Lie www.myprojectz.com Etude comparative de deux solutions de sécurité open source PfSense & Unt Rapport de stage de fin d'études Filiére R2SI— Licence Professionnelle Faculté de Sciences Semlalia Auteur : Abdellah ALT BEN HAMMOU Catégorie : Informatique et Multimedia Myprojectz, C’est Vintitulé de cette plateforme d’éducation et de recherche destinge aux étudiants et aux chercheurs. Projet de fin d’étude, rapports de stage, conseils et formation. ‘Vous aimeriez partager votre projet de fin d’étude, votre rapport de stage ou votre expérience. Soyez la bienvenue. Contacter nous E-mail: contact.myprojectz@gmail.com Website: www.myprojectz.com Page Facebook = rejoindre Page Google + : rejoindreRAPPORT DE STAGE DE FIN D’ETUDES Présenté en vue de Vobtention du: Licence Professionnelle R2ST « Réseaux, Sécurité et Systemes Informatiques » Effectué au sein de V Université Cadi Ayyad Marrakech Sous le tl heme : Etude comparative de deux Solutions de securite open source : Encadré par: PéSense-& Untangle > Mr M. BOUHAMIDI Tuteur de stage : > Mr A. LAZREK Présenté : le 30/06/2011 4 Période de stage : du 03/05/2011 a 25/06/2011 Année universita Réalisé par: > Abdellah AIT BEN HAMMOU + 2010/ 2011 Abdellah AIT BEN HAMMOU. Page 1 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES FRemercrements Tout d'abora, je tiens 4 exprimer mon immense respect et gratitude 4 Mr, le Président de luniversité Cadi Ayyad, sans qui fe naurals pu passer ce stage. Par la méme occasion, mes remerciements les plus humbles vont 4 Mr My Mehdi BOUHAMIOL, de mavorr accepté en tant que stag/aire au sein au Département d'Informatique et de miavolr laissé fa liberté dagir, et de me permettre de réaliser mon stage. ve ne manqueral pas de remercler mon tuteur de stage Mr. Azzeddine Lazrek, et Mr My Ahmed EL. K/RAM, fe responsable de notre filiére Réseaux, Sécurité et Systémes Informatiques, et son adjoint Mr Said EL BACHARL et auss/ Mr M. N. KADDIOU! le chef de département pour feurs informations précieuses, leurs ouverture desprit, ainst que leurs professtonnatisme. Vadresse mes vis remerctements 4 tous Jes ense/gnarts au Département d'Informatique de la FSSM de Marrakech, pour les efforts quits ont déployés pour me transmettre leurs riches connatssances. Mereé Abdellah AIT BEN HAMMOU. Page 2 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Sommaire INTRODUCTION. Partie 1: I PRESENTATION GENERALE DE L’UNIVERSITE CADI AYYAD 1. Historique. 2. Etablissements de l'Université... 3. Formation initiale. 3. Formation continue. 4. Recherche scientifique ... 5. Espace étudiant: Partie 2: I. MISE EN PLACE D’UN SERVEUR PFSENSE 1. Introducti 2. Description 3. Services proposés .. 4. Installation de PfSense 5. Configuration de PfSense ... 6. Portail Captif Abdellah AIT BEN HAMMOU. Page 3 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES a. Présentation. 18 B, Schemas ssasscestsnseetseseentseentnetetnesests senaesenereeneee AD ¢. Configuration serveur i, Paramétres généraux. Choix d’authentification. T. VPN site a s a. Introduction. b. Pré-requis Ch de la technologie .. 4d. VPN site a site (OpnVPN), Présentation... Schema general .vsssnnnnsennne 33 Configuration du serveur Configuration du Client..cscsccseestescenesee eseeeee 34 8. Partage de la bande passante : Traffic Shaper een a. Introduction. b. Maquette de test Configuration Traffic Shaper. i Configuration initial via wizard cco set Fonctionnement du Traffic Shaper. Configuration avacée. 4. Exemples d’applications Abdellah AIT BEN HAMMOU. Page 4 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES 9, Multi WAN (Load Balancing) a. Introdcution. sranrernmcstcscans AR b. Schéma genéralencininennnnnnnenie 42 ¢. Configuration du Load Balancing 10. VLANs virtuels.. a. Schema.. b. Configuration des VLANs virtuels I MISE EN PLACE D’UN SERVEUR UNTANGLE cnc AB 4. Imtroduction scsscssscsssssessentseistsesetnenesnse 2. Avantages d’Untangle Bw. 3. Fonctionnalités d’Umtangle...ccacscrcesceseseenese sesseseseraeseneeeenee 4B scent 4B 4. Applicationts gratuits proposés par Untangle ......0 i 5. Interface utilisateur de serveur Untangle . 6. Configuration d’Untangle. a. Untangle en tant que routew b. Untangle comme un pont L Difficultés rencontrées.. Perspective > Points traités * > Points non traités References... Abdellah AIT BEN HAMMOU. Page 5 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Introduction Le stage d’initiation est une étape importante dans la vie de P’étudiant, En effet, étant le premier contact direct avec l’entreprise, les stages permettent aux étudiants de mettre en application les connaissances théoriques qui ont acquis et de développer ses compétences pratiques et son sens de la communication. Le choix du stage doit étre tras pertinent afin de permettre au stagiaire de se positioner par rapport au marché d’emploi et de se situer par rapport 4 ses compétences. C’est dans ce cadre que j’ai essayé de m’orienter vers un secteur trés important et qui touche en grande partie notre économie a travers I’évolution qu’il enregistre au fil du temps, c’est le secteur du réseaux, sécurité et systémes informatiques, qui connait un essor rapide au Maroe vu la multitude des surfaces qui se crée a travers tout le pays chose qui explique le développement de ce secteur Réseaux et sécurité systémes informatiques en plein développement et au fort potentiel me semblait étre le plus appropriée au type d’expérience que je cherchais. Université Cadi Ayyad par sa culture et son histoire, son désir d’aller toujours de l'avant a su se hisser au premier rang des grandes université au Maroc et aussi en Afrique en lui offrant tous ces avantages, tant sur le plan professionnel que personnel. Lors de ce stage, j'ai essayé de mettre en ceuvre un serveur PFSense et un serveur Untangle Abdellah AIT BEN HAMMOU. Page 6 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Partie 1 I. __ Présentation générale de Vuniversité Cadi Ayyad 1. Historique t Créée en 1978, !'UCAM s'est appliquée efficacement depuis trente ans a faire face aux détis, + Conijoints de la croissance massive de ses effectifs étudiants et des transformations de la demande sociale de formation et de recherche. ! Le champ de ses compétences disciplinaires s'est étendu au fil des années, en mame temps que ] slaffirmaient sa vocation a préparer ses étudiants & des métiers nouveaux. 4 L'UCA compte, actuellement, 12 établissements implantés sur 2 régions du Royaume : Marrakech | Tensift E1Haouz et AbdaDoukkala, Elle couvre 4 villes universitaires : Marrakech, Kalaa des t Sraghna, Essaouira et Safi. 1 » 2. Etablissements de Puniversité : * itablissement Année de création [ larrakech * aculté des Sciences Semialia 1978-1979 : * aculté des Lettres et des Sciences Humaines 1979-1980 ‘ * aculté des Sciences Juridiques, Economiques et Sociales 1979-1980 j * gculté des Sciences et Techniques 1991 - 1992 © aoulté de Médecine et de Pharmacie 41997 - 1998 j * cole Nationale des Sciences Appliquées 2003-2004 i * cole Nationale de Commerce et de Gestion 2004-2005 2 ssaouira : cole Supérieure de Technologie 2005 - 2006 + * ela des Essraghna i |, entre Universitaire 2007 -2008 * afi * cole Supérieure de Technologie 4992-1993 i © aculté Poly disciplinaire 2003-2004 i © cole Nationale des Sciences Appliquées 2003-2004 i Abdellah AIT BEN HAMMOU. Page 7 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES 3. Formation initiale : A travers ses douze établissements, !UCA assure au profit de plus de 29703 étudiants (en 2010), une formation dans différentes spécialités, entre autres, les lettres et sciences humaines, les sciences juridiques, économiques et sociales, les sciences et techniques, le commerce et la gestion, la médecine et lingénierie. Les formations sont ventilées comme suit 53 filidres, cycle de Licence Fondamentale ; 19 filigres, cycle de Licence Professionnelle ; 08 filigres, cycle de Licence Sciences et Techniques ; 33 filiéres, cycle de Master : 14 filiéres, cycle de Master Spécialisé 08 filidres, cycle de Diplome Universitaire de Technologie ; 05 filiéres, cycle de Master Sciences et Te 16 filigres, cycle Ingénieur ; 01 filigre, cycle Gestion ; 01 filigre, cycle Commerce ; 01 en médecine générale et (27) en spécialités médicales. 