IPFire

distribution Linux dédiée firewall

IPFire est un firewall stateful destiné aux professionnels aussi bien qu'aux particuliers ; il est basé sur Linux From Scratch, une distribution Linux construite entièrement à partir du code source (contrairement aux autres distributions Linux, qui fournissent des paquets pré-compilés), que l'on peut installer sur un PC même un peu âgé, en fonction de ses besoins. On peut considérer l'ensemble comme une « distribution à usage spécifique » ou « distribution dédiée ». IPFire est gratuit.

IPFire
Image illustrative de l’article IPFire

Famille Linux
État du projet en développement constant
Plates-formes x86_64 ARM64[1]
Entreprise /
Développeur
Équipe IPFire
Licence GPL
États des sources Logiciel libre et open source
Dernière version stable 2.29 Core Update 189 ()[2]Voir et modifier les données sur Wikidata
Méthode de mise à jour Pakfire[3]
Interface utilisateur par défaut WebGUI[4]
Gestionnaire de paquets Pakfire[5],[3]
Site web www.ipfire.org

Description

modifier

IPFire est un firewall, faisant naturellement office de routeur. Il est construit sur une base Linux From Scratch et, à la différence des autres distributions Linux, n'a pas vocation — pour des raisons évidentes de sécurité — à être utilisé en tant que système d'exploitation « normal » ; sa destinée est d'être installé sur un PC qui ne servira que de firewall / routeur et qu'on administrera, la plupart du temps, par le réseau ; typiquement : à partir d'un navigateur web, vers le port du serveur de la WebGUI (WUI)[4] ou d'une connexion SSH, à partir d'un terminal[6]. IPFire est gratuit et librement télachargeable sur le site officiel.

Concept

modifier

IPFire est la reprise, par une équipe de développeurs allemands[7],[8], d'IPCop, pare-feu lui-même déjà basé sur Linux From Scratch, dont le développement à cessé en 2017.

L'un des concepts de base de cette distribution[9] est la facilité d'utilisation[10],[11], qui s'adresse principalement aux utilisateurs ayant peu de connaissances en administration des réseaux. Néanmoins, les développeurs ont veillé à ce que les administrateurs expérimentés disposent de toutes les options de configuration professionnelles.

D'autre part, la conception « sécurité à la conception (en) » qui est mise en œuvre dans son développement est essentielle pour l'assurance d'une sécurité optimale.

La conception modulaire permet aux utilisateurs de créer un firewall adapté à leurs besoins. Il peut être installé sur du matériel très ancien, mais il est préférable de lui offrir suffisamment de mémoire et un processeur véloce, car un firewall « à état » analyse chaque paquet (datagramme), le confrontant à chaque règle, au fur-et-à-mesure de leur entrée sur le réseau et cela demande pas mal de ressources (fonction du nombre de connexions, donc de la taille du réseau et du nombre de règles), sauf à engorger ledit réseau. Mais cela reste proportionnel aux besoins, un petit réseau local pourra, effectivement, se satisfaire d'un matériel relativement ancien et « faire le boulot », la conception d'IPFire est faite justement pour utiliser le moins possible de ressources, ce qui complique le développement. Son cahier des charges pourrait être résumé en « sécurité, économie des ressources et robustesse ».

Configuration requise

modifier

Au minimum[12] :

