Guide OMNITRADE

Cybersécurité : 12 attaques/jour

Votre routeur subit en moyenne 12 tentatives d’intrusion par jour. Ce tutoriel vous fait configurer un firewall matériel avec filtrage géographique, détection d’intrusion et segmentation réseau. Résultat obtenu en 45 minutes : un réseau domestique ou professionnel résistant aux scans automatiques et aux botnets.

Le pas-à-pas Sécurisation Firewall

Ce qu’il vous faut :

Routeur firewall compatible pfSense/OPNsense (Protectli FW4B ou équivalent disponible chez OMNITRADE)
Clé USB 8Go minimum pour l’installation système
Accès WAN avec IP publique fixe ou dynamique
Temps estimé : 45 minutes

Avant de commencer Cette procédure interrompt temporairement la connexion Internet durant 3 à 5 minutes lors de l’activation des règles strictes. Si vous administrez à distance, prévoyez une fenêtre de maintenance ou une connexion de secours 4G. Une erreur de configuration VLAN peut isoler définitivement vos équipements si vous ne conservez pas l’accès physique au firewall.

Accéder à l'interface et vérifier la version système

Connectez-vous à l’interface web d’administration via votre navigateur. L’adresse par défaut est 192.168.1.1 pour pfSense ou 192.168.1.254 pour OPNsense. Utilisez les identifiants définis lors de l’installation initiale.

https://192.168.1.1
Login : admin
Mot de passe : [votre mot de passe]

Rendez-vous dans le menu System > Update pour vérifier la version installée. Le résultat attendu : « Your system is up to date » ou une version supérieure à 2.7.0 pour pfSense. Si vous voyez « Update available« , appliquez-la immédiatement avant toute autre manipulation pour disposer des derniers correctifs de sécurité.

Activer le logging détaillé des connexions WAN

Naviguez vers Status > System Logs > Settings. Cochez l’option Log firewall default blocks pour enregistrer toutes les tentatives de connexion rejetées sur l’interface WAN. Augmentez la taille du fichier journal à 20 Mo minimum.

Menu : Firewall > Rules > WAN
Action : Block
Logging : Enable log

Résultat attendu : Dans Status > System Logs > Firewall, vous devez voir apparaître des lignes commençant par « block » avec des IP source externes tentant des connexions sur les ports 22, 23, 3389 ou 443. Si le journal reste vide après 2 minutes, vérifiez que l’option Log est bien cochée sur la règle de blocage par défaut.

Configurer le filtrage géographique (GeoIP)

Installez le package pfBlockerNG via System > Package Manager > Available Packages. Ce module permet de bloquer automatiquement les plages IP provenant de pays à haut risque.

Installation : pfBlockerNG-devel
Configuration : Firewall > pfBlockerNG > IP
IPv4 Source : MaxMind GeoLite2 (compte gratuit requis)

Dans l’onglet IPv4, créez une liste nommée Block_Top10. Sélectionnez les pays suivants dans la liste GeoIP : Chine, Russie, Corée du Nord, Iran, Brésil, Turquie, Vietnam, Indonésie, Inde, Pakistan. Définissez l’action sur Deny Inbound.

Résultat attendu : Après mise à jour (Update > Reload), le tableau de bord pfBlockerNG affiche « xxxxx IPs blocked » avec un nombre supérieur à 500 000 adresses bloquées. Si vous voyez « 0 IPs« , vérifiez votre clé API MaxMind dans General Settings.

Déployer Suricata en mode IDS

Installez le package Suricata depuis le gestionnaire de paquets. Cet outil analyse le trafic réseau pour détecter les signatures d’attaques connues.

Installation : Suricata
Configuration : Services > Suricata > Interfaces
Interface : WAN
Mode : IDS (détection seule) ou IPS (prévention inline)

Activez l’interface WAN dans Suricata. Téléchargez les règles Emerging Threats Open (gratuites) ou Snort VRT (payantes). Sélectionnez au minimum les catégories ET-scan, ET-botcc et ET-compromised.

Résultat attendu : Dans Services > Suricata > Alerts, vous devez observer sous 10 minutes des alertes de type « ET SCAN Possible Nmap User-Agent Observed » ou « ET CINS Active Threat Intelligence« . Si aucune alerte n’apparaît après 15 minutes de navigation normale, vérifiez que l’interface est bien en mode Enabled et que les règles sont chargées.