4. Formation continue Dans le prolongement de la mission que doit remplir luniversité envers la société et conformément aux services que celle-ci peut offfir A la collectivité, la formation continue s‘inscrit parmi les missions principales au méme titre que la formation initiale et la recherche et ce, conformément 4 la loi 01-00 portant organisation de Enseignement Supérieur. Afin de promouvoir cette nouvelle mission, l'Université Cadi Ayyad a mis a la disposition de sa communauté scientifique en 2003 une structure dédiée a la Formation Continue dont la mission consiste 4 accompagner les porteurs de projets, veiller au respect des régles et cartes régissant cette activité et assurer le suivi des formations sur le plan administratif et financier. La Division de la Formation Continue, en collaboration avec les enseignants chercheurs, ceuvre pour organiser des programmes conformes aux attentes et besoins des entreprises, administrations, collectivités territoriales, associations professionnelles, demandeurs d'emploi. Les programmes de formation proposés sont organisés sous forme de ~ formations continues diplomates notamment @ caractére professionnalisant ; ~ cycles de formations contimes qualifiantes 4 la carte : ~ cycles de formations continues « sur mesure » élaborées et négociées en fonction des besoins des entreprises privées et des administrations publiques. Abdellah AIT BEN HAMMOU. Page 8 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES 5. Recherche scientifique La pratique de la recherche scientifique a démarré 4 Université Cadi Ayyad en 1978 en méme temps que les activités pédagogiques. Les premiers docteurs marocains qui ont intégré l'université ont joué un réle piounier dans la mise en place des premiers Laboratoires a la Faculté des Sciences Semlalia, Adossés, au démarrage, a une recherche fondamentale lige a la spécialité de leur créateur, ces laboratoires allaient progressivement prendre en charge des problématiques liés au développement régional (eau, écologie, valorisation des matiéres premiéres régionales, énergie solaire, développement durable...) Pour atteindre ces objectifs, plusieurs initiatives conerétes ont été adoptées 1. La création d'un fond de soutien a la recherche. 2. Le renforcement de la recherche appliquée notamment par le soutien apport a 'Incubateur de Université. 3. La restrncturation des entités de recherche sur Ia base d'un cahior de normes adopté par le Conseil de Université. La création d'un Centre d'Analyses et de Caractérisation. La création du Centre d'Etudes et de Recherche sur IEau et Energie La création du Centres d'Etudes et de Recherche sur le Sahara, La création d'un observatoire astronomique a !Oukaimeden. L'abonnement aux revues électroniques ScienceDirect (Sciences et Techniques) et JSTOR (Sciences Humaines). Le lancement par la Commission de la recherche scientifique et de la coopération de Tuniversité d'une large réflexion sur lévaluation des activités de recherche devant dégager les domaines d'excellence de luniversité et ses faiblesses. era 2 Le but final de ensemble de ces initiatives est dlarriver a un systéme de recherche cohérent et performant pouvant accompagner les efforts de développement entrepris par notre pays de fagon optimis 6. Espace étudiants Cotte mbrique est dé y suivre des études On y trouve des informations sur : ¢ aux étudiants de Université Cadi Ayyad et a tous ceux qui désirent - Les modalités d'inseription ; - La nature des études qu'on peut y suivre ; - Les différents établissements ; ~ Le régime des études - Les différentes activités para-universitaires qu'on peut y mener ; = Quelques adresses utiles pour se loger ou se restaurer ; - Une rubrique dédige aux étudiants étrangers désirant suivre des études & !'UCAM. Abdellah AIT BEN HAMMOU. Page 9 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Parties 2 I. Mise en place d’un serveur PF sense 1, Introduction ‘Nous avons décidé d’étudier les principaux services fournis par l’excellent routeur/Pare-feu, P£Sense. Ce systéme Open source est basé sur le systéme exploitation FreeBSD, répute pour étre extrémement stable. De plus, PfSense ne réinvente pas la poudre puisqu'il reprend le coeur du Routeur/Firewall mOnOwall (http://mOn0.clvwall/) et y ajoute ses propres fonctionnalités. C’est précisément de cette partie dont nous allons traiter dans ce document. La distribution PiSense propose en cela une multitude d’outils Open Sources permettant Vadministrateur réseau d’optimiser ses taches. Au début d’année 2009, PfSense a sorti un livre blane payant nomme : Guide Book : the definitive Guide, qui relate de tout ce qui concerne PfSense. Notre volonté nest pas de le copier mais d’avoir une approche basée sur le retour d’expérience. Ainsi nos parties sont constituées d’une présentation de la technologie concernée, des solutions techniques associées (comparaison si besoin) et d’une mise en pratique, Notre analyse est en somme la problématique suivante : comment mettre en place tel ou tel service intégra PfSense en pratique ? 2. Description PfSense est un portail captif 4 base de Linux FreeBsd. Ses avantages principaux sont 1 =» Sa Disponibilité (Base FreeBSD, loadbalancing, ete...) ; 2. => Sa confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, ete...) 3 = Ses possibilités de suivi et audits ; 4 => Sa mise & jour (systéme upgradable, packages visibles et téléchargeables directement depuis I’interface d’administration web, etc...) ; 5 => Simplicité d’administration et installation ; 6 => Autonomie complete. En gros, un portail sécurisé avec fonctions de firewall sous une distribution libre et simple utilisation pour des personnes initiées aux problématiques réseaux. Abdellah AIT BEN HAMMOU Page 10 ‘LP-R2S!RAPPORT DE STAGE DE FIN D’ETUDES Son installation et sa gestion sont relativement simples si on prépare bien sou travail, et c”est ce que nous allons voir dans les articles suivants 3. Services proposés Ce qui est traité dans ce document Poratil Captif’ VPN site a site (OpenVPN) Répartition de charge avec Load Balancer ‘Vians Virtuelles Partage de bande passante Traffic Shaper vVvVVY 4, Installation de PfSense Aprés avoir récupérer notre matériel, l’installation peut commencer. A noter qu'il est impossible d'installer Pfsense sur un disque contenant une partition Fat]6/32, NTFS ou autres. Le disque dur devra étre formaté pendant I’installation. ‘Nous avons effectué T'nstallation décrite si dessous sur un logiciel appelé VMware. Ce logiciel nous permet de créer des ordinateurs virtuels et de les relier par réseaux virtuels. Passons maintenant a Tinstallation de PfSense. existe 2 fagons de faire marcher le portail captif : > Sur le disque dur ; > Via un Live CD. Cette dernigre solution est trés rapide et efficace. Le chargement se fait automatiquement ainsi que sa configuration. Mais elle posséde tout de méme des inconvénients : > Chargement long ; > Configuration stockée sur disquette (les disquettes sont peu fiables) ; > Impossibilité dlajouter des "packages" (logiciels), on ne peut pas toucher A la structure du cD. Nous avons done utilisé le Live CD ponr comparer les différents portails captifS, mais pour une implantation dans un réseau, il vaut mieux linstaller sur-un disque dur. Installation sur le disque dur Nous allons ensuite avoir eran de démarrage de FreeBSD. Nous avons plusieurs choix possibles. Ici en met Foption 1 (défimt) ou bien en attend que le compte & rebours termine. Abdellah AIT BEN HAMMOU. Page 11 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Ensuite, vient la configuration des interfaces réseaux. Nous remarquerons ci-dessous que FreeBSD détecte le nombre de cartes réseaux, et y attribue des noms (Valide interface are : le0, lelet Je2 dans notrecas). Network interface mismatch ming interface assignment option Pe) eee rt et) er eect m Nt et) CEC ete TUT mer CEC Mecca Ta eM Eee Ee eC eo oer e en CoC meer SL reese le2 8:8c:29:13:80:87 (up) AMD PCnet-PCI CT OC est On choisit done quelle interface sera le LAN et l'autre le WAN (ici LAN: le0, WAN: lel, DNZ : le2) eC eT em ery Cay Se eee ee ee ero eet mies ny aC ne ems cena heii) ae Ce ee eC eee emits mcr metr es) Perce osc Me mOnt sr TO MUn eae tte rcrieed STM SCM r ae) If you do not know the names of your interfaces, you may choose to use recreate enact orcr TL eC aC CeCe) Se Con ere cea t Pa ecco meee Cay ee eee teem reer. omer) (or nothing if finished): led PCR Ce Cee eee est omer ore mecree TT beer) SRC asc (or nothing if finished): If re Ce Cesc) Nous avons ensuite un récapitulatif de la configuration et devons la valider en tapant "y" Abdellah AIT BEN HAMMOU Page 12 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES DC Petia CeCe HAN LAN ha Do you want to proceed (yin]2ylf FreeBSD charge ensuite et nous entrons dans le menu. Nous allons done passer a Installation sur le disque dur en tapant le choix "99", fe eee oe Cee Temes) Se eT Ch at RLS Cee merous) ier ae eee aD) eV merusl re) rast eee Tae mrCy Tee) i pant Pernt rae Peston ary) face(s) IP