PFsense 2

V0.1.
Etude des principaux services fournis par PfSense
Pour la communaut PfSense : http://www.pfSense.org http://forum.pfsense.org
Rdacteurs : Anthony COSTANZO Damien GRILLAT Lylian LEFRANCOIS
Tutorial PfSense Franais v0.1.0
Objet :
Rdig par :
Etude des principaux services fournis par PfSense

Anthony COSTANZO, Damien GRILLAT, Lylian LEFRANCOIS
Diffusion
Nom Communaut PfSense Socit Diffusion 1
Historique des modifications

Version / Evolution v0.1.0 Date 01/02/2009 Etat Beta Description de la modification Premire version du document distribue
Synthse :
Ce document prsente les principaux services dlivrs par la version v1.2.2 de Pfsense. Les amliorations attendues en v2.0 seront abordes dans la mesure des informations connues ce jour. Nhsitez pas contribuer lamlioration de ce document ! la partie Ce quil reste faire est fait pour cela !
Ce document est libre de droit. Cependant toute reproduction ou modification doit tre rfrence et approuve par les principaux rdacteurs de ce tutorial ou de lquipe PfSense pour viter la prolifration incontrle dinformations pouvant nuire ou mettre mal le but premier de ce document. Pour cela nous vous demandons dutiliser le forum Franais de PfSense pour proposer vos remarques / suggestions ou modifications. http://forum.pfsense.org/index.php?board=7.0
COSTANZO GRILLAT LEFRANCOIS
PfSense 2009
Page 2 / 88
REMERCIEMENTS
Nous remercions les membres du forum PfSense.org pour leur disponibilit et leur participation. Un merci spcial pour ccnet et Juve. Nous remercions galement davance toutes les personnes qui aideront tenir vivant ce tutorial en le corrigeant et en proposant des volutions. Cette partie comportera aussi toutes les personnes ayant particip lamlioration du document propos.
PfSense 2009
Page 3 / 88
SOMMAIRE
Introduction ......................................................................................6 1 Prsentation generale de PfSense ...............................................7
1.1 1.2 1.3 Gnralits ........................................................................................7 Les services proposs .........................................................................7 Index des versions de logiciels et os .....................................................7
Portail Captif................................................................................8
2.1 2.2 2.3 2.4 Prsentation ......................................................................................8 Schma.............................................................................................9 Configuration serveur .........................................................................9 Configuration client .......................................................................... 26
VPN client ..................................................................................30

3.1 3.2 introduction ..................................................................................... 30 PPTP ............................................................................................... 30
VPN site site ...........................................................................39

4.1 4.2 4.3 4.4 4.5 introduction ..................................................................................... 39 Pr-requis ....................................................................................... 39 Choix de la technologie ..................................................................... 40 OpenVPN......................................................................................... 41 IPSEC ............................................................................................. 45
Le basculement (Failover) .........................................................49

5.1 5.2 5.3 Prsentation .................................................................................... 49 Schma gnral ............................................................................... 50 Configuration du basculement Matre-Esclave ...................................... 51
Dtection et prvention dintrusions rseaux : SNORT...............56

6.1 6.2 6.3 6.4 6.5 Introduction..................................................................................... 56 Maquette de test .............................................................................. 56 Installation et configuration de SNORT ................................................ 57 Test de la solution ............................................................................ 60 Principe de fonctionnement................................................................ 61
Client/serveur SSL : sTunnel .....................................................62

7.1 7.2 Introduction..................................................................................... 62 Maquette de test .............................................................................. 62
PfSense 2009 Page 4 / 88
7.3
Installation et configuration de sTunnel ............................................... 63
Partage de la bande passante : traffic shaper ............................65

8.1 8.2 8.3 8.4 Introduction..................................................................................... 65 Maquette de test .............................................................................. 65 Configuration et test de la solution ..................................................... 66 exemples dapplications .................................................................... 77
Supervision de la bande passante : NTOP ..................................78

9.1 9.2 9.3 9.4 Introduction..................................................................................... 78 Maquette de test .............................................................................. 78 Installation et configuration ............................................................... 79 Scnarios dutilisation de NTOP .......................................................... 82
CONCLUSION...................................................................................87 Ce quil reste faire ........................................................................88
PfSense 2009
Page 5 / 88
INTRODUCTION
Nous avons dcid dtudier les principaux services fournis par lexcellent routeur/Pare feu PfSense. Ce systme Open source est bas sur le systme dexploitation FreeBSD, rput pour tre extrmement stable. De plus, PfSense ne rinvente pas la poudre puisquil reprend le cur du Routeur/Firewall m0n0wall (http://m0n0.ch/wall/) et y ajoute ses propres fonctionnalits. Cest prcisment de cette partie dont nous allons traiter dans ce document. La distribution PfSense propose en cela une multitude doutils Open Sources permettant ladministrateur rseau doptimiser ses tches.
En ce dbut danne 2009 PfSense va sortir un livre blanc payant nomm Guide Book : the definitive Guide qui relate de tout ce qui concerne PfSense. Notre volont nest pas de le copier mais davoir une approche base sur le retour dexprience. Ainsi nos parties sont constitues dune prsentation de la technologie concerne, des solutions techniques associes (comparaison si besoin) et dune mise en pratique. Notre analyse est en somme la problmatique suivante : comment mettre en place tel ou tel service intgr PfSense en pratique ? Ce document est non immuable, cest une bauche de livre blanc sur PfSense en Franais qui est voue senrichir de vos ides ou de votre vcu. Nous comptons par exemple sur votre participation pour traiter de tous les services prsents dans PfSense. Cette premire version traite des principaux services utiliss, noublions pas les autres . Pour les autres motivs un portage de notre premier tutorial sur PfSense est faire (Mise jour + migration), le lien http tant : http://forum.pfsense.org/index.php?topic=1452.new
La premire partie de ce document traite de la prsentation de PfSense et nonce brivement les services aujourdhui tudis. La deuxime partie de ce document dveloppe les principaux services proposs par PfSense v1.2.2. Nous nous attacherons dailleurs prciser les amliorations attendues en v2.0. Nous conclurons enfin sur notre retour dexprience et sur le devenir de ce document.
PfSense 2009
Page 6 / 88
PRESENTATION GENERALE DE PFSENSE
1.1
GENERALITES
PfSense, ou Packet Filter Sense est un Firewall / routeur propos en Live CD denviron 50Mo (installable la manire dUbuntu par exemple). PfSense est bas sur un systme dexploitation BSD, rput pour sa stabilit et sur m0n0wall qui est aussi un Firewall / Routeur Open Source (http://m0n0.ch/wall/) mais conduit par un autre projet. Ce qui sduit chez PfSense cest la facilit dinstaller et configurer des outils dadministration rseau. En effet il est possible de configurer quasiment toutes les fonctionnalits des services proposs par une interface Web PHP unique : Pas dinterface graphique Gnome ou KDE, etc qui alourdiraient le systme propos, juste lessentiel ! Pour aller plus loin : http://www.pfsense.org/
1.2
Ce qui
LES SERVICES PROPOSES

est trait dans ce document : Systme de basculement (Failover) par le protocole CARP VPN site site OpenVPN et IPSec VPN client PPTP Proxy et Blacklist SQUID et SQUIDGuard IDS-IPS Snort Rpartition de charge avec LoadBalancer Vue sur la Consommation de Bande Passante avec Bandwithd et Ntop pour plus de dtails VPN point point Stunnel Partage de bande passante Traffic Shaper
Ce qui
est rajouter (en se basant sur la v1.2.2) : Captive Portal (Portail captif) Installation et configuration de base de PfSense Scurisation de PfSense
1.3