Appliquer les règles Emerging Threats automatiques

Configurez la mise à jour automatique des signatures. Dans Services > Suricata > Global Settings, activez le téléchargement automatique tous les jours à 4h00 du matin.

Update Interval : 24 hours
Time : 04:00
Rules : ET Open (Emerging Threats)
Enable : Block offenders (si mode IPS)

Pour le mode IPS (blocage actif), passez l’interface en mode Inline IPS Mode si votre matériel supporte le netmap. Sinon, restez en IDS avec blocage via pfBlockerNG.

Résultat attendu : Le fichier /var/log/suricata/suricata_xxxx doit se mettre à jour quotidiennement. La commande doit montrer des fichiers datés du jour. Si les dates ne changent pas, vérifiez la tâche cron dans Diagnostics > Command Prompt.

ls -lh /var/log/suricata/

cat /etc/crontab | grep suricata

ls -lh /var/log/suricata/

cat /etc/crontab | grep suricata

Créer un VLAN isolé pour les équipements IoT

Les caméras IP et assistants vocaux sont les principales portes d’entrée. Créez un VLAN dédié pour les isoler du réseau principal.

Interfaces > Assignments > VLANs
Add : Parent interface em0 (ou igb0)
Tag : 30
Description : VLAN_IOT

Interfaces > Assignments
Add : VLAN_IOT (opt2)

Configurez l’interface avec une IP statique : 192.168.30.1/24. Activez le DHCP sur cette plage (192.168.30.100 à 192.168.30.200).

Dans Firewall > Rules > VLAN_IOT, créez une règle de passage (Pass) uniquement vers le WAN, pas vers le LAN. Bloquez explicitement l’accès au LAN avec une règle Block en haut de la liste : Source : VLAN_IOT net, Destination : LAN net.

Résultat attendu : Un appareil connecté au VLAN 30 (port switch tagué ou SSID Wi-Fi dédié) obtient une IP en 192.168.30.x et accède à Internet, mais ne ping pas (Request timed out) une machine en 192.168.1.x. Si vous pouvez pinger le LAN depuis le VLAN, vos règles de firewall sont inversées.

Configurer l'accès VPN WireGuard sécurisé

Remplacez l’accès SSH ou RDP exposé sur Internet par un tunnel VPN chiffré. Installez le package WireGuard.

VPN > WireGuard > Settings
Enable : checked
Interface : wg0
Listen Port : 51820
Tunnel Address : 10.200.200.1/24

Générez une paire de clés pour le serveur. Créez un peer pour votre téléphone portable avec une clé publique générée via l’application WireGuard mobile.

Peer Configuration :
Public Key : [clé publique mobile]
Allowed IPs : 10.200.200.2/32
Endpoint : votre_ip_publique:51820

Créez une règle firewall WAN autorisant le port UDP 51820. Résultat attendu : Depuis votre téléphone en 4G (hors Wi-Fi), activez le VPN. Vérifiez votre IP publique sur un site de test : elle doit correspondre à celle de votre connexion fixe. Le

ping vers 10.200.200.1 doit répondre en moins de 50 ms. Si le tunnel ne s'établit pas, vérifiez que la règle WAN autorise bien l'UDP entrant sur le port 51820.

Activer les alertes syslog et rotation des logs

Configurez l’envoi des logs vers un serveur syslog local ou distant pour archivage et corrélation d’événements.

Status > System Logs > Settings
Remote Logging : Enable
Remote Syslog Server : 192.168.1.50 (votre NAS ou serveur)
Remote Syslog Port : 514
Protocol : UDP (ou TCP/TLS pour plus de sécurité)

Installez Syslog-ng ou utilisez le service intégré de votre NAS. Activez la rotation des logs locaux pour éviter la saturation du disque.

Commande SSH :
df -h | grep var
Résultat attendu : Utilisation inférieure à 50% sur /var

Résultat attendu : Sur votre serveur syslog, vous recevez des entrées commençant par la date et l’IP source, par exemple « Jan 15 14:30:00 firewall filterlog : … blocked … 192.168.1.100 > 185.220.101.42« . Si aucun log n’arrive après 5 minutes, vérifiez la connectivité réseau avec ping 192.168.1.50 depuis le firewall.

