Le contexte
Le client dispose d’une application WEB (ERP/CRM) contenant des données sensibles. L’application est installée sur un serveur WEB IIS dans le réseau local du client.
L’objectif est de donner accès à cette application à des utilisateurs externes à la société, tout en conservant un niveau de sécurité satisfaisant pour le serveur applicatif. L’idée est d’installer un WAF en frontal qui protégera le serveur IIS des attaques et permettra de filtre les accès extérieurs.
Le client dispose d’une infrastructure virtualisée (Hyper-V).
Nos actions
La solution proposée a été d’installer le firewall applicatif open source PFSENSE sur une machine virtuelle dans une DMZ. Ce firewall sera ensuite utilisé comme Reverse Proxy pour permettre aux utilisateur d’internet d’accéder au serveur applicatif.
Les actions ont donc été les suivantes :
- Paramétrer une DMZ dans Hyper-V
- Installer PFSENSE sur une machine virtuelle dans la DMZ
- Paramétrer le reverse proxy du PFSENSE pour que le nom d’hôte choisi par le client soit rediriger vers le serveur IIS interne (en utilisant le module HAPROXY), en HTTP et HTTPS
- Paramétrer la sécurité
- Paramétrer les certificats SSL sur le PFSENSE avec renouvellement automatique (ACME et Let’s Encrypt)
- Rediriger les flux nécessaires
Budget et délais
Ce type de prestation nécessite un budget < 1000 euros et peut être mis en place en quelques jours.
Pour aller plus loin
Ce type de configuration pourrait permettre d’avoir des accès différents pour fournisseurs ou client par exemple, ou encore de faire du load balancing (répartition de charge) entre plusieurs serveurs d’applications.
C’est également possible avec d’autres systèmes de virtualisation (comme Proxmox ou ESX) ou avec des serveurs physiques.
Il existe également l’alternative OPNsense pour la partie firewall.