addr Past itera Cees erent eect Cette ete etre Cae Pee aeesec) chy Soe rec 14) Enable Secure Shell ( Ping host een Cee tert Enter an option: 99] L les demandes (formatage si nécessaire et création de la partition) nstallation qui va suivre se fait en acceptant toutes les options par défaut. II suffit daccepter toutes Abdellah AIT BEN HAMMOU Page 13 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Daren mrt vusr/local/bin/cpdup -vuy -1 -o vetc /ntvetc —z 17% 1 corms Une fois l'installation terminge. Et si tout c'est bien déroulé, nous devrons atteindre 4 nouveau Je menu de PfSense. er) ee TS eRCy Tee) @) Logout (SSH on 8) Stumm oy AC Ce mt rs TD) Ce eter TT 11) Perea ret PCC CCE te) 12) Developer Shell creme co) EPC er me Cd ms ceerstt) POU Cece OMe) Cer ee Enter an option: ff PfSense est en marche. Nous pouvons le configurer ici méme v ou bien via une interface graphique (http) en connectant u le Shell (ligne de commande) PC sur la carte associé au LAN. 5. Configuration PfSense s principaux parameétre: Nous allons maintenant configurer PfSense. Avant tout, il est conseillé de changer IP sur la machine de PfSense directement, pour plus de simplicité par la suite. Pour cela, dans le menu de PfSense, on tape le choix 2 Set LAN IP address. Entrant l'adr se IP correspondant & notre LAN. Abdellah AIT BEN HAMMOU Page 14 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES UCL) Conc et . eC) ee $ CemOmt ects CLP e.g. 255 Ce CeCe RTC Someta Do you want to enable the DHCP server on LAN Lyin]? SC ee SCC er ee Cee eRe Ce SCC Cet eC et Ca eC ee Ce a CeCe CC 2 | ec ese he ee coor es eer or mT te tes a CCRC) eee eee Nous allons pouvoir maintenant configurer PiSense via l'interface Web, On connecte une machine sur la carte réseau de PfSense (coté LAN, tout est bloqué coté WAN par défaut) On ne doit pas oublier de changer ITP de votre machine. Ouvrons ensuite le navigateur Web, puis entrez http://ip_pfsense. Dans notre cas, nous ferons http://192.168.10.10. Entrons ensuite le login (par défaut admin, mot de passe : pfrense). Abdellah AIT BEN HAMMOU. Page 15 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Allons ensuite dans System, puis General Seip. Bi nee cere Sen eens extern re ieee aaa Iei se trouve la configuration générale de PfSense. On entre ici le nom de la machine « pfs », le domaine « r2si.fism » ot ITP du DNS « 192.168.100.1 ». Attention, il nous faut décocher option se trouvant dessous (Allow DNS server list 10 beoverriddenby DHCP/PPP on WAN). En effet, cette j * option provoque des conflits puisque les DNS des clients nlest plus PfSense, mais un DNS du WAN * inaccessible par le LAN Ensuite, on modifie le nom et le mot de passe du compte permettant de se connecter sur PfSense. ‘Nous pouvons ensuite activer l'aceés ces pages. via une connexion sécurisée SSL. Pour cela, on active !HTTPS. On entre le port 443 dans webGui port (correspondant a SSL). ‘Nous pouvons ensuite modifier le serveur NTP et le firseau horaire pour régler notre horloge. Enfin, nous pouvons aussi changer le théme d'affichage de Pfsense, En effet, le théme par <éfaut (metallic), comporte quelques bugs (probléme d'affichage, lien disparaissant). Mettez. done le theme "P/Sense" ‘Nous devrions done avoir une interface comme ceci : Abdellah AIT BEN HAMMOU. Page 16 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Ey Aaa outs ett erty nce [D.pnse.pokp rt 4 Ensuite, toujours dans "system', allons dans Advanced. Tei, nous pouvons activer la comexion SSH afin de l'administrer 4 distance sans passer par I'interface graphique (en effet, pour une configuration acerus, il vaut mieux passer par le Shell) ‘Nous allons maintenant configurer les interfaces LAN et WAN en detail. EZ Enable Secure shell SSH port (Ses) Disable Password login for Secure Shell (KEY only) 2) Pour cela, nous allons dans Interface, puis WAN pour commencer. On entre ici Padresse IP de la + carte réseau coté WAN, ainsi que ladresse IP de la passerelle. Abdellah AIT BEN HAMMOU Page 17 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Interfaces: WAN Type (sie aC adress c ~ loony my MAC ae “Te ald in Be wade dy CaP he MAC aso he WAN itrce may be requred with some cable connections) Ernara MAG ear the fling foment rave Her wu [ ] TE You ear» vse in th eld then MSS carping for TCP conneions tothe vale entered above minus 40 (romp haar sa lb afc Iryou ave fd ks an TU of a byes far PRD 100 bytes for all ether conection types wil be assumed. IP address (sse.t68.100.99 |1 249] Nous configurons ensuite la carte LAN (elle doit étre normalement bien configuré, mais nous pouvons faire des modifications par la suite ici) : Interfaces: LAN ridge wth aT] 1 address eae a9] FTP Her 11 Dale the wsrlnd FTP-Prony application Nous allons ensuite dans la section DNS forwarder. Et activons ensuite option Enable DNS ‘forwarder. Cette option va permettre 4 PfSense de transférer et d'Smettre les requétes DNS pour les, clients. Services: DNS forwarder Enable ONS forwarder Ine reste plus qu‘a configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allons dans la section DHCP server. Abdellah AIT BEN HAMMOU Page 18, LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Cochons la case Enable DHCP server on LAN imerface. Eutrons ensuite la plage adresse IP qui sera attribuée aux clients. Dans notre cas, notre plage d'IP sera 192.168.10.20 — 192.168.10.90. 1 faut par la suite entrer IP du serveur DNS qui sera attribuée aux clients. Ici il vous faut entrer !P du portail captif. En effet, nous avons définie plus haut que PfSense fera lui-méme les requétes DNS. Pour finir, on entre 'adresse de la passerelle pour les clients. Celle-ci sera le portail captif, 192.168.100.1 Voici done ce que nous devrions avoir : Services: DHCP server te ocr saver anata bow wane cae ee 112.168.1040 192.168 10.50 ae 12.166.100.1 ‘Voila, PiSense est correctement configuré. Pour le moment, il sert uniquement de Firewall et de routeur, Nous allons maintenant voir comment activer I'écoute des requétes sur I'interface LAN et obliger les utilisateurs & s‘authentifier pour traverser le Firewall, 6. Portail Captif a. Présentation ‘Un portail captif est une structure permettant un accés rapide A Internet. Lorsqu'un utilisateur cherche & accéder 4 une page Web pour la premiére fois, le portail captif capture la demande de connexion par un routage inteme et propose l'utilisateur de s'identifier afin de pouvoir recevoir son accés. Cette demande d'authentification se fait via une page Web stockée localement sur le portail captif grace 4 un serveur HTTP. Ceci permet a tout ordinateur équipé d'un navigateur HTML et d'un aecés Wi-Fi de se voir proposer un accés a Internet, La connexion au serveur est sécurisée par SSL grace au protocole HTTPS, ce qui garantit l'inviolabilité de la transaction. Les identifiants de connexion (identifiant, mot de passe) de chaque utilisateur sont stockés dans une base de données qui Abdellah AIT BEN HAMMOU. Page 19 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES est hébergée localement ou sur un serveur distant. Une fois lutilisateur authentifié, les régles du : Firewall le concernant sont modifiées et celui-ci se voit alors autorisé a utiliser son accés pour une + durée limitée fixée par l'administrateur. A la fin de la durée définie, l'utilisateur se verra redemandé + ses identifiants de connexion afin d'ouvrir une nouvelle session. Fonction type d’un portail captif Client : http://www.google tt (en passant par le portal...) \S Portail : redirection vers la page d’authentification locale %& Client : Login + Mot de passe % siOk : client : htp:/www.google fr Schéma théorique d'un portail captif Interprétation : Quoi que désire faire le client, s°il veut surfer sur le WEB il devra d’abord passer par le portail captif afin de s’authentitier b. Schéma Pour cette partie j'ai suivis le schéma suivant Abdellah AIT BEN HAMMOU. Page 20 LP-R2SI¢. Configuration Serveur i Parameétres généraux ‘Nous allons désormais voir la procédure afin de mettre en place le portail captif{ Pour cela, nous allons dans la section Captive portail. Cochons la case « Enable captive portaib», puis on choisit interface sur laquelle le portail captif va écouter (LAN dans notre cas). Dans les 2 options suivantes, nous allons définir les temps partir desquelles les clients seront décomnectés. « Idle Timeout » définie le temps partir duquel un client inactif sera automatiquement déconnecté, « Hard Timeout » définie le temps & partir duquel un client sera déconnecté quel que soit son état. Nous avons choisi de mettre 1h pour l'inactivité, et 12h pour les déconnexions brutales. Ensuite, nous