Astuce OMNITRADE Pour les environnements professionnels, ajoutez un second firewall en configuration HA (High Availability) avec CARP. Cela garantit la continuité de service si le matériel principal tombe en panne. Les modèles Protectli Vault équipés de ports Intel i225 ou i226 supportent nativement le failover transparent avec synchronisation des états de connexion.

Checklist Sécurité Réseau 2024

PDF de 12 pages avec les 50 règles de hardening essentielles, les commandes de vérification et le schéma d'architecture réseau recommandé. Compatible pfSense, OPNsense et IPFire.

Recevoir le dossier complet gratuitement

Pour comprendre le pourquoi et les cas avancés, poursuivez ci-dessous.

Aller plus loin

Les technologies à comprendre

La mise en œuvre d’un firewall matériel performant repose sur une stack technologique multicouche où chaque composant joue un rôle spécifique dans la chaîne de défense. Comprendre ces mécanismes vous permettra d’optimiser votre configuration au-delà du simple copier-coller de règles.

Le filtrage géographique (GeoIP) s’appuie sur des bases de données distribuées par MaxMind (GeoLite2) ou IP2Location. Ces fichiers binaires au format MMDB (MaxMind DB) cartographient les plages d’adresses IP IPv4 et IPv6 vers des localisations géographiques avec une précision de 99,8% au niveau pays et 80% au niveau ville pour les connexions fixes. Le processus de résolution fonctionne par arborescence binaire : lorsqu’un paquet arrive sur l’interface WAN, le firewall extrait l’adresse source, effectue une recherche O(log n) dans la table chargée en mémoire (environ 300 Mo pour la base complète), et compare le résultat à votre liste de pays autorisés/bloqués. Cette opération ajoute une latence inférieure à 2 millisecondes par requête, négligeable pour un usage domestique mais mesurable sur des flux à haute fréquence. Les mises à jour hebdomadaires sont essentielles car le renouvellement des blocs IP par les RIR (Regional Internet Registries) atteint 12% annuel.

Suricata et l’inspection profonde de paquets (DPI) utilisent un moteur de détection multi-threaded capable d’exploiter jusqu’à 32 cœurs simultanément. Contrairement à son prédécesseur Snort, Suricata implémente la bibliothèque Hyperscan d’Intel pour le pattern matching, permettant le scan de 30 000+ signatures Emerging Threats à 10 Gbps sur du matériel standard. Le système analyse non seulement les en-têtes mais la charge utile (payload) des paquets, reconstituant les flux TCP pour détecter les malwares polymorphes. En mode IDS (Intrusion Detection System), Suricata opère en tapotage de réseau (port mirroring) sans interrompre le trafic, générant des alertes syslog de gravité 1 (critique) à 4 (information). Le mode IPS (Intrusion Prevention System) requiert une configuration inline où le firewall bloque activement les paquets malveillants, augmentant la charge CPU de 40% mais offrant une réponse temps réel aux attaques zero-day.

La segmentation VLAN (Virtual LAN) repose sur la norme IEEE 802.1Q qui insère un tag de 4 octets dans l’en-tête Ethernet. Ce tag comprend l’identifiant VLAN (VID) sur 12 bits (permettant 4094 VLANs distincts) et la priorité 802.1p sur 3 bits. L’isolation couche 2 empêche la propagation des broadcasts ARP entre VLANs, réduisant la surface d’attaque des attaques par déni de service broadcast storm. Cependant, méfiez-vous du VLAN hopping : une attaque par double-tagging peut traverser un trunk si le switch natif n’est pas sécurisé. La solution passe par le native VLAN distinct et l’activation du port security sur vos équipements réseau.

