docCahier blanc sur l`utilisation des firewalls OpenSource
download 
Plainte Transcription
Cahier blanc sur l`utilisation des firewalls OpenSource
Date - Date jeudi 4 octobre 2012 Marque - Brand Ecrit par - Written by M. Grégory Bernard Destinataires - Recipients M. les responsables des Administrations Françaises Copie - Copy Objet - Subject Cahier blanc sur l’utilisation des firewalls OpenSource Mesdames, Messieurs, Je vous prie de bien vouloir trouver notre «cahier blanc» sur l’utilisation des firewalls OpenSource dans l’Administration. Ce document se présente comme une réponse à la circulaire du Premier Ministre sur l’utilisation de l’OpenSource dans l’Administration. Il nous a semblé utile de commenter cette circulaire afin de prouver (si besoin était) que l’utilisation de firewalls OpenSource, lorsqu’ils sont basés sur un système stable et qui a fait ses preuves, représente l’un des domaines dans lequel il y a le plus d’économie à réaliser par rapport à l’utilisation d’un logiciel de filtrage réseau standard. Les besoins de la plupart des Administrations en terme de réseau et de sécurité sont assez proches, ou peuvent être regroupés par types similaires : les Villes, les grandes Administrations et Ministères, les Ecoles, Lycées et Universités, … Malgré les spécificités de chacun, il est possible de définir des critères d’utilisation communs par grand groupe et donc de mettre au point une méthodologie globale de déploiement, de mise en œuvre et d'utilisation du logiciel. Nous souhaitions donc attirer l’attention des responsables sur ce point qui nous semble stratégique et encore flou aux yeux de certains décideurs. En espérant avoir la chance de participer à vos futurs projets d’étude ou de mise en œuvre de firewalls… OpenSource bien évidemment. Bonne lecture. Avec mes respectueuses salutations. Grégory Bernard Directeur ToDoo – 37, rue de Longchamp – 75116 – Paris Tél : 09 54 56 82 02 – Fax : 09 59 56 82 02 E-Mail : [email protected] – Web : http://www.todoo.biz/ ToDoo S.A.R.L au capital de 7.650 € – R.C. Paris B 439 872 540 www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 1 /7 TA BLE D ES MATIERES Introduction______________________________________________________2 Le modèle du logiciel libre__________________________________________2 Comme tout modèle de propriété intellectuel, il tend à s'auto-entretenir________________2 L'évolution d'un logiciel libre est orientée par le besoin utilisateur ______________________2 Le modèle garantit que la communauté puisse conserver le contrôle____________________3 Le modèle permet de créer l'émulation nécessaire à la créativité _______________________4 Le libre : un modèle de service______________________________________4 Le libre, un choix raisonné__________________________________________________________5 Les avantages ____________________________________________________________________5 Coût modulable et généralement moins cher que les solutions équivalentes dans le monde du logiciel propriétaire____________________________________________________________________________________________5 Le logiciel libre est piloté par le besoin :_____________________________________________________________5 Le logiciel libre permet de gérer les versions selon son contexte : ______________________________________5 Le logiciel libre facilite l'expérimentation et l'adaptation au volume d'usage : ___________________________5 Le logiciel libre facilite la mutualisation entre acteurs publics :_________________________________________6 Le logiciel libre apporte une transparence accrue dans la dé"nition et l'animation de politiques de sécurité :6 Le logiciel libre permet une réelle mise en concurrence. ______________________________________________6 Les points d'attention______________________________________________6 Contextes d'utilisation_____________________________________________7 Conclusion _______________________________________________________7 licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected] www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 2 /7 I. Introduction Le 19 septembre 2012, Premier Ministre à publié une circulaire intitulé "Orientation pour l'utilisation des logiciels libres dans l'administration". Cette circulaire à pour