INDEX DES VERSIONS DE LOGICIELS ET OS

PfSense : v1.2.2 (06/01/2009) des rfrences seront faites sur la v2.0 prvue pour dbut 2009 VMWare Workstation : v6.5.0 build 118166 Windows Server 2003 Standard Windows XP SP1
PORTAIL CAPTIF
2.1
PRESENTATION
Un portail captif est une structure permettant un accs rapide Internet. Lorsqu'un utilisateur cherche accder une page Web pour la premire fois, le portail captif capture la demande de connexion par un routage interne et propose l'utilisateur de s'identifier afin de pouvoir recevoir son accs. Cette demande d'authentification se fait via une page Web stocke localement sur le portail captif grce un serveur HTTP. Ceci permet tout ordinateur quip d'un navigateur HTML et d'un accs WiFi de se voir proposer un accs Internet. La connexion au serveur est scurise par SSL grce au protocole HTTPS, ce qui garanti l'inviolabilit de la transaction. Les identifiants de connexion (identifiant, mot de passe) de chaque utilisateur sont stocks dans une base de donnes qui est hberge localement ou sur un serveur distant. Une fois l'utilisateur authentifi, les rgles du Firewall le concernant sont modifies et celui-ci se voit alors autoris utiliser son accs pour une dure limite fixe par l'administrateur. A la fin de la dure dfinie, l'utilisateur se verra redemander ses identifiants de connexion afin d'ouvrir une nouvelle session. Fonction type dun portail captif : Client : http://www.cesi.fr (en passant par le portail)
Portail : redirection vers la page dauthentification locale Client : Login+MdP SI OK : client : http://www.cesi.fr Remarque : Maintenant il faut que cette redirection fonctionne avec tous les protocoles applicatifs.
Schma thorique dun portail captif Interprtation : Quoi que dsire faire le client, sil veut surfer sur le WEB il devra dabord passer par le portail captif afin de sauthentifier.
PfSense 2009
Page 8 / 88
La diffrence entre un simple FireWall et un portail captif rside dans le fait que le portail captif ne refuse pas une connexion, il la redirige vers une page dauthentification.
2.2
SCHEMA
INTERNET
Ct WAN VLAN
DMZ
FireWall IUT
.252
.252
Serveur DNS
.10
PfSense
SWITCH Niveau3
.254
Active Directory + Radius
LAN PfSense 192.168.77.0 /24
AP WiFi .250
NOMADE DHCP
NOMADE DHCP
2.3
2.3.1
CONFIGURATION SERVEUR
Configuration de PfSense
2.3.1.1
Les principaux paramtres
Nous allons maintenant configurer PfSense. Avant tout, nous vous conseillons de changer l'IP sur la machine de PfSense directement, pour plus de simplicit par la suite. Pour cela, dans le menu de PfSense, tapez le choix 2 Set LAN IP address. Entrer l'adresse IP correspondant votre LAN.
PfSense 2009
Page 9 / 88
Nous allons pouvoir maintenant configurer Pfsense via l'interface Web. Connectez une machine sur la carte rseau de Pfsense (cot LAN, tout est bloqu cot WAN par dfaut). N'oubliez pas de changer l'IP de votre machine. Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense. Dans notre cas, nous ferons http://192.168.77.252. Entrez ensuite le login (par dfaut admin, mot de passe : pfsense). Allez ensuite dans System, puis General Setup.
Ici se trouve la configuration gnrale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du DNS. Attention, il vous faut dcocher l'option se trouvant dessous (Allow DNS server list to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN. Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer l'accs ces pages, via une connexion scurise SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant SSL). Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour rgler votre horloge. Enfin, nous vous conseillons de changer le thme d'affichage de Pfsense. En effet, le thme par dfaut (metallic), comporte quelques bugs (problme d'affichage, lien disparaissant). Mettez donc le thme "Pfsense". Vous devriez donc avoir une interface comme ceci :
PfSense 2009
Page 10 / 88
Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer la connexion SSH afin de l'administrer distance sans passer par l'interface graphique (en effet, pour une configuration accrus, il vaut mieux passer par le Shell).
Nous allons maintenant configurer les interfaces LAN et WAN en dtail. Pour cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la carte rseau cot WAN, ainsi que l'adresse IP de la passerelle.
PfSense 2009
Page 11 / 88
Configurer ensuite la carte LAN (elle doit tre normalement bien configur, mais vous pouvez faire des modifications par la suite ici) :
Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette option va permettre Pfsense de transfrer et d'mettre les requtes DNS pour les clients.
Il ne reste plus qu' configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allez dans la section DHCP server. Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera attribue aux clients. Dans notre cas, notre plage d'IP sera 192.168.77.10 192.168.77.100. Il faut par la suite entrer l'IP du serveur DNS qui sera attribue aux clients. Ici, il vous faut entrer l'IP du portail captif. En effet, nous avons dfinie plus haut que Pfsense fera lui-mme les requtes DNS. Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 192.168.7.252. Voici donc ce que vous devriez avoir :
PfSense 2009
Page 12 / 88
Voila, Pfsense est correctement configur. Pour le moment il sert uniquement de Firewall et de routeur. Nous allons maintenant voir comment activer l'coute des requtes sur l'interface LAN et obliger les utilisateurs s'authentifier pour traverser le Firewall.
2.3.2
2.3.2.1
Le portail captif
Paramtres gnraux
Nous allons dsormais voir la procdure afin de mettre en place le portail captif. Pour cela, allez dans la section Captive portail. Cochez la case Enable captive portail, puis choisissez l'interface sur laquelle le portail captif va couter (LAN dans notre cas). Dans les 2 options suivantes, nous allons dfinir les temps partir desquelles les clients seront dconnects. Idle Timeout dfinie le temps partir duquel un client inactif sera automatiquement dconnect. Hard Timeout dfinie le temps partir duquel un client sera dconnect quelque soit sont tat. Nous avons choisi de mettre 1h pour l'inactivit, et 12h pour les dconnexions brutales. Ensuite, nous pouvons activer ou pas un popup qui va servir au client de se dconnecter. Nous avons prfr ne pas mettre cette option, car de nombreux utilisateurs utilisent des anti-popup et donc ne verront pas ce message. Il est possible ensuite de rediriger un client authentifi vers une URL spcifique. Nous avons prfr de ne rien mettre afin de laisser la libert au client de grer leur page de dmarrage. Le paramtre suivant Concurrent user logins, permet d'viter les redondances de connexions. En effet, l'utilisateur pourra se connecter sur une seule machine la fois. Cela va donc limiter les usurpations d'identit pour se connecter. Enfin il est possible de filtrer les clients par adresse MAC.
PfSense 2009
Page 13 / 88
Ensuite vient la mthode d'authentification. 3 possibilits s'offre nous : Sans authentification, les clients sont libres Via un fichier local Via un serveur RADIUS Pour des raisons de scurits, nous avons mis en place un serveur RADIUS. Pour plus de dtail sur l'installation de Radius, reportez-vous la partie consacre la scurisation du portail.
Il est possible par la suite de scuriser l'accs au portail captif. Cette mise en place est dcrite dans la partie consacre la scurisation du portail. Enfin, vous pouvez importer une page web qui servira de page d'accueil, ainsi qu'une autre page en cas d'chec d'authentification.
Si vous avez des images insrer sur vos pages web, allez dans l'onglet File Manager et tlcharger vos images.
PfSense 2009
Page 14 / 88
Les autres onglets ne sont pas utiliss dans notre cas, mais pour information, l'onglet Pass-through MAC sert dfinir les adresses MAC autoris traverser Pfsense. Allowed IP address sert dfinir les adresses IP autorises sortir. Et enfin l'onglet Users sert dans le cas o l'on a choisi l'option Local Manager vu plus haut, et est donc utilis pour stocker les comptes valides. Voila, le portail captif est en marche. Cependant, cette configuration comporte quelques failles, dans le sens l'accs aux pages web n'est pas crypt. Les donnes concernant le login passe donc en clair et peut tre visible de tous. Nous allons voir maintenant comment scuriser cet accs.
2.3.2.2
Lauthentification
Lauthentification est un point nvralgique de PfSense puisque cette dernire dfinit lautorisation ou non daccs vers lextrieur dun utilisateur, une sorte de portail mcanique ferm dont il faut avoir la cl pour louvrir PfSense embarque plusieurs types dauthentification possibles : 1) Une base locale en XML local manager ou sont inscrits les utilisateurs. (annexe 5) 2) Un serveur embarqu FreeRadius (annexe 6) 3) Un serveur Radius externe de type Microsoft IAS (Internet Authentification Service)
Choix du protocole dauthentification RADIUS (Remote Authentification Dial-In User Service) est un protocole client-serveur permettant de centraliser des donnes d'authentification. Cest le standard utilis aujourdhui car trs mallable et trs scuris. PfSense intgre par dfaut un serveur radius libre (FreeRadius) coupl une base locale. Nous avons fait le test et il fonctionne bien (annexe 6). Cependant nous avons abandonn cette solution pour deux principales raisons : Notre maquette est dj dot dun annuaire Active Directory, il reste juste scuriser laccs cet annuaire en utilisant le protocole Radius intgr Microsoft Server 2003 (voir partie 3.2) Le serveur FreeRadius embarqu ne dispose pas de toutes les fonctionnalits que propose un Radius (spcification du media utilis, groupes, etc.)
Ajout de lauthentification Radius dIAS Microsoft Server2003 PfSense