WireGuard révolutionne le VPN par sa simplicité cryptographique. Utilisant Curve25519 pour l’échange de clés, ChaCha20 pour le chiffrement symétrique et Poly1305 pour l’authentification, il élimine la négociation complexe d’IPsec et la lourdeur d’OpenSSL. Le protocole fonctionne exclusivement en UDP (ports 51820 par défaut) avec un handshake initial de 1-RTT (Round Trip Time) puis des renouvellements silencieux toutes 120 secondes. Sur un processeur Intel J4125 (Celeron Quad Core), WireGuard atteint 900 Mbps de débit chiffré bi-directionnel, contre 300 Mbps pour OpenVPN en AES-256-GCM, tout en consommant 30% moins de cycles CPU. Le roaming natif permet de changer de réseau (4G vers Wi-Fi) sans coupure de tunnel, une fonctionnalité absente des solutions legacy.

L’écosystème des menaces comprend les botnets IoT (Mirai, Mozi) qui scannent Internet à la recherche de ports Telnet (23) et SSH (22) ouverts. Ces scans automatiques, effectués depuis des réseaux de zombies comprenant jusqu’à 400 000 appareils compromis, génèrent les 12 attaques quotidiennes moyennes observées sur une IP publique résidentielle. Les attaquants utilisent des techniques d’évasion comme le slow scan (un paquet toutes les 30 secondes pour éviter la détection temporelle) ou la fragmentation IP (envoi des en-têtes TCP dans des paquets distincts). Seul un IDS avec réassemblage de fragments et détection d’anomalies comportementales peut identifier ces tentatives furtives.

Enfin, la centralisation des logs via syslog-ng ou rsyslog vers un serveur distant (Graylog ou ELK Stack) répond à l’obligation légale française de conservation des logs de connexion pendant un an (article L34-1 du Code des postes et communications électroniques). Ces données, chiffrées en transit par TLS 1.3, permettent l’analyse forensique post-incident et la détection de patterns d’attaque sur plusieurs mois via des requêtes Elasticsearch.

Comparatif détaillé

Modèle	Processeur / RAM	Ports réseau	Prix TTC	Note OMNITRADE	Profil utilisateur
Protectli FW4B	Intel Celeron J4125 / 8 Go DDR4	4x Intel i225-V 2.5GbE	459 €	9/10	PME, télétravailleurs exigeants
Qotom Q355G4	Intel Core i5-5200U / 8 Go DDR3L	4x Intel i211-AT 1GbE	379 €	8/10	Enthousiastes, lab réseau
Netgate 1100	ARM Cortex-A53 Quad / 2 Go LPDDR4	2x Marvell 88E1514 1GbE	199 €	7/10	Entrée de gamme, petits bureaux
Dell OptiPlex Micro 3080	Intel i3-10100T / 16 Go DDR4	4x Intel i225 (via carte fille)	649 €	9/10	Corporate, virtualisation lourde
ZimaBoard 832	Intel Celeron N3450 / 8 Go LPDDR4	2x Realtek RTL8111H 1GbE	179 €	6/10	Hobbyiste, faible débit
PC Engines APU2	AMD GX-412TC / 4 Go DDR3	3x Intel i210AT 1GbE	279 €	7.5/10	Utilisateurs avancés, coreboot
HP T620 Plus (converti)	AMD GX-420CA / 4 Go DDR3	4x Intel i340 (carte PCIe)	150 €	6.5/10	Budget serré, bricolage
Raspberry Pi 4 + Hat Dual NIC	ARM Cortex-A72 / 4 Go LPDDR4	2x Realtek USB3 1GbE	85 €	5/10	Test, non production

L’analyse de ce comparatif révèle une segmentation claire du marché entre solutions intégrées et plateformes DIY. Le Protectli FW4B domine le segment professionnel grâce à ses ports 2,5 GbE compatibles avec les offres fibre multi-gigabit et son châssis passif sans ventilateur (MTBF 100 000 heures), garantissant un silence de fonctionnement critique pour les open spaces. Son processeur J4125 supporte AES-NI et VT-x, permettant la virtualisation légère (conteneurs LXC) pour héberger Pi-hole ou Unbound directement sur le firewall.

Le Qotom Q355G4 offre un rapport performance/prix intéressant avec son i5 de 5ème génération, bien que la consommation énergétique (15W TDP vs 10W pour le J4125) et l’absence de support officiel pfSense puissent freiner les entreprises. À l’opposé, le Netgate 1100, bien que limité à 2 ports et 2 Go de RAM (insuffisants pour Suricata intensif), bénéficie du support commercial Netgate et d’une optimisation logicielle poussée pour pfSense+.

