Vous êtes sur la page 1sur 67

MEMOIRE DE PROJET DE FIN DETUDES

Pour lobtention du diplme de Licence Professionnelle En Rseaux,


Scurit et Systmes Informatiques

Mise en place d'un pare-feu open source

Au sein du rseau de la FSSM


Ralis par: MAKRAZ Hamza

Encadr par:

Tuteur:

Jury:

Pr. My Mehdi BOUHAMIDI

Pr. My Ahmed EL KIRAM

Pr. My Ahmed EL KIRAM


Pr. My Mehdi BOUHAMIDI
Pr. Ahmed El OIRRAK

Anne : 2014/2015

Tout dabord, je tiens exprimer mon immense respect et gratitude Pr. My


Mehdi BOUHAMIDI, de mavoir accept en tant que stagiaire au sein du Dpartement
dInformatique et de mavoir laiss la libert dagir, et de me permettre de raliser mon
stage.
Je saisis cette occasion de remercier le Pr My Ahmed EL KIRAM, le responsable
de la filire Rseaux, Scurit et Systmes Informatiques, le chef de dpartement et mon
tuteur pour leurs informations prcieuses qui mont aid confectionner ce modeste
travail.
Jadresse mes vifs remerciements tous les enseignants du Dpartement
dInformatique de la FSSM de Marrakech, pour les efforts quils ont dploys pour me
transmettre leurs riches connaissances.

Remerciements ............................................................................................................................. 2
Sommaire ...................................................................................................................................... 3
Introduction gnral ...................................................................................................................... 5
Chapitre 1: Prsentation gnrale du contexte gnrale ............................................................... 6
A)

Prsentation gnral de la FSSM et le rseau MARWAN .............................................. 7

B)

Le rseau MARWAN ...................................................................................................... 8

C)

Linfrastructure rseau de la FSSM .............................................................................. 10

D)

Cahier de charges .......................................................................................................... 11

Chapitre 2: Les pare-feux solution et la solution choisi ............................................................. 13


A)

Les pare-feu fameux ..................................................................................................... 14

B)

Table comparatif ........................................................................................................... 20

C)

Pfsense comme solution ............................................................................................... 20

D)

Conclusion .................................................................................................................... 22

Chapitre 3: Mise en place du Pfsense ......................................................................................... 23


A)

Pr-requit ...................................................................................................................... 24

B)

Laboratoire local ........................................................................................................... 24

C)

Plan dadressage ........................................................................................................... 24

D)

Installation de Pfsense .................................................................................................. 24

E)

Cration dune zone dmilitarise ................................................................................ 25

F)

Rparation de charge .................................................................................................... 26

G)

Basculement .................................................................................................................. 28

H)

Gestion bande passante ................................................................................................. 32

I)

Virtual Private Network ................................................................................................ 33


3

J)

Serveur proxy : SQUID et SQUIDGARD .................................................................... 37

K)

HTTP Antivirus Proxy: HAVP...................................................................................... 39

L)

Systme de dtection d'intrusion : SNORT .................................................................. 40

M)

Surveillance du rseau .................................................................................................. 42

Conclusion .................................................................................................................................. 44
Annexe ........................................................................................................................................ 45
Table d'illustration ...................................................................................................................... 66
Netographie ................................................................................................................................ 67

Dans le cadre de ma formation en licence professionnelle Rseaux, Scurit et Systme


informatique (R2SI) la Facult des Sciences Semlalia, jai effectu un stage au sein du centre
informatique de la Facult des Sciences Semlalia Marrakech dune dure de deux mois, qui a pour but
dacqurir une exprience professionnelle sur le monde travail en plus de mettre en pratique les
notions vues pendant les deux ans de ma formation.
Durant ces deux mois de recherche et de test jai russi mettre en place une solution de
firewalling open source qui va nous augmente la scurit du rseau.
Dans ce rapport nous avons voir cest quoi un pare-feu, les diffrents pare-feux prsentes dans
le marcher, la meilleur solution pour nos besoins, et en fin limplmentation place de la solution
choisie.

A)

Prsentation gnral de la FSSM et le rseau MARWAN


A.1) Historique
La Facult des Sciences Semlalia de Marrakech (FSSM) qui a t Cre en 1978 est le premier

tablissement de l'enseignement suprieur ouvert dans la rgion de Sud. Au cours de trente-sept ans
dexistence, la FSSM a activement contribu au rayonnement et l'volution des sciences en
poursuivant avec dynamisme ses missions de formation et de recherche. Pour ne citer que certains
aspects de cet engagement, il est utile de rappeler l'effort considrable consenti par la FSSM dans la
formation initiale, la formation continue et la recherche scientifique : on innovant, on encourageant les
partenariats et on coutant les acteurs socio conomiques de la rgion pour identifier leurs besoins en
formation et en recherche-dveloppement. La FSSM rpond ainsi lune des missions principales de
lUniversit, savoir, souvrir sur son environnement et contribuer au dveloppement socioconomique du pays. La FSSM figure parmi les meilleures facults du Maroc, notamment sur le plan
de la recherche scientifique. Les formations dispenses par cet tablissement couvrent pratiquement
tous les champs disciplinaires scientifiques. Lencadrement pdagogique est assur par plus de 400
enseignants et un corps administratif compos de plus de 260 administratifs.

A.2) Fiche technique


Raison sociale: Facult des Sciences Semlalia Marrakech FSSM .
Forme juridique: Facult.
Doyen: My Elhassan HBID.
Tlphone: +212 (0)5 24 43 46 49.
Adresse: BD Prince My Abdullah B.P.2390 Marrakech.
Site: http://www.fssm.ucam.ac.ma/
Dpartements de la Facult (6 Dpartements) :
o Dpartement de Biologie;
o Dpartement de Gologie;
o Dpartement de Chimie;
o Dpartement de Physique;
o Dpartement de Mathmatiques;
o Dpartement dInformatique.
Services administratifs de la Facult (11):
o Service de la scolarit Licence;
o Service des relations extrieures;
7

o Service des entretiens;


o Service des Marchs;
o Service du personnel;
o Service de la valorisation de la recherche scientifique;
o Service de la communication;
o Service du 3me cycle;
o Service des bourses;
o Service conomique de lintendance;
o Service de gestion physique et lectronique des documents darchives.

A.3) Organigramme de la FSSM

Figure 1: organigramme de la FSSM

B)

Le rseau MARWAN
Moroccan Academic and Research Wide Area Network, plus connu sous l'acronyme de
8

MARWAN est le rseau informatique national but non lucratif, ddi l'ducation, la formation
et la recherche. Il a pour objectif de mettre en place une infrastructure d'information et de
communication entre les tablissements de formation et d'enseignement. Depuis sa cration en 1998,
MARWAN a permis aux universits marocaines de dvelopper de nouveaux services en matire
d'enseignement, de transfert de technologie et de recherche scientifique.
Dans le cadre du lancement du programme d'urgence de l'ducation nationale pour la priode
2009-2012, le Centre National pour la Recherche Scientifique et Technique (CNRST) lance une
nouvelle version du rseau MARWAN. Le CNRST s'appuie sur l'volution des technologies de
communication l'chelle internationale pour amliorer la qualit, le service et l'architecture du rseau
de MARWAN afin qu'il rponde aux standards internationaux et aux exigences lies la modernisation
de l'Universit marocaine. Pour cela, le CNRST a sollicit les oprateurs nationaux de
tlcommunication pour proposer une nouvelle version du rseau MARWAN qui intgre les volutions
techniques de ces dernires annes. L'offre de l'oprateur Mditel a t retenue en commun accord
avec les universits.
Dans sa nouvelle topologie, MARWAN 3 offre aux tablissements et universits un choix de
dbits entre 2 et 100 Mbps. Sa connexion avec le rseau GEANT est rserve uniquement au trafic
acadmique. Tout le trafic internet commercial est vhicul par un autre lien Internet partir du
cur du rseau fourni par Mditel.
Dans sa nouvelle version, MARWAN facilitera la ralisation des actions programmes par les
universits dans leurs projets d'tablissement et fournira l'infrastructure rseau aux projets lancs par le
ministre en collaboration avec les universits et le CNRST savoir :

Application pour l'Organisation et la Gestion des Etudiants et des Enseignements;

Environnement Numrique de Travail ;

Campus Virtuel Marocain;

Grille de Calcul Nationale;

Institut Marocain de l'Information Scientifique et Technique;

Systme d'Information Global;

Systme de Visioconfrence.

