Transformer votre Windows en un pare-feu avancé avec WinGate

Présentation de WinGate

C'est suffisamment exotique pour que je m'y intéresse. Wingate est le dernier 'pare-feu' reposant sur l'architecture Windows.

Wingate propose une licence gratuite jusqu'à 10 utilisateurs (leur tarification est intriguante... elle est basée sur le nombre d'utilisateurs accédant au web en même temps, et non sur le nombre de PC connectés)... et également des licences payantes.

Bon à savoir : la gestion des DMZ n'est possible qu'avec les licences professionnelles et entreprise (pas la standard).

Le logiciel est plein de fonctionnalités... C'est assez bluffant

• Pare-feu
• Proxy / Reverse Proxy
• VPN Propriétaire (ils ont leur propre protocole !)
• Scan en direct du trafic http/https/smtp avec le plugin Kaspersky
• Serveur de mail (smtp, imap, pop)
• Serveur Web !
• Serveur DNS
• Serveur DHCP
• Serveur SOCKS
• Serveur GDP
• Proxy FTP / RTSP / SIP / Telnet
• Redirecteur Winsock
• Mappeur TCP / UDP
• Autorité de certification SSL et gestionnaire
• ...

Bref, un gros gestionnaire internet tout en un !

Il est principalement connu pour son service de proxy transparent et son VPN.

Inutile de vous soucier du pare-feu Windows en dessous, WinGate gère tout. Vous devez néanmoins configurer le routage et vos cartes réseaux via Windows (ce que nous allons faire ici).

L'ergonomie de Wingate fait un peu peur au début car je la trouve assez inhabituelle.. mais en fait, tout se configure d'une façon incroyablement rapide !! Je le teste par séries depuis plusieurs mois, et plus j'avance dans les configurations, plus je trouve cette solution étonnante !

Je vais tenter de faire quelques tutos classiques, car la documentation en ligne est franchement ultra merdique. Celle sur le soft en revanche est bonne. Cela dit, le forum du support comporte la majorité des problèmes que l'on peut rencontrer, et Adrien de Croy répond à chaque question posée.

Déploiement de WinGate

Voici les étapes à suivre pour déployer le pare-feu WinGate dans un labo composé d'au moins 2 machines : la machine où sera installé WinGate et un client.

1) Installer Windows 10/11 Pro N/Windows Server 2019/2022...

(avec 2 interfaces réseaux a minima. Une pour le WAN et une pour le LAN)

2) Faire les MAJ de Windows

3) Nettoyer Windows

Passer PrivateZilla ou LoveWindowsAgain en fonction de votre version de windows, puis désinstallez toutes les applications restantes inutiles de windows.

4) Activer le routage Windows

• Avec regedit : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Passer IPEnableRouter à 1.
• En Powershell :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters' -Name 'IPEnableRouter' -Value 1

5) Configurer l'interface réseau LAN

Configurer l'interface réseau LAN, en lui mettant une IP et un masque (et rien d'autre). Si vous ajouter également une carte réseau pour une DMZ, il faut procéder de la même façon (IP + Masque). L'adressage IP des cartes ne peut pas se faire dans Wingate. Je vous suggère de renommer directement vos cartes réseaux au moment de la configuration, pour plus de lisibilité (WAN, LAN, DMZ...)

6) Télécharger et installer Wingate

Télécharger et installer Wingate (depuis www.wingate.com). Lors de l'installation, veillez à choisir soit la licence gratuite, soit la pro (30 jours de tests offerts), et la base de données utilisateurs Windows (surtout pas celle de WinGate !!!!! autrement vous allez être bloqué !)

7) Optimisation (si VM)

Si VM, installer des guest-additions pour optimiser l'affichage en mode intégré.

Configuration dans Wingate Manager

Définir le rôle des interfaces (interne ou externe ou DMZ)

(allez dans la rubique 'Network connections' dans le menu de gauche (Navigation))

(l'idée ici est d'indiquer à WinGate quelle interface est quoi... WAN ou LAN)
on clique-droit sur l'interface, Properties, puis on lui assigne le rôle WAN ou LAN (externe ou interne ou DMZ)

On fait de même pour la seconde interface (et toutes les autres, si vous en avez plusieurs !)

