Langues

Firewalls OpenSource dans l’Administration

Vous pouvez téléchargez la version pdf de ce document.  

 

Introduction 

Le 19 septembre 2012, Premier Ministre M. Ayrault à publié une circulaire intitulée "Orientation pour l'utilisation des logiciels libres dans l'administration". Cette circulaire (plus connue sous l'appelation Circulaire Ayrault sur l'OpenSource) a pour objectif de définir les orientations stratégiques de l'Etat dans les années à venir en matière d'utilisation de logiciels libres. Elle se présente sous la forme d'une note didactique d'une vingtaine de pages à l'attention des directions informatiques des administrations et plus généralement de toutes les personnes en charge de la prise de décision au sein des administrations de l'Etat. 

Nous souhaitons reprendre les principaux points de cette circulaire pour établir un parallèle entre les recommandations du Premier Ministre et le déploiement du système de firewalling OpenSource pfSense pour assurer la protection des réseaux et des données des services de l'administration. 

Nous passerons sur l'introduction sur les logiciels libres, cette section étant un rappel des bienfaits des logiciels libres : "nombreuses expériences positives dans l'administration", "gain en efficacité opérationnelle et économique". L'objectif rappelé du document est de préciser "les environnements dans lesquels son usage est approprié". Nous souhaitons donc démontrer (si besoin était) que l'utilisation du logiciel libre pour assurer la sécurité des réseaux informatiques est parfaitement justifiée, du moins avec pfSense. 

  

1.1. Le modèle du logiciel libre  

 

  • Comme tout modèle de propriété intellectuelle, il tend à s'auto-entretenir

Effectivement avec plus de 144.000 installations déployées et recensées en  2011 (sans compter toute les installation non recensées), le système pfSense est le firewall OpenSource le plus déployé au monde. S'appuyant sur une communauté riche de plusieurs milliers de membres et une équipe de "Core Developer" d'une trentaine de personnes, le projet est dans une forte dynamique de croissance. 

Sa qualité et sa simplicité d'utilisation lui à permis de séduire à travers le monde de nombreuses administrations, des écoles, des centres de recherche, bref des structures qui dépassent de loin la simple TPE / PME. 

Notre société a déployé pfSense dans des environnements critiques, pour des sociétés prestigieuses et pour de très nombreuses administrations.

 

  • L'évolution d'un logiciel libre est orientée par le besoin utilisateur

En ce sens pfSense dans sa prochaine version (2.1) intégrera un support complet d'IPv6 ainsi qu'un nouveau gestionnaire de paquetage qui garantira une plus grande stabilité du système, même lors du déploiement de paquets de tierces parties. 

Se basant sur le socle hyper-stable du système FreeBSD, la communauté a compilé 80 paquets logiciels parmi lesquels nous retrouvons : 

  • Un proxy : Squid, SquidGuard
  • Un système de Voix sur IP : Asterix
  • CountryBlock : un système qui permet de bloquer les IPs de certains pays indésirables ou avec lesquels votre groupe de travail est certain de ne pas entretenir de relation. 
  • Un système de DNS 
  • Un système de filtrage de contenu : DansGuardian
  • Différents systèmes de statistiques pré-compilés
  • Un gestionnaire d'authentification puissant : FreeRadius
  • Un mécanisme de load balancing : HA Proxy 
  • Des packages de gestion des protocoles de routage : BGP (OpenBGP), OSPF (OpenOSPFD et Quagga)
  • Un système IDS / IPS : Snort 
  • Un mécanisme de cache DNS : Unbound
  • Un accélérateur HTTP : Varnish 
  • Un système de monitoring déporté : Zabbix 

 

Ces paquetages permettent de transformer votre firewall en un outil qui correspondra 100% à vos besoins : anti-intrusion, reverse-proxy, proxy, anti-virus, serveur VPN, répartiteur de charge multi-wan, … En intégrant ces paquetages sous forme optionnelle, le firewall pfSense conserve son aspect simple et robuste (vous n'êtes pas obligés d'ouvrir toutes les lames de votre couteau Suisse simultanément (c'est même fortement déconseillé)). 