2 parties considrer a. Configuration de PfSense b. Configuration de Server 2003
PfSense 2009
Page 15 / 88
a. Configuration de lauthentification sous PfSense

a. System | General Setup Nom
Domaine de NOTRE MAQUETTE Attention Le DNS devient l@IP du Serveur Radius Ne pas cocher
Services | Captive portal @IP Serveur Radius N de port lauthentification Le secret partag
pour
Il y ensuite la possibilit de crer des statistiques pour Radius : lAccounting
Puis Option intressante, la r-authentification de lutilisateur toutes les minutes. Nous avons choisi cette option car elle vite le Man In The Middle . En effet si un pirate pas gentil venait sinterposer entre 2 stations alors le laps de temps que pourrait jouir le mchant pirate serait au maximum gal la prochaine authentification (Une minute), donc seules les 2 stations connaissent le secret partag+ MdP crypt (le login ne lest pas) =>attaque finie.
PfSense 2009
Page 16 / 88
b. RADIUS sous Windows Server 2003 Enterprise Edition

Ne pas oublier de joindre le domaine Notre iut-blagnac.fr sur le serveur Radius. Si ce nest pas le cas une rinstallation dActive Directory est ncessaire. Le fait de joindre le Radius dans le domaine vite lutilisateur lors son authentification de faire user@autre_domaine.fr mais seulement user Ne pas oublier que le serveur Radius sera dsormais le DNS de PfSense Une configuration par dfaut comme celle-ci utilise les ports o 1812 pour lauthentification o 1813 pour laccounting ( stats pour Radius )
Installation du serveur radius Pour installer le service Radius appel aussi Service dauthentification Internet, chez Microsoft, il faut aller dans : Dmarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en rseau | Service dauthentification Internet.
Cliquer sur OK, linstallation seffectue en slectionnant les paramtres par dfaut.
Crer un compte utilisateur dans Active Directory Pour crer un compte utilisateur dans lActive Directory, cliquer sur Dmarrer | Outils dadministration | Utilisateurs et ordinateurs Active Directory Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur
PfSense 2009
Page 17 / 88
Crer lutilisateur nomm lefrancois ainsi :
Remarque : Si vous avez lerreur suivante reportez vous annexe 4
Editer les proprits de lefrancois, pour autoriser laccs distant :
Slectionner Autoriser laccs dans la section Autorisation daccs distant (appel entrant ou VPN)
Crer un groupe de scurit global dans Active Directory Pour crer un groupe de scurit global dans lActive Directory, cliquer sur : Dmarrer | Outils dadministration | Utilisateurs et ordinateurs Active Directory Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe
COSTANZO GRILLAT LEFRANCOIS PfSense 2009 Page 18 / 88
Nous allons crer un groupe PfSenseInternetUsers puis ajouter lutilisateur ce groupe.
Renseigner PfSense dans le DNS du Serveur Radius En effet lorsque PfSense utilise un serveur Radius externe ce dernier devient le serveur DNS de PfSense. Il faut donc indiquer dans le serveur Radius le chemin LUI---PfSense. Dmarrer | programmes | outils dadministration | DNS En premier renseigner le service authentification dans Active Directory
Dans le dossier IUT-BLAGNAC.FR crer un nouvel hte ( A )
PfSense 2009
Page 19 / 88
Hostname du portail captif
L@IP du portail captif
Permet une rsolution champ PoinTeR )
inverse
Paramtrer le service IAS Dans linterface dadministration du Service dauthentification Internet, Ajouter un client Radius :
Renseigner le nom de PfSense, son adresse IP et Dfinir le secret partag entre PfSense et le serveur Radius, dans notre exemple nous choisirons PfSense comme secret partag. Remarque : Les secrets partags sont utiliss pour vrifier que les messages RADIUS, l'exception du message de requte d'accs, sont envoys par un priphrique compatible RADIUS configur avec le mme secret partag. Les secrets partags vrifient aussi que le message RADIUS n'a pas t modifi en transit (intgrit du message). Le secret partag est galement utilis pour crypter certains attributs RADIUS, tels que User-Password et TunnelPassword.
PfSense 2009
Page 20 / 88
Rsolution DNS OK Ajoutons une nouvelle stratgie daccs distant personnalise:
Cration dune nouvelle stratgie dfinissant comment le serveur Radius doit fonctionner (avec quels paramtres)
Le NAS (Network Access Identifier) est la machine qui reoit la demande dauthentification du client WiFi (ici la machine Pfsense)
PfSense 2009
Page 21 / 88
On spcifie ici le medium utilis pour la connexion au Radius
Ne pas oublier dajouter le groupe dutilisateurs dont Radius gre lauthentification
On autorise laccs distant puis dans la fentre suivante loption proprit | authentification est ici PAP, CHAP
PfSense 2009
Page 22 / 88
Pas obligatoire
Avec un analyseur de rseau.test fait sur le serveur Radius
Trames radius Utilisateur Mot de passe crypt
2.3.3
Scurisation de PfSense
PfSense, son installation, est dnu de toute scurit. Cest assez embtant dans la mesure o par exemple un mot de passe en clair serait facilement interceptable. Plusieurs tapes sont prendre en compte : - Laccs au Web Gui (linterface dadministration)
Lauthentification de lutilisateur Laprs authentification, Une communication crypte
2.3.3.1
Laccs scuris au Web Gui
Pour cette scurisation, vous aurez besoin d'un certificat. Une connexion HTTPS sera tablie. Si vous n'avez pas de certificat, reporter vous plus haut afin d'un crer un. Si le certificat est prsent dans la section Advanced (vu prcdemment), allez dans le menu General Setup. Slectionnez HTTPS dans WebGUI protocol et mettez le port 443 (SSL) dans WebGUI port.
Voila, l'accs Pfsense est entirement scuris !
2.3.3.2
Lauthentification scurise de lutilisateur
Pfsense permet des grer un accs scuris au portail captif via SSL. L'accs se fera donc via une connexion HTTPS. Le client devra simplement tlcharger un certificat pour la mise en place du tunnel crypt. Configuration de Pfsense. Avant d'activer l'HTTPS, il faut tout d'abord crer un certificat. Pour cela, Pfsense intgre un module pour leur gnration. Allez sur la section System, Advanced. Descendez ensuite la partie webGUI SSL. Ici vous pourrez crer votre certificat, cliquer sur Create
Entrer ensuite les informations demandes, et cliquer sur Save.
PfSense 2009
Page 24 / 88
Vous avez maintenant votre certificat de cre. Cliquer sur Save afin de garder ce certificat.
Revenez ensuite sur cette page, et rcuprez les cls. Nous nous en servirons pour l'accs scuris au portail. Allez ensuite dans la section Captive Portail. Activer le HTTPS, donner le nom de la machine et coller les cls cres plus haut.
PfSense 2009
Page 25 / 88
Cliquer sur Save. Voila, l'authentification est maintenant scuris. Nous allons voir maintenant comment scuris l'accs Pfsense pour l'administrateur.
2.4
CONFIGURATION CLIENT
La solution installe a t faite de sorte ce que la mise en place du portail captif soit la plus transparente possible pour les utilisateurs. Nous allons donc voir maintenant la procdure de connexion d'un client WiFi. Tout d'abord, le client choisira le SSID du WiFi de l'NOTRE MAQUETTE (WiFi_NOTRE MAQUETTE dans notre cas), et se connectera ce rseau.
Le client devra se mettre en IP automatique. C'est--dire que l'adresse IP sera fournie par Pfsense.
On voit bien ci-dessous que l'IP a bien t transmise de faon automatique.
L'utilisateur devra ensuite, tout simplement, ouvrir un navigateur web (comme s'il voulait surfer sur le web). Il aura ensuite la charge de tlcharger le certificat fourni automatiquement. Il aura donc une fentre comme celleci apparatre :
Dans certains cas, il aura le message suivant :
PfSense 2009
Page 27 / 88
Il suffit de mettre "OK" et de passer la suite. Le client sera automatiquement redirig vers la page html d'authentification. Il devra alors entrer ici son login et mot de passe.
Si le login est bon, il pourra alors surfer sur Internet !
PfSense 2009
Page 28 / 88
2.4.1
Test de fonctionnement
PfSense 2009
Page 29 / 88
VPN CLIENT
3.1
INTRODUCTION
Le VPN client consiste connecter un nomade informatique son entreprise via un tunnel scuris. Il faut voir ce tunnel comme un tuyau hermtique de bout en bout ferm ses extrmits par deux portes verrouilles avec une mme clef. A lintrieur il y a de linformation qui transite de faon scurise puisque personne ne peut regarder ce quil y a dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc lextrmit de ce dernier et possdent tous deux la mme clef. Plusieurs technologies disponibles dans PfSense permettent de mettre en place un VPN client: OpenVPN (http://openvpn.net/) IPSec (http://tools.ietf.org/html/rfc4301) PPTP (http://www.ietf.org/rfc/rfc2637.txt) NB: A lheure actuelle (v1.2.2) il manque toujours L2TP. La version 2.0 devrait lembarquer. A terme ce chapitre devrait contenir toutes les technologies de VPN disponibles dans PfSense. Nanmoins nous commencerons par notre chouchou, savoir OpenVPN. PS : Cette version V1.0 Beta naborde que le VPN client PPTP couramment utilis par les entreprises. La suite pour bientt
3.2
3.2.1
PPTP
Prsentation
