Checklist préalable à l’installation
- Les différentes étapes que nous avons identifiées sont les suivantes :
Faire le choix du bon hardware
Modes d’installation (Installation depuis une image ISO vs. Installation depuis une clé USB)
Les étapes de la gravure du système sous Windows, Linux et Mac OS X.
Bien choisir son hardware
Préalablement à l’installation de DynFi Firewall, il est indispensable de bien choisir l’appliance sur laquelle vous allez installer DynFi.
Plusieurs éléments doivent être pris en considération afin de faire le bon choix :
Le contexte d’utilisation (professionnel, personnel)
La taille de votre réseau (nombre d’utilisateur - débit du lien internet)
Les modalités de filtrage envisagées (firewall simple, proxy, IDS, filtrage DNS, antivirus, …)
Le budget disponible pour votre projet de cybersécurité réseau
Les coûts récurrents (électricité, fiabilité hardware
Afin de comprendre quelle appliance peut correspondre à votre projet, vous pouvez vous inspirer du tableau présenté ci-dessous :
Nombre d’utilisateurs |
Processeur |
RAM |
Commentaires |
Type |
Prix |
|---|---|---|---|---|---|
2-10 |
AMD G SERIES - 1.00 GHz - 2 core |
2GB |
Boitier d’entrée de gamma capable de fonctionner avec un lien ADSL ou fibre (type Box opérateur : FreeBox, Box Orange, SFR, Bouygues) - peu recommandé pour le déploiement d’un proxy - IDS possible - pas d’antivirus |
260€ |
|
11-40 |
INTEL ATOM - 2.20 GHz - 2 core(s) |
4GB |
Boitier d’entrée de gamme plus puissant, donne plus de souplesse et de rapidité dans la programmation du firewall. Adapté pour un proxy d’entrée de gamme. |
800€ |
|
20-60 |
INTEL ATOM - 2.20 GHz - 4 core(s) |
8GB |
Boitié d’entrée de gamme disposant de plus de RAM. Possibilité de déployer Proxy et IDS pour un petit groupe de travail avec une utilisation bureautique standard. |
920€ |
|
50-80 |
INTEL ATOM - 2.20 GHz - 4 core(s) |
8GB |
Boitié milieu de gamme, capacité réseau 10Gb, pour groupe de travail de 40 à 80 personnes. |
1170€ |
|
>100 |
INTEL XEON - 2.00 GHz - 8 core(s) |
8GB |
Boitié haut de gamme modulaire basé sur un processeur Xéon®, groupe de travail étendu, filtrage avancé. |
2444€ |
|
>100 |
INTEL XEON - 3.70 GHz - 6 core(s) |
16GB |
Boitié haut de gamme modulaire, basé sur un processeur Xéon®, groupe de travail étendu, filtrage avancé, haute densité de ports, alimentation redondante. |
3119€ |
Ce tableau est fourni à titre d’exemple, vous devez tenir compte de la structure cible de votre réseau, du débit des réseaux en amont (GbE, 10G), du débit de votre ou vos liens Internet et surtout du contexte d’utilisation. Plus vous utilisez des appliances avec des processeurs puissants, plus vous aurez des la souplesse pour le déploiement des fonctions attendues (proxy, IDS, portail captif, …).
Warning
Attention ! certains fabricant comme Netgate® / pfSense® proposent des appliances avec des ports Ethernet “bridgés” - nous sommes opposés à l’utilisation de ports bridgés pour des firewalls, celui-ci obligeant à configurer des VLANs pour obtenir une sépération du traffic.
Les différents modes d’installation
L’installation d’un firewall sur une appliance peut se faire à partir de différents types d’images. DynFi Firewall propose deux types d’images : les images “ISO” et “IMG”.
Les images IMG ont un retour sur un port “Série” et sont destinées à une installation sur une appliance avec une interface série. L’image contenu est une image disque “raw” qui doit être gravée sur une clé USB, elle contient un installer de type FreeBSD qui vous guidera tout au long de l’installation.
Les images ISO ont un retour de type VGA et sont généralement utilisés pour une installation sur un PC qui disposerait d’une sortie VGA ou sur une machine virtuelle (KVM, VMWare, HyperV).