objectif de dé$nir les orientations stratégiques de l'état dans les années à venir en matière d'utilisation de logiciel libre. Elle se présente sous la forme d'une note didactique d'une vingtaine de pages à l'attention des directions informatiques des administrations et plus généralement de toutes les personnes en charge de l'administration. Nous souhaitons reprendre les principaux points de cette circulaire pour établir un parallèle entre les recommandations du Premier Ministre et le déploiement de pfSense pour assurer la protection des réseaux et des données des services de l'administration. Nous passerons sur l'introduction sur les logiciels libres, cette section étant un rappel des bienfaits des logiciels libres : "nombreuses expériences positives dans l'administration", "gain en e%cacité opérationnelle et économique". L'objectif rappelé du document est de préciser "les environnements dans lesquels son usage est approprié". Nous souhaitons donc démontrer (si besoin était) que l'utilisation du logiciel libre pour assurer la sécurité des réseaux informatiques est parfaitement justi$ée, du moins avec pfSense. II. Le modèle du logiciel libre II.1. Comme tout mod è l e de pro pri é t é i nte l l e c t ue l , i l tend à s 'a u to - en t retenir E&ectivement avec plus de 100.000 installations déployées et recensées en octobre 2007 (sans compter toute les installation non recensées), le système pfSense est en passe de devenir le $rewall OpenSource le plus déployé au monde. S'appuyant sur une communauté riche de plusieurs milliers de membres et une équipe de "Core Developer" d'une trentaine de personnes, le projet est dans une forte dynamique de croissance. Sa qualité et sa simplicité d'utilisation lui à permis de séduire à travers le monde de nombreuses administrations, des écoles, des centres de recherche, bref des structures qui dépassent de loin la simple TPE / PME. Notre société a déployé pfSense dans des environnements critiques, pour des sociétés prestigieuses et pour de très nombreuses administrations II.2. L'évolut ion d 'un l ogi c i e l l i bre e st o ri e nté e par l e bes o i n u t ilis ateu r En ce sens pfSense dans sa prochaine version (2.1) intégrera un support complet d'IPv6 ainsi qu'un nouveau gestionnaire de paquetage qui garantira une plus grande stabilité du système, même lors du déploiement de paquets de tierce partie. licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected] www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 3 /7 Se basant sur le socle hyper-stable du système FreeBSD, la communauté a compilée 80 parmi lesquels nous retrouvons : ‣ Un proxy : Squid, SquidGuard ‣ Un système de Voix sur IP : Asterix ‣ CountryBlock : un système qui permet de bloquer les IPs de certains pays indésirables ou avec lesquels votre groupe de travail est certain de ne pas entretenir de relation. ‣ Un système de DNS ‣ Un système de $ltrage de contenu : DansGuardian ‣ Di&érents systèmes de statistiques pré-compilés ‣ Un gestionnaire d'authenti$cation puissant : FreeRadius ‣ Un mécanisme de load balancing : HA Proxy ‣ Des packages de gestion des protocoles de routage : BGP (OpenBGP), OSPF (OpenOSPFD et Quagga) ‣ Un système IDS / IPS : Snort ‣ Un mécanisme de cache DNS : Unbound ‣ Un accélérateur HTTP : Varnish ‣ Un système de monitoring déporté : Zabbix Ces paquetages permettent de transformer votre $rewall en un outil qui correspondra 100% à vos besoins : anti-intrusion, reverse-proxy, proxy, anti-virus… En intégrant ces paquetages sous forme optionnelle, le $rewall pfSense conserve son aspect simple et robuste (vous n'êtes pas obligé d'ouvrir toutes les lames de votre couteau Suisse simultanément (c'est même fortement déconseillé)). II.3. Le mod èl e g ara n ti t que l a co m m una uté pui sse co ns er ve r le con t r ôle La communauté pfSense est drivé par une équipe soudée qui est composée de brillants ingénieurs de nombreuses nationalités di&érentes (Américain, Hollandais, Albanais, Brésiliens, …) : Certains d'entre eux ont assuré des fonctions clés au sein de projets prestigieux (FreeBSD, packet $lter, …). licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected] www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 4 /7 II.4. Le mod èl e p er m et de c ré e r l'é