Soumis par Deajan le

 

Vous venez de monter un super réseau informatique avec des données tellement confidentielles que même vous n'avez pas le droit de les consulter... Mais comment protéger vos machines contre les hackers et autres pirates en quête de proies faciles ? Et ce à moindres frais ?

Il existe nombreuses solutions logicielles de pare-feu certes efficaces, mais chères lorsqu'il s'agit d'équiper un parc informatique, et gourmandes en ressources. Il existe évidemment aussi de nombreuses solutions matérielles, tout routeur ou QuelquechoseBox de nous jours intègre un pare-feu de base.

Mais si vous avez des contraintes comme l'utilisation de IPSEC ou encore la gestion des VLAN, un routage flexible, et une meilleure sécurité il va falloir se tourner vers des solutions matérielles comme par exemple les pare-feu CISCO, très bon produits mais pas à la portée de toutes les bourses.

Client Leger Staff ScreenerBadministrateur.com vous propose aujourd'hui de réaliser un pare-feu de classe entreprise proposant toutes les fonctions dont on peut s'attendre, ainsi que la possibilité de le faire évoluer, le tout pour pas plus qu'une cinquantaine d'euros.

Comment est-ce possible me direz-vous... S'agit t-il de faire travailler des singes du sud du sri-lanka qui vont trier vos paquets réseau directement dans les fils ?

 Oui ! En effet c'est comme ça que nous protégeons l'accès a notre serveur depuis des années déjà.

Heureusement quelques irréductibles programmeurs opensource ont eu la bonne idée de créer des distributions BSD orientées pare-feu. Nous nous intéresserons plus en détail au projet m0n0wall, qui tourne presque sur n'importe quelle machine x86, à condition que celle-ci soit équipée d'au moins 64Mo de mémoire vive et 16Mo de capacité disque dur.

 

Non ! Ne pensez même pas à prendre la vieille machine du comptable oubliée du bureau du fond qui travaille encore sous Windows 3.11

Qui va donc éditer vos fiches de paye sur l'imprimante matricielle à papier tracteur ?
Ce genre de vieilleries ne sont plus vraiment très fiables, et en plus ça prend beaucoup de place dans votre armoire de brassage.

 

La solution employée ici sera un client léger. Il s'agit de petits ordinateurs pas très gourmands en énergie, qui sont la plupart du temps utilisés pour se connecter à un bureau à distance. Ce genre de machines, même d'occasion, se négocient plus très cher sur la toile.

Concernant le stockage, n'importe quelle carte compact flash ainsi qu'un adaptateur IDE vers CF remplaceront avantageusement un disque dur.

Les clients légers état en général équipés d'une seule carte réseau, il va falloir en choisir un équipé d'un port PCI supplémentaire afin de pouvoir loger une autre carte ethernet.

Voici la nomenclature du matériel utilisé pour ce tutoriel:

- Client léger occasion IGEL 416 (Amd Geode 300Mhz, 128Mo de mémoire vive) -- 25€
 

- Carte réseau PCI Dlink à base de chipset Realtek RTL8139 -- 9€

- Adaptateur compact flash IDE -- 7€

- Carte compact flash Kingston 2Go -- 10€

- Fer a souder 25 W

- Bombe d'air sec 

- 2 Connecteurs MOLEX 3"1/2 (une alimentation HS fera l'affaire)

- Nappe IDE

 

Prix Total payé pour le matériel: 51€

 

 

Avant de commencer et s'il s'agit d'une unité d'occasion, faites parler la bombe d'air sec, notamment sur les connecteurs mémoire et pci. Cela vous évitera de nombreux problèmes de stabilité par la suite. Vous pouvez ensuite installer notre carte réseau dans le client léger.

La plupart des clients légérs n'étant pas vraiment prévus pour des cartes compact flash, il va falloir improviser un peu pour notre fixation de l'adaptateur (voir la gallerie d'images). 

Enfin comme notre adaptateur CF est alimenté avec une prise molex 3"1/2 et que notre client léger propose cette prise sur la carte mère, nous allons improviser en découpant deux prises molex sur une alimentation HS et les souder ensemble pour en faire un cable d'alimentation molex male/male (voir la gallerie).

 

 

 

Vient le moment de charger l'image de m0n0wall sur notre carte CF.
Rendez-vous sur le site http://m0n0.ch/wall/ sur lequel il va falloir télécharger l'image CF generic-pc. Lors de la rédaction de notre article, la dernière version stable était la v1.3. Il va également falloir télécharger l'utilitaire physdiskwrite qui permettra d'écrire l'image sur la carte CF.
Une fois l'utilitaire décompressé dans le même dossier que l'image, il suffit de lancer la commande suivante:

 

c:\monowall>physdwrite -d 2 generic-pc-1.235.img

Remplacez le numero (dans notre exemple 2) par le numero de disque correspondant à votre carte compact flash (vous la trouverez dans le gestionnaire de disques).

Il ne nous reste plus qu'a remonter notre machine et régler le bios:

 

 

- Régler l'arrêt du démarrage en cas d'erreurs sur "No Errors"

- Enlever l'economie d'energie du disque dur

- Enlever le démarrage réseau PXE

- Configurer le démarrage sur la CF uniquement (disque dur primaire)

Nous sommes enfin prêts à lancer notre pare-feu. Le premier démarrage se fera en mode console, ceci afin de pouvoir configurer l' adresse IP de la carte LAN. Ne branchez pas l'interface WAN pour l'instant, cela vous aidera a détérminer laquelle des cartes réseaux corespond à l'interface LAN. Pensez à coller des étiquettes WAN, LAN, ainsi que l'adresse IP lan sur le pare-feu.

 

N'oubliez pas une étiquette portant la mention "PAREFEU PROFESSIONNEL", ce qui fera fuir tous les éventuels attaquants de votre réseau. Cisco n'a plus qu'a bien se tenir!

 

Pour plus de détails voir la gallerie d'images