 

  • le modèle garantit que la communauté puisse conserver le contrôle 

La communauté pfSense est drivé par une équipe soudée qui est composée de brillants ingénieurs de nombreuses nationalités différentes (Américains, Hollandais, Albanais, Brésiliens, Allemands, …) : 

Certains d'entre eux ont assuré des fonctions clés au sein de projets prestigieux (FreeBSD, Packet Filter, …). 

 

  • le modèle permet de créer l'émulation nécessaire à la créativité

pfSense est un fork de m0n0wall un projet de firewall qui a donné naissance à pfSense. 

Sur les aspects de sécurité qui sont essentiels à un bon firewall, il est nécessaire de rappeler les différents systèmes qui ont utilisés FreeBSD, notament dans les logiciels de sécurité

  • Citrix : Netscalers
  • F5 Network : 3DNS global traffic manager 
  • Ironport : appliances de sécurité
  • Junos : Network Operating System de Juniper Network
  • Netasq : Appliance de sécurité
  • CheckPoint : Nokia firewall operating system : système de firewall de Nokia
  • Sophos : Appliance de gestion d'E-mail et anti-virus
  • Netflix : Open Connect Appliance

 

Mais aussi : MacOSX et OpenDarwin. 

 

1.2. Le libre : un modèle de service

Effectivement tout logiciel libre peut devenir assez rapidement complexe : surtout s'il rencontre du succès et adresse un besoin par nature complexe. C'est la raison pour laquelle OSNet a créé une offre de support et de formation sur le logiciel pfSense

Cela permet à ceux qui le souhaitent d'avoir des garanties liées à la maintenance de leur firewall ou d'acquérir les compétences nécessaires à sa bonne manipulation. Avec des tarifs de service nettement en dessous des prix pratiqués par les principaux acteurs du marché de la sécurité informatique, nous offrons, à compétence égal, un produit totalement disruptif sur le marché de la sécurité informatique. 

Comme précisé dans la circulaire, l'objectif de notre offre est bien de permettre "le maintien en condition opérationnelle (support, maintenance) ainsi que l'évolution en fonction des besoins". 

Nous encourageons donc fortement les administrations à faire un "choix unilatéral de solution libre" pour la gestion de ses systèmes de sécurité. 

 

2.1. Le libre, un choix raisonné 

La circulaire évoque ici les aspects "militants" du libre, qui sont peu évidents dans le projet pfSense (issue de la souche BSD). La proximité avec le système FreeBSD étant plutôt source d'émulation mutuelle et de contributions réciproques que de militantisme mal placé. 

 

2.2. Les avantages 

La circulaire rappel les aspects suivants : 

  • Coût modulable et généralement moins cher que les solutions équivalentes dans le monde du logiciel propriétaire

Cette remarque est doublement vraie pour OSNet : pourquoi ? 

1. Parceque nous avons une offre de hardware que vous retrouvez chez certains constructeurs à un prix quatre fois supérieur à performance équivalente ! 

2. Parceque tous les constructeurs de firewalls vendent systématiquement leurs appliances avec des fonctionnalités bridées de façon logiciel. Chaque fonctionnalité supplémentaire devant être activée moyennant paiement. 

Pour ne citer que checkpoint : voir section "software specifications". Ce type d'approche est aussi valable pour Cisco, Juniper, Sonicwall, et la quasi totalité des offres commerciales de firewalls du marché. 

 

  • Le logiciel libre est piloté par le besoin : 

Effectivement avec une nouvelle version toutes années et demie, pas de superflu avec pfSense. 

Les prochaines fonctionnalités se concentrent sur un support intégral d'IPv6, ce sont donc des fonctionnalités majeures. 

 

  • Le logiciel libre permet de gérer les versions selon son contexte : 

Il existe pas moins d'une bonne douzaine de versions différentes de pfSense qui ont été créées pour répondre à des besoins spécifiques (support sur cartes Compact Flash, disques durs, pour version 32bits, 64bits, avec sortie écran, port série, …). En revanche l'approche du système est elle très unifiée, quel que soit le système que vous utiliserez, il n'y a qu'une version à jour de pfSense. Nous parlons ici d'un logiciel de gestion de firewall qui se doit d'être parfaitement à jour en terme de sécurité. Il n'y a d'ailleurs pas eu un bug en plus de huit années d'exploitation de ce logiciel qui nécessite un "patch d'urgence", démontrant sa grande stabilité et sa fiabilité. 