Le Point-To-Point Tunneling Protocol (PPTP) est un protocole dencapsulation sappuyant sur le protocole PPP pour la communication. Ce protocole ne peut travailler que sur des rseaux IP. Historiquement parlant, ce protocole a t implment pour la premire fois par Cisco, il fut ensuite repris par Microsoft dans ses systmes Windows. Une spcification fut publie dans la Request For Comments (RFC) 2637 en juillet 1999, parmi les auteurs on citera nouveau Microsoft, mais galement lquipementier 3Com, ainsi que dautres socits moins connues (Ascend Communications, Copper Mountain Networks, ECI Telematics, etc).
Fonctionnement gnral d'un VPN avec PPTP Le protocole PPTP consiste en deux flux de communication entre le client et le serveur, s'appuyant directement sur le protocole IP : Le premier flux a pour rle la gestion du lien entre les deux parties, il sagit l dune connexion sur le port 1723 du serveur en TCP. Le second flux concerne les donnes changes entre les deux parties, bien entendu ce flux peut et doit tre chiffr, ce dernier transite en utilisant le protocole GRE (General Routing
Encapsulation, protocole de niveau 3 qui permet dtablir des tunnels IP sur de lIP). Son usage est destin aux communications entre 2 routeurs). PPTP ne concerne que le transport des donnes, un de ces deux protocoles intervient ensuite pour scuriser l'authentification, il faut en effet tre certain que c'est la bonne personne qui se connecte au serveur VPN ! Password Authentification Protocol (PAP) : ce protocole dcrit dans la RFC 1994 consiste mettre en place une authentification entre le client et le serveur VPN. Les informations d'authentification (nom d'utilisateur et mot de passe) transitent en clair, ce qui n'est pas l'idal si l'on veut scuriser au maximum... Challenge Handshake Authentification Protocol (CHAP) : ce protocole consiste en un mcanisme d'authentification crypt, il est donc scuris. Un protocole bas sur ce dernier, dvelopp par Microsoft, est aussi utilis : MS-CHAP.
L'authentification effectue, il faut dsormais scuriser la communication au sein du VPN; comme pour l'authentification, la scurisation des donnes repose sur un protocole de PPP : Compression Control Protocol. Diffrents types de cryptage sont utiliss, qu'ils soient symtriques ou asymtriques. Les algorithmes RSA (DES, RC4 et IDEA) et les cls publiques (Public Key Infrastructure, PKI) entre autres.
3.2.2
Limitation
Le protocole PPTP, tant une extension du protocole PPP, ne permet par contre pas de raliser des liaisons multipoints. Il est limit des connexions entre deux points. Ces deux points peuvent tre n'importe o dans le monde. Autre limitation, ce protocole ne permet que des VPN sur un rseau IP. Ceci est du lutilisation du protocole GRE pour lencapsulation des trames.
PfSense 2009
Page 31 / 88
3.2.3
Schma
Sur notre maquette, nous avons plac une partie LAN, une DMZ, le WAN et une connexion distance. Le tout est gr par Pfsense. Le but est de montrer ici, que sur une architecture classique, nous pouvons crer des connexions scurises distance sur notre LAN / DMZ. Nous allons voir maintenant comment le configurer.
3.2.4
Configuration Serveur
Sur Pfsense, le serveur PPTP est dj install. Pour le configurer, aller dans VPN puis PPTP.
Vous arrivez sur cette page de configuration :
PfSense 2009
Page 32 / 88
Diffrents choix soffre nous ici : - OFF : Dsactive toutes requtes PPTP - Redirect incoming PPTP connections : Permet de rediriger les connexions PPTP vers un serveur externe. Il suffit ici dentrer ladresse IP de la machine. - Enable PPTP server : Active le serveur interne Pfsense. Nous allons dtailler cette partie. Vous voyez en dessous Max concurrent connections . Par dfaut, le nombre est limit 16. Vous vous posez maintenant la question de savoir comment arriver 120 comme dans notre cas. Patience, nous y venons juste aprs. Entrer ensuite ladresse IP du serveur. Ici : 192.168.0.20 est ladresse WAN de PFsense (vers le routeur). Remote address range sert spcifier la plage dadresse que recevront les clients sur leurs tunnels. Ici encore, le masque nest pas modifiable via linterface Web. Pour modifier les 2 paramtres (connexion et masque), il faut aller le changer dans un fichier de configuration. Aller dans /etc/inc/ et diter le fichier globals.inc .
PfSense 2009
Page 33 / 88
Faites dfiler le fichier jusqu atteindre n_pptp_units . Cela correspond au nombre de connexions possible. Modifier la valeur 16 par votre nombre (ici 120). Idem pour le subnet (maque) juste en dessous (ici 28).
Sauvegarder le fichier et recharger le page Web. Vous verrez les modifications appliques. Par la suite, vous avez le choix entre lauthentification locale et un serveur Raduis. Dans notre cas, nous allons nous greffer sur lAD dj existant et le serveur RADIUS. Pour configurer le contrleur de domaine, reportez-vous la section Portail Captif .
Une fois lAD configur, cocher la case Use a RADIUS server for authentification . Loption Enable RADIUS accounting est facultative. L'accounting RADIUS est le moyen de garder trace des informations de connexion. Les informations reues par ce biais permettent de raliser tout un ensemble de statistiques d'usage, de consommation et dimensionnement. Entrer ensuite ladresse IP du serveur RADIUS ainsi que la cl secrte. Enfin, entrer ladresse du serveur WINS (en gnral celui du contrleur de domaine).
Sauvegarder la configuration. Le serveur est oprationnel. Attention : Pfsense ajoute une interface dans le Firewall pour les connexions PPTP. Comme toute connexion par dfaut, les rgles bloquent tout le trafic. Noublier donc pas dajouter une rgle afin dautoriser un trafic. Dans notre exemple, nous donnons uniquement laccs la DMZ.
NOTE : Afin de permettre les connexions distance, noublier pas de configurer votre routeur WAN pour ajouter une rgle NAT : All IP externe vers 80.12.3.13 : 1723 (port PPTP) => 192.168.0.20 (ip wan pfsense) : 1723 (port PPTP).
Maintenant que le serveur est oprationnel, nous allons voir comment se connecter avec le client.
3.2.5
Configuration Client
La configuration client sous Windows est assez simple. Ceci est entirement gr en natif dans lOS. Nous allons vous montrer sous Windows XP comment le paramtrer.
Dans les favoris rseau, nous allons crer une nouvelle connexion.
PfSense 2009
Page 35 / 88
Cliquer sur connexion au rseau dentreprise .
Slectionner Connexion rseau priv virtuel .
Ajouter un nom pour cette connexion. Ici nous mettrons VPN.
PfSense 2009
Page 36 / 88
Ajouter lIP du serveur. En tant que client, vous navez accs quau lien WAN du routeur de la socit. Vous pouvez mettre ici une adresse IP ou un nom DNS. Les rgles NAT et configuration de PFSense se chargeront de transmettre la trame au sein du rseau de lentreprise. Une fois la connexion cre, lancer la et entrer un compte valide du contrleur de domaine.
Une fois connect, vous accdez au rseau de lentreprise. Vous remarquerez dans les proprits que votre connexion a bien reu ladresse dfinie dans PFSense.
PfSense 2009
Page 37 / 88
3.2.6
Ci-dessous, 2 PING ont t raliss : 1 vers le LAN, 1 vers la DMZ. Nous avons prcdemment donn laccs uniquement la DMZ dans le firewall. Une fois la connexion tablie, le PING vers le LAN naboutie toujours pas, alors que la DMZ rpond bien. Vous avez maintenant un accs lentreprise partir dun nomade. Gardez lesprit quune fois le VPN cr, tout votre trafic rseau traversera ce tunnel, y compris votre accs Internet, et vous serez soumis aux rgles de la socit.
PfSense 2009
Page 38 / 88
VPN SITE A SITE
4.1
INTRODUCTION
Le VPN site--site consiste relier deux ou plusieurs sites distants par un tunnel scuris. Il faut voir ce tunnel comme un tuyau hermtique de bout en bout ferm ses extrmits par deux portes verrouilles avec une mme clef. A lintrieur il y a de linformation qui transite de faon scurise puisque personne ne peut regarder ce quil y a dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc lextrmit de ce dernier et possdent tous deux la mme clef. Plusieurs technologies disponibles dans PfSense permettent de mettre en place un VPN site-site: OpenVPN (http://openvpn.net/) IPSec (http://tools.ietf.org/html/rfc4301) PPTP (http://www.ietf.org/rfc/rfc2637.txt) NB: A lheure actuelle (v1.2.2) il manque toujours L2TP. La version 2.0 devrait lembarquer. A terme ce chapitre devrait contenir toutes les technologies de VPN disponibles dans PfSense.
4.2
PRE-REQUIS
Avant de configurer votre VPN, vrifiez que vous avez bien tenu compte des pr-requis. Cela peut parfois vous pargner pas mal de temps perdu . PfSense doit tre correctement install et configur dans le rseau local. Les deux sous rseaux distants doivent imprativement tre diffrents. En effet dans le cas ou A et B possdent le mme sous rseau, chaque requte depuis un PC sous rseau A vers un autre dans le sous rseau B sera boucle automatiquement dans le sous rseau source, savoir ici le sous rseau A. le Pare feu PfSense domaine A ne sera jamais donc sollicit pour router la requte. Un autre cas, variante de celui cit prcdemment, consiste monter un VPN entre deux Htes respectivement de domaine A et B. Nous dconseillons fortement ce type de configuration dans le sens ou ladministrateur ne peut pas contrler le contenu de linformation par ses lments de filtrage. Ainsi une attaque, un virus, etc. peuvent tre lancs depuis le serveur X dans le domaine A vers le serveur Y dans le domaine B sans que les lments de filtrage de A ou B puissent interfrer. Si PfSense nest pas la passerelle par dfaut du LAN ou il est install, il est indispensable de crer une redirection de trafic VPN entre la passerelle par dfaut du LAN concern et PfSense. Attention !, la mise en place dun VPN site--site implique la prolifration de mauvaise information, notamment les virus et attaques Pensez vous munir doutils de protection avant de mettre en place un VPN intersites. Cela peut paratre vident mais combien de fois sest-on retrouv infects cause dun site partenaire