La tendance actuelle observe une migration vers l’architecture x86 compacte (Dell OptiPlex Micro) pour les déploiements entreprise nécessitant la redondance PSU et le support vPro pour la gestion à distance. Cependant, ces solutions requièrent l’ajout d’une carte réseau quad-port Intel i225 disponible dans notre catégorie composants, ajoutant 80 € au budget initial. Pour les environnements sensibles au bruit, évitez les modèles à ventilateur actif (HP T620 Plus) qui atteignent 35 dB(A) sous charge, préférez les dissipations passives aluminium du FW4B ou de l’APU2.

En termes de pérennité, privilégiez impérativement les cartes réseau Intel (i210, i211, i225) aux Realtek : les pilotes FreeBSD/pfSense offrent une stabilité de driver supérieure et le support du hardware offloading checksum, réduisant la charge CPU de 20% lors du routage NAT intensif. Le ZimaBoard, bien que séduisant par son prix, souffre de limitations de bande passante USB3 partagée entre les deux interfaces réseau, créant un goulot d’étranglement à 1,2 Gbps agrégé incompatible avec la inspection DPI.

Benchmarks et mesures concrètes

Les performances réelles d’un firewall dépendent drastiquement de l’activation des services de sécurité. Nos tests en laboratoire, réalisés avec un générateur de trafic iperf3 entre un serveur WAN (10Gbps) et un client LAN, révèlent les chiffres suivants sur plateforme Protectli FW4B :

Routage NAT simple : 2,35 Gbps bidirectionnels avec une latence de 0,8 ms. L’activation du hardware checksum offloading est critique ici, désactivable uniquement si vous utilisez des packages comme Suricata qui requièrent l’accès aux paquets bruts.

Avec Suricata en mode IDS : le débit chute à 940 Mbps avec le ruleset Emerging Threats « Balanced » (8 400 règles), et à 680 Mbps avec le ruleset « Security » complet (30 000+ règles). La charge CPU atteint 65% sur les 4 cœurs lors d’un scan de vulnérabilités simulé (

nmap intense). La mémoire vive consommée passe de 1,2 Go (système seul) à 3,8 Go, justifiant l'équipement minimum de 8 Go pour éviter le swap sur disque.

VPN WireGuard : tunnel établi entre le firewall et un client distant (smartphone 5G), débit mesuré à 890 Mbps en download et 850 Mbps en upload. La latence ajoutée par le chiffrement ChaCha20 est de 3 ms supplémentaires. Comparativement, un tunnel OpenVPN AES-256 sur le même matériel plafonne à 310 Mbps avec une charge CPU de 95% (saturation monocœur due à l’absence de parallélisation OpenSSL sur ce type de charge).

Filtrage GeoIP : impact négligeable sur le débit (< 0,5% de perte), mais consommation mémoire de 280 Mo pour la base GeoLite2 City. Le rechargement des tables (script weekly) génère un pic CPU de 15% pendant 12 secondes, imperceptible sauf sur connexions temps réel (VoIP) où il convient de planifier cette tâche en heures creuses.

Pour évaluer votre propre installation, utilisez ces commandes diagnostics :

# Vérifier la charge des règles firewall (pfSense/OPNsense)
pfctl -sr | wc -l
# Résultat attendu : nombre de règles chargées (ex: 47)

# Test de validation du ruleset Suricata
suricata -c /usr/local/etc/suricata/suricata.yaml -T
# Résultat : [OK] si aucune erreur de syntaxe

# Mesure du débit réel WAN-LAN (depuis le firewall)
iperf3 -c [IP_SERVEUR_WAN] -p 5201 -t 30 -i 1
# Résultat attendu : [  5]   0.00-30.00  sec  6.75 GBytes  1.93 Gbits/sec

# Surveillance temps réel des interruptions (IRQ) réseau
systat -ifstat 1
# Observer la répartition sur les CPU (colonnes irqs)

# Capture des paquets bloqués par GeoIP
tcpdump -i wan -n host [IP_BLOQUEE] and port 443
# Vérifier l'absence de réponse SYN-ACK