 

  • Le logiciel libre facilite l'expérimentation et l'adaptation au volume d'usage : 

Avec pfSense, vous pouvez créer une maquette sur un boîtier à 130€ (ou même avec votre vieux PC qui dispose de deux cartes réseaux) et ensuite décider (si vos besoins sont satisfaits) de passer à un déploiement sur du hardware plus conséquent. Il est même possible de déployer pfSense sur votre serveur ESXi VMWare pour le tester ou avoir un aperçu du fonctionnement de son interface. 

 

  • Le logiciel libre facilite la mutualisation entre acteurs publics :

De nombreuses villes et administrations utilisent déjà pfSense pour répondre à un besoin spécifique (proxy, filtrage, IDS / IPS, …). OSNet est là pour vous aider à partager vos retours d'expérience et favoriser l'émergence d'une émulation entre acteurs publics. 

 

  • Le logiciel libre apporte une transparence accrue dans la définition et l'animation de politiques de sécurité :

Le caractère inter-compatible de pfSense avec des solutions OpenSource existante (LDAP ou Radius par exemple) peut vous permettre une intégration rapide dans votre politique de gestion de la sécurité. 

 

  • Le logiciel libre permet une réelle mise en concurrence. 

 

2.3. Les points d'attention 

  • Le logiciel libre est lié à une communauté : la taille de la communauté de pfSense a largement dépassé la taille critique (pas de risque à ce niveau)
  • Les licences libres : ici c'est une licence BSD - vous pouvez donc l'utiliser sans crainte (cette dernière vous permettant de reprendre et de copier les logiciels sans problème (d'ou son utilisation par Apple et d'autres grands noms de l'informatique)). 
  • Le logiciel libre est jugé sans valeur… Ici, compte-tenu des dizaines de milliers d'heures nécessaires à la création de ce logiciel : on peut en douter. 
  • L'utilisateur doit entretenir le modèle en réinjectant une partie de ses gains : c'est déjà le cas pour OSNet.eu qui est un contributeur actif de la communauté pfSense. Chaque firewall vendu bénéficie à la communauté. Chaque support souscrit aussi. Nous développons un certain nombre de projet sur mesure en partenariat avec les équipes de développement. 
  • Concernant l'utilisation de souches logiciels : OSNet travaille exclusivement avec une version complète de l'IOS pfSense. 

 

3. Contextes d'utilisation

pfSense rentre dans pas mal des "cases" fixées par le rapport du Premier Ministre. On peut notament citer : 

  • Un logiciel libre existant et internationalement reconnu
  • Un déploiement de logiciel sur une grande infrastructure : sur ce point, le coût de la licence logiciel est évoqué. C'est probablement l'un des arguments massue de pfSense par rappport aux autres systèmes de gestion de firewall du marché. Les coûts induits par le déploiement de multiples VPN peuvent vite devenir prohibitifs. Si le firewall est couplé avec des fonctions IPS / IDS / anti-virus, les prix des IOS peuvent rapidement grimper en flèche. 
  • Face à des situations de faible concurrence : cela peut souvent être le cas si le précédent prestataire à noyauté le réseau avec des systèmes propriétaires ou des fonctions propriétaires (par exemple : VLANs de type propriétaire). 
  • Un même besoin à traiter par de nombreux acteurs publics
  • Un déploiement dans des contextes multiples d'acteurs publics ou privés 

 

Conclusion : 

Nous espérons que cette analyse sera utile à tous les acteurs publics qui cherchent à faire évoluer leurs réseaux ou leurs systèmes de sécurité. 

Nous voulions prouver, en reprenant point par point l'argumentaire du Premier Ministre, que l'approche de l'OpenSource conseillée est 100% compatible avec l'utilisation du logiciel de firewalling OpenSource pfSense. 

N'hésitez pas à nous faire part de vos projets ou à nous transmettre vos cahiers des charges pour que nous puissions participer à vos appels d'offres. 

Vous pouvez téléchargez la version pdf de ce document.  

 

Fichier attachéTaille
Livre_Blanc_firewall.pdf291.72 Ko