Figure 2 : le rseau MARWAN

Linfrastructure rseau de la FSSM

C)

Le centre informatique FSSM est le responsable la distribution de laccs au rseau


MARWAN.

Figure 3 : la topologie de la FSSM

Le dbut initial est 100 Mbits/s et chaque tablissement reoit 54 Mbits/s travers une liaison
10

radio laide des antennes.


La Zone LAN Contient tous le Park informatique de la FSSM, savoir tous les dpartements,
scolarit, bibliothque et ladministration...
Pour les serveurs de la FSSM sont au ct public. Les serveurs hberge les services Web, DNS,
FTP, Mail des applications comme APPOGE. Les serveurs utilise la technologie de virtualisation,
cette dernire consiste mettre un ou plusieurs systmes dexploitation ou mmes applications sur un
ou plusieurs ordinateurs ou serveurs, au lieu d'en installer un seul systme dexploitation par serveur.
La virtualisation est effectu laide VMware vSphere .
Cette solution permet dimplmenter la technique de clustering un cot vraiment faible, ce
qui permet de protg toutes les applications dune interruption ou dun dni de service, en offrant une
performance matrielle lev.

D)

Cahier de charges
A.4) Titre du projet
Mise en place dun pare-feu open source avec un serveur web.

A.5) Ltablissement Accueillante


La Facult des Sciences Semlalia de Marrakech (FSSM).

A.6) Travail demand


Mettre en place un pare-feu open source tats stateful firewall permet ladministrateur
de protger le rseau local et les serveur web (http & FTP) par des rgles de scurit.
Ainsi ce pare-feu offre galement un ensemble de services tel que le NAT statique et
dynamique, le VPN, lIDS, surveillance du trafic (IN/OUT), proxy, Multi-WAN, rpartition de charge,
basculement, antivirus, et un system de LOG trs puissant.

A.7) Plan du travail


Le but est de rinstaller le pare-feu et atteindre rponde les conditions suivants :

tablir un mcanisme pour Multi-WAN:


o Mettre une rpartition de charge pour les passerelles WAN;
o Mettre un basculement pour les passerelles WAN.

Mise en place un pare-feu esclave (backup);


11

Crer une zone DMZ;

Configuration du VPN:
o Configuration VPN LAN-to-LAN ;
o Configuration VPN Nomade.

Gestion de bande passante;

Mettre en place un outil de surveillance de trafic;

Configuration du proxy:
o Configuration serveur proxy;
o Configuration filtre proxy.

Configuration Antivirus;

Mettre une rpartition de charge pour les sites web;

Mise en place un systme de dtection d'intrusion;

Etude de lexistant
Afin de renforcer la scuris de son parc informatique la facult des Sciences Semlalia utilise
un pare-feu Pfsense. La FSSM possde plusieurs sites web sur des serveurs Apache, des serveurs DNS
et dautre serveurs pour dautre services.
Limites de lexistant
La configuration du pare-feu est lmentaire, et il manque des services important comme IDS,
VPN, zone DMZ, la gestion de bande passante, redondance et Multi-WAN.

12

13

A)

Les pare-feu fameux


A.8) ClearOS
ClearOS (anciennement appel ClarkConnect) est une distribution Linux, base sur CentOS et

Red Hat Enterprise Linux, conu pour une utilisation dans les petites et moyennes entreprises comme
une passerelle rseau et le serveur de rseau avec une interface d'administration base sur le Web. Il est
conu pour tre une alternative Windows Small Business Server. ClearOS russit ClarkConnect.
Le logiciel est construit par ClearFoundation, et les services de soutien peuvent tre achets
auprs ClearCenter. ClearOS 5.1 supprime les limitations antrieures au courrier lectronique, les
fonctions DMZ, et MultiWAN.
Caractristiques :

Pare-feu Stateful (iptables), la mise en rseau et de la scurit;

La dtection d'intrusion et de prvention (SNORT);

Rseaux privs virtuels (IPSEC, PPTP, OpenVPN);

Proxy Web, avec le filtrage de contenu et antivirus (Squid, DansGuardian);

Services de courrier lectronique (Webmail, Postfix, SMTP, POP3 / s, IMAP / s);

Base de donnes et serveur Web (facile dployer pile LAMP);

Services de fichiers et d'impression (Samba et CUPS);

Flexshares (unifies de stockage multi-protocole qui emploie actuellement CIFS, HTTP / S,


FTP / S, et SMTP);

MultiWAN (Internet dfaut de conception tolrante);

Intgr dans les rapports pour les statistiques et les services systme (MRTG et autres);

Le(s) Limite(s) :

ClearOS non offre pas beaucoup de fonctionnalit dans la version gratuit


Pas de mises jour automatiques pour IPS / URL filte

A.9) Untangle
Untangle propose deux solutions :
La premire solution Next Generation (NG) Firewall est conue afin rpondre aux besoins
des petites et moyennes entreprises.
14

Cette solution intgre la fois :

Un pare-feu;

Un routeur;

Un systme de prvention dintrusion;

Un anti-virus avanc;

Un filtrage des connexions http / https suspectes;

Un bloqueur de publicit (mail et web);

Et bien dautres possibilits.


La seconde solution propose est Untangle Internet Content (IC) Control . Cette solution

rpond aux besoins des grandes organisations, consommatrices de grandes quantits de bande
passante.
Lorsque la quantit de donne change devient trop importante pour tre contrle par les
solutions courantes , il faut alors se tourner vers des solutions parfaitement adaptes cette
situation et cest prcisment ce que permet Untangle IC Control .
Le(s) Limite(s)

Consomme la RAM;
Lent dans le dmarrage et dans larrter;
La version gratuite est trs limite.

A.10)

Zeroshell

Zeroshell est une distribution Linux cre dans le but d'tre trs complte conue pour fournir
des services rseaux scuriss dans un rseau local.
Elle a t dveloppe par Fulvio Ricciardi pour tre totalement administrable via une interface
web. Fournie sous forme de Live CD, elle s'initialise en insrant le CD dans la machine cible et en la
redmarrant.
La connexion linterface dadministration se fait via un navigateur web pour ensuite
configurer les services rseaux.
Fonctionnalits :

Routage statique;

NAT;
15

Protocole de routage RIPV2 (Routing information protocol) pour configuration dynamique des
tables de routage;

Pare-feu, pour filtrage des paquets avec fonction SPI (Stateful Packet Inspection) pour filtrer en
fonction de ltat de la connexion;

Captive portal dont le but est dautoriser laccs au rseau via une authentification web adosse
un serveur Kerberos. Cette fonction est trs utile pour scuriser un rseau sans demander
aucune configuration sur les postes clients;

VPN LAN-to-LAN, pour interconnecter deux rseaux locaux via Internet en encapsulant les
trames Ethernet;

VPN Host-to-LAN, pour permettre des postes clients de se connecter au rseau local via
internet;

Authentification Radius, pour autoriser laccs au rseau via des points daccs Wi-Fi;

Serveur DNS multi-zones, pour dfinir sa propre zone DNS et les enregistrements associs;

Client DynDNS si on a besoin dun nom DNS pour atteindre le routeur;

Serveur DHCP pour assigner automatiquement des adresses IP aux postes clients qui le
demandent;

Qualit de service, pour hirarchiser la priorit et mme la bande passante attribue chacun
des types de trafic qui traversent Zeroshell. Configur en mode pont, Zeroshell est ainsi trs
utile mme pour une connexion internet familiale pour donner la priorit aux applications voix
(de type Skype) et chat sur dautres applications (tlchargement etc);

VLAN utiliser avec des switches supportant les VLAN. On peut ainsi par exemple dans un
campus, crer un VLAN ddi aux points daccs WIFI et centraliser la gestion de
lauthentification par captive portal sur Zeroshell;

Administration web (scuris par filtrage sur IP);

Accs SSH (scuris par filtrage sur IP);

Serveur proxy avec fonction de proxy transparent, intgrant un anti-virus;

quilibrage de charge et tolrance de pannes par l'usage de plusieurs connexions internet;

Pont 802.1d avec protocole Spanning Tree pour viter les boucles dues aux chemins
redondants;

Connexion UMTS/HSDPA par modem 3G.


