Source GREEN → Destination FIREWALL GREEN
• HTTPS : Port 444 TCP (Permet d'accéder à l'interface Web d'IPFire)
Accès du Pare-feu sortant
Source FIREWALL RED → Destination RED
• ICMP : Permet le ping (utilisé pour tester la connectivité réseau)
• NTP : Port 123 UDP (Utilisé pour synchroniser l'heure avec des serveurs de temps)
• HTTP : Port 80 TCP (Accès HTTP vers Internet)
• HTTPS : Port 443 TCP (Accès HTTPS vers Internet)
• DoT : Port 853 TCP (DNS over TLS, permettant de sécuriser les requêtes DNS)
• SSMTP : Port 465 TCP (Utilisé pour envoyer des emails via un serveur SMTP sécurisé, requis pour les notifications par mail)
• NICNAME : Port 43 TCP (Résolution WHOIS pour interroger des informations de domaine)
Informations
Vous pouvez voir les connexions bloquées (ainsi que le protocole et le port) dans Logs → Firewall logs.
Les connexions actives sont visibles sous Status → Connections.
Vous pouvez créer vos propres protocoles prédéfinis dans Firewall → Firewall Groups : Services.
4. Comportement par défaut du pare-feu
Le comportement par défaut du pare-feu peut être configuré pour bloquer ou autoriser les connexions sortantes et en avant, avec des actions spécifiques comme DROP ou REJECT pour les paquets réseau.
Allez dans Firewall → Firewall Options
• FORWARD : Bloqué
Le trafic de type forward est bloqué (c'est-à-dire le transfert de paquets entre différentes interfaces), sauf si des règles explicites permettent le passage. Cela améliore la sécurité en limitant les communications entre réseaux différents.
• OUTGOING : Bloqué
Les connexions sortantes sont bloquées. Vous devrez créer des règles pour autoriser certains types de trafic sortant si nécessaire.
5. Système de prévention d'intrusion
L'IPS (Système de prévention d'intrusion) détecte et bloque les tentatives d'attaque.
Allez dans Firewall → Intrusion Prevention System
• Paramètres du fournisseur : Snort/VRT GPLv2 Community Rules
Utilisation des règles communautaires de Snort, un moteur IDS/IPS open-source reconnu. Ces règles sont régulièrement mises à jour pour détecter les dernières menaces.
• Activer l'Intrusion Prevention System : ON
Lorsque l'IPS est activé, IPFire surveille tout le trafic entrant et sortant pour détecter des comportements suspects et bloquer les attaques potentielles.
• Interfaces surveillées : ALL (RED, GREEN, BLUE, ORANGE)
L'IPS surveille toutes les interfaces de IPFire pour garantir une sécurité maximale, qu'il s'agisse de trafic interne ou externe.
6. Blocage géographique
Cette option permet de bloquer l'accès à votre réseau en provenance de pays spécifiques, ce qui peut être utile pour éviter les attaques provenant de certaines régions géographiques.
Allez dans Firewall → Location Block
• Activer le blocage basé sur la localisation : ON
• Bloquer les pays : TOUS
Cette règle peut être utilisée pour interdire complètement l'accès à votre réseau en provenance de pays spécifiques.
7. Outil de détection de brute force
Guardian est un outil de détection de brute force intégré à IPFire, idéal pour protéger les services comme SSH ou HTTP contre les attaques par brute force.
Allez dans IPFire → Pakfire
• Installez Guardian
Puis allez dans Services → Guardian
Configuration de Guardian
• Activer Guardian : ON
Ce service surveille les tentatives de connexion et bloque les adresses IP qui effectuent des tentatives de connexion multiples et suspectes.
• Détection de brute force SSH : ON
Cette option permet de protéger le service SSH contre les attaques par brute force, où un attaquant tente de deviner les identifiants de connexion.
• Détection de brute force httpd : ON
Cela protège également le serveur HTTP contre les attaques par brute force, en bloquant les IP suspectes après un certain nombre de tentatives échouées.
8. Point d'accès sans fil
Hostapd permet de configurer IPFire en tant que point d'accès sans fil (Wi-Fi).
Allez dans IPFire → Pakfire
• Installez Hostapd
En installant ce paquet, vous pourrez transformer IPFire en un point d'accès sécurisé pour votre réseau sans fil, avec la possibilité de définir des paramètres de sécurité.
Rendez-vous ensuite dans IPFire → Wireless Access Point
Cette section vous permet de configurer un point d'accès sans fil pour votre réseau : ipfire.org/docs/addons/wireless
Puis allez dans Firewall → Blue Access
Pour autoriser l'accès sans fil depuis le réseau bleu, vous devez ajouter :
• IP Source : 192.168.x.0/24
Cette règle définit la plage d'adresses IP autorisées sur le réseau bleu. Vous devez ajuster cette plage en fonction de votre sous-réseau.