PfSense 2009
Page 39 / 88
4.3
CHOIX DE LA TECHNOLOGIE
Le tableau suivant rcapitule brivement ce qui est aujourdhui support par une technologie et pas lautre. OpenVPN IPSec Ne supporte pas NAT-T ce qui empche lutilisation de client mobiles derrire du NAT. Static IP : OUI Dynamic IP : Un seul point final autoris Oui Pre Shared Key, Certificat PPTP
Clients mobiles
Oui
Oui
Utiliser IP statiques ou dynamiques Filtrage de traffic VPN Types dauthentification
Static IP : OUI Dynamic IP : v2.0 Prevu dans la v2.0 Shared Key, Certificat
Static IP : OUI Dynamic IP : OUI Oui local user database, RADIUS server (Authentication, Accounting) 2 IP publiques minimum pour du PPTP via utilisateurs en interne si PfSense est serveur PPTP -
Restrictions Fonctionnalits du mcanisme non encore implmentes dans PfSense
Celles manquantes dans la v2.0
DPD, XAuth, NAT-T, et autres
Analyse : Chacun possde ses avantages et inconvnients. En effet IPSec parait tre la solution la plus viable aujourdhui de par ses services proposs (OpenVPN attend la v2.0 de PfSense pour tre vraiment oprationnel et PPTP nest plus vraiment ddi au Site--site).
PfSense 2009
Page 40 / 88
4.4
4.4.1
OPENVPN
Prsentation
OpenVPN est un logiciel libre permettant de crer un rseau priv virtuel (VPN). Ce logiciel, disponible dans PfSense, permet des pairs de s'authentifier entre eux l'aide d'une cl prive partage l'avance ou de certificats. Pour chiffrer ses donnes OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi prsente dans PfSense.
4.4.2
Limitations dOpenVPN
Voir la partie Choix de la technologie dans ce chapitre.
4.4.3
Schma gnral
Aprs avoir vrifier les pr-requis en dbut de ce chapitre, nous pouvons dsormais passer la partie schma gnral. Matriel utilis VmWare Workstation 6.5 avec : o Un Master-PfSense v1.2.2 o Un Slave-PfSense v1.2.2 o Un PC User 1 XP Pro o Un PC User 2 XP Pro Matriels WAN (DNS et Passerelle)
PfSense 2009
Page 41 / 88
4.4.4
Configuration du Serveur
Cration du Serveur OpenVPN sur Master-PfSense Aller dans longlet VPN > OpenVPN | Server et Cliquer que la case + pour crer un nouveau Serveur openVPN. Remplir les champs suivants : o Protocol : UDP o Local port : 1194 (port par dfaut) o Address pool : 192.168.102.0/24 (sous rseau des clients VPN, ici pour le Slave-PfSense) o Remote Network : 192.168.2.0/24 (sous rseau du site distant) o Cryptography : BF-CBC (128-bit) . A noter que la loi franaise fixe la limite de taille des cls 128 bits (2 puissance 7) pour les particuliers, les entreprises doivent quant elle faire une demande si elles souhaitent avoir recours des cls d'une taille suprieure. o Authentication method : Shared Key (si pas de PKI) Remarque : La v2.0 intgrera un espace de management de certificats. Pour utiliser un certificat pour un VPN entre deux PfSense vous devez au minimum gnrer le certificat en v1.2.x. Pour gnrer la Shared Key vous pouvez utiliser le logiciel OpenVPNGui (http://openvpn.se). Choisissez par dfaut la version Package qui embarque tous les drivers utiles. a. Installer OpenVPNGui b. Ouvrir une fentre DOS et taper les commandes suivantes: o CD C:\Program Files\OpenVPN\easy-rsa\ o openvpn --genkey --secret SharedKey.key
c. Rcuprer le contenu du Files\OpenVPN\easy-rsa
fichier
Shared.key
cre
dans
le
dossier
C:\Program
PfSense 2009
Page 42 / 88
d. Coller le contenu de Shared.key dans la partie Shared Key de PfSense
o o o o
LZO compression : Cocher la case si vous voulez utiliser la compression de paquets. DHCP-Opt.: DNS-Domainname : ici vous pouvez entrer le nom de domaine local que vous utilisez DHCP-Opt.: DNS-Server : entrez ici les IPs des serveurs DNS de votre domaine spars par des points virgules Cliquer sur Save
4.4.5
Configuration du client
Cration du Client OpenVPN sur Slave-PfSense Aller dans longlet VPN > OpenVPN | Client et Cliquer que la case + pour crer un nouveau client openVPN. Remplir les champs suivants : o Protocol : UDP o Local port : 1194 (port par defaut) o Address pool : 192.168.102.0/24 (sous rseau des clients VPN, ici pour le Slave-PfSense) o Remote Network : 192.168.1.0/24 (sous rseau du site distant) o Cryptography : BF-CBC (128-bit) . A noter que la loi franaise fixe la limite de taille des cls 128 bits (2 puissance 7) pour les particuliers, les entreprises doivent quant elle faire une demande si elles souhaitent avoir recours des cls d'une taille suprieure. o Authentication method : Shared Key a. Coller le contenu de Shared.key du serveur OpenVPN dans la partie Shared Key de PfSense
PfSense 2009
Page 43 / 88
o o o
LZO compression : Cocher la case si vous voulez utiliser la compression de paquets. NB : Si vous choisissez la compression noubliez pas de cocher la case correspondante ET sur le Master-PfSense ET sur le Slave-PfSense. DHCP-Opt.: DNS-Domainname : ici vous pouvez entrer le nom de domaine local que vous utilisez DHCP-Opt.: DNS-Server : entrez ici les IPs des serveurs DNS de votre domaine spars par des points virgules Cliquer sur Save
4.4.6
@IP PC User 1 (LAN MASTER) : 192.168.1.198 @IP PC User 2 (LAN SLAVE) : 192.168.2.245 Commande PING De PC User 1 vers PC User 2
Commande PING De PC User 2 vers PC User 1
PfSense 2009
Page 44 / 88
4.5
4.5.1
IPSEC
Prsentation
IPsec (Internet Protocol Security) est un ensemble de protocoles (couche 3 modle OSI) utilisant des algorithmes permettant le transport de donnes scurises sur un rseau IP. Son objectif est d'authentifier et de chiffrer les donnes : le flux ne pourra tre comprhensible que par le destinataire final (chiffrement) et la modification des donnes par des intermdiaires ne pourra tre possible (intgrit). Pour plus de dtail http://fr.wikipedia.org/wiki/IPsec .
4.5.2
Limitations
Voir la partie Choix de la technologie dans ce chapitre.
4.5.3
Schma gnral
Aprs avoir vrifier les pr-requis en dbut de ce chapitre, nous pouvons dsormais passer la partie schma gnral. Matriel utilis VmWare Workstation 6.5 avec : o Un Master-PfSense v1.2.2 o Un Slave-PfSense v1.2.2 o Un PC User 1 XP Pro o Un PC User 2 XP Pro Matriels WAN (DNS et Passerelle)
PfSense 2009
Page 45 / 88
4.5.4
Configuration du serveur
Cration du Serveur IPSec sur Master-PfSense Aller dans longlet VPN > IPSec | Tunnels et Cliquer sur la case + pour crer un nouveau serveur IPSec en mode Tunnel. Le mode Transport, notamment utilis pour le Host-To-Host nest pas utilisable dans PfSense 1.2.2. Pas de problmes le mode Tunnel est trs utilis pour le LAN-to-LAN car il offre une protection contre l'analyse de trafic et les adresses source et destination sont toutes masques. Remplir les champs gnraux suivants : o Interface : WAN o Local subnet : LAN subnet (sous rseau LAN de Master-PfSense) o Remote subnet : 192.168.2.0/24 (sous rseau LAN de Slave-PfSense) o Remote gateway : 192.168.0.247 (@IP WAN Slave-PfSense) o Description: Ici votre description, par exemple Tunnel IPSEC Master-Slave PfSense Passons la configuration de la phase 1 IPSec (authentication) o Negociation mode : agressive (il existe aussi main, plus scuris mais moins rapide) o My identifier : My IP address (si vous avez une IP WAN statique), sinon votre DynDNS, Nom de domaine, FQDN utilisateur ou autre adresse IP WAN. o Encryption algorithm : Blowfish (plus rapide que les autres !), 3DES pour la compatibilit avec dautres matriels mais plus lent etc. Lorque vous choissisez un algorithme dencryption dun ct du Tunnel IPSec, vous devez choisir le mme de lautre ct ! o Hash Algorithm : SHA1 (le mme algorithme de hachage sur les deux extrmits du Tunnel). o DH Key Group : 2 (1024 bit est un bon compromis entre vitesse et scurit) o Lifetime : 28800 (Partie importante !, ce temps, en secondes, en dtermine la dure de vie de la phase 1 avant sa rinitialisation). o Pre-Shared Key : [votre secret partag] (Attention case sensitive), utilisez par exemple une cl comme IPSec@PfSense09TeamAr1ge . Si vous avez une PKI utilisez un certificat et RSA signature Configuration de la phase 2 (SA / Key Exchange) o Protocol : ESP (une rgle Firewall sera cre pour autoriser en entre ESP ) o Encryption algorithms : Blowfish (le plus rapide en encryption). Rijndael (AES)
pour du secret, Rijndael 256 pour du top secret selon la NSA, 3DES pour la meilleure compatibilit. Dcochez les autres possibilits.
o o o
Hash algorithms : SHA1 PFS key group : 2 Lifetime : 86400
(le mme algorithme de hachage sur les deux extrmits du Tunnel) (1024 bit est un bon compromis entre vitesse et scurit) (Cest le temps de validit de la cl dencryption avant quelle ne soit rgnr. 86400 s, soit 1 jour est amplement suffisant pour le compromis paranoa de hacking de la cl dencryption / scurit.
Configuration du Keep Alive ( Message vrifiant la bonne connectivit entre 2 htes, ex ping !) o Automatically ping host : 192.168.0.10 (preferez une @IP WAN fixe :-s )
Cliquez sur Save pour finaliser la configuration du serveur IPSec.