L'utilisation en Live CD ncessite de sauvegarder le paramtrage mis en place sur un support

enregistrable.
16

Il est possible d'utiliser un disque dur pour cela. Zeroshell propose d'enregistrer une
configuration sous la forme d'une base de donnes. Plusieurs configurations peuvent tre enregistres,
mais une seule est active la fois. On peut, l'aide de l'interface web, la configuration sous forme d'un
fichier que l'on peut restaurer tout moment.
Zeroshell fonctionne aussi sur une machine virtuelle, par exemple avec les logiciels VMware et
Virtual PC (un disque virtuel pour VMware est fourni en tlchargement).
Le(s) Limite(s) :

La GUI n'est pas facile utiliser;


Manque de la documentation;
Difficile dans l'installation dans HDD par rapport aux autres pare-feux.

OPNsense

A.11)

OPNsense est une distribution de pare-feu open source bas sur FreeBSD. Dploiements
typiques sont les pare-feu stateful de primtre, routeurs, points d'accs sans fil, serveurs DHCP et
DNS, points de terminaison VPN et UTM-machines.
OPNsense offre des fonctionnalits souvent trouvs dans firewalls commerciaux coteux, et est
bas sur le port FreeBSD du PF-pare-feu. Il peut tre configur et mis jour par le biais d'une interface
base sur le Web, et ne ncessite aucune connaissance du systme FreeBSD sous-jacente grer.
OPNsense est axe sur la qualit du code et le dveloppement facile, la mise en uvre du
paradigme MVC.
Caractristiques :
1. Installer et mise jour du firmware

Live CD, installateurs USB disponibles;

Mise niveau facile par web-based click-to-upgrade;

Outil d'interface opnsense-mise jour en ligne de commande;

Console, bas sur le Web moderne base Bootstrap GUI, SSH et la gestion de
console srie;

Graphiques RRD dclar;

Le lissage du trafic et le filtrage;

Informations en temps rel en utilisant Ajax.

2. Fonctionnalit et connectivit
17

Rseaux privs virtuels utilisant IPsec, L2TP, OpenVPN, ou PPTP;

Serveur PPPoE;

Le clustering haute disponibilit; redondance et de basculement, y compris de CARP et


pfsync;

Sortant et entrant quilibrage de charge;

Qualit de service (QoS);

DNS dynamique;

Portail captif;

uPnP;

Multi-WAN;

VLAN (802.1Q);

Serveur DHCP et relais;

Le support IPv6;

Adresses IP publiques multiples / multi-NAT;

RADIUS / LDAP;

Rsolveurs multiples (transitaire DNS, Unbound);

Alias pris en charge pour les rgles, les adresses IP, les ports, les ordinateurs et autres
entits;

Squid et expdition web-proxy.

3. Pare-feu et le routage

Pare-feu Stateful;

Network Address Translation;

Filtrage par source / de destination adresse IP, le protocole, OS / rseau d'empreintes


digitales;

Couche inspection 7 du protocole ou Deep Packet Inspection;

Routage flexible;

Par rgle configurable exploitation forestire et par rgle limiteurs (adresses IP, les
connexions, les Etats, de nouvelles connexions, les types de l'Etat), le filtrage de la
politique (ou le marquage de paquets), le filtrage TCP de l'tat du pavillon,
l'ordonnancement, la passerelle;

Packet puration;

Layer 2 / pontage capable;

Table de l'Etat "jusqu' plusieurs centaines de milliers" tats (1 Ko de RAM par Etat
18

environ);

Algorithmes de table d'tat personnalisable, y compris une faible latence et une faible
chute de tension.

Le(s) limite(s) :

Manque de packages par rapport au Pfsense;


Cest un nouveau pare-feu nest pas mature comme les autre pare-feux.

A.12)

Pfsense

Pfsense est un routeur / pare-feu open-source bas sur FreeBSD. Il peut tre install sur un
simple ordinateur personnel comme sur un serveur. Bas sur PF (packet filter), comme iptables sur
GNU/Linux, il est rput pour sa fiabilit. Pfsense a des Nouveauts :

Pfsense 2.2 est bas sur FreeBSD 10.1 ce qui apporte non seulement de nombreux correctifs de
scurit, mais aussi une meilleure prise en charge du matriel et de la virtualisation;

Pf est dsormais SMP friendly, ce qui amliore grandement les performances;

L'interface d'administration fonctionne dsormais sous PHP-FPM, ce qui apporte un gain de


ractivit;

Ajout de nouveaux fournisseurs de DNS Dynamique (City Network, OVH DynHOST,


GratisDNS, Euro DNS et CloudFlare);

Changement de dmon IPSec racoon par strongSwan avec la gestion d'IKEv2, AES-GCM entre
autres.

Caractristique
Pfsense ne fait pas seulement firewall, elle offre toute une panoplie de services rseaux. Je vais
vous en prsenter une partie, celles que j'ai utilises ou qui me semblent intressantes.

Interface web;

Gestion des VLAN;

Routage IPv4 et IPv6;

NAT;

Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP);

Limitation des connexions pour un pair;

Log du trafic avec gnration de graphiques;


19

Log sur serveur syslog externe;

Rpartition de charge et Basculement;

Agrgation de ports, IP virtuelles;

Proxy transparent;

Serveur ou client PPPoE;

VPN (client ou serveur) IPsec, PPTP, OpenVPN;

DNS Dynamique;

Portail captif;

Contrle d'accs par adresses MAC ou authentification RADIUS;

Serveur ou relais DHCP / DNS;

Ajout de fonctionnalits via des paquets directement installables dans l'interface;

Multi-WAN.

Le(s) limite(s) :

Plus difficile que untangle;

Parfois il y a des problmes aprs les mises jour.

B)

Tableau comparatif

C)

Pfsense comme solution


A.13)

Introduction

Pfsense est un routeur/pare-feu open source bas sur le systme d'exploitation FreeBSD.
Aucune connaissance de FreeBSD nest ncessaire pour dployer et utiliser Pfsense. A l'origine d'un
fork de mOnOwall, il utilise le pare-feu tats Packet Filter, des fonctions de routage et de NAT lui
permettant de connecter plusieurs rseaux informatiques. Il comporte l'quivalent libre des outils et
services utiliss habituellement sur des routeurs professionnels propritaires. Pfsense convient pour la
scurisation d'un rseau domestique ou de petite entreprise.
Aprs une brve installation manuelle pour assigner les interfaces rseaux, il s'administre
ensuite distance depuis l'interface web et gre nativement les VLAN (802.1q).
Comme sur les distributions Linux, Pfsense intgre aussi un gestionnaire de paquets pour
installer des fonctionnalits supplmentaires, comme un proxy, serveur VoIP1...
20

A.14)

FreeBSD

FreeBSD est un systme d'exploitation avanc pour les plates-formes modernes de type
serveur, station de travail et systmes embarqus. Le code de base de FreeBSD a t dvelopp,
amlior et optimis continuellement pendant plus de trente ans. Il est dvelopp et maintenu par une
importante quipe de personnes.
FreeBSD propose des fonctionnalits rseau avances, une scurit pousse et des
performances de haut niveau. FreeBSD est utilis par certains des sites web les plus visits ainsi que
par la plupart des systmes embarqus orients rseau et des systmes de stockage les plus rpandus.
FreeBSD offre des possibilits avances en termes de rseau, de performance, de scurit et de
compatibilit. Il y a notamment une compatibilit binaire Linux et Windows NT (XP inclus). La
premire permet l'excution de programmes compils sur une plateforme GNU/Linux, la seconde
permet l'utilisation des pilotes Windows NT des cartes rseau sans fil Wi-Fi. Le logiciel est un standard
industriel sur le march des serveurs. De nombreux fournisseurs d'accs, hbergeurs et organismes
utilisent FreeBSD, parmi lesquels Walnut Creek CDROM, Yahoo! Inc. ou Netcraft. Le 24 mai 1999,
l'quipe du serveur miroir ftp.cdrom.com a annonc avoir battu la veille leur record de transfert de
donnes2 pour un serveur : 1,33 tbioctet en 24 heures.

A.15)

La version de Pfsense 2.2 Release

Le Pfsense 2.2 est la version actuelle recommande pour toutes les installations. Le Pfsense 2.2
est bas sur FreeBSD 10.1. Parce que ceci est la dernire version officielle, il est la seule version qui
recevra corrections de bogues et des mises jour de scurit.

A.16)

Plates-formes

Trois types de dploiements diffrents proposs par Pfsense. Cette section couvre chacune des
plates-formes disponibles, et les environnements dans lesquels ils sont les mieux adapts pour une
utilisation.

A.16.a) Live CD (y compris l'image USB memstick)


La plate-forme de Live CD vous permet de lexcuter directement depuis le CD (ou cl USB)
sans linstaller sur un disque dure ou la carte Compact Flash.