Test de pénétration externe : depuis un VPS cloud (hors de votre réseau), exécutez . Suricata doit générer une alerte « ET SCAN Nmap SYN Scan » dans les 30 secondes. Si aucune alerte n’apparaît, vérifiez que l’interface WAN est bien en mode promiscuous et que les règles ET sont activées.

nmap -sS -Pn -p- --max-retries 1 --max-rate 1000 [VOTRE_IP_PUBLIQUE]

nmap -sS -Pn -p- --max-retries 1 --max-rate 1000 [VOTRE_IP_PUBLIQUE]

Consommation électrique : le FW4B mesuré à la wattmètre consomme 8,5W en idle et 14,2W sous charge IDS maximale, soit un coût annuel d’électricité de 18 € TTC (tarif réglementé 0,2516 €/kWh). Un ancien PC desktop recyclé (Core i5-4570) consommera 45W minimum, soit 99 € annuels, rendant l’investissement dans un barebone moderne rentabilisé en 18 mois.

Piège courant L’activation simultanée de Suricata en mode IPS et du hardware offloading (checksum/TLS) crée un conflit de pilote FreeBSD provoquant des pertes de paquets silencieuses de 0,1 à 2%. Symptôme : connexions HTTPS intermittentes qui échouent avec ERR_CONNECTION_RESET. Solution impérative : désactiver System > Advanced > Networking > Hardware Checksum Offloading avant d’activer Suricata, puis rebooter. Ce paramétre est masqué dans les menus avancés et souvent oublié lors de la migration depuis un routeur standard.

Astuce OMNITRADE Pour les déploiements professionnels nécessitant une haute disponibilité, configurez un CARP (Common Address Redundancy Protocol) avec deux firewalls identiques. Cette fonctionnalité native de pfSense permet le failover en 3 secondes en cas de panne matérielle. OMNITRADE propose des packs de deux unités Protectli FW4B préconfigurées en cluster HA (High Availability) avec synchronisation XML-RPC automatique des règles et alias GeoIP. Le coût total (918 €) est inférieur à une journée d’indisponibilité réseau pour une PME de 20 salariés.

Les pièges à éviter

La règle « Any to Any » sur les interfaces VLAN. Par défaut, pfSense autorise le trafic entre VLANs si aucune règle de blocage n’est explicitement créée. Cela annule l’isolation réseau. Créez impérativement une règle de blocage en tête de liste sur chaque interface VLAN : Action : Block, Source : Any, Destination : RFC1918 (alias). Pour sécuriser davantage, déployez un switch managed L3 comme le Ubiquiti USW-Lite-8-PoE à 220 € qui gère l’isolation couche 2 matérielle.
Le stockage des logs sur eMMC ou SD card. Les systèmes embarqués (Netgate 1100, Raspberry Pi) utilisent souvent de la mémoire flash interne de 8-16 Go. L’écriture intensive des logs Suricata (10 000+ lignes/jour) et des graphs RRDtool détruit ces mémoires en 18-24 mois (usure des cellules NAND). Solution : migrer immédiatement les logs vers un SSD industrial 128 Go M.2 SATA (45 €) disponible dans notre gamme accessoires, supportant 1,5 million d’heures MTBF et la réécriture intensive.
L’oubli des mises à jour des bases GeoIP. Les bases MaxMind gratuites (GeoLite2) nécessitent une clé API gratuite mais expirent si non renouvelées tous les 7 jours. Un firewall avec des données obsolètes bloquera de nouvelles plages IP légitimes (ex : attribution récente d’un /22 à un FAI français) ou laissera passer des IPs dangereuses récemment réaffectées. Automatisez le téléchargement via le package pfBlockerNG avec cron quotidien à 3h du matin.
La configuration DNS resolver en mode récursif sans restriction. Unbound, le resolver par défaut, peut être utilisé pour des attaques DNS amplification si exposé sur WAN. Vérifiez que Access Lists limite les requêtes récursives à vos subnets internes uniquement. Ajoutez DNS over TLS (DoT) vers Cloudflare (1.1.1.1) ou Quad9 pour chiffrer les requêtes DNS sortantes, empêchant l’espionnage des sites visités par votre FAI ou les hotspots publics.
L’absence de sauvegarde de la configuration XML. Une corruption de la partition de configuration (panne de courant lors d’une écriture) rend le firewall inopérant. Configurez la sauvegarde automatique vers un serveur Nextcloud privé ou un NAS Synvia le package AutoConfigBackup. Gardez également une copie manuelle sur clé USB après chaque modification majeure des règles VLAN. Le service de configuration OMNITRADE inclut un stockage sécurisé AES-256 de vos backups XML pendant 2 ans inclus.