m ula ti o n né ce ssa i re à l a cr éat iv it é pfSense est un fork de m0n0wall un projet de $rewall qui a donné naissance à pfSense. Sur les aspects de sécurité qui sont essentiels à un bon $rewall, il est nécessaire de rappeler les di&érents systèmes qui ont utilisés FreeBSD, notament dans les logiciels de sécurité : ‣ Citrix : Netscalers ‣ F5 Network : 3DNS global tra%c manager ‣ Ironport : appliances de sécurité ‣ Junos : Network Operating System de Juniper Network ‣ Netasq : Appliance de sécurité ‣ CheckPoint : Nokia $rewall operating system : système de $rewall de Nokia ‣ Sophos : Appliance de gestion d'E-mail et anti-virus ‣ Net'ix : Open Connect Appliance Mais aussi : MacOSX et OpenDarwin. III. Le libre : un modèle de service E&ectivement tout logiciel libre peut devenir assez rapidement complexe : surtout s'il rencontre du succès et adresse un besoin par nature complexe. C'est la raison pour laquelle OSNet a créé une o&re de support et de formation sur le logiciel pfSense. Cela permet à ceux qui le souhaitent d'avoir des garanties liées à la maintenance de leur $rewall ou d'acquérir les compétences nécessaires à sa bonne manipulation. Avec des tarifs de service nettement en dessous des prix pratiqués par les principaux acteurs du marché de la sécurité informatique, nous o&rons, à compétence égal, un produit totalement disruptif sur le marché de la sécurité informatique. Comme précisé dans la circulaire, l'objectif de notre o&re est bien de permettre "le maintien en condition opérationnelle (support, maintenance) ainsi que l'évolution en fonction des besoins". Nous encourageons donc fortement les administrations à faire un "choix unilatéral de solution libre" pour la gestion de ses systèmes de sécurité. licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected] www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 5 /7 III.1. Le l i b re, u n c h oi x ra i so nné La circulaire évoque ici les aspects "militants" du libre, qui sont peu évidents dans le projet pfSense (issue de la souche BSD). La proximité avec le système FreeBSD étant plutôt source d'émulation mutuelle et de contributions réciproques que de militantisme mal placé. III.2. Le s ava n t a g es La circulaire rappel les aspects suivants : III.2.1. Coû t modu l a bl e e t g é néralem ent m o ins cher q ue le s s o lut io ns équ i val en tes dan s l e m onde du logiciel pro pr iét aire Cette remarque est doublement vraie pour OSNet : pourquoi ? ‣ Parceque nous avons une o&re de hardware que vous retrouvez chez certains constructeurs à un prix quatre fois supérieur à performance équivalente (nous avons les mêmes fournisseurs) ! ‣ Parceque tous les constructeurs de $rewalls vendent systématiquement leurs appliances avec des fonctionnalités bridées de façon logiciel. Chaque fonctionnalité supplémentaire devant être activée moyennant paiement. Pour ne citer qu'eux : tions" http://www.checkpoint.com/products/2000-appliances/ voir section "software speci$ca- III.2.2. Le l ogi c i e l l i bre es t p ilo t é p ar le b es o in : E&ectivement avec une nouvelle version toutes années et demie, pas de super'u avec pfSense. Les prochaines fonctionnalités se concentrent sur un support intégral d'IPv6, ce sont donc des fonctionnalités majeures. III.2.3. Le l ogi c i e l l i bre p er m et d e g érer les ver s io ns s elo n s o n co ntexte : Il existe pas moins d'une bonne douzaine de versions di&érentes de pfSense qui ont été créé pour répondre à des besoins spéci$ques (support sur cartes Compact Flash, disques durs, pour version 32bits, 64bits, avec sortie écran, port série, …). En revanche l'approche du système est elle très uni$é, quel que soit le système que vous utiliserez, il n'y a qu'une version à jour de pfSense. Nous parlons ici d'un logiciel de gestion de $rewall qui se doit d'être parfaitement à jour en terme de sécurité. Il n'y a d'ailleurs pas eu un bug en plus de huit années d'exploitation de ce logiciel qui nécessite un "patch d'urgence", démontrant sa grande stabilité et sa $abilité. III.2.4. Le l ogi c i e l l i bre facilite l'exp ér im ent at io n et l'ad ap t at io n au volu me d'u sage : Avec pfSense, vous pouvez créé une maquette sur un boîtier à 130€ (ou même avec votre vieux PC qui dispose de deux cartes réseaux) et