  • processeur : depuis 2022, un processeur x86_64 ou ARM64 (et quelques autres[13]), cadencé à une fréquence de 1GHz ou plus ;
  • RAM : 1GB minimum pour une configuration de base, mais prévoir plus si l'on compte ajouter des add-ons[14] et encore plus selon la taille du réseau ;
  • HDD : un disque dur de 2GB minimum est requis[12], même si le système, en lui-même, nécessite seulement 200MB d'espace de stockage ; pour une configuration « de confort », les développeurs préconisent plutôt 4GB minimum (à cause des journaux et des add-ons) ; N.B. :
    • IPFire supporte les disques de 3TB ou plus, de types IDE (PATA), SATA et SCSI. La plupart des contrôleurs RAID du marché sont également supportés[12].
    • On peut utiliser un disque SSD (pour l'installation du système d'exploitation et des add-ons) ce qui aura pour avantage de considérablement réduire les délais de lectures/écritures, mais avec l'inconvénient de la durée de vie relativement courte (7 ans en moyenne, mais beaucoup moins sur un firewall, en raison d'un grand « TBW » (« Terabytes written », soit nombre de Téraoctets écrits)) de ce type de disques et du MTBF (qui dépend directement du TBW[15]).
  • NICs : Deux cartes ethernet sont indispensables pour une utilisation minimale (« WAN » + « LAN ») et quatre sont requises pour utiliser la totalité des possibilités d'IPFire[16] :
    • une pour le réseau « RED » (la patte « WAN », raccordée au modem / routeur xDSL ou fibre optique connecté au FAI) ;
    • une deuxième, indispensable aussi, pour la connexion au LAN « GREEN » (la patte « LAN » du firewall, raccordée au(x) switch(es) du LAN) ;
    • une troisième, facultative, pour le réseau « BLUE », raccordée à un point d'accès Wi-Fi (ou à un switch, lui-même connecté à un AP (Access Point / point d'accès)), pour gérer les connections au(x) réseau(x) WiFI à l'intérieur du réseau ;
    • enfin, une dernière, facultative également, pour le réseau « ORANGE », dédié à la DMZ.

Système de base

modifier

Le système de base est doté des fonctionnalités suivantes :

  • serveur proxy avec filtre de contenu et fonctions de mise en cache pour les mises à jour (par exemple, les mises à jour Microsoft Windows, antivirus, etc.)
  • système de prévention d'intrusions (IPS) Suricata
  • VPN via IPsec et serveur OpenVPN
  • serveur DHCP
  • serveurs de noms avec mise en cache DNS (avec prise en charge de DNSSEC, dont DNS over TLS (DoT) )
  • serveur de temps (NTP)
  • Wake-On-LAN (WOL) (réveil depuis le réseau local)
  • DNS dynamique (DynDNS, No-IP)
  • Qualité de service (QoS)
  • pare-feu stateful
  • fonctions de surveillance du système et analyse des logs
  • système de mises à jour des paquets sécurisée (chiffrée), fiable et facile à utiliser
  • filtrage GeoIP (depuis la version 2.17 - Core Update 90)
  • portail captif (depuis la version 2.19 - Core Update 115)
  • protection SYN flood, contre les DDoS (depuis août 2024, version 2.29 - Core Update 187)

Pakfire : le gestionnaire de paquets

modifier

Pakfire est un système complet — et spécialement développé — de gestion des paquets, à l'instar de ses homologues APT pour Debian ou YUM pour RedHat, Fedora ou CentOS. Il offre un moyen sûr et simple d'installer les mises à jour des paquets et des modules complémentaires.

Ses fonctionnalités les plus importantes sont :

  • Chiffrement : tous les paquets et les données transférées sont cryptés et signés numériquement par le serveur. Par conséquent, aucun paquet contrefait ne peut être installé.
  • Miroirs : grâce au système de cryptage, on peut faire totalement confiance aux serveurs miroirs.
  • Facilité et souplesse d'utilisation : l’installation des paquets est simple, avec sa propre interface graphique (WebGUI)[3], mais si l'on préfère, on peut utiliser la CLI, par l'intermédiaire de SSH, dans un terminal[5].

IPFire offre une grande quantité d'add-ons, qui sont régulièrement mis à jour par PakFire.

À ce jour (), il y a 99 add-ons disponibles[14], parmi lesquels on trouve :