A.16.b) Installation complte


Le Live CD inclut une option d'installation pour installer Pfsense sur le disque dur de votre
systme. Ceci est le moyen privilgi de courir Pfsense. L'ensemble du disque dur doit tre remplac;
21

dual boot avec un autre OS nest pas pris en charge. Installations compltes sont recommandes pour
la plupart des dploiements.

A.16.c) Embarqu
La version Embarqu est spcifiquement adapt pour une utilisation avec n'importe quel
matriel en utilisant Compact Flash (CF) plutt que d'un disque dur.

D)

Conclusion
Durant ce chapitre nous remarquons quil existe plusieurs solutions pour le pare-feu, chaque

pare-feu des caractristiques et son domaine dutilisation.


Daprs la comparaison de tous ces pare-feux, Pfsense rpond notre besoin pour cela cest
notre choix comme solution.

22

23

Pr-requit

A)

Il faut avoir une image ISO de Pfsense version 2.2.2-RELEASE Bas sur FreeBSD 10.1RELEASE-p9, les images sont en libre tlchargement depuis https://www.Pfsense.org/download, de
mme cette section de tlchargement offre des images VMware prtes.

Laboratoire local

B)

Nous raliserons linstallation sur une VM depuis VMware, la procdure dinstallation de


Pfsense est la mme si nous sommes sur une machine (serveur) physique. Sauf sur cette dernire il faut
quelle dispose au moins de 5 carte rseau par contre dans lenvironnement de virtualisation nous
pouvons rajouter au tant que de carte rseau.
En termes de configuration requise, nous faisons tourner Pfsense sur une VM disposant dun
processeur, 512 Mo de RAM, 5 Go de disque dure et 6 cartes rseau.
Aussi nous mettrons 2 serveurs web apache2 et un serveur DNS sur VM avec un systme
d'exploitation Linux (Ubuntu) disposant dun processeur, 512 Mo de RAM et 5 Go de disque dure, et 2
VM avec un systme d'exploitation Windows 7 (l'une comme poste de l'administrateur et l'autre
comme un client) disposant dun processeur, 1024 Mo de RAM et 20 Go de disque dure.

Plan dadressage

C)

Tableau 1 : Plan dadressage

D)

Non du rseau

IPs du rseau

WAN1

192.200.176.0/24

WAN2

192.200.178.0/24

DMZ

172.20.176.0/24

ADM

100.100.100.0/24

LAN

192.168.0.0/24

PFSYNC

10.10.10.0/24

Installation de Pfsense
Pour linstallation de Pfsense voir lannexe.

24

Cration dune zone dmilitarise

E)
A.18)

Introduction

Une zone dmilitarise (ou DMZ, de l'anglais demilitarized zone) est un sous-rseau spar du
rseau local et isol de celui-ci et d'Internet par un pare-feu. Ce sous-rseau contient les machines tant
susceptibles d'tre accdes depuis Internet.
Le pare-feu bloquera donc les accs au rseau local pour garantir sa scurit. Et les services
susceptibles d'tre accds depuis Internet seront situs en DMZ.

Figure 4 : Figure illustre la zone DMZ

A.19)

Configuration

A.19.a) Cration de l'interface


Commenons par l'ajout de la nouvelle carte dans Interface > assign. Puis allons dans
Interface > OPT2 et cochons la case Enable Optional 2 interface pour donner l'interface un nom et
une adresse IP suivant le plan dadressage figure 23.

A.19.b) Cration des rgles


Maintenant nous allons dans Firewall > rules > LAN pour crer une nouvelle rgle. Par
exemple une rgle permet de passer les requtes HTTP de LAN vers DMZ.
Remplir les champs gnraux suivants :
Action : Pass ;
TCP/IP Version : IPv4 ;
Interface : LAN ;
25

Protocol : TCP ;
Source : LAN net ;
Destination : any ;
Destination port range :
From : HTTP
To : HTTP
Description : Autoriser HTTP pour rseau LAN figure 24.
De mme il faut crer des rgles qui bloquer/passer le trafic pour les autres interfaces.

A.19.c) Test de fonctionnement


Un simple test de la fonctionnalit et de taper l'adresse de notre serveur web dans le navigateur
depuis un poste sur le rseau LAN figure 25.

F) Rparation de charge
A.20)

Introduction

La rpartition de charge (en anglais : load balancing) est un ensemble de techniques permettant
de distribuer une charge de travail entre diffrents ordinateurs d'un groupe. Ces techniques permettent
la fois de rpondre une charge trop importante d'un service en la rpartissant sur plusieurs serveurs,
et de rduire l'indisponibilit potentielle de ce service que pourrait provoquer la panne logicielle ou
matrielle d'un unique serveur.
L'architecture la plus courante est constitue de plusieurs rpartiteurs de charge (genres de
routeurs ddis cette tche), un principal, et un ou plusieurs de secours pouvant prendre le relais, et
d'une collection d'ordinateurs similaires effectuant les calculs. Nous pouvons appeler cet ensemble de
serveurs une ferme de serveurs (anglais server farm) ou de faon plus gnrique, une grappe de
serveurs (anglais server cluster). Nous parlons encore de server pool (littralement, groupe de
serveurs ).

A.21)

Rpartition de charge pour le serveur web

A.21.a) Introduction
Les serveurs web se doivent aujourdhui davoir une haute disponibilit et de supporter une
haute charge au vue de limportance quils ont pour les entreprises. Il est souvent conseill pour
26

accrotre cette disponibilit de mettre en place plusieurs serveurs ayant le mme rle avec la possibilit
de rpartir la charge entre ceux-ci mais galement de prendre toute la charge sur un serveur si lautre
vient tre indisponible (ce que lon appelle le Fail-Over partie suivant).

Figure 5 : reprsente la rpartition de charge pour un site web

Dans le cas dun anormal la rpartition de charge jouer le rle du basculement.

Figure 6 : reprsente le basculement pour un site web

A.21.b) Configuration de la rpartition de charge pour le serveur web


Cration des pools
Cre un Pool dans Services > load balancer > Pools (voir l'annexe figure B.1 et 2) figure 26.
Cration du serveur virtuel
Allons dans Services > load balancer > Virtual server pour crer un serveur virtuel figure 27.

A.22)

Rpartition de charge pour les WANs (Multi-WAN)

Un des intrts principaux de Pfsense est la possibilit de faire la rpartition de charge avec
27

plusieurs WANs. Pour assurer une connexion fiable et stable dans les rseaux a des services sensibles
et dans les rseaux a un grand nombre des utilisateurs, et galement de prendre toute la charge sur les
autres WAN si lun vient tre indisponible (ce que lon appelle le Fail-Over).

Figure 7: reprsente la rpartition de charge pour Multi-WAN

A.22.a) Configuration de la rpartition de charge dans Multi-WAN


Configuration du Monitor IP
Cre tous les passerelles existes dans System > Routing > Gateways figure 28.
Cration dun groupe des passerelles
Allons dans System > Routing > Groups pour crer un groupe pour la rpartition de charge
figure 29.
Configuration les rgles du pare-feu
Allons dans Firewall > rules et ditons les rgle. Dans la section Advanced features > Gateway,
cliquez sur le bouton Advanced et slectionnez dans la liste la passerelle de rpartition de charge figure
30.

A.22.b) Test de fonctionnement


Pour tester la fonctionnalit de la rpartition de charge allons dans Status > Gateways pour
vrifie les passerelles et ensuite allons dans Status > Traffic Graph pour voir le trafic entrant et sortant
dans tous les interfaces WANs figure 31.

G)

Basculement
Le basculement (en anglais, failover qui se traduit par passer outre la panne) est la capacit

d'un quipement basculer automatiquement vers un chemin rseau alternatif ou en veille. Cette
28

capacit existe pour tout type d'quipements rseau: du serveur au routeur en passant par les pare-feu
et les commutateurs rseau.
Le basculement intervient gnralement sans action humaine et mme bien souvent sans aucun
message d'alerte.
Le basculement est conu pour tre totalement transparent. Il existe deux modes principaux de
basculement :

actif/actif qui s'apparente plus de l'quilibrage de charge (load-balancing);

Le mode classique couramment rpandu, actif/passif o l'quipement secondaire (passif) est en


mode veille tant que l'quipement primaire (actif) ne rencontre aucun problme.