pouvons activer ou pas un popup qui va servir au client de se déconnecter. Nous avons préféré ne pas mettre cette option, car de nombreux utilisateurs utilisent des anti-popup et done ne verront pas ce message. est possible ensuite de rediriger un client authentifié vers une URL spécifique. Nous avons préféré de ne rien mettre afin de laisser la liberté au client de géver leur page de démarrage. Le paramétre suivant Coneurrent user logins, permet d'éviter les redondances de connexions. En effet, l'utilisateur pourra se connecter sur une seule machine 4 la fois. Cela va donc limiter les usurpations d'identité pour se connecter. Enfin, il est possible de filtrer les clients par adresse MAC. Abdellah AIT BEN HAMMOU. Page 21 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Services :Captive portal Captive portal ae Cae Enable captive portal Interface ae Shows wich etacn tn he ct ot on ‘asa concaret at Watt = meet "Tit Etig lets te numberof concen onactens tthe captive portal HTTP(S) server, Ths doesnot st how ‘haoy iar an beget th epee paral bt ther hon many ac ad te pal geo hace 06 Se ne! bea 4 camer percent TP ses who ttl maumum o 1 comers Iie ueo co aoe ‘Sher wl be donned afer is amount of nacivty. They may lo in apsinimemeily. huah Lave his el rk or oe nou Han uot (1220 | rutes ‘Share Ww be denna sr it amoue of tine, garde of actvty. They may fyi ah rma, ‘hauph teave ths el Dan for no had ment rt ecm ules an He test 20 a ie Enable logout popup window eral, popup widow wll pp wen cet re aloeed tough the captive pat Th bw cans ty dacfel travels bake the te or rd neo Sc Redrecion UR. 1F yeu prove» UR eee wl be erected to hat URCinatad oF th ne he ily wed to acess oer eye sensed, Concent ns ©) Disable concurrent logins 1 pte at nly he ot eat Ign par amar wl be active, Subzequt loge wl eau machines Prev logged wth the rane tama to be Srannced MAC thong Disable MAC fering Fh opin st 0 ag wl ada ait he MAC as of hrs ys tha sae he heya Ensuite vient la méthode d'authentification. 3 possibilités s'offrent a nous _ Sans authentification, les clients sont libres _ Via un fichier local _ Via un serveur RADIUS Les autres onglets ne sont pas utilisées dans notre cas, mais pour information, Yonglet Pass- through MAC sert & définir les adresses MAC autorisées a traverser PfSense. Allowed IP addresssert 4 définir les adresses IP autorisées a sortir. Et enfin Yonglet Userssert dans le cas ott l'on a choisi Yoption Local Manager vu plus haut, et est done utilisée pour stocker les comptes valides. Voila, le portail captif est en marche. Cependant, cette configuration comporte quelques failles, dans le sens l'accés aux pages web nest pas erypté. Les domées concemant le login passe done en clair et peut étre visible a tous. Nous allons voir maintenant comment sécuriser cet aceés Abdellah AIT BEN HAMMOU. Page 22 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES ii, Choix d’authentification L’authentification est un point névralgique de PfSense puisque cette demiére définit Pautorisation ou non d’accés vers l'extérieur d’un utilisateur, une sorte de portail mécanique fermé dont il fant avoir la clé pour Pouvrir. PiSense embarque plusieurs types d’authentification possibles 1) Une base locale en XML « local manager » ou sont inserits les utilisatours ; 2) Un serveur embarqué FreeRadius ; 3) Un serveur Radins exteme de type Microsoft IAS (Internet Authentification Service) ; Choix du protocole d’authentification RADIUS (Remote Authentification Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. C’est le standard utilisé aujourd’hui car trés malléable et trés sécurisé PfSense intégre par défaut un serveur Radius libre (FreeRadius) couplé & une base local. Cependant, nous avons abandonné cette solution pour deux prineipales raisons ~ Notre maquette est déja doté d’un annuaire Active Directory, il reste juste a sécuriser I’accés a cet annuaire en utilisant le protocole Radius intégré & Microsoft Server 2003 (voir partie 3.2) - Le serveur FreeRadius embarqué ne dispose pas de toutes les fonctionnalités que propose un Radius (spécification du media utilisé, groupes, etc.) Ajout de Pauthentification Radius d’IAS Microsoft Server 2003 4 PfSense 2 parties & considérer = a, Configuration de PiSense ; b. Configuration de Server 2003. > Configuration de 'authentification sous PfSense Abdellah AIT BEN HAMMOU. Page 23 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES | System: General Setup {xen i Hostname ie ara ft ro oi GR ie Bae ine de N I Domain (fas MAQUETTE Ss mp. 192,168,10.200 Allow ONS sorver st to be overridden by DHCP/PPP on WAN 1s op sat Senge le ONS server aed by 3 DHCPIPPP sarvr on WAY Fors ohm papas {edang the ORE foward Thay wi ot ba ered te BHCE and BOD UPN den, oun > Services | Captive portal Alben © Noauteniein © toed wer manager : © RADIUS anbenicaion Primary RADIUS sever Puis Option intéressante, la r6-authentification de Putilisateur toutes les minutes. Nous avons choisi cette option car elle évite le « Man In The Middle ». En effet si un pirate pas gentil venait a s'interposer entre 2 stations alors le laps de temps que pourrait jouir le méchant pirate serait au maximum égal a la prochaine authentification (Une minute), done seules les 2 stations comnaissent le secret partagét Mot do passe crypté (le login ne I’est pas...) =>attaque finie. t Resthenncaton [7] Reauthenticate connected users every minute TF remthenteation seraled, Aces: Requests wil be set to the RADTUS server foreach wser that logged in every minute Fan Access Reject received fora ser that user is daconecte fom the captive portal immedataly coated) ow acing pds wae © septa scouring © bein i Abdellah AIT BEN HAMMOU. Page 24 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES » RADIUS sous Windows Server 2003 Enterprise Edition - N’oublions pas de joindre le domaine r2si,fssm sur le serveur Radius. Si ce n‘est pas le cas une réinstallation d’Active Directory est nécessaire. Le fait de joindre le Radius dans le domaine évite a Futilisateur lors son authentification de faire ‘user@autre_domaine.fi° mais seulement “user” - Ne pas oublier que le serveur Radius sera désormais le DNS de PfSense ; - Une configuration par défaut comme celle-ci utilise les ports ; =1812 pour authentification; ->1813 pour Paccounting (stats pour Radius) Installation du serveur radius Pour installer le service Radius, appelé aussi Service d’authentification Internet, chez Microsoft, il faut aller dans : & Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en réseau | Service d’authentification Internet. ‘Pour ajouter ou suppvimer des compotants. eflectionne: Is cace & cocher Coverponderte, Une cave given ‘Gus seule une Patie du compurant sora ‘etallée. Pour voir co qu oat Ghcompocant. chaquez tur Detade. ‘Sous-composants de Services de mise en téseau: Protocole DHCP [Oynamic Host Configuration Protocol Pros RPC sue HTTP Service WINS (Windows Internet Name Service) 03 Mo OBB Services TOPAP simottigs GoMe F BB Systeme ONS (Domain Name Systern) 17 M0. a Description: Permet tes Pauthentifcation. autorisation ot de ges ‘iloateurs ‘ou epportonart gun iSroau pine vetunl Us service Détate > Cliquer sur OK, l’installation s’effectue en sélectionnant les paramstres par défant Créer un compte utilisateur dans Active Directory Pour créer un compte utilisateur dans I” Active Directory, cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory > Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur. Créer Putilisateur nommé Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory > Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe eee es Nom du groupe Se Nom de groupe (entétieur 8 windows 2000) + TTT 3 rence du groure: ‘Type de groupe © Dgmaine local © sécuté © lobale © Dietrbution 5 © Unversete 4 Nous allons eréer un groupe pfiense puis on ajoute Vutilisateur 4 ce groupe On renseigne PfSense dans le DNS du Serveur Radius. En effet lorsque PfSense utilise un serveur Radius externe ce dernier devient le serveur DNS de PfSense. I! faut donc indiquer dans le serveur Radius le chemin LUI--PfSense. s _ Démarrer | programmes | outils d’administration | DNS _ En premier renseigner le service authentification dans Active Directory fichier Action Affichage 2 (er) Bla Ei chents RADIUS Gl Connexion par accte detant Strategies acces distant Gi Requste de connexion en cours ‘duse configure 1AS pour gutnensneaton vers un serveur — Trop _[2avce & sutnant fication ae Abdellah AIT BEN HAMMOU. Page 27 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES > Dans le dossier 12si.fism eréer un nouvel hote (A) Permet une resolution mverse 1 (champ PoinTeR) ene j Paramétrer le service LAS Dans V'interface d’administration du Service d’authentification Internet, on ajoute un client Radius : i i |e +(e e|bBie ‘Service authentification Internet (local) BBN cienes navy 1» Go Connexion ps MEE @ SY stretégees da Nouveau On renseigne le nom de PfSense, son adresse IP on défini le secret partagé entre PfSense et le serveur Radius, dans notre exemple nous choisirons pfs comme secret partage. Remarque : Les secrets partagés sont utilisés pour vérifier que les messages RADIUS, & Texception du message de requéte d'aceas, sont envoyés par tm périphérique compatible RADIUS configuré avec le méme secret partagé. Les secrets partasés vérifient aussi que le message RADIUS n'a pas été modifié en transit (intégrité , du message). Abdellah AIT BEN HAMMOU. Page 28 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Le secret partagé est également utilisé pour crypter certains attributs RADIUS, tels que User- Password et Tunnel-Password. [ Informations supplmentaves 4 * oye tas doe stains nec tance tims tat seu, 2 [RabIUS Standoeg J Saovet peteos co t Confer le sectet patent : _$Bitotcent [Temes] __Arreser_| i Ajoutons une nouvelle stratégie d’accés distant personnalisée Création d'une nouvelle — stratégie définissant comment le serveur Radius doit fonctionner (avec quels paramétres...)RAPPORT DE STAGE DE FIN D’ETUDES Types fattribut » Entrez un mot ou un caractire génétique (par exemple. abc.") [pate ‘Authentication Type Specie le mod® Called Station Id Speethe le rume ox | Aree NAS (Network Access Identifier) est la machine qui recoit la demande —d’authentification du client WiFi (ici la machine Pfsense) NASIP-Address: NAS-Pont- Type Service- Type ‘Spice nadie damveemen wee [Catedstasonid” Seti le rumao de taprone compose pe [Carp Ststonis Spates le rnio de taerane de provers [ent frend Nome Spectrom corer u chert FADIUS { [GeniPadgers”” —Spache faerie archon RADIUS (AS f Cie verser Sect acs dp RADIUS ou 4 DardnsTmeRewic. Spach due dtros eles as dela : FnedPitccd Specter Sune 4 MeFASverdx —Descgtrron de hss tere Specs caine devine eer NAS copie Nes Pde Spachefosenne Parrenenrtas stor ||| TibSt ote DSL ANI: REA Spc Yom pon symamvonce pare | | | Bevestine Specie hoe sere ona par fue PA | 9d Turnet ype Specter eetocles do ral res mee Sic ear nies servo heal DHS getone nt y ‘Sélectionne: le type cattibut & ajouter | Séiectonne: le pe de cot objet: 4q Types dattnibut [owe SS ‘Nom Description A nat de cet emelacemart 4 Called Station-ta Specie les f2ateam ae Ealing Station teh Specific lee Ghentrnendiy tame Specie le ry Ebitezles nome dec obists 8 eélectionner(xemaies) Cent Padres Specie Fact an | Chont Vendor Spécite lete eed Day And TimeFesttic.. Specie le d 4 Rare Praccal Spec ie 4 ~ fRacieeice” —Seledain | Eee ——SSS NAS Pont ties seecte ol 5 = + Seecetipe Specie les} Ne pas oublier d’ajouter le groupe miami § = pectic: | q’utilisateurs dont Radius gére l'authentification Abdellah AIT BEN HAMMOU. Page 30 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES On autorise I’accés distant puis dans la fenétre suivante l'option propriété | authentification est ici PAP, CHAP ‘ainetnonen | Cypage | Mater "aaaations “ine silage dacees 8 dilnce pet ecco ov ut accbs Bee Ea aa Sr sche = 1 hatin in OME CP 2 et ee ee Be Oop trend epee deiearierene © Rebutatohaten dace ert 1 tatherovensyp doMioek MECANS Fir Ahir ob eon «i eats Siete Ded Alors que la configuration est terminge passons nous maintenant a la tester : On lance notre navigateur dans quelle machine du LAN puis on essaye 4 accéder & certain site Web, cela va nous demander un login et un mot de passe, Pour s’authentifier, il ne faut qu’entré un login des clients Radius appartenant au group qu’on a déja créé dans notre serveur Radius. 7. VPN site a site a. Introduction Le VPN site a site consiste 4 relier deux ou plusieurs sites distants par un tunnel sécurisérent. I] faut voir ce tunnel comme un tuyau hermétique de bout en bout fermé a ses extrémités par deux portes verrouillées avec une méme clef. A I'intérieur, il y a de Vinformation qui transite de fagon sécurisée puisque personne ne peut regarder ce qu’il y a dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent done a Pextrémité de ce dernier et possédent tons deux la méme clef, Plusiewrs technologies disponibles dans PfSense permettent de mettre en place un VPN site 4 site: > OpenVPN (hitp://openvpn.net/) > TPSec (hitpy/tools.ietf org/html/rfes301) > PPTP (hitp://vww.ietforgirfe/re2637.txt) b. Pré-requis Avant de configurer notre VPN, on vérifie que nous avons bien tenu compte des pré-requis, Cela peut parfois nous épargner pas mal de temps perdu > PfSense doit étre corectement installé et configuré dans le réseau local. Abdellah AIT BEN HAMMOU. Page 31 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES > Les deux sous réseaux distants doivent impérativement étre différents. En eflet, dans le cas ow A et B possédent le méme sous réseau, chaque requéte depuis un PC sous réseau A vers un autre dans le sous réseau B sera bouclée automatiquement dans le sous réseau source, 4 savoir ici le sous réseau A. le Pare feu PéSense domaine A ne sera jamais done sollicité pour router la requéte. > Unautre cas, variante de celui cité préesdemment, consiste A monter un VPN entre deux. Hotes respectivement de domaine A et B. Nous déconseillons fortement ce type de configuration dans le sens ou l’administrateur ne peut pas contrdler le contenu de "information par ses éléments de filtrage. Ainsi une attaque, un virus, etc. peuvent étre laneés depuis le serveur X dans le domaine A vers le serveur Y dans le domaine B sans que les éléments de filtrage de A ou B puissent interférer. > Si PfSense n’est pas la passerelle par défaut du LAN ou il est install, il est indispensable de créer une redirection de trafic VPN entre la passerelle par défaut du LAN concemé et PfSense > Attention, a mise en place d’un VPN site & site implique la prolifération de mauvaise information, notamment les virus et attaques... Pensons 4 nous ammnir d'outils de protection avant de mettre en place un VPN intersites. Cela peut paraitre évident mais combien de fois s’est-on retrouvé infectés a cause d’un site partenaire Choix de la technologie Le tableau suivant récapitule brigvement ce qui est aujourd’hui supporté par une technologie et pas l'autre. ‘Ne supporte pas NAT-T ce qui empéche oui utilisation de client mobiles derriére du NAT. Static IP : OUT ‘Static IP : OUT Dynamic IP: | Dynamic IP : Un seul v2.0 point final autorisé Prevu dans la i 7 Oui Oui Static IP : OUI Dynamic IP : OUT v2.0 Tocal user database, RADIUS Shee ket beeen server (Authentication, ‘Accounting) 2 IP publiques minimum . . pour du PPTP via utilisateurs en interne si PfSense est serveur PPTP Celles manguentes | DPD, XAuth, NAT-T, et . dans la v2.0 autres: Référence: Tutorial PASense Francais v0.1.0 Abdellah AIT BEN HAMMOU Page 32 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Analyse : Chacun de ces technologies posséde ses avantages et ses inconvénients. En effet IPSec et OpenVPN paraient étre les solutions les plus viables aujourd’ hui de par ses services proposés (PPTP n’est plus vraiment dédié au Site-a-site). d. OpenVPN site a site i Présentation OpenVPN est un logiciel libre permettant de eréer un résean privé vittuel (VPN). Ce logiciel, disponible dans PfSense, permet a des pairs de s‘authentifier entre eux a l'aide d'une clé privée partagée A l'avance on de certificats. Pour chifirer ses données OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi présente dans PfSense. ii Schéma général Aprés avoir vérifié les pré-requis en début de ce chapitre, nous pouvons désormais passer @ la partie schéma général, Matériel utilisé VimWare Workstation avec : > Un Master-PfSense : > Un Slave-PfSense ; > UnPC User; > UnPC User; Matériels WAN (DNS et Passerelle). WAN 192 108 1 124 LAN. 192 168 10.10/24 Stave Pteense VAN 192.168.1224 1192 168 20.10724 192168 1.004 iii, Configuration du serveur Création du Serveur OpenVPN sur Master-PfSense. Abdellah AIT BEN HAMMOU. Page 33 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Alllons dans l'onglet VPN > OpenVPN | Server et Cliquons dans la case <« + >> pour eréer un © nouveau Serveur openVPN. ga an i . = con her on a wei coven : Comme nous pouvons le voir, on a utilisé « TCP » comme protocole puisque 'UDP est connu > + comme étant mal filtré par certain routeurs. Utilisé TCP est un peu lent, mais plus stir pour le : moment, 4 On clique sur « Dynamic IP », nous soubaitons autorisé les clients distants avec une addresse distante incomue a