  • Tor[17] pour transformer IPFire en proxy Tor, grâce à Squid ;
  • plusieurs serveurs de fichiers comme NFS[18], Samba[19], TFTPD[20] (lequel est très pratique pour héberger les images systèmes et les mises à jour des switches) ;
  • Wireless Access Point[21], pour, à l'aide d'une carte Wi-Fi, transformer IPFire en point d'accès directement relié au réseau « BLUE » ;
  • le serveur d'impressions CUPS[22], pour gérer les imprimantes du réseau ;
  • Bacula[23] ou rsnapshot[24], entre autres, comme solutions de backup ;
  • socat[25] (pour « SOcket CAT »), un couteau-suisse des transmissions, sorte de relais proxy pour les transferts bidirectionnels de données entre deux canaux (il en existe énormément, voir la doc) indépendants ; un nc amélioré ;
  • postfix[26], le MTA bien connu sous Unix et fetchmail[27], pour récupérer, le cas échéant, le courrier sur un serveur POP ou IMAP ;
  • Transmission[28], le client BitTorrent… même si c'est une très mauvaise idée d'ouvrir inutilement des ports externes sur un firewall, mieux vaut utiliser, par exemple, une machine dédiée qui sera dans la DMZ (le réseau « ORANGE ») ;
  • FreeRadius[29], offrant une solution centralisée d'authentification (communiquant avec LDAP (Active Directory, sous Windows), RADIUS et d'autres protocoles) ;
  • Lynis[30] pour auditer les machines du réseau ou le firewall lui-même ; Spectre Meltdown Checker[31] pour vérifier que le(s) CPU(s) ne sont pas sensibles à des vulnérabilités connues telles que Spectre ; ou encore Guardian[32], l'ancien IDS, encore très utile pour les attaques SSH en « force brute » ;
  • Suricata[33] le nouvel IPS.
  • Près de 25 outils réseau, parmi lesquels :
    • avahi[34] : découverte de services sur le réseau ;
    • bwm-ng[35] : monitoring de bande passante en mode texte ;
    • fping[36] : ping sous stéroïdes ;
    • netcat / ncat [37] : « GNU-netcat » (« nc » de son petit-nom) est « le couteau-suisse de l'administrateur réseau » depuis 2004 ;
    • nginx[38] : le descendant d'Apache, mini-serveur pouvant servir de proxy, de serveur mail et de serveur web, évidemment, à faibles coûts ; à placer aussi en DMZ ;
    • nmap[39] : le scanner de ports le plus connu au monde, qu'on ne présente plus ;
    • speedtest-cli[40] : testeur de bande passante en CLI, qui interroge le site Speedtest.net ;
    • stunnel[41] : proxy permettant d'initier un tunnel chiffré TLS ;
    • tcpdump[42] : permet de capturer des trames et d'analyser le trafic réseau (en CLI) ;
    • traceroute[43] : plus besoin de le présenter non plus ;
    • tshark[44] : un analyseur de trames similaire à tcpdump, mais beaucoup plus puissant (la version CLI de wireshark).
  • Une grosse dizaine d'outils de surveillance, parmi lesquels :
    • apcupsd[45] : permet la gestion simple des onduleurs (de la marque APC (American Power Conversion de Schneider Electric) du LAN ;
    • NUT (Network_UPS_Tools (en))[46] : idem à apcupsd ci-dessus, mais non limité à la marque APC et beaucoup plus puissant ;
    • NRPE[47] : permet d’interagir avec le Nagios Remote Plugin Executor (NRPE) installé sur un serveur Nagios du LAN ;
    • watchdog[48] : redémarre le système en cas de détection d'un problème sérieux ;
    • wio[49] : service de surveillance intégré indiquant quels appareils du LAN sont connectés ou en ligne et qui peut également envoyer des alarmes, il est en mode graphique et hautement configurable ;
    • Zabbix Agent[50] : permet d’interagir avec le serveur Zabbix du LAN afin de surveiller une instance d'IPFire par l'intermédiaire d'un tableau de bord graphique.
  • Enfin, il en existe également une petite dizaine d'autres, dédiés au multimédia.