4.5.5
Configuration du client
La particularit du mode Tunnel dIPSec est quen ralit vous crez deux serveurs et navez donc pas de relation Matre-Esclave. La configuration de Slave-PfSense est donc trs simple. Rptez les tapes de la partie Configuration du serveur faite prcdemment en changeant bien sur les paramtres suivants: o o Remote subnet : 192.168.1.0/24 Remote gateway : 192.168.0.246 (sous rseau LAN de Master-PfSense) (@IP WAN Master-PfSense)
Rutilisez les autres valeurs, ne les changez surtout pas !
4.5.6
Crer les rgles de Pare-feu
Voil, IPSec est configur sur nos deux pare-feu PfSense et pourtant quand je PING un hte distant travers le VPN, rien ne se passepourtant jai tout autoris en WAN pour mon test Voil le cas type dune personne qui na pas lu la partie du le filtrage de trafic VPN dans notre tableau comparatif sur les VPN site--site ^^. En effet PfSense, tellement quil est bien dirait Sarkozy, permet le filtrage de trafic VPN IPSec via linterface IPSec dans les Rules. Exemple : sur Slave-PfSense :
Ainsi je cre ma Rule nautorisant que les personnes du domaine LAN Master-PfSense me Pinguer sur une de mes machines dans mon LAN Slave-PfSense.
Cela veut dire que tout le reste est interdit !