Installation depuis une clé USB
- Vous devez d’abord télécharger l’image sur USB memstick DynFi Firewall depuis l’un des sites miroirs :
Toutes nos images sont proposées au format 64bit, le format 32bit n’étant plus vraiment utilisé.
Le fichier image est compressé au format .tgz (tar gzip). Nous précisons ci-dessous les différentes méthodes d’installation pour les systèmes d’exploitation courants.
Vous devez vérifier l’intégrité de la clé avec un mécanisme tel que shasum ou équivalent.
Vidéo de l’installation depuis une clé USB
Une petite vidéo expliquant comment créer une clé bootable avec DynFi Firewall. La vidéo est accessible ici : https://youtu.be/ONhBzZJYgWw
Installation sous Linux ou FreeBSD :
#. Localisez votre clé USB à l’aide de la commande lsblk
$ lsblk
Repérez le nom du device USB (normalement /dev/sd[b,c,d,…]) et apprêtez vous à graver la clé avec une commande du type “dd” La commande préconisée ci-dessous permet de directement décompresser et graver la clé en une seule commande.
Warning
Attention ! c’est une commande puissante qui si elle est exécutée sur le mauvais device peut effacer un volume ! L’intégralité du contenu de votre clé sera effacé.
$ sudo gzcat ~/Downloads/DynFi-Firewall_1.0-RELEASE-serial.iso.gz | dd of=/dev/sd[a,b,c,…] bs=1m
Vous disposez maintenant d’une clé USB qui permet l’installation de DynFi Firewall.
Installation sous Windows :
Insérer votre clé USB
Télécharger le logiciel Win32 Disk Imager
Vérifier l’intégrité de l’image téléchargée avec HashTab
Installer Win32 Disk Imager pus exécuter le en tant qu’administrateur
- Cliquer sur Ouvrir et préciser votre fichier téléchargé
- Cliquer sur Write
- Attention, l’intégralité du contenu de votre clé USB sera effacée ! - Cliquer sur YES
- Votre clé USB est prête. Cliquer sur OK. Éjectez la clé de votre système.
Installation sous Macintosh :
Vérifier l’intégrité de l’image téléchargé avant de la décompresser avec une commande similaire à celle-ci :
Note
shasum -a 256 DynFi_Firewall_v_1-0.iso.tgz
Afin de graver une clé USB sous Mac OS X, vous devez insérer une clé dans votre Macintosh. A l’insertion de la clé en fonction du format, soit la clé va être montée (si la clé a été précédemment formatée dans un format reconnu par Mac OS X), ou la clé ne va pas être reconnue. Dans ce second cas un message spécifiant que la clé n’est pas reconnue s’affichera :
Cliquez sur “Ignorer”
Ensuite ouvrez votre Terminal et passez en root avec la commande sudo :
$ sudo -s
Password:
Listez les devices disponibles :
$ diskutil list
/dev/disk0 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_APFS Container disk1 499.3 GB disk0s2
/dev/disk1 (synthesized):
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme - +499.3 GB disk1
Physical Store disk0s2
1: APFS Volume Macintosh HD - Données 466.6 GB disk1s1
2: APFS Volume Preboot 82.4 MB disk1s2
3: APFS Volume Recovery 526.6 MB disk1s3
4: APFS Volume VM 3.2 GB disk1s4
5: APFS Volume Macintosh HD 11.1 GB disk1s5
/dev/disk2 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: FDisk_partition_scheme *16.1 GB disk2
1: 0xEF 34.1 MB disk2s1
2: FreeBSD 778.0 MB disk2s2
Le device qui nous intéresse est le dernier /dev/disk2 S’il s’agit d’une partition montée, démontez la avec une commande comme :
$ diskutil unmount /dev/disk2s2
L’image disque est maintenant prête à être installée. Il suffit de vous placer dans le même répertoire que l’image disque et lancer la gravure avec la commande suivante :
$ dd if=./dynfi_installer_20200309-053708.img of=/dev/disk2 bs=1m
Warning
Attention ! La commande dd est très puissante - mal formatée, vous risquez d’effacer votre disque dur ou de perdre toutes vos données. Consultez “man dd” en cas de doute. Vous aurez été prévenu.
