Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense, volonté de tout bloquer excepté les maj Windows

    Scheduled Pinned Locked Moved Français
    5 Posts 3 Posters 653 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      Woronwe
      last edited by Woronwe

      Contexte : Bonjour à tous, dans le cadre d'une évolution au boulot, on a cloisonné une partie de nos serveurs derrière une VIP. Ces serveurs ne disposent plus d'adresse IP publiques.

      Besoin : Maintenant, on aimerait fermer l'ensemble des ports et/ou empêcher toute navigation web, tout gardant la possibilité de faire les mises à jour Windows Server.

      Règles Firewall : Aujourd'hui, seuls les ports 53, 123, 445 et 139 sont ouverts. Les ports 80 et 443 sont fermés. J'ai cependant essayé d'ouvrir le dialogue avec les serveurs de Microsoft (ci-joint)
      alt text

      Packages ajoutés : Snort est installé, squid fut tenté mais je n'ai pas réussi à configurer les ACL. Une erreur 503 m'était retourné lors des tests de mise à jour.

      Question : J'aimerai savoir comment autoriser uniquement les mises à jour Windows et bloquer l'ensemble du trafic restant.

      Recherches : Autoriser l'ensemble des ip publiques de Microsoft.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by ccnet

        Plusieurs points dans cette approche.
        La surcharge des fonctionnalités sur une unique machine (pfsense) n'est pas une très bonne idée. S'en est même une mauvaise. Si vous perdez cet équipement vous êtes en tongues sur la banquise. Désagréable.

        Je ne sais pas ce que vous recherchez avec Snort mais la façon dont vous approchez la question du cloisonnement de vos serveurs et du filtrage de flux applicatifs me laisse dubitatif.

        Sur ce point, l'approche par adresses ip sur les réseaux de Microsoft est probablement vouée à l'échec. Microsoft ne vous téléphonera pas à l'avance pour vous informer des modifications de configuration de son réseau. Le filtrage sur la base du protocole ip n'est pas approprié. La solution pourrait être l'usage d'un proxy pour n'autoriser que les flux relatifs aux url de mise à jour. Là encore cette solution va être contraignante. Par ailleurs comme vous avez, légitimement une volonté de cloisonner vos serveurs, une autre approche me semble plus pertinente. Un serveur Wsus dans une zone réseau qui peut accéder à internet. Ce qui n'exclus pas le proxy mais pour d'autres raisons. Vos serveurs Microsoft feront ensuite leurs mises à jour à partir du serveur wsus. Maintenant vous pouvez utiliser du filtrage ip puisque vous maitrisez l'adressage du wsus.
        Cette solution répond à votre besoin et elle isole complètement vos serveurs d'internet.
        Même le trafic dns n'est plus nécessaire, celui-ci pouvant être source de gros problèmes de sécurité

        1 Reply Last reply Reply Quote 0
        • W
          Woronwe
          last edited by

          Merci d'avoir pris le temps de me répondre.
          Le pfsense est évidemment redondé. De plus, il n'y a aucune volonté de l'entreprise de mettre en place un serveur WSUS, c'est même totalement exclus.
          J'ai pensé faire un système de filtrage avec des aliases des domaines de Microsoft. Est-ce faisable selon vous ?
          Sincères salutations

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            A mon avis cette solution sera pénible à maintenir, si toutefois elle est fonctionnelle, ce dont je ne suis pas certain du tout. Vous vous engagez dans une impasse. Mais c'est vous le maitre à bord !

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Ccnet +1 pour tous sujets (je suis très exceptionnellement en désaccord avec ccnet : ça se compte sur les doigts d'une main et sans doute d'un amputé !)

              WSUS n'est pas très difficile à mettre en oeuvre. Cela économise de la bande passante puisque c'est la seule machine qui va chercher les mises à jour Windows, et les autres vont chercher dessus.

              Snort est une fausse bonne idée : cela n'a d'intérêt que quand on a la compétence et le temps pour interpreter les alertes. Le fait de l'implanter sur le firewall, ce qui n'est pas la bonne place, montre une certaine méconnaissance.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.