se connecté 4 notre serveur (Ie typique « guerrier de la route ») Address pool : sous réseau des clients VPN, ici pour le Slave-PfSense. Remote Network : sous réseau du site distant, i iv. Configuration client Création du Client OpenVPN sur Slave-PiSense. : Allons dans Ponglet VPN > OpenVPN | Client et Cliquons sur la case «+ » pour eréer un nouveau client openVPN. Abdellah AIT BEN HAMMOU Page 34 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES [ ae t Disable this tonne a Fe peer eS = ; = a i Siti au ton tee melntvermn en Tera a (= See eee Tnverface TP 192, 168.20.0/26 pa ee omer aon eee errs eer eres eee nese. 192, 168.10,0/28 PP eal ett cae pet ns can wey etn ee eee eae i Pe sees <= ——s Hare yu can dae he rte alum tbe ued ‘Authentication mothod ¥ Te nahi dW be ud On Rempli les champs suivants : Protocol : TCP ; Local port : 1194 (port par défiut) ; Server address : 192.168.1.1 (V’adresse du serveur VPN Master-PfSense) ; Remote Network : 192.168.10.0/24 (sous réseau du site distant) ; Interface IP : 192.168.20.0/24 ici on spécifie les adresses IP de local interface du. + Slave-PfSense. vVvVYY 8. Partage de la bande passante : Traffic Shaper a. Introduction La fonction « traffic shaping » de pfSense permet initialement d’optimiser la bande passante en attribuant des priorités aux différents flux du réseau. Par exemple, donner une meilleure priorité aux flu VOIP par rapport au reste du trafic afin d’optimiser les communications VOIP. Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, & savoir comment la partager entre plusieurs hotes/réseaux selon nos besoins. b. Maquette de teste Pour cette partie, la maquette de test est relativement simple : Abdellah AIT BEN HAMMOU. Page 35 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES a Tes 6e-100.09 As2%se40 192.168.10.21 Client Cent 2 L’objectif va étre de démontrer comment a partir d’une connexion Intemet, nous pouvons, offrir une portion de bande passante différente a chacun de nos deux clients, ou bien une bande passante limitée et partagée entre les deux clients. Nous nous retrouverons done dans deux cas de figures différents : > — Chacun des clients possédera sa propre bande passante. Par exemple, proposer 40K o/s en download pour le client 1 et 80Ko/s au client 2. Chaque portion de bande passante est réservée et Winfluence pas Pautre > Une portion de bande passante est définie pour les deux clients, par exemple 80Ko/s en download qu’ils se partageront. Configuration du Traffic Shaper Nous allons détailler ici chaque étape de la configuration du trafic shaping de pfSense qui nous permettrons de mettre en wuvre les conditions présentées plus haut. Les tests seront réalisés au fil de la configuration afin de représenter an micux les résultats ce chaque élément confignré ale via wizard Configuratio Pour commencer, nous conseillons de lancer et de suivre le <« wizard >> du traffic shaper, afin de rentrer les premiers éléments de configuration comme par exemple les caractéristiques de notre ligne ADSL Abdellah AIT BEN HAMMOU. Page 36 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES 7 [LANs] This ts usually the LAN interface vests sod MTS ee Oe er i (2500 | j te dowload spun ora SST ER ESRF TEL e000 ure sh tate t pecisiee ea ea cere ee ers j {wa we] This usualy te Wal terface Curette utide ertace for shaping your upload speeds [aca tpleadt ‘The upload speed of your WAN link in Kbits/second, Note: PPPOE users should take Pas acto Pence varied ard puts lower peed ee, Par la suite, le seul antre élément du wizard que nous configurons sera la « penalty box », qui |. Vanous permettre de fixer des imitations de la bande passante sur une adresse IP, nous prendrons par exemple notre client 1, IP 192.168.10.20 : Penalty Bor 2] Penalize 1P oF Alias ‘This will lawor the priority of trate orn this IP or alise “This allows you tet provide the IP adsress of te computer (6) t Ronse. NOTE: =e (eo ———— Bandwiathbown: "The download lit Kiis/seCond, L Pour finir, nous cliquons sur suivant jusqu’a la fin du wizard, Désormais, le menu suivant sera + accessible dans le traffic shaper 12 eat tet steer [save ][ Remove wizard ) ae 12.100.1650 rae [Sia pena [seme OR he See tit Abdellah AIT BEN HAMMOU Page 37 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES ii, Fonctionnement du Traffic Shaper Avant d’aller plus loin dans la configuration, nous allons détailler le fonctionnement du traffic shaper de piSense. Son fonctionnement repose sur deux éléments : les queues et les régles (des queues sont eréés, puis des régles qui dépendent et fonctionnent d’aprés les queues). Voici les queues que nous venons de eréer automatiquement : = — cor, O ooooo000 On NB : tout ce qui fait référence au WAN concerne les flux montants (LAN->WAN), de méme que ce qui fait référence an LAN concerne les flux descendants (WAN->LAN), > qwanRoot et qlanRoot sont les queues dites « parentes » (a préciser dans les paramétres des queues), ce sont elles qui fixent les caractéristiques de la bande passante disponible initialement, soit ici 2500Kbps en down et 463Kbps en up (les limites de notre ligne ADSL). Toutes les autres queues seront définies comme « filles » de ces deux la. > Quandef et qlandef sont les quenes par défaut (a préciser dans les paramétres des queues), Clest-a-dire que tont trafic ne correspondant pas a des régles spéciales dépendra de ces queues. > Quanacks et qlanacks sont les queues qui permettent de réserver suffisamment de bande passante au trafic de type ack >, ce qui permet de maintenir les sessions ouvertes ainsi que de bonnes conditions de download/upload. > Pour finir, qPenaltyUp et qPenaltyDown sont les queues qui définissent les limitations sur notre client 1 (rentrées pendant le wizard). qPenaltyUp et qPenaltyDown définissent donc des limitations de débits (dans notre cas, 160Kbps down, 80Kbps up, CE. Wizard). Voici par exemple le contenu de la queue qPenaltyDown = Abdellah AIT BEN HAMMOU Page 38 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Firewall: Shaper: Queues: Edit Scheduler Type. acre Pa Sree i andaidth i «wy hose te aaa oF andi or tr que Priority 2 FoF the rage 1 0c 7. The defi 1 1 Hc queues th 2 her omy te prefered in hese of veto, PenatyOown Ene the rae of have hare Dont use spaces ad it the se to 1S characters, Schedule eptons Doan qunve (LACK fourdely qumue, At last one que par nface should have this checked [El Random Ex Detection D1 andom Ealy Dtaton in and Out A ener Congestion Netiteton Th 2 parent queue Seba opt or ths que Serica 9 m4 ma Serpe ob |The masa sowed bandwith forthe quae Ci et ees The rnin equal Bandit Fhe quae Ch unk ses [| (a at hare been une ts eves prety The forma for service curve specBeatons s(t, ds mz). m2 contol the barby asignd tothe queue mt Ire dre opto ard canbe aad to conta haba barih asdgrer. Pr theft lecand tha queue git the bandied gen as ni eran he vo geen ihm Parent qoeee ‘donaoae Nous constatons done que : > Cette queue bénéficie par défaut d°1% de la bande passante parente (ici, qlanRoot), que sa priorité est de 2 (sur une échelle de 0 4 7), et que la limite a ne pas dépasser en download sera done 160Kbps. Nous allons maintenant voir comment nos queues qPenaltyUp et qPenaltyDown agissent sur notre client 1, pour cela, direction nous les régles de notre traffic shaper : PenskyDownd Penakyup aN * | a92.468.10.20 * Penakyop! >wAN PenalyOown Deux régles ont été créées, une régissant le trafic de 192.168.10.20 dans le sens descendant, autre dans le sens montant. Nous observons bien la présence des quenes concernées dans la colonne « target » Pour finir sur le fonctionnement du traffic shaper pfSense, nous ajouterons que : > Le traffic shaper repose sur les tables d”états (states) du firewall. Il est done recommandé, chaque modification de la configuration du traffic shaper, de réinitialiser les tables du firewall Abdellah AIT BEN HAMMOU Page 39 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Pour ce faire, nous allons dans le menu « diagnostics->states->reset states » afin de vider les tables du firewall et réinitialiser toutes les connexions. > La charge en temps réel de chaque queuee est visible dans le menu « status->queues » > La somme de bande passante attribuée & chaque queue ne doit pas dépasser Ia valeur de la bande passante parente. Par ex : qpenaltyDown + qlanAcks + qlanDef < qlanRoot, iii, Configuration avaneée Nous avons vu le principe de fonetionnement des queues et des régles, nous allons maintenant pouvoir approfondir Ia configuration de celles-ci. Tous les paramétres que nous avons parcourus sont les paramétres par défaut, nous allons dans un premier