A.23)

Le basculement Matre-Esclave

CARP (Common address redundancy protocol) est le protocole utilis par Pfsense pour la mise
en place dun basculement. Dans son fonctionnement, nous mettons dans un groupe plusieurs htes
(groupe de redondance) qui partageront alors une mme adresse IP et auront une adresse MAC dite
virtuelle. Cette adresse IP qui sera virtuelle se cachera deux ou plusieurs htes parmi un matre qui
prendra et traitera lintgralit des requtes en destination de lIP virtuelle. Les htes du rseau
communiqueront entre eux afin de vrifier que le matre est toujours actif, sil vient tomber, lhte
dsign comme esclave prendra le relais afin daccueillir et de traiter le trafic en destination de
ladresse IP Virtuelle.
Nous avons vu dun peu plus prs le protocole qui allait permettre nos htes de se rpartir les
tches dans le basculement, Pfsense utilise galement le protocole Pfsync dans son processus de mise
en place du basculement, c'est un protocole utilis pour synchroniser plusieurs machines excutant le
pare-feu Packet Filter, implment dans Pfsense. Plus prcisment, cest par ce protocole que nous
allons pouvoir grer plusieurs htes via une seule interface, il fera en sorte par exemple de diffuser les
tats de connexion (ferme, ouverte, tablies, ) entre le pare-feu matre et les pare-feu esclaves
permettant ainsi une reprise des tats de connexions en cas de panne du matre et de reprise de
lesclave.

29

Figure 8 : illustre CARP avec IP virtuel

A.23.a) Configuration du basculement Matre-Esclave


Cration de l'interface PSYNC
Comme dans la partie DMZ pour ajouter une nouvelle interface il nous faut d'aller dans
Interface > assign. Puis allons dans Interface > OPT3 et cochons la case Enable Optional 3 interface
puis donner l'interface un nom et une adresse IP.
Crer les rgles sur linterface PSYNC (OPT3)
Commenons notre configuration du basculement sur Master-Pfsense. Il faut tout dabord crer
une rgle sur linterface SYNC (OPT3) pour autoriser les flux CARP et pfsync transiter sur le
segment CARP.
Aller dans longlet Firewall > Rules | SYNC et cliquer sur la case + pour crer une nouvelle
rgle puis remplir les champs gnraux suivants :
Action: Pass;
Interface: SYNC;
Protocol: Any;
Description: Autoriser le sous rseau SYNC figure 32.
Nous allons Rpter ces tapes de configuration sur Esclave-Pfsense.
Configuration de Pfsync
30

Nous devons premirement configurer CARP sur lesclave (Slave-Pfsense), allons dans longlet
Firewall > Virtual IPs | CARP Settings et remplissons les champs gnraux suivants :
Synchronize Enabled : Cocher cette case pour autoriser lchange de messages (pfsync) ;
Synchronize Interface : PFSYNC ;
Cliquez sur Save pour valider figure 33.
Sur le Matre (Master-Pfsense), aller dans longlet Firewall > Virtual IPs | CARP Settings et
remplir les champs gnraux suivants :
Synchronize Enabled : Cocher cette case pour autoriser lchange de messages (pfsync) ;
Synchronize Interface: SYNC;
Synchronize config to IP: 192.168.222.3;
Remote System Username : admin [nom d'utilisateur de Esclave-Pfsense] ;
Remote System Password : Pfsense [mot de passe d'utilisateur de Esclave-Pfsense] ;
Slectionner tous les cases de synchronisation figure 34.
Crer les Virtual IPs
Nous pouvons maintenant configurer les IP virtuelles. Sur le matre (Master-Pfsense), aller
dans longlet Firewall > Virtual IPs | Virtual IPs et remplir les champs gnraux suivants :
Type: CARP;
Interface: LAN;
IP Address (es): 192.168.0.254/24;
Virtual IP Password: admin [mot de passe pour le cette IP virtuelle];
Description: IP virtuelle Cluster LAN.
Mme configuration pour l'interface WAN figure 34.

A.23.b) Test de fonctionnement


Pour voir s'il est fonction bien nous allons sur Master-Pfsense dans Status > CARP (Failover)
figure 35.

A.24)

Le basculement dans Multi-WAN

Nous avons dj vu la rpartition de charge dans Multi-WAN, mais dans le cas o lun des
31

WAN vient tre indisponible les autre WAN prendre toute la charge, voici un figure 11 qui illustre le
basculement dans Multi-WAN.

Figure 9 : basculement dans Multi-WAN

A.24.a) Configuration
La configuration du basculement dans le Multi-WAN et identique sauf quil faut faire un petit
changement au niveau du groupe de passerelle figure 36.

Gestion bande passante

H)

Une mthode simple de gestion de trafic est de dfinir des limites, c'est--dire fixer une limite
maximale de dbit. Il convient de bien dterminer les diffrents trafics et surtout de bien valuer la
bande passante de chaque tranche. En effet, si vous prvoyez une bande passante de 400 kbits/s pour
Skype alors qu'il en faut au moins 500 kbits/s pour un fonctionnement de base, nous avons dj un
problme.
Pfsense nous permettons de superviser le dbit. N'hsitons pas effectuer quelques mesures
avant de fixer des valeurs arbitraires.

A.25)

Configuration

A.25.a) Cration des limites


Pour Crer des limites, nous allons dans Firewall > Traffic Shaper > Limiter. Dans notre
exemple nous mettons une limite de 1 Mbits/s dans upload et download figure 37.

A.25.b) Application des limites


Maintenant il reste d'diter les rgles que nous voulons appliquer les limiter sur ils dons rendez32

vous dans Firewall > Rules, puis allons dans la section Advanced features > In/Out, et cliquons sur le
bouton Advanced et en fin nous slectionnons dans la liste la limite en entre et en sortie figure 38.
Faites de mme avec toutes les rgles que vous souhaitez limiter. Toutes les rgles utilisant la
mme limite se partageront la bande passante du limiteur, avec une priorit gale.

A.26)

Test de fonctionnement

A laide du site web www.speednet.net nous allons test la bande passante avant l'application de
la limite figure 39 et test de la bande passante aprs l'application de la limite figure 40.

I) Virtual Private Network


Un rseau priv virtuel, abrg RPV au Qubec et VPN ailleurs, de l'anglais Virtual Private
Network, est un systme permettant de crer un lien direct et scuris entre des ordinateurs/rseaux
distants.
Un VPN permet d'accder des ordinateurs distants comme si l'on tait connect au rseau
local. On peut ainsi avoir un accs au rseau interne (rseau d'entreprise, par exemple).
Un VPN dispose gnralement aussi d'une passerelle permettant d'accder l'extrieur, ce qui
permet de changer l'adresse IP source apparente de ses connexions. Cela rend plus difficile
l'identification et la localisation approximative de l'ordinateur metteur par le fournisseur de service.
Cependant, l'infrastructure de VPN (gnralement un serveur) dispose des informations permettant
d'identifier l'utilisateur. Cela permet aussi de contourner les restrictions gographiques de certains
services proposs sur Internet.
Le VPN permet galement de construire des rseaux overlay, en construisant un rseau logique
sur un rseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier.
L'utilisation de VPN n'est gnralement pas lgalement restreinte.

A.27)

Types de VPN

Nous pouvons dnombrer deux grands types de VPN, chacun d'eux caractrise une utilisation
bien particulire de cette technologie.
VPN LAN-to-LAN permet de relier deux sites entre eux de faon transparente. Gnralement
les deux sites ont des tranches IP diffrentes ce qui oblige les postes clients passer par le routeur.
Celui-ci est directement reli l'quipement responsable du VPN ou implante directement les
protocoles choisit pour la mise en place du VPN. Ce type de VPN est install de manire permanente.
33

Figure 10 : illustration un VPN LAN-to-LAN.

VPN Nomade ou galement appel "Road Warrior" permet un utilisateur distant de son
entreprise de se connecter celle-ci pour pouvoir profiter de ses services. Ce type de VPN est install
de manire occasionnelle.

Figure 11: illustration un VPN Nomade

A.28)

Choix de technologie

Il existe plusieurs protocoles utiliser es chacun ces caractristique, pour nous Pfsense propose
4 protocoles pour tablir un tunnel VPN :
Tableau 2 : Ce tableau rsum la comparaison entre les 4 protocoles utiliser par VPN dans
Pfsense :
Protocoles

PPTP

L2TP/IPsec

Cryptage VPN

128-bit

256 bits

SSL
160 bits et 256
bits

Windows

Configuration
manuelle possible

Mac OS X

Windows

Windows

Linux

Mac OS X

Mac OS X

iOS et

Linux

Linux

iOS et Android

Android

Android
DD-WRT
34

Le chiffrement le
Scurit VPN

Encryptage de
base

plus lev. Vrifie

Le chiffrement le
plus lev. Authentifie les

l'intgrit des donnes et donnes l'aide de


les encapsule deux fois. certificats numriques.
Le protocole le
Ncessite plus de plus performant. Dbits

Vitesse VPN

Rapide grce
un plus bas cryptage.

processeur pour le

rapides, mme sur les

double encapsulage des

connexions latence

donnes.

leve et sur des grandes


distances.
Plus fiable et plus

Fonctionne bien
sur la plupart des

Stabilit

hotspots Wi-Fi, trs


stable.