• Adresse MAC Source : Aucune
Cette option permet de désactiver le filtrage des adresses MAC sur le réseau bleu. Cela signifie que tous les périphériques, indépendamment de leur adresse MAC, pourront se connecter au point d'accès sans fil. Cette configuration est souvent utilisée dans des environnements avec de nombreux appareils, mais attention, elle réduit la sécurité.
Remarque : Désactiver le filtrage des adresses MAC est pratique pour une gestion simplifiée du réseau sans fil, mais cela peut diminuer la sécurité.
Désactivation de l'accès à l'interface web IPFire pour les clients du réseau bleu
Pour désactiver l'accès à l'interface web d'IPFire pour les clients du réseau bleu, ajoutez une règle au pare-feu :
• Source : Standard networks BLUE
• Destination : Firewall BLUE
• Protocol : TCP
• Destination port : 444
• Action : DROP
Si le proxy est activé sur la zone bleue, il est également nécessaire d'écrire une règle ACL.
• Ajoutez l'entrée suivante dans le fichier /etc/squid/squid.conf :
#Start of custom includes
# deny to the Blue network access to IPFire
http_access deny IPFire_blue_network IPFire_ips
#End of custom includes
Ces modifications empêcheront les clients du réseau Blue d'accéder à l'interface web d'IPFire, tout en maintenant les autres fonctionnalités du pare-feu.
9. Configuration des logs
Allez dans Logs → Log Settings
Options d'affichage des logs
• Trier par ordre chronologique inverse : ON
Les logs sont triés de manière à ce que les événements les plus récents apparaissent en premier.
• Nombre de lignes par page : 500
Permet de visualiser jusqu'à 500 lignes de logs à la fois, ce qui facilite la recherche d'incidents récents.
10. Configuration du Proxy Web
Un proxy agit comme un intermédiaire entre un utilisateur et d'autres serveurs, offrant des avantages tels que la mise en cache des requêtes, la sécurisation du réseau, le filtrage de contenu et l'anonymisation des utilisateurs.
En configurant un proxy, vous pouvez contrôler plus efficacement l'accès au web tout en optimisant la gestion du trafic réseau.
Allez dans Network → Web Proxy
Configuration avancée du proxy Web
• Activez le proxy sur les interfaces souhaitées.
Le proxy peut fonctionner en mode transparent ou non transparent.
• En mode non transparent, il est nécessaire de configurer manuellement les clients pour utiliser le proxy.
• En mode transparent le proxy intercepte les requêtes des clients sans qu'il soit nécessaire de configurer manuellement chaque appareil. Dans ce mode, il faut utiliser WPAD pour distribuer automatiquement la configuration du proxy aux clients :
Créez une entrée nommé "wpad" dans Network → Edit Hosts avec l'IP de votre IPFire, afin que les clients puissent découvrir et se connecter automatiquement au proxy.
Contrôle d'accès basé sur le réseau (Network-based access control)
Sous cette option, vous pouvez spécifier les sous-réseaux autorisés à accéder au proxy.
• Allowed subnets : 192.168.x.0/24
L'entrée d'un sous-réseau sous cette option permet un accès général au proxy Web.
• Disable internal proxy access to Green from other subnets: Activé
Si le proxy est activé et utilisé pour les deux zones (bleue et verte), la zone bleue est autorisée à accéder au réseau vert via http ou https, quels que soient les paramètres du pare-feu.
• Disable internal proxy access from Blue to other subnets: Activé
Comme pour la case à cocher précédente, si le proxy est activé et utilisé pour les deux zones (bleue et verte) et que vous souhaitez refuser au réseau bleu tout accès en dehors de l'espace bleu, la case à cocher correspondante doit être cochée.
Remarque : Si vous utilisez un proxy Web, il peut être nécessaire de désactiver certaines règles du pare-feu afin de forcer le trafic à passer par le proxy :
Désactivez les règles Source GREEN et/ou BLUE → Destination RED HTTP et HTTPS sur le pare-feu pour vous assurer que les périphériques du réseau Green et/ou Blue passent exclusivement par le proxy pour accéder à Internet, au lieu de se connecter directement à des ressources externes.
Le proxy Web d'IPFire inclut un filtre URL permettant de bloquer ou d'autoriser l'accès à des sites web spécifiques. Le filtrage s'applique aux URL en HTTP et HTTPS. Pour les connexions HTTPS, seul le domaine et le sous-domaine sont visibles (le contenu des pages HTTPS étant chiffré).
Vous pouvez ajouter des domaines ou des expressions personnalisées pour créer des règles de filtrage spécifiques par liste noire.
Ou au contraire, uniquement autoriser des URL par liste blanche, en cochant Block all URLs not explicitly allowed
Il est également possible de filtrer par catégories. Pour charger une liste d'URL préétablie :
Allez dans Network → URL filter
URL filter maintenance
• Automatic blacklist update: Activé
• Automatic update schedule: monthly
• Select download source: Univ. Toulouse
Pour valider le bon fonctionnement du proxy, ajoutez une URL dans le liste noire (Blacklist), par exemple www.google.com et vérifiez que l'accès est bien bloqué depuis votre navigateur.