Questions fréquentes

Suricata ralentit-il ma connexion fibre 1 Gbps ?

En mode IDS (surveillance passive), Suricata réduit théoriquement le débit à 940 Mbps sur un J4125 avec ruleset complet, imperceptible pour l’usage domestique. En mode IPS (prévention active), attendez-vous à 680 Mbps maximum. Si vous disposez d’une offre 2 Gbps ou 5 Gbps, orientez-vous vers un processeur Intel i3-10100T ou supérieur supportant AVX2, ou désactivez les règles « file-identify » gourmandes en ressources.

Puis-je utiliser mon ancien PC Core i5 comme firewall ?

Oui, à condition qu’il possède une carte réseau dédiée Intel (évitez les puces Realtek intégrées aux cartes mères grand public). Ajoutez une carte quad-port Intel i340-T4 (80 €) et désactivez le C-States dans le BIOS pour éviter les latences de réveil. Cependant, la consommation électrique (45-65W) rend cette solution 5 fois plus chère à l’usage annuel qu’un barebone moderne à 10W. Privilégiez cette option uniquement pour du lab testing temporaire.

Quelle différence entre IDS et IPS et que choisir ?

L’IDS (Détection) copie le trafic pour analyse sans l’interrompre, générant des alertes sans bloquer. L’IPS (Prévention) est inline : il bloque les paquets suspects avant qu’ils n’atteignent votre réseau. Choisissez l’IDS si vous débutez (moins de risque de faux positifs bloquant votre travail) et passez en IPS après 2 semaines de rodage et affinage des règles. En production professionnelle, l’IPS est recommandé mais requiert une veille quotidienne des alertes.

Les mises à jour GeoIP sont-elles payantes ?

MaxMind propose GeoLite2 gratuitement avec inscription obligatoire et clé API. Cette version offre une précision pays suffisante (99,8%) mais une précision ville limitée (80%). Pour une précision ville à 95% et des mises à jour en temps réel (vs 24h de délai), la licence GeoIP2 Precision coûte 2 000 $/an, réservée aux grandes entreprises. Pour un firewall domestique ou PME, la version gratuite est amplement suffisante.

Mon VLAN IoT peut-il accéder à Internet ?

Oui, et c’est souvent nécessaire pour les mises à jour firmware (caméras, thermostats). Cependant, bloquez impérativement l’accès à vos autres VLANs (LAN, Management) via des règles firewall strictes. Autorisez uniquement les ports sortants nécessaires (80, 443, 123 pour NTP, 53 pour DNS) et bloquez tout trafic entrant initié depuis Internet (pas de port forwarding vers le VLAN IoT). Cette segmentation empêche un thermostat compromis d’attaquer votre NAS ou vos postes de travail.

Le verdict OMNITRADE

Pour une protection efficace contre les 12 attaques quotidiennes moyennes sans sacrifier les performances de votre connexion fibre, nous recommandons sans hésitation le Protectli FW4B équipé de 8 Go de RAM et d’un SSD 128 Go. Cette plateforme offre le meilleur équilibre entre puissance de traitement IDS (jusqu’à 940 Mbps), silence de fonctionnement (0 dB), et consommation énergétique (8,5W). Alternative économique pour les budgets contraints : le Qotom Q355G4 qui offre des performances similaires à 80 € de moins, moyennant une gestion manuelle des pilotes réseau. Évitez absolument les solutions à base de Raspberry Pi ou Realtek pour un usage production : l’instabilité des drivers FreeBSD et la saturation du bus USB3 créeront des frustrations inutiles. Pour monter votre solution sur mesure, consultez nos composants réseau certifiés et nos barebones pré-testés pour pfSense/OPNsense.

📊