Stable sur les


appareils supportant le
NAT

stable sur les rseaux


moins protgs et sur les
hotspots Wi-Fi, mme
derrire des routeurs sans
fil.

Intgr dans la
plupart des systmes
Compatibilit

Intgr dans la
plupart des systmes

d'exploitation pour PC, d'exploitation pour PC,


priphriques mobiles et priphriques mobiles et
tablettes.

A.29)

tablettes.

Compatible avec
la plupart des systmes
d'exploitation
d'ordinateurs de bureau,
mobiles Android et
tablettes.

OPENVPN

OpenVPN est un logiciel libre permettant de crer un rseau priv virtuel (VPN).Ce logiciel,
disponible dans Pfsense, permet des pairs de s'authentifier entre eux l'aide d'une cl prive partage
l'avance ou de certificats. Pour chiffrer ses donnes OpenVPN utilise le protocole SSLv3 de la
librairie OpenSSL aussi prsente dans Pfsense.

A.29.a) Configuration dun VPN LAN-to-LAN


Cration des certificats
Avant de mise en place un tunnel VPN, il faut crer un certificat racine, des certificats de
35

serveur et des certificats d'utilisateur, pour cela nous allons dans l'onglet system > Cert Manager | CAs
pour crer un certificat racine, ensuite il faut aller dans system > Cert Manager | Certificates pour
crer un certificat de serveur et des certificats d'utilisateur.
Configuration du serveur
Maintenant il reste de mettre en place un serveur VPN dans l'onglet VPN > OpenVPN | server
et de remplir les informations du LAN client, adresse IP du Tunnel, et d'autre information figures 41,
42 et 43.
Configuration du client
Sur le Pfsense du site "client", se rendre dans VPN > OpenVPN | Client et en remplir presque la
mme configuration que VPN serveur avec des changements au niveau d'adressage figure 44 et 45.
En fin la configuration ct client est termine. Il nous reste tout simplement autoriser ou
filtrer nos flux transitant travers notre nouvelle interface qui apparatre sous le nom OpenVPN. Pour
cela, se rendre dans Firewall > Rules | OpenVPN.
Test de fonctionnement
Pour disposer d'informations sur nos liens OpenVPN (tat, date de dbut de mise en service,
volume entrant/sortant, etc.), se rendre dans Status > OpenVPN, et pour les logs du pare-feu, se rendre
dans Status > System logs > Firewall.

A.29.b) Configuration VPN Nomade


Cration des certificats
Comme dans le VPN LAN-to-LAN et avant de mise en place un tunnel VPN il faut crer un
certificat racine, des certificats de serveur et des certificats d'utilisateur.
Configuration du serveur
Maintenant les certificats sont crer, il nous reste que la cration et la configuration de notre
serveur VPN, alors nous allons dans l'onglet VPN > OpenVPN | Wizards et nous suivons les
instructions figure 46, 47, 48 et 49.
Ds que nous terminons, il faut associer les utilisateurs leurs certificats et extraire la
configuration VPN de chaque utilisateur avec le package OpenVPN client Export figure 52 pour
l'envoyer au client avec une mthode scuris comme la commande scp d'outil openssh ou autre
mthode.

36

Configuration du client
Pour le client la tche est simple, il faut seulement tlcharger la dernire version dOpenVPN
GUI partir du site official Openvpn.net et de lancer linstallation, linstalleur va nous installer tout ce
quil faut figure 50 et 51.
Une fois l'installation terminer il restera de copie nos fichiers de configurations OpenVPN dans
le dossier suivant C:\Program Files\OpenVPN\config est la configuration terminer.
Maintenant il reste d'ouvrir OpenVPN GUI et de taper le nom d'utilisateur et le mot de passe
pour tablir la connexion avec le serveur VPN.
Test de fonctionnement
Aprs l'apparence du message le tunnel entre l'ordinateur du client et le serveur VPN est tabl.
Le client est dans le rseau local figure 53.

J) Serveur proxy : SQUID et SQUIDGARD


Un proxy est un composant logiciel informatique qui joue le rle d'intermdiaire en se plaant
entre deux htes pour faciliter ou surveiller leurs changes.
Dans le cadre plus prcis des rseaux informatiques, un proxy est alors un programme servant
d'intermdiaire pour accder un autre rseau, gnralement internet. Par extension, on appelle aussi
proxy un matriel (un serveur par exemple) mis en place pour assurer le fonctionnement de tels
services. Dans l'environnement plus particulier des rseaux, un serveur proxy (serveur mandataire en
franais) est une fonction informatique client-serveur qui a pour fonction de relayer des requtes entre
une fonction cliente et une fonction serveur (couches 5 7 du modle OSI).
Les serveurs proxys sont notamment utiliss pour assurer les fonctions suivantes:

Lacclration de la navigation;

La journalisation des requtes (logging);

La scurit du rseau local;

Le filtrage;

Lanonymat.
Dans Pfsense pour pouvoir utiliser les fonctionnalits de proxy, il faut ajouter les packages

squid / squid3 et squidguard, or un serveur Squid est un serveur mandataire (proxy) et un


mandataire inverse capable d'utiliser les protocoles FTP, HTTP, Gopher, et HTTPS. Contrairement aux
serveurs proxy classiques, un serveur Squid gre toutes les requtes en un seul processus
37

d'entre/sortie, non bloquant. C'est un logiciel libre distribu sous licence GNU GPL.
En parallle avec Squid nous utilisons aussi SquidGuard. C'est un redirecteur qui utilise la
librairie Berkeley Database de sleepycat.
Ses avantages :

Il est rapide 250000 URLs par seconde sur un bi-xeon 3 GHz avec 12 catgories totalisant plus
d'un million d'URLs ;

Il permet de diffrencier la transformation (nous n'interdisons, nous transformons l'URL)


suivant:
o L'adresse de la machine;
o L'identit de l'utilisateur;
o L'URL (videmment);
o L'horaire de la consultation.

La classe de redirection (par exemple n pouvons dfinir une classe publicit, une classe adulte,
etc...);

Insensibilit la taille signifie aussi que l'on utilise moins les URLs gnriques qui sont
souvent source d'erreurs.

En fait ses concurrents GPL sont tous au point mort depuis plusieurs annes. Seul DansGuardian (qui
est d'ailleurs un vritable proxy) est encore actif. Mais il fait payer ses Bases de donnes.

A.30)

Installation

Nous commenons par l'installation des packages pour cela nous allons dans System >
Packages | Availlable packages pour tlcharger et installer les deux paquets Squid et Squidguard :

A.31)

Configuration

Aprs l'installation est termine nous allons dans Services > Proxy server | General pour
slectionner les interface concerner par SQUID et de cocher le mode transparent figure 54 puis allons
dans Services > Proxy server | Access Control pour rajouter les ports (si manquant) figure 55 ensuite
nous allons dans Services > Proxy filtre | General setting pour activer SQUIDGARD figure 56 et de
mettre le lien de Blacklist (un exemple une blackliste que nous utilisons
http://www.shallalist.de/Downloads/shallalist.tar.gz, il y a d'autre blackliste payantes ) figure 57,
longlet Services > Proxy filtre | Blacklist dans laquelle nous tlchargeons la liste figure 58.
Finalement il reste d'indiquer les catgories a bloqu dans Services > Proxy filtre | Common
38

ACL figure 59 et d'ajouter les domaines a bloqu dans Services > Proxy filtre | Target catgories.
Attention il est trs important d'ajouter ces 2 rgles dans le pare-feu (Firewall > Rules) pour
faire fonctionner le serveur proxy.

HTTP Antivirus Proxy: HAVP

K)

HTTP Antivirus Proxy est un proxy avec le moteur d'antivirus ClamAV (un proxy avec un antivirus filtre). Il ne met pas en cache ou de filtrer le contenu. l'heure actuelle, l'ensemble du trafic est
scann. La raison en est la chance de code malveillant dans presque tous les fichiers HTML par
exemple (JavaScript) ou Jpeg.
Principaux objectifs du HAVP sont les suivants :

Continuer et non-blocage des tlchargements ;

Lisse balayage de la dynamique et les pages d'accueil, protg par mot de passe.