temps les modifier afin de rendre tout ceci plus clair (en rapport avec notre maquette) et optimisé, Par défaut, le wizard configure toutes les quenes (ou presque) pour qu’elles utilisent 1% de la bande passante totale, ce qui n’est pas suffisant. Ceci est particuligrement le cas pour la queue awanAck. En effet, lors d’un téléchargement, notre machine va envoyer des paquets « Ack » afin d’attester a serveur distant la bonne réception des paquets envoyés, Si la bande passante pour cette queue n’est pas suffisante, des paquets Ack pourraient étre droppés automatiquement : le serveur considérera done que les données n’ont pas été regnes et les renverra. Nous ponvons done configurer cette queue pour qu’elle bénéficie de 60% de la bande passante totale, avee un minimum de 10% : Firewall: Shaper: Queues: Edit Nous pouvons conserver la configuration par défaut de la queue qlanacks, 25 % de la bande passante totale dans le sens descendant est suffisant pour la réception de paquets d’acquittement. Comme premier test, nous voulions que le client 1 n’ait droit qu’a 160Kbps de debit descendant. La queue qlanacks s’est vue réservée 25 % soit 625 Kbps. Nous pouvons done Abdellah AIT BEN HAMMOU. Page 40 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES configurer la queue qlandef pour qu’elle dispose de la bande passante restante soit : 2500- (160+625) = 1715 Kbps. t Nous effectuons le méme calcul concernant la queue qwandef, le résultat obtenu est 105 Kbps. ‘Nous finissons par renommer nos queues pour que tout soit plus agréable A lire, nous obtenons ainsi les queues suivantes ° no | asseb Te ne | zs00Kb fs ves [tm : ves [tm nex |? no [ae ne 2 Ne 1 | A partir de ce moment, notre client 1 sera limite 4 um débit descendant de 160 Kbps (20 Ko/s). ‘Nous venous de configurer les queues par défaut ainsi qu’une queue limitant le débit d’un hote + enparticulier. Nous allons maintenant voir comment rajouter facilement un hote dans la régle dj Gtablie, afin que les clients 1 et 2 se partagent la bande passante maximum allouée par les queues 4 client Lup et client down (partage de 160 kbps down et 80 Kbps up). ‘Nous allons tout d’abord eréer un « aliases » (firewall-~aliases) configure de la sorte : Firewall: Aliases: Edit Name iusars I The nana ofthe as may ey corset al the Garaders a, AZ and 09, cescrpton lusers partage 1écKbps "Youtay enter esc here for you rlerence (nt parsed), pe iste L Hosts) neroson (isea.i0.20 | ms fae | (ss2.160.1021 |) lane 2 ie a { Gove) [Eencel) Cet alias peut pointer au choix sur plusieurs hétes, plusieurs réseaux ou des ports. Dans notre cas, nous enregistrons les adresses de nos deux clients. Valider, Valias est erée : Abdellah AIT BEN HAMMOU Page 41 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES _Descritin i vem RN Pour finir, nous renseignons I’alias A la place de l'adresse précédente dans les régles du shaper 4d. Exemples d’applications Comme on a dit préeédemment, le shaper de pfSense permet initialement de rendre certain flux prioritaires sur d'autres, Par exemple la VOIP sera prioritaire sur le reste du trafic, quand le P2P sera Je moins prioritaire de tous les flux. L’application que nous venons den faire, en partageant la bande passante (équitablement ou non) entre plusicurs entités, est une fonctionnalité particuligrement intéressante, notamment si nous nous trouvons dans un des deux cas suivants : > Le partage éqnitable d’une ligne ADSL entre les différentes promotions dune école (en Voccurrence, ce qni nous a amené A traiter cet aspect du shaper piSense). [ > Le partage d'une ligne xDSL. entre les différentes entreprises dune pépinidre d’entreprises. Par pépinitre nous entendons le fait qu’un batiment héberge plusieurs entreprises différentes et indépendantes, et que ce bitiment ne posséde qu’un unique aceés xDSL a partager. Chacune des entreprises étant différente (en terme de nombre de poste et de besoins de bande * % passante), le partage ne sera pas forcement équitable, doit Pintérét du dernier point présent! 4 9. Multi WAN (Laod Balancing) a. Introduction Cette configuration permet PiSense & équilibrer le trafic de notre réseau local a plusieurs connexions Internet (WAN). Le trafic provenant du LAN est partagé sur une base tournoi & la ronde A travers le WAN disponibles. PfSense surveille chaque connexion WAN, en utilisant une adresse IP que nous fournissons, et si le moniteur tombe en panne, une configuration de basculement est utilisé, il se nourrit généralement tout lensemble du trafic 4 l'autre connexion (s). Cet exemple met en place deux réseaux WAN, mais 3 ou plus peuvent étre utilisés. 2 Nous constaterons probablement que nous avons trois types de trafic dont nous avons besoin afin de permettre: > Le trafic qui peut étre un équilibrage de charge sans aucun probléme (par exemple, naviguer sur le Web) Abdellah AIT BEN HAMMOU. Page 42 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES > Circulation ot une comuexion est préféré, mais tout va bien pour le basculement vers l'autre si le premier échoue (par exemple, certains sites Web des banque...) 1 > Le trafic qui doit aller a une connexion spécifique; si la connexion est en panne, il suffit dlattendre (par exemple la messagerie SMTP de votre FAI, qui généralement venir de lintérieur de leur propre réseau). b. Schéma général LAN: 192.168.10.10 792 168.10 10724 Configuration du Load Balancing + On va supposer que nous avons PfSense chargée et que nous avons déja configuré deux * connexions WAN sur notre firewall. Voila un petit schéma qui nous explique comment les divers bassins et les passerelles sont ligs, et comment ils peuvent étre utilisés : Nous allons créer 3 piscines Abdellah AIT BEN HAMMOU. Page 43 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES 1. WanlBalanceWan2 => utilisé pour partager tous les aces sur une base tournoi a la ronde 4 tant que les deux conexions sont disponibles t 2. WanlFailoverWan2 > utilisé lorsque WANI est en baisse tout le trafic va utiliser WAN2 3. Wan2FailoverWanl > utilisé lorsque Wan 2 est bas - tout le trafic va utiliser WANI Mise en place des piscines ! Pour commencer notre configuration, on sélectionne Services: équilibreur de charge. Nous pouvons eréer des piscines en cliquant sur le bouton « +», puis on rempli la page Modifier Pool Création de ta piscine 1: Load Balancer: Pool: Edit Name [iwanaaalsneawian: 5 Descrotin [Reuitrage de charee woe Ems) Behavior @toad Batneng OF sever Load Balancng: both activ. Flrorerdor top -> down, { NOTE: Falover mage ery acples to auton rubs (ral WAN), [ Port i 1 "Tiss the part YOU servers ae stanng on Monitor ° Monitor 1 [wae caer 4 Nota: Some gateways do not respond to pin : Interface Name {woe ¥ [add to poot ] 4 { Select the Interface to bs ued for outbound load balan, 1 ne nn EEN [Remove from pot * I Abdellah AIT BEN HAMMOU. Page 44 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES (wan War [Leos du traf via Want | Wan? i toad eaarcng ‘ OFaover oad Basen: both acthe. Falovor order: too -> down, NOTE: Falovar mode arly apples to autgaing res (rultWAN), Pat Ts the pet Your overs ae tering en. Monitor Monitor IP —— ] i ‘Neto: Some gateways donot respond to pas h Interface Name a ‘Satc the interac to be used fr outbound lad bsioncna ee leas . Création de ta piscine 3 Load Balancer: Pool: Edit nae esneton [noi as rf wa ward | war tne =i 1 ahawor lm ainera Stayer Sr bth ate Fale adr: to > dm, Noes Fale ocr ath ett es Caw, pat TE pa arses tengo, ‘Monitor R 4 Monitor 1P {wane Gvewy 4 Ho omega co ot pend og, 2 Interface Name , Seether aa to ewe fob ad bce, 1 ie fees Save. ] Abdellah AIT BEN HAMMOU Page 45, ‘LP-R2S!RAPPORT DE STAGE DE FIN D’ETUDES Done on a erée trois passerelles : 192,168.14 192.1682.1 192.168.1.1 192.1682.1 Acela on pent ajouter quelle que régles pare-feu pour les accés sortants. 10. VLANs virtuels PfSense offre une possibilité de créer plusieurs vians dans un seul port (carte réseaux), et dans cette partie j’essaie de montrer comment on peut les configurer. a. Schéma Man 1 192-168. 1.0/24. Van 2. 