ensuite décider (si vos besoins sont satisfaits) de licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected] www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 6 /7 passer à un déploiement sur du hardware plus conséquent. Il est même possible de déployer pfSense sur votre serveur ESXi VMWare pour le tester ou avoir un aperçu du fonctionnement de son interface. III.2.5. Le l ogi c i e l l i bre facilite la m ut ualis at io n ent re acteur s p ub lics : De nombreuses villes et administrations utilisent déjà pfSense pour répondre à un besoin spéci$que (proxy, $ltrage, IDS / IPS, …). OSNet est là pour vous aider à partager vos retours d'expérience et favoriser l'émergence d'une émulation entre acteurs publics. III.2.6. Le l ogi c i e l l i bre ap p o r te une t rans p arence accr ue d ans la d éfiniti on et l'an imati on de polit iques de sécur it é : Le caractère inter-compatible de pfSense avec des solutions OpenSource existante (LDAP ou Radius par exemple) peut vous permettre une intégration rapide dans votre politique de gestion de la sécurité. III.2.7. Le l ogi c i e l l i bre p er m et une r éelle m is e en co ncur rence. Sur ce point, les logiciels à licence se battent sur un seul point : le volume de remise, généralement dicté par votre position par rapport au distributeur ou les choix stratégiques de l’éditeur par rapport à votre secteur. IV. Les points d'attention ‣ Le logiciel libre est lié à une communauté : la taille de la communauté de pfSense à largement dépassé la taille critique (pas de risque à ce niveau) ‣ Les licences libres : ici c'est une licence BSD - vous pouvez donc l'utiliser sans crainte (cette dernière vous permettant de reprendre et de copier les logiciels sans problème (d'ou son utilisation par Apple et d'autres grands noms de l'informatique)). ‣ Le logiciel libre est jugé sans valeur… Ici, compte-tenu des dizaines de milliers d'heures nécessaires à la création de ce logiciel : on peut en douter. ‣ L'utilisateur doit entretenir le modèle en réinjectant une partie de ses gains : c'est déjà le cas pour OSNet.eu qui est un contributeur actif de la communauté pfSense. Chaque $rewall vendu béné$cie à la communauté. Chaque support souscrit aussi. Nous développons un certain nombre de projet sur mesure en partenariat avec les équipes de développement. ‣ Concernant l'utilisation de souches logiciels : OSNet travaille exclusivement avec une version complète de l'IOS pfSense. licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected] www.osnet.eu Livre blanc sur l’utilisation des firewalls OpenSource dans l’administration p. 7 /7 V. Contextes d'utilisation pfSense rentre dans pas mal des "cases" $xées par le rapport du Premier Ministre. On peut notament citer : ‣ Un logiciel libre existant et internationalement reconnu ‣ Un déploiement de logiciel sur une grande infrastructure : sur ce point, le coût de la licence logiciel est évoquée. C'est probablement l'un des arguments massue de pfSense par rappport aux autres systèmes de gestion de $rewall du marché. Les coûts induits par le déploiement de multiples VPN peuvent vites devenir prohibitifs. Si le $rewall est couplée avec des fonctions IPS / IDS / anti-virus, les prix des IOS peuvent rapidement grimper en 'èche. ‣ Face à des situations de faible concurrence : cela peut souvent être le cas si le précédent prestataire à noyauté le réseau avec des systèmes propriétaires ou des fonctions propriétaires (par exemple : VLANs de type propriétaire). ‣ Un même besoin à traiter par de nombreux acteurs publics ‣ Un déploiement dans des contextes multiples d'acteurs publics ou privés VI. Conclusion Nous espérons que cette analyse sera utile à tous les acteurs publics qui cherchent à faire évoluer leurs réseaux ou leurs systèmes de sécurité. Nous voulions prouver, en reprenant point par point l'argumentaire du Premier Ministre, que l'approche de l'OpenSource conseillée est 100% compatible avec l'utilisation du logiciel de $rewalling OpenSource pfSense. N'hésitez pas à nous faire part de vos projets ou à nous transmettre vos cahiers des charges pour que nous puissions participer à vos appels d'o&res. licences Creative Commons ToDoo – 37, rue de Longchamp – 75116 – Paris Tel : +33.9 54 56 82 02 – Mél : [email protected]