Un petit schma de fonctionnement :

A.32)

(Internet) (HAVP) (Squid) (LAN)

Installation et configuration du HAVP

A.32.a) Installation
Commenons par l'installation le package pour cela nous allons dans System > Packages |
Availlable packages ensuite tlcharger et installer le paquet HAVP antivirus figure 60.

A.32.b) Configuration
Au dbut nous commenons par configurer le proxy d'antivirus, dans l'onglet Services >
Antivirus | Proxy Settings. Les tapes de la configuration sont les suivantes :
Cocher la case "Enable Proxy" pour activer le proxy ;
Mode du proxy : Parent de squid ;
Interface du proxy : LAN ;
Port du proxy : celui que l'on veut, sauf celui utilis par Squid ;
Langage : Franais (c'est mieux) ;
Taille maximum des fichiers scanner : 500k est suffisant (gnralement les virus sont dans des
petits fichiers) et permet de ne pas trop ralentir le systme ;
Cocher les cases "Log" et "Logsys" ;
39

Enregistrer les modifications figure 61.


La partie proxy est maintenant configure.
Ensuite il faut configurer l'antivirus pour mettre jour ses bases antivirales toutes les 12 heures
sur un serveur hberg en Europe. Et d'activer ses logs figure 62.
Ne reste plus qu' vrifier sur un poste du rseau que l'antivirus fait son boulot.

Test fonctionnement

A.33)

Il existe un site trs bien pour ce l, www.eicar.org .


On tente de tlcharger des fichiers de test proposs en tlchargement, et nous observe le rsultat
figure 63.

Systme de dtection d'intrusion : SNORT

L)

Snort est un systme de dtection d'intrusion (ou NIDS) libre publi sous licence GNU GPL. Il
analyse en temps rel les paquets qui circulent sur une ou plusieurs interfaces de notre pare-feu
(couche application et transport du modle TCP/IP). L'analyse permet de dtecter les anomalies au sein
des paquets (paquets trafiqus = forged packets) ou de reprer les signatures typiques d'un trs grand
nombre d'attaques rseau connues.
Le blocage des paquets est majoritairement effectu partir d'une analyse de la signature des
paquets (payload).
Snort pour effectuer ces analyses se fonde sur des rgles. Celles-ci sont crites par Sourcefire
ou bien fournies par la communaut. Snort est fourni avec certaines rgles de base mais cependant,
comme tout logiciel, Snort n'est pas infaillible et demande donc une mise jour rgulire.
Snort peut galement tre utilis avec d'autres projets open sources tels que SnortSnarf, ACID,
sguil et BASE (qui utilise ACID) afin de fournir une reprsentation visuelle des donnes concernant
les ventuelles intrusions.

A.34)

Installation et configuration du SNORT

A.34.a) Installation
Allons dans System > Package > Available Packages et choisir le package Snort dans la liste et
l'installer (comme dans les paragraphes prcdents).

40

A.34.b) Configuration
Configuration initiale de Snort et mise jour
Il est ncessaire de tlcharger un jeu de rgles afin de pouvoir ensuite les appliquer au filtrage
de notre contenu. Nous disposons de plusieurs jeux de rgles qui sont soit payants, soit gratuits. Donc
nous allons dans Services > Snort > Global Settings figure.
Pour les rgles payantes : cocher "Install Snort VRT Rules" et inserer le code Oinkmaster.
Nous pouvons aussi dcider d'installer d'autres jeux de rgles (Snort Community et Emerging
Threat), ces jeux de rgles sont moins stables que les rgles fournies par Snort et produisent beaucoup
plus de faux positifs. Il faut bien prendre soin, dans un premier temps, de ne pas bloquer les trames
identifies par le filtre.
Dans premier temps il faut mettre les rgles jours, ensuite ils vont se mettre automatiquement
jour et un message nous indiquerons que l'opration est termine. Nous pouvons vrifier cela dans
Services > Snort > Updates figure.
Configuration de l'interface
Afin de pouvoir utiliser nos rgles, il est ncessaire de les appliquer sur une interface de notre
pare-feu. Il s'agit assez souvent de l'interface WAN, mais certaines rgles peuvent aussi s'appliquer
d'autres interfaces (LAN, DMZ, ).
Dans le cadre du dploiement dans un DataCenter, nous prfrerons dployer cela sur le WAN
car les attaques doivent tre contres au niveau du WAN. Pour empcher nos utilisateurs d'utiliser des
protocoles non souhaits, il est prfrable de dployer cela sur le LAN.
Alors pour rgler a nous allons dans Services > Snort > Snort Interfaces et ajouter une
nouvelle interface l'aide du bouton "+".
Les interfaces Snort disposent de trs nombreuses options que vous allez bientt dcouvrir. Par
dfaut ne modifions que ce qui est ncessaire. Certaines rgles tant lies la faon dont une interface
est configure, la modification de paramtres au niveau des interfaces peut conduire un blocage du
dmarrage de votre serveur figure.
Activation des rgles dans Snort
Maintenant il faut activer les rgles dans l'onglet Services > Snort > Snort Interfaces > WAN
Categories figure.
Une fois les rgles actives, nous pourrons simplement y accder et les configurer de faon plus
41

fines partir de longlet Services > Snort > Snort Interfaces > WAN Rules. Chaque catgorie dispose
de ses propres rgles qui sont actives o dsactives par figure.
Longlet WAN Rules nous permet de configurer (activer / dsactiver / modifier) chaque rgle
contenue lintrieur dune catgorie. Laccs aux rgles dune catgorie se fait par lintermdiaire du
pop-up Category qui est prsent sur la page.
Les rgles sont identifies par leur SID (numro unique). Elles utilisent souvent des alias
dfinis sous forme de $NOM_DE_L_ALIAS - ces derniers peuvent et doivent tre configurs dans la
section Services > Snort > Snort Interfaces > WAN Variables de Snort.
Par dfaut certains Alias sont dj configurs, les autres doivent tre crs sous forme d'alias
partir de la section Firewall > Alias de Pfsense.
Longlet Services > Snort > Snort Interfaces > WAN Preprocs permet de rgler des paramtres
relatifs lanalyse des trames. Il permet notamment dassurer une normalisation des paquets selon un
certain nombre de protocoles dfinis (HTTP, FTP, Telnet, IMAP, ) ou une normalisation au niveau
des protocoles IP (TCP, UDP, ICMP) figure.
Attention : lactivation ou la dsactivation des rgles de pr-processing peut entrainer des
blocages de Snort au dmarrage. Certaines rgles ayant besoin de certaine fonction de pr-processing
pour fonctionner. Veillez donc conserver une cohrence entre vos rgles et les pr-process activs.
Nous devrions maintenant tre en mesure de dmarrer Notre IDS Snort. Pour cela rendez-vous
sur la page Services > Snort > Snort Interfaces > Snort Interfaces et dmarrons cette interface en
cliquant sur la croix rouge. Notre NIDS devrait dmarrer sans problme. Si ce nest pas le cas allons
la section Logs dcrite ci-dessous pour une analyse plus approfondie du problme rencontr.
La section Log permet davoir un aperu des logs du module Snort. Ces logs peuvent aussi
tre renvoys vers le systme de log par dfaut du pare-feu.

A.34.c) Test de fonctionnement


Il est maintenant possible de regarder ce que notre IDS bloquer. Pour ce faire, rendez-vous sur
la page Services > Snort > Alerts qui prsente une liste des alertes interceptes par notre NIDS.
Une fois la vrification de labsence de faux positifs, nous pouvons activer le mode bloquant
dans linterface Services > Snort > Snort Interfaces > WAN Settings.

M)

Surveillance du rseau

Bandwidthd permet de visualiser l'utilisation du trafic des clients de notre rseau local. Nous
42

serons en mesure de dire quels clients ont consomm le plus de bande passante sur une certaine
priode de temps, tout formate dans un tableau agrable.

A.35)

Installation

Allez dans System > Package > Available Packages et choisir le package Bandwidthd dans la
liste et l'installer.

A.36)

Configuration

Une fois que nous avons install le paquet, nous pouvons afficher les paramtres en allant vers
Services > Bandwidthd | Bandwidthd. Ici nous souhaitons activer bandwidthd et slectionnons
l'interface qui il va se lier . Si nous surveillons l'utilisation de clients de notre rseau local, nous
devons slectionner l'interface LAN. L'autre chose que nous voulons spcifier ici est le sous-rseau
que nous souhaitons signaler.
Ceci est normalement la gamme IP prive (s) que nous utilisons dans notre LAN, dans notre
cas, nous utilisons le rseau priv de classe C 192.168.0.0/24 pour notre adressage interne.