Notes et références

modifier
  1. (en-US) « ARM », sur ipfire.org, (consulté le ).
  2. Michael Tremer, « IPFire 2.29 - Core Update 189 released » (consulté le )
  3. a b et c (en-US) « Pakfire », sur ipfire.org, (consulté le ).
  4. a et b (en-US) « Web Interface (WebGUI) », (consulté le ).
  5. a et b (en-US) « Using the Pakfire Console », (consulté le ).
  6. (en-US) « SSH Access », sur ipfire.org, (consulté le ).
  7. « IPFire Project », sur linkedin.com (consulté le ).
  8. « IPFire.org », sur facebook.com (consulté le ).
  9. « IPFire », sur distrowatch.org, (consulté le ).
  10. « IPFire – La distribution Linux Routeur + Firewall », sur korben.info, (consulté le ).
  11. (en) « IPFire: A User-Friendly Linux Firewall Distribution », sur linux.com, (consulté le ).
  12. a b et c (en-US) « System Requirements », sur ipfire.org, (consulté le ).
  13. (en-US) « ARM », sur ipfire.org, (consulté le ).
  14. a et b (en-US) « Add-ons », sur ipfire.org, (consulté le ).
  15. « Quelle est la durée moyenne de vie d’un SSD? », sur blog.kiatoo.com, (consulté le ).
  16. (en-US) « Network topologies and access methods », sur ipfire.org, (consulté le ).
  17. « Tor », sur ipfire.org, (consulté le ).
  18. (en-US) « NFS », sur ipfire.org, (consulté le ).
  19. (en-US) « Samba », sur ipfire.org, (consulté le ).
  20. (en-US) « tftpd », sur ipfire.org, (consulté le ).
  21. (en-US) « Wireless Access Point », sur ipfire.org, (consulté le ).
  22. (en-US) « CUPS », sur ipfire.org, (consulté le ).
  23. (en-US) « bacula », sur ipfire.org, (consulté le ).
  24. (en-US) « rsnapshot », sur ipfire.org, (consulté le ).
  25. (en-US) « socat », sur ipfire.org, (consulté le ).
  26. (en-US) « Postfix », sur ipfire.org, (consulté le ).
  27. (en-US) « fetchmail », sur ipfire.org, (consulté le ).
  28. (en-US) « Transmission », sur ipfire.org, (consulté le ).
  29. (en-US) « Freeradius Server », sur ipfire.org, (consulté le ).
  30. (en-US) « Lynis », sur ipfire.org, (consulté le ).
  31. (en-US) « Spectre Meltdown Checker », sur ipfire.org, (consulté le ).
  32. (en-US) « The Guardian 2.0 Addon », sur ipfire.org, (consulté le ).
  33. (en-US) « Intrusion Prevention System (IPS) », sur ipfire.org, (consulté le ).
  34. (en-US) « avahi », sur ipfire.org, (consulté le ).
  35. (en-US) « bwm-ng », sur ipfire.org, (consulté le ).
  36. (en-US) « fping », sur ipfire.org, (consulté le ).
  37. (en-US) « netcat / ncat », sur ipfire.org, (consulté le ).
  38. (en-US) « Nginx », sur ipfire.org, (consulté le ).
  39. (en-US) « nmap », sur ipfire.org, (consulté le ).
  40. (en-US) « speedtest-cli », sur ipfire.org, (consulté le ).
  41. (en-US) « stunnel », sur ipfire.org, (consulté le ).
  42. (en-US) « tcpdump », sur ipfire.org, (consulté le ).
  43. (en-US) « Traceroute », sur ipfire.org, (consulté le ).
  44. (en-US) « tshark », sur ipfire.org, (consulté le ).
  45. (en-US) « apcupsd », sur ipfire.org, (consulté le ).
  46. (en-US) « Network UPS Tools (NUT) », sur ipfire.org, (consulté le ).
  47. (en-US) « NRPE », sur ipfire.org, (consulté le ).
  48. (en-US) « watchdog », sur ipfire.org, (consulté le ).
  49. (en-US) « wio », sur ipfire.org, (consulté le ).
  50. (en-US) « Zabbix Agent », sur ipfire.org, (consulté le ).
  51. (en-US) « 7zip », sur ipfire.org, (consulté le ).
  52. (en-US) « ddrescue », sur ipfire.org, (consulté le ).
  53. (en-US) « firmware-update », sur ipfire.org, (consulté le ).
  54. (en-US) « flashrom », sur ipfire.org, (consulté le ).
  55. (en-US) « htop », sur ipfire.org, (consulté le ).
  56. (en-US) « Libvirt », sur ipfire.org, (consulté le ).
  57. (en-US) « QEMU », sur ipfire.org, (consulté le ).
  58. (en-US) « lshw », sur ipfire.org, (consulté le ).
  59. (en-US) « mc », sur ipfire.org, (consulté le ).
  60. (en-US) « minicom », sur ipfire.org, (consulté le ).
  61. (en-US) « rsync », sur ipfire.org, (consulté le ).
  62. (en-US) « Tmux », sur ipfire.org, (consulté le ).
  63. (en-US) « wavemon », sur ipfire.org, (consulté le ).

Liens externes

modifier