Il faut donc paramtrer les flux autoriss en entre chaque extrmit du tunnel IPSec. Cette tche est laisse libre au lecteur.
4.5.7
Vous devez crer de lactivit dans le tunnel IPSec cre pour voir apparatre le SAD. La SAD (Security Association Database) est une database contenant les associations de scurit (SA). @IP PC User 1 (LAN MASTER) : 192.168.1.198 @IP PC User 2 (LAN SLAVE) : 192.168.2.245 Commande PING De PC User 1 vers PC User 2
PfSense 2009
Page 47 / 88
Remarque : On voit bien au premier PING linitialisation dactivit du Tunnel IPSec. Ds lors, on voit par exemple sur les figures suivantes (Status | IPSec) que la SAD-SPD sur Master-PfSense est bien cre et que donc le PING peut passer.
Dans le rsum du status IPSec, on voit que le tunnel est bien activ (status au vert)
On voit ici la SAD contenant les SA. Une SA tant constitu dune entte SPI (Security Parameter Index),tag didentification en entte de paquet, + @IPDestination. Pour aller plus loin : http://en.wikipedia.org/wiki/IPsec#Security_Association
Ici les routes des sous rseaux apparaissent dans la SPD (Security Policy Database)
Commande PING De PC User 2 vers PC User 1
PfSense 2009
Page 48 / 88
LE BASCULEMENT (FAILOVER)
5.1
PRESENTATION
Le basculement (en anglais, failover qui se traduit par passer outre la panne) est la capacit d'un quipement basculer automatiquement vers un chemin rseau alternatif ou en veille. Cette capacit existe pour tout type d'quipements rseau: du serveur au routeur en passant par les pare-feu et les commutateurs rseau (switch). Le basculement intervient gnralement sans action humaine et mme bien souvent sans aucun message d'alerte. Le basculement est conu pour tre totalement transparent. Il existe deux modes principaux de basculement : actif/actif qui s'apparente plus de l'quilibrage de charge (load-balancing) et le mode classique couramment rpandu, actif/passif o l'quipement secondaire (passif) est en mode veille tant que l'quipement primaire (actif) ne rencontre aucun problme. Source wikipedia.fr
PfSense permet la mise en place dun systme de basculement Actif-Passif, et surement bientt Actif-Actif (v2.0 ?).
Le basculement (pour linstant Actif-Passif) est rendu possible grce au protocole CARP (Common Address Redundancy Protocol). CARP est un protocole permettant un groupe d'htes sur un mme segment rseau de partager une adresse IP, ce qui cre donc un groupe de redondance. Au sein de ce groupe, un hte est dsign comme "matre". Les autres membres sont appels "esclaves". L'hte matre est celui qui "prend" l'adresse IP partage. Il rpond tout trafic ou requte ARP l'attention de cette adresse. Chaque hte peut appartenir plusieurs groupes de redondance. Chaque hte doit avoir une seconde adresse IP unique. Une utilisation commune de CARP est la cration d'un groupe de pare-feu redondants. L'adresse IP virtuelle attribue au groupe de redondance est dsigne comme l'adresse du routeur par dfaut sur les machines clientes. Dans le cas o le pare-feu matre rencontre une panne ou est dconnect du rseau (mise jour par exemple), l'adresse IP virtuelle sera prise par un des pare-feu esclaves et le service continuera tre rendu sans interruption. Cest justement de type de configuration avec deux pare-feu PfSense v1.2.2 que nous allons dployer et expliquer dans ce tutorial.
Remarque pralable : Un tutorial vido CARP existe aussi en ligne : http://pfsense.bol2riz.com/tutorials/carp/carp-cluster-new.htm
PfSense 2009
Page 49 / 88
5.2
SCHEMA GENERAL
Matriel utilis VmWare Workstation 6.5 avec : o Un Master-PfSense v1.2.2 o Un Slave-PfSense v1.2.2 o Un PC User 1 XP Pro Matriels WAN (DNS et Passerelle)
Remarque : Vrifiez que vous possdez une interface optionnelle OPT configure sur chaque parefeu PfSense. Ces interfaces sont utilises pour faire transiter linformation CARP-Pfsync. Description du schma Le cluster partage ladresse IP publique 192.168.0.248. Le NAT Outbound avanc sur PfSense est paramtr pour utiliser cette adresse en passerelle WAN par dfaut. Le cluster partage ladresse IP prive 192.168.1.254. Ainsi un client utilisera uniquement cette adresse IP LAN en passerelle. Master-PfSense utilise le mcanisme pfsync XMLRPC sync pouvant synchroniser automatiquement SA configuration sur Slave-PfSense (NAT, Rules, etc.) et paramtrer nodes (informations de status), advskew (hirarchie dans le cluster) et vhid (groupe de cluster) .
5.3
5.3.1
CONFIGURATION DU BASCULEMENT MAITRE-ESCLAVE