A.37)

Test de fonctionnement

Aprs que Bandwidthd a t configur et il est en place et fonctionne, alors nous devrions
commencer voir les rapports de bandwidthd en cliquant sur l'onglet Services > Bandwidthd | Accs
bandwidthd.
Ici nous pouvons voir les adresses IP qui ont consomm le plus de bande passante et le type de
trafic qui il appartient.

43

La priode de stage effectue au sein de lUniversit Cadi Ayyad Marrakech ma


permis de mettre en pratique les connaissances acquises tout au long de ces deux annes
en gnral. Il ma aussi permis de savoir le rle du service administration au sien dun
grand tablissement qui ne cesse de satisfaire de suture son propre besoin.
Aprs cette priode que jai pass lintrieur de cet tablissement, jai conclu
que le stage est une priode de transaction de lesprit, une transaction qui se fait du
thorique vers la pratique, de labstrait vers le concret, dun cadre restreint vers un
espace libre et riche, mais qui est rgit par des contraintes, quil faut respecter en faveur
du bon fonctionnement du travail.

44

Lors du dmarrage de lordinateur avec le CD ou lISO mont, un menu de boot apparat. Selon
les besoins nous pouvons choisir de dmarrer Pfsense avec certaines options actives. Si aucune
touche nest appuye, Pfsense bootera avec les options par dfauts (choix 1) au bout de 8 secondes.

Figure 12: menu de boot

Appuyons sur Entre pour booter avec les options par dfaut.

Figure 13: dmarrer linstallation

45

Appuyer rapidement sur la touche I afin de dmarrer linstallation.

Figure 14: paramtres dinstallation

Linstallation dmarre, ds le premier cran nous pouvons rgler diffrents paramtres


notamment la police dcriture et lencodage des caractres. Ces options sont utiles pour des cas bien
particuliers. Nous ny toucherons donc pas. On slectionne Accept these Settings.

Figure 15: procder linstallation rapide

On choisit Quick/Easy Install pour procder linstallation rapide.


Le message qui suit, nous informe que le disque dur sera format et toutes les donnes
prsentes dessus seront effaces. On slectionne OK et nous continuons.
Linstallation dbute et copie les fichiers ncessaires sur le disque dur, nous devons part la suite
choisir quel type de kernel nous voulons installer, tant sur un ordinateur nous choisissons le
Standard Kernel.
Une fois linstallation finie, on choisit Reboot et nous redmarrons sur notre nouvelle
installation.
46

Lors du premier dmarrage de Pfsense, il faut configurer les diffrentes interfaces (WAN,
LAN, DMZ, etc.), il faut donc bien reprer vos diffrentes cartes rseaux afin de ne pas vous tromper
dans votre configuration auquel cas vous naurez pas accs linterface web et votre pare-feu ne
fonctionnera pas.
Pfsense vous affiche vos diffrentes cartes rseaux avec leur adresse MAC, ce qui vous
permettra de les diffrencier.

Figure 16: configuration concerne lutilisation des VLANs

La premire tape de configuration concerne lutilisation des VLANs, pour linstant ce que
nous importe est la configuration de base de Pfsense, nous appuyons donc sur la touche N.

Figure 17: dterminer linterface WAN

Nous devons ensuite dterminer quel interface est sur le ct WAN, pour cela on peut soit
saisir manuellement le nom de linterface, soit laisser Pfsense le faire automatiquement en appuyant
sur A.
La dtection automatique est utile dans le cas dun ordinateur physique, car il est rarement
simple de diffrencier les cartes rseaux, et, ladresse MAC nest pas une donne accessible
facilement. En revanche, la dtection ne fonctionnera que si vos cartes sont branches et actives.
47

Nous passerons pour notre part en configuration manuelle, nous entrons donc le nom de la
bonne carte savoir pour notre cas em0.

Figure 18: entrer le nom de la carte rseau

Ensuite, nous faisons la mme chose pour la carte rseau sur le LAN, nous entrons donc
em1, nous noterons la prcision de Pfsense qui nous indique, que cela activera le Pare-feu et le
NAT.
Nous pouvons par la suite crer dautres interface rseaux (DMZ, Wifi, etc.), celle-ci ncessite
bien sur une carte rseau pour chacune delle, nous en resterons l pour linstant et appuierons sur
Entre.
Pfsense nous rsume alors lattribution des cartes rseaux aux diffrentes interfaces et nous
validons avec Y.

Figure 19: menu de la console de Pfsense

Une fois la configuration termine, le menu de la console de Pfsense apparat. Celui-ci est utile
dans le cas de tches administratives, comme loubli du mot de passe de linterface web. Nanmoins la
plupart des options prsentes dans ce menu sont galement disponibles via linterface web.

48

Figure 20 : l'interface web

Figure 21: configuration de l'interface DMZ

49

Figure 22 : exemple de cration d'une rgle du pare-feu

Figure 23 : test de la rgl sur HTTP

Figure 24 : cration d'un Pool pour les serveurs web

50

Figure 25 : cration d'un cluster web

Figure 26 : configuration de la passerelle

51

Figure 27 : l'ajout d'un groupe de passerelle

Figure 28 : modifier les rgles par l'ajout de passerelle

Figure 29 : vrification de la rpartition de charge

Figure 30 : rgle pour pfsync

52

Figure 31: activation de la synchronisation

Figure 32 : configuration de la synchronisation

Figure 33 : test de la fonctionnalit

53

Figure 34: groupe de passerelle pour basculement

Figure 35: mettre une limite de 1Mbits/s

Figure 36: appliquer la limite dans les rgles du pare-feu

54

Figure 37:test de la bande passante avant la limite

Figure 38: test de la bande passante aprs la limite

Figure 39: configuration de VPN LAN-to-LAN cot serveur

55

Figure 40: configuration de VPN LAN-to-LAN cot serveur

Figure 41: configuration de VPN LAN-to-LAN cot serveur

56

Figure 42: configuration de VPN LAN-to-LAN cot client

Figure 43: configuration de VPN LAN-to-LAN cot client

Figure 44: configuration de Nomade cot serveur

57

Figure 45: configuration de Nomade cot serveur

Figure 46: configuration de Nomade cot serveur

Figure 47: configuration de Nomade cot serveur

Figure 48 : l'installation de OpenVPN Client Export Utility

58

Figure 49: installation d'un client OpenVPN GUI

Figure 50: installation d'un client OpenVPN GUI

Figure 51 : la connexion est russir

59

Figure 52 : configuration de SQUID

Figure 53: configuration de SQUID

Figure 54: activation de SQUIDGARD

60

Figure 55: configuration de SQUIDGARD

Figure 56: tlcharger blackliste

Figure 57: bloquer certain catgories

61

Figure 58:installer HAVP

Figure 59: configurer HAVP http proxy

Figure 60: configurer l'update et logging

62

Figure 61: un simple test de HAVP

Figure 62: mettre des jeux de rgles pour snort

Figure 63: mise jour des jeux de rgles de snort

Figure 64: une interface de snort

63

Figure 65: configuration les rgles des catgories

Figure 66: installer bandwithD

Figure 67: configuration de bandwithD

Figure 68: table de trafic.

64

65

Figure 1: organigramme de la FSSM............................................................................................ 8


Figure 2 : le rseau MARWAN................................................................................................... 10
Figure 3 : la topologie de la FSSM ............................................................................................. 10
Figure 4 : Figure illustre la zone DMZ ....................................................................................... 25
Figure 5 : reprsente la rpartition de charge pour un site web .................................................. 27
Figure 6 : reprsente le basculement pour un site web ............................................................... 27
Figure 7: reprsente la rpartition de charge pour Multi-WAN.................................................. 28
Figure 8 : illustre CARP avec IP virtuel ..................................................................................... 30
Figure 9 : basculement dans Multi-WAN ................................................................................... 32
Figure 10 : illustration un VPN LAN-to-LAN. .......................................................................... 34
Figure 11: illustration un VPN Nomade ..................................................................................... 34

66

Pfsense.org

fr.wikipedia.org/wiki/Pfsense

marwan.ma

fr.wikipedia.org/wiki/R%C3%A9partition_de_charge

fr.wikipedia.org/wiki/Basculement_%28informatique%29

freebsd.org

openvpn.net

commentcamarche.net

developpez.net

67