192.168.2024 192.168.2.10 Client 7 Client 2 b. Configuration des vians Pour commencer la configuration des vians, allons dans Interfaces > (Assing) > vlans, puis on clique sur le bouton «+ ». Abdellah AIT BEN HAMMOU Page 46 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES /LAN: Edit ana oa een 5 ae re Ona trois champs a remplir : > Parent interface : une liste déroulants contient les interfaces parents, ici en spécilié T'interface que dans on veut intégrer noter vlan virtuelle. > VLAN tag : un numéro entre 1 et 4094. > Description Aprés avoir remplir tous les champs, on enregistre puis on fait un redémarrage du systéme. Interfaces: VLAN «+t», a o oor [ra 10 on to Onan) o Gere) Cliquons sur Save : Voila maintenant notre configuration des Vians est bien terminé. Abdellah AIT BEN HAMMOU Page 47 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES II Mise en place d’un serveur Untangle 1. Introduction Untangle est une passerelle réseaux Open Source qui va nous permettre de protéger notre réseau contre différentes attaques qu’il existe sur Internet. Cette solution nous offre une gamme applications intégrées qui simplifient et consolident la sécurité de notre réseau afin de répondre & tous les besoins des entreprises avec ce type de passerelle de sécurité. est une solution trés simple A mettre en place et extrémement puissante qui intagre des solutions gratuites et des modules payant. Cette passerelle peut étre exécuté en 2 modes distinets : le mode bridge (fotalement transparent) et le mode routeur. 2. Avantages d’Untangle > — Préconfiguré pour fonctionner immédiatement. > — 180 téléchargeable pour un déploiement rapide. > Integration et exécution de la plateforme Untangle totalement transparent 3. Fonctionnalités d’Untangle > Vintual-Pipelining Technology. i > Des applications simples a installer et 4 désinstaller par le biais du "Rack" i > — Basé sur une distribution Debian i > Interface graphiques commune pour toutes les applications. j > La gestion des logs et des rapports. > Mises & jour systeme automatique ou manuelle. > — Misc a jour automatique des bases de signatures virales. ° : > Pack de langues. > — Fonctionnalités réseaux avancées. > — Open Source. | 2 4. Applications gratuites proposées par Untangle * ‘Web Filter : Un proxy transparent pour filtrer le surf et interdire l'accés aux sites sensibles > Virus Blocker : Un antivirus qui peut proteger des virus unail et web > Spam Blocker : Un antispam puissant avec des filtres heuristiques, quarantaines pour chacun de vos utilisateurs, whiteliste personnalisable pour chaque utilisateur % Ad Blocker : Un projet Open Source basé sur AdBlock Plus. ‘ t » Attack Blocker : Un filtre contre les attaques du réseau. * » Phish Blocker : Un filtre anti phishing afin d’évité a les utilisateurs d’étre victime d’attaque * type phishing. 4 > Spyware Blocker ; Un filtre anti spyware pour protéger coutre les spywares, mualwares et ij autres, Abdellah AIT BEN HAMMOU. Page 48 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Firewall : Un firewall uilisable lorsque Untangle est utilisé en mode Routeut Routing & QoS : Permet deffectuer du routage et de la qualite de service. Intrusion Prevention : Une sonde IPS pour protéger des éventuels hack. Protocols Control : Permet de filtrer les protocoles qui transitent sur les réseaux. OpenVPN : Un serveur VPN Open Source qui permet de eréer un tunnel encapsuler en UDP sur un cryptage TLS. > Reports : Pour viswaliser le repporting des différents filtes ci-dessus. vvvvy 5. Interface utilisateur du serveur Untangle ‘interface graphique Untangle peut étre décomposée en trois composantes principales: le volet de navigation, baies et Applications. Sur le c6té gauche de l'interface graphique nous pouvons voir le -volet de navigation, qui contient deux onglets: Applications et Config. Aprés les applications ont été téléchargées 4 partir du site Untangle, ils apparaissent dans Tonglet Applications et pent étre installé dans un rack. Llonglet de configuration contient les paramétres d'administration pour le serveur démélé. A la droite du volet de navigation est un rack virtuel. L’interface est similaire 4 um rack réseau physique - une armoire avec une collection de matériel. Tous les serveurs Untangle auront un rack par défaut, nous pouvons créer des supports virtuels nécessaires. Les applications sont divisées en deux sections: + Les demandes de filtrage: Toutes les applications au-dessus du volet Services dans Vinterface peuvent avoir des configurations uniques, que nous pouvons appliquer a des racks virtuels Racks virtuels nous pemmettent de créer différentes politiques pour les différents ensembles @utilisateurs. + Les demandes de service: Toutes les applications ci-dessous le volet Services sont des services et sont «globaux». Chacun a une configuration qui s'applique a tous les supports virtuels. En tant que tel, si nous supprimons tous les services d'un rack, nous supprimons ce service 4 partir de tous les racks 6. Configuration d’Untangle Serveur Untangle est si flexible quiil peut étre: + Installé en tant que machine virtuelle sur un existant, a double usage du systéme + Installé (ou pré-installé) sur un systéme autonome, systéme dédié, Notre serveur Untangle s'intégrera dans une des trois configurations de base du réseau: + Untangle Server en tant que routeur + Untangle Server comme un pont Une fois qu’on détermine si notre serveur Untangle va étre un pont ou un routeur, il ya d'autres configurations & considérer: Abdellah AIT BEN HAMMOU. Page 49 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES * OpenVPN “ «Active Directory * a. Untangle en tant que routeur Si nous ne disposons déja d’un routeur ou si nous voulons remplacer notre routeur existant, on utilis le serveur Untangle comme un routeur pare-feu. Routeur Untangle * b. tangle comme un pont 4 + Si nous avons déja un routeur / firewall et que nous voulons le garder installé, il suffit dinstaller le serveur Untangle entre le firewall et I'interrupteur principal interne, Dans ce seéuario, le serveur Untangle fonctionnera comme un pout . Nous n'avons pas besoin de modifier notre itinéraire par défaut ( passerelle ) sur tous les ordinateurs derrigre le pare-feu, ni changer les itinéraires sur 4 + notre routeur { Abdellah AIT BEN HAMMOU. Page 50 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES Difficultés rencontrées Pour moi les difficultés que j’ai rencontré sont > Le probleme de connexion entre le serveur Radius et le nom de domaine PfSense et le serveur principal, mais j’ai résoudre ce probleme a aide d’un de mes camarades qui a déja travaillé avec PSense. > A la configuration du Load Balancing, j'ai essayé utiliser des routeurs entre les deux interfaces WAN du PiSense, mais malheureusement ga n’a pas marché. Perspectives Y Points traites 7. Poratil Captif’; 8. VPN site a site (OpenVPN) : 9. Traftie Shaper ; 10, Load Balancing 11. VLANs virtuelles ; 12. Etude comparative de la solution sécurité open source : Untangle Y Points non traités 1, Haute disponibilité ; 2. Vision conférence ; Pai bien vouln traité les parties qui me reste dans ce stage, mais malheureusement le temps ne la permet pas, ot pour les traiter, il me faut au moins un autre mois pour réaliser toutes les parties de mon stage. Conclusion La période de stage effectuée au sein de l'Université Cadi Ayyad Marrakech m’a permis de mettre en pratique les connaissances acquises tout au long de ces deux années en général. Il m’a aussi permis de savoir le r6le du service administration au sien d’un grand établissement qui ne cesse de satisfaire de suture son propre besoin. Aprés cette période que j'ai passé a lintérieur de cet établissement, j’ai conclu que le stage est une période de transaction de l’esprit, une transaction qui se fait du théorique vers la pratique, de Vabstrait vers le coneret, d’un cadre restreint vers un espace libre et riche, mais qui est régit par des contraintes, qu’il faut respecter en faveur du bon fonctionnement du travail, Abdellah AIT BEN HAMMOU. Page 51 LP-R2SIRAPPORT DE STAGE DE FIN D’ETUDES En définitive, le stage a cet établissement m’a été d’un grand apport a la fois professionnel et personnel Professionnel : il m’a permis de découvrir de prés la réalité professionnelle. Personnel : il m’a permis de combler le vide que laisse apparaitre l'apprentissage théorique. Je tiens a préciser en fin de compte que jai appris pas mal de choses qui vont me servir par La suite, méme si ga reste insuffisant par rapport a d’autres eompétences Done mes remerciements et mes profonds respects tous ce qui ont contribués & la réalisation de cette application. Références http://www_ueam.ac.ma! http://doc.pfsense.org/index php/Tutorials http://doe.pfsense.org/index.php/Main Page http://www_.commentcamarche net/forum/affich-16511356-configuration-de-pfsense http://www scribd com/doe/8 142908/pfSense-OpenVPN-Tutorial http://fr,wikitwist. com/dual-wan-load-balancing-pfsense-20/ torial PfSense Frangais v0.1.0 http/Avew.untagle.com hitp:/Avww.geekhelpme.fi/dossiers/network/17-untangle-la-passerelle-de-securite- reseaux.html http://www.technoaddict fi/index.php/tag/untangle/ Abdellah AIT BEN HAMMOU. Page 52 LP-R2SI