La gravure prend quelques minutes. Une fois que le prompte vous rends la main, il vous suffit de démonter la clé avec la commande suivante :
$ diskutil eject /dev/disk2
La clé est éjectée, récupérez là et insérez la dans le port USB de votre appliance.
Note
Si vous ne souhaitez pas perdre de temps - toutes nos appliances sont vendues avec le système DynFi Firewall pré-installé.
Installation depuis une image ISO
Historiquement le format ISO permet de graver un CD / DVD et de procéder à l’installation depuis ce média. Dans la réalité, les images ISO sont aujourd’hui principalement utilisées pour une installation sur des systèmes de virtualisation (type VMWare, VirtualBox, KVM, Xen ou HyperV). Cela permet de tester rapidement un système sans avoir à mobiliser un serveur ou une appliance.
Vous pouvez télécharger l’image ISO de DynFi Firewall et suivre les instructions figurant ci-dessous.
L’image peut ensuite très simplement être attachée à une nouvelle machine virtuelle afin d’être utilisé comme système d’amorçage. Vous pouvez aussi graver un CD ou un DVD dans le cas peu probable ou vous disposez encore d’un lecteur de CD / DVD !
Installation sur VMWare ESXi
L’hyperviseur ESXi est décrit ci-après. Afin de pouvoir suivre ce tutoriel, vous devez disposer d’un Hyperviseur en état de marche.
L’utilisation de l’émulation de la carte réseau VirtIO ou alternativement E1000 dans VMWare vous permet d’obtenir un débit réseau optimum pour l’utilisation de DynFi Firewall.
Installez le client vSphere si ce n’est pas déjà fait.
Démarrez le client et connectez le à votre serveur VMWare
Uploadez l’image ISO contenant pfSense en utilisant le navigateur DataStore ou SCP.
Faites un click droit sur votre serveur VMWarte et sélectionnez “Nouvelle machine virtuelle”
Configurer votre liaison série
Vous disposez maintenant d’une clé USB émulera le système DynFi-Firewall. Afin de pouvoir communiquer avec votre appliance vous disposez de deux types d’installation :
une installation au format ISO avec un retour VGA
une installation au format MemStick (ou clé USB amorçable) avec un retour série
Pré-requis
Nous allons voir ici comment configurer une liaison série entre votre appliance et votre ordinateur.
Vous devez disposer des éléments suivants afin de pouvoir établir une communication série :
un câble série Null Modem (généralement USB / série)
une appliance / ordinateur disposant d’un port série
un logiciel d’émulation de terminal côté client (sur votre ordinateur)
Différents type de câbles USB / Série existent et permettent de se connecter à votre appliance. On pourra se référer aux offres pour les boîtiers PC-Engines APU qui proposent un câble série opérationnel.
Certain modèles de firewall récents comme le FWA-3050 embarquent directement le modem et ne nécessitent donc pas l’achat d’un câble supplémentaire.
Les réglages série par défaut sont les suivants :
Vitesse : 115200
Bits de données : 8
Bits de parité : aucun
Bits de stop : 1
Liste des principaux logiciels d’émulation de terminal
En règle générale, les différents modems embarqués dans vos équipements USB / Série proposent des drivers qu’il est nécessaire d’installer.
Nom du logiciel |
Système cible |
Instructions |
|---|---|---|
|
|
|
minicom |
|
|
screen |
|
|
tip |
|
La commande tip se réfère au fichier |
Pour les systèmes Linux, si vous constatez qu’à l’insertion de votre modem USB / Série aucune nouvelle interface n’apparaît dans /dev/ – c’est probablement qu’il vous manque le driver nécessaire pour émuler votre modem USB / Série. Reportez vous à la documentation du constructeur afin de télécharger les bons drivers pour votre système.
Note
D’une façon générale, les drivers Linux pour l’émulation USB / Série sont souvent natifs et plus stables que ceux proposés sous Windows ou Macintosh.
Procéder à l’installation du système
Vous disposez maintenant d’une clé USB prête à être installée. Celle-ci contient le système DynFi-Firewall dans sa dernière version.
Vérifiez bien que vous avez accès à votre port série.
Vous devez maintenant insérer la clé dans l’ordinateur ou l’appliance de votre choix et booter afin de booter sur la clé USB.
L’installation va démarrer rendez-vous sur Les étapes de l’installation de DynFi Firewall pour la suite !