NetBird – réseau open source Zero Trust
(netbird.io)- Plateforme open source qui combine un réseau overlay basé sur WireGuard® et le Zero Trust Network Access (ZTNA) pour fournir des connexions sûres et fiables
- Déploiement rapide sans passerelle VPN ni configuration de pare-feu, avec un contrôle d’accès renforcé grâce au SSO, à la MFA et aux vérifications de sécurité des appareils
- Simplifie l’exploitation des réseaux d’entreprise grâce à la gestion réseau centralisée, à la définition granulaire des politiques et aux journaux d’activité en temps réel
- Fonctionne dans des environnements variés comme Linux, Windows, macOS, mobile, Docker et routeurs, et peut être auto-hébergé sous licence BSD-3
- Une solution moderne d’accès réseau qui élimine la complexité des VPN traditionnels tout en assurant sécurité et scalabilité
Présentation de NetBird
- NetBird est une plateforme open source qui intègre un réseau peer-to-peer basé sur WireGuard® et le Zero Trust Network Access
- Fournit des connexions distantes sûres et fiables
- Réunit sur une plateforme unique les fonctions d’accès réseau, d’authentification et d’administration
- Il est possible de commencer gratuitement, et de demander une démo enterprise
Fonctionnalités principales
Secure Remote Access
- Permet le provisionnement des utilisateurs et des groupes, la segmentation réseau et la définition de politiques selon le principe du moindre privilège
- Renforce le contrôle d’accès grâce à la MFA et aux vérifications de l’état de sécurité des appareils
- Importe et administre directement les utilisateurs et groupes depuis le fournisseur d’identité
Zero-Config Deployment
- Propose un réseau P2P basé sur WireGuard® pour remplacer les VPN existants
- Fonctionne sans configuration de pare-feu ni ouverture de ports
- Garantit un accès distant sécurisé via le SSO et la MFA
- Permet de configurer en quelques minutes des connexions entre VPC et sites on-premise
Seamless SSO with MFA
- S’intègre aux principaux fournisseurs d’identité comme Okta, Microsoft et Google
- Protège l’accès réseau grâce à un SSO et une MFA basés sur session
- Prend en charge la réauthentification périodique pour les travailleurs à distance
Dynamic Posture Checks
- N’autorise l’accès qu’aux appareils respectant les règles de sécurité
- Effectue divers contrôles comme le pare-feu, l’antivirus et les politiques basées sur la localisation
- Peut s’intégrer à des solutions MDM et EDR
Centralized Network Management
- Permet la gestion des accès et le regroupement des ressources internes depuis une console unique
- Prend en charge la configuration DNS, l’ajout de serveurs de noms privés et l’automatisation via API
- Autorise le contrôle d’accès et la gestion des ressources par équipe
Detailed Activity Logging
- Permet de suivre qui a fait quoi, et quand, sur le réseau
- Enregistre les modifications de configuration et les événements de trafic de connexion
- Prend en charge le streaming d’événements en temps réel vers des plateformes SIEM
Cas clients
- Select Tech Group exploite plus de 55 sites et a mis en place avec NetBird la MFA, le SSO et un contrôle d’accès granulaire
- Des entreprises comme Axiros, netgo et DeltaQuad ont constaté la suppression de la complexité des VPN existants et un renforcement de la sécurité
- Les utilisateurs citent parmi les principaux avantages la simplicité de configuration, la grande stabilité et le respect des principes Zero Trust
Les trois caractéristiques clés de NetBird
1. Simple et sécurisé
- Création d’un réseau en moins de 5 minutes, connexions chiffrées et aucune configuration complexe de pare-feu nécessaire
- Seuls les utilisateurs et appareils autorisés peuvent accéder aux ressources internes
2. Connectable partout
- Prend en charge de nombreuses plateformes, dont Linux, Windows, macOS, mobile, Docker et routeurs
- Offre une connectivité fluide entre les environnements cloud et on-premise
3. Entièrement open source
- Distribué sous licence BSD-3, avec possibilité d’auto-hébergement
- Peut être exécuté sur NetBird Cloud ou sur vos propres serveurs
- Les utilisateurs peuvent auditer le code et l’exploiter directement dans leur propre infrastructure
Effets de la modernisation du réseau
- Une architecture basée sur le SDN élimine la complexité de gestion des passerelles VPN et des pare-feu
- La configuration de l’accès aux ressources distantes se fait depuis un portail d’administration unique
- La segmentation fine du réseau permet de réserver l’accès à certaines ressources aux seuls utilisateurs autorisés
Conclusion
- NetBird est une solution de networking open source qui surmonte les limites des VPN traditionnels et met en œuvre un modèle Zero Trust
- Elle offre simultanément sécurité, simplicité et scalabilité, ce qui en fait un outil moderne de gestion des accès adapté aussi bien aux équipes de développement qu’aux équipes IT Ops
3 commentaires
Je suis passé de zerotier à netbird, puis j’ai eu pendant environ un mois un problème sous Windows où ça ne marchait pas (comme je m’en sers surtout pour jouer à la maison et, de temps en temps, pour me connecter en urgence, je pouvais supporter ça pendant un mois), alors je suis passé à tailscale et j’ai vu la lumière.