Services : Mise en place d'un service DHCP pour le réseau LAN

Création du service DHCP

Clic-droit, Install service, DHCP Service

• General/Startup : Service Will start automatically



• Bindings/Bind to Any IP Address Ethernet 2 (c'est la LAN)

(Sélectionnez la police par défaut et cliquez sur Edit)

(Liez votre DHCP à l'interface LAN, sur n'importe quelle IP 'Any IP Adress')

• DHCP Mode : Semi Automatic (décocher Scopes et DNS)

(ne laissez pas WinGate tout gérer avec le mode Fully Automatic... il fait n'importe quoi !!)

• DHCP Settigns/Global Options : Add 006 DNS server. double-clic et Add 1.1.1.1

(double-cliquez sur Global Options)

(Ajoutez l'option de DNS Server : Sélectionnez 006 DNS server dans la colonne de gauche, puis cliquez sur Add pour le faire passer dans la colonne de droite. Puis, double-cliquez sur 006 DNS server dans la colonne de droite)

(Ajoutez le DNS que vous voulez proposer aux clients du LAN)

Appliquer, OK

Configuration de l'étendue DHCP

Ré-ouvrir le service DHCP Service (oui, il faut le réouvrir ! double-cliquez sur la ligne)

• DHCP Settings : clic-droit sur l'IP apparue, New scope.. Faîtes votre étendu DHCP.

(réglez votre étendue d'IP sur laquelle le serveur DHCP proposera des adresses)

Vous pouvez indiquer des IP à exclure également, et régler la durée d'allocation du bail.

Appliquer, OK

Extended Networking/Port Security

Autoriser les flux sortants du LAN dans le pare-feu :

(allez dans 'Extended Networking' dans le menu de Nagivation) :

Pour cet exemple, nous allons régler la politique du pare-feu à tout bloquer par défaut, puis ouvrir uniquement les flux internet pour les PC du LAN (mais après, vous ferez ce que vous voulez !). Cliquez sur Port Security dans le menu de gauche

(sur ce prermier écran s'affichent les règles du pare-feu entrantes (venant d'internet). Ici il n'y en a pas.. Je les ai supprimées.)

Default: Deny (Settings)

Cliquez sur Settings en bas à droite, et passez le comportement par défaut du pare-feu à Deny.

LAN connections to Internet | TCP

C'est ici que nous allons définir les règles TCP pour permettre à nos chients du LAN d'accéder à internet. Nous allons créer les règles d'accès au port 80 et 443 (HTTP et HTTPS). Vous remarquerez que j'ai déjà fait ce travail.. mais je vous montre quand même comment créer ces règles ci-dessous. Cliquez sur Add si vous n'avez pas de règles :

• Add : HTTP, Local computers to the internet, Ports 80 to 80, Allow Packet

Je vous laisse le soin de faire la seconde règle pour HTTPS, en suivant ce modèle.

• Add : HTTPS, Local computers to the internet, Ports 443 to 443, Allow Packet

LAN connections to Internet | UDP

Cliquez sur le menu TCP en haut à droite pour passer à UDP.
Nous devons à présent créer notre règle pour le passage du flux DNS. Elle est ici, déjà crée, mais je vous remontre comment faire. Cliquez sur Add

• Add : UDP, Local computers to the internet, Ports 53 to 53, Allow Packet

Derniers réglages de sécurité

Un dernier petit réglage de sécurité avant d'en finir là : Cocher les cases masquant le nom du réseau sur le net et les paquets spoofés.

Voilà, notre petite configuration basique du Pare-feu est terminée.

Sachez simplement que le proxy de Wingate filtre les catégories de site internet selon vos propres listes ou en installant le plugin Lumen... Je verrai si j'ai le temps de faire un nouvel article simplement sur ce sujet... c'est toujours long.

Sur les postes clients du LAN

Configurer l'interface réseau pour DHCP grâce à ncpa.cpl ou bien, via l'invité de commandes :

ipconfig /release
ipconfig /renew

Enfin, vous pouvez lancer l'application Wingate Management au démarrage de la machine.