Archives des sécurité - SOS Linux https://www.sos-linux.com/type_case_studies/securite/ Assistance Linux et applications open source Thu, 28 Sep 2023 08:09:20 +0000 fr-FR hourly 1 https://wordpress.org/?v=6.8.3 https://www.sos-linux.com/wp-content/uploads/2021/08/cropped-Capture-decran-2021-08-23-a-19.17.20-e1629739176989-1-32x32.png Archives des sécurité - SOS Linux https://www.sos-linux.com/type_case_studies/securite/ 32 32 Mise en place d’un reverse proxy avec pfsense https://www.sos-linux.com/etude-de-cas/mise-en-place-dun-reverse-proxy-pf-sense-devant-une-application-web/ Wed, 13 Sep 2023 08:50:38 +0000 https://www.sos-linux.com/?post_type=etude-de-cas&p=19208 Le client dispose d'une application WEB (ERP/CRM) contenant des données sensibles. L'application est installée sur un serveur WEB IIS dans le réseau local du client.

L'objectif est de donner accès à cette application à des utilisateurs externes à la société, tout en conservant un niveau de sécurité satisfaisant pour le serveur applicatif.

L’article Mise en place d’un reverse proxy avec pfsense est apparu en premier sur SOS Linux.

]]> , , , , , , ,

Le contexte

Le client dispose d’une application WEB (ERP/CRM) contenant des données sensibles. L’application est installée sur un serveur WEB IIS dans le réseau local du client.

L’objectif est de donner accès à cette application à des utilisateurs externes à la société, tout en conservant un niveau de sécurité satisfaisant pour le serveur applicatif. L’idée est d’installer un WAF en frontal qui protégera le serveur IIS des attaques et permettra de filtre les accès extérieurs.

Le client dispose d’une infrastructure virtualisée (Hyper-V).

Nos actions

La solution proposée a été d’installer le firewall applicatif open source PFSENSE sur une machine virtuelle dans une DMZ. Ce firewall sera ensuite utilisé comme Reverse Proxy pour permettre aux utilisateur d’internet d’accéder au serveur applicatif.

Les actions ont donc été les suivantes :

  • Paramétrer une DMZ dans Hyper-V
  • Installer PFSENSE sur une machine virtuelle dans la DMZ
  • Paramétrer le reverse proxy du PFSENSE pour que le nom d’hôte choisi par le client soit rediriger vers le serveur IIS interne (en utilisant le module HAPROXY), en HTTP et HTTPS
  • Paramétrer la sécurité
  • Paramétrer les certificats SSL sur le PFSENSE avec renouvellement automatique (ACME et Let’s Encrypt)
  • Rediriger les flux nécessaires

Budget et délais

Ce type de prestation nécessite un budget < 1000 euros et peut être mis en place en quelques jours.

Pour aller plus loin

Ce type de configuration pourrait permettre d’avoir des accès différents pour fournisseurs ou client par exemple, ou encore de faire du load balancing (répartition de charge) entre plusieurs serveurs d’applications.

C’est également possible avec d’autres systèmes de virtualisation (comme Proxmox ou ESX) ou avec des serveurs physiques.

Il existe également l’alternative OPNsense pour la partie firewall.

Liens utiles

L’article Mise en place d’un reverse proxy avec pfsense est apparu en premier sur SOS Linux.

]]>