De toute façon, ça donne l’impression d’une copie au rabais de tailscale... et si on va jusqu’à utiliser headscale, netbird n’a en fait plus grand intérêt.
En voyant le titre de l’article, je me suis demandé quelle était la différence avec Tailscale, mais les commentaires m’ont beaucoup aidé haha.
Avis sur Hacker News
J’ai complètement migré de Tailscale vers NetBird il y a 2 ans et je l’exploite en environnement auto-hébergé
Les mises à niveau de version se sont aussi déroulées sans accroc, ce qui m’a donné l’impression que l’équipe accorde autant d’importance aux utilisateurs auto-hébergés qu’au cloud
C’était probablement une erreur de configuration de notre part
La documentation ne distingue pas clairement les fonctionnalités cloud et auto-hébergées, donc il faut faire attention
Il manque aussi certaines fonctionnalités dans l’édition communautaire, donc il vaut mieux planifier en conséquence
Cela dit, c’est plus abouti que Headscale et, contrairement à Tailscale, il n’y a pas besoin de modifier le registre, donc cela me semble être une solution plus prometteuse pour l’auto-hébergement
Je voudrais une structure où, lorsqu’un utilisateur se connecte à un endpoint WireGuard, il n’a accès qu’au sous-réseau par défaut, puis peut accéder à des sous-réseaux supplémentaires après une authentification MFA
Par exemple, pouvoir d’abord accéder seulement au wiki ou au chat interne, puis élargir l’accès à des ressources sensibles comme GitLab via MFA
Au lieu d’un overlay L4 comme WireGuard ou d’un endpoint public L7 comme ngrok, l’idée est de projeter les services distants en local
Avec Caddy sur un VPS, on peut aussi l’utiliser un peu comme ngrok
Les solutions existantes comme NetBird, Tailscale, frp ou rathole ne proposaient pas un accès P2P auto-hébergé, intuitif et fondé sur le FOSS
Connet résout ce point, et la version cloud sur connet.dev n’est qu’un simple habillage du projet FOSS
D’après le README, il faut exécuter des commandes, donc ce sera difficile sur smartphone
En environnement mobile, une configuration de type ngrok paraît plus réaliste
En utilisant un espace d’adressage IP CGNAT comme Twingate, on pourrait attribuer une IP dédiée à chaque service pour mieux les isoler
La fonction DNS est excellente et le modèle de contrôle d’accès est intuitif
Il est aussi facile d’accorder un accès ponctuel si besoin
En revanche, l’application Android n’est pas sur F-Droid et il y a parfois des coupures en itinérance
Malgré cela, c’est globalement un excellent logiciel et j’espère qu’il continuera à progresser
J’aimerais aussi savoir s’il est facile de les intégrer à un mesh WireGuard déjà en place
Je me demande ce que vaut l’application iOS de NetBird
J’envisageais Tailscale pour remplacer ma configuration WireGuard existante
C’est gratuit, compatible avec les clients officiels Tailscale et très simple à configurer
https://headscale.net/stable/
Il y a tellement de termes sur le site de Tailscale que j’ai du mal à voir comment l’utiliser à la maison
Le DERP officiel de Tailscale ne fonctionne pas, mais avec l’activation du DERP intégré, tout tourne sans problème
au lieu d’ouvrir un seul port pour WireGuard, il faut en exposer plusieurs
comme tcp/80, tcp/443, udp/3478, tcp/50443, ce qui représente une charge de sécurité non négligeable
Même avec un reverse proxy, c’est dommage d’avoir autant de ports exposés
Cela donne l’impression que Tailscale essaie implicitement de limiter le périmètre d’usage de Headscale
C’est une plateforme d’accès sécurisé zero trust basée sur le FOSS, qui peut servir de VPN, ZTNA, passerelle API, PaaS ou alternative à ngrok
Elle propose des accès avec ou sans client, le SSH sans mot de passe, OIDC/SAML, MFA WebAuthn, de la visibilité basée sur OpenTelemetry et bien d’autres fonctions
Tout est détaillé dans le README
Je me demande si vous prévoyez à long terme un plan entreprise, et si vous exigez aussi une CLA pour les contributions externes
Je le maintiens dans un overlay Gentoo, et chaque fois que j’essaie de mettre à jour la version, une nouvelle sort déjà
Il faudrait limiter la fréquence des releases à une par semaine maximum
J’ai un conteneur Caddy dans le Tailnet, et j’y route tous les sous-domaines
Caddy gère aussi le SSL
Je n’utilise pas Funnel ; je garde simplement les services derrière le VPN
En revanche, la limite d’expiration de 90 jours des Auth Keys est gênante pour administrer des équipements embarqués distants
Je cherche une méthode d’authentification plus durable et automatisée
Tous les équipements internes sont regroupés sous le domaine
.homeet routés via le Tailneton peut désactiver manuellement l’expiration des clés. C’est aussi possible via des tags
Parmi les alternatives similaires, il y a OpenZiti, Headscale et Nebula
Comme ressource utile, je recommande awesome-tunneling