Crer les Rules sur linterface OPT1
Commenons notre configuration du Failover sur le Matre, savoir Master-PfSense. Il faut tout dabord crer une Rule sur linterface OPT1/SYNC pour autoriser les flux CARP&pfsync transiter sur le segment CARP (voir schma gnral).
Aller dans longlet Firewall > Rules | SYNC et Cliquer sur la case + pour crer une nouvelle Rule. Remplir les champs gnraux suivants : o Action : Pass o Interface : SYNC o Protocol : Any o Description : Autoriser le sous rseau SYNC Cliquez sur Save pour valider. Cliquez sur Apply Changes pour appliquer votre Rule.
Rptez ces tapes de configuration sur lesclave, savoir Slave-PfSense.
5.3.2
Crer les Virtual IPs
A. Nous devons premirement configurer CARP. Sur lesclave (Slave-PfSense), aller dans longlet Firewall > Virtual IPs | CARP Settings. Remplir les champs gnraux suivants : o Synchronize Enabled : Cocher cette case pour autoriser lchange de messages (pfsync) o Synchronize Interface : SYNC Cliquez sur Save pour valider.
Sur le Matre (Master-PfSense), aller dans longlet Firewall > Virtual IPs | CARP Settings. Remplir les champs gnraux suivants : o Synchronize Enabled : Cocher cette case pour autoriser lchange de messages (pfsync) o Synchronize Interface : SYNC
PfSense 2009
Page 51 / 88
o o o o
Synchronize rules : Cocher cette case. Vous pourrez ainsi rpliquer vos Rules Matre sur le Slave via PfSync. En somme, grce cette option magique vous navez plus qu seulement configurer les Rules sur Master-PfSense, elles seront automatiquement cres sur Slave-PfSense. Dans notre cas nous avons seulement 2 Pare feu et navons donc pas coch la case Synchronize Rules sur Slave-PfSense. Dans le cas ou vous disposez dun second ou nime Backup, activez cette option autant de fois que ncessaire Synchronize nat : Cocher la case pour synchroniser le NAT. Mme remarque que prcdemment. Synchronize Virtual IPs : Cocher cette case. Synchronize to IP: 192.168.100.2 (@IP Backup) Remote System Password: [votre mot de passe WebGUI Backup]
Cliquez sur Save pour valider.
B. Nous pouvons maintenant configurer les IP virtuelles. Sur le matre (Master-PfSense), aller dans longlet Firewall > Virtual IPs | Virtual IPs. Cliquez sur la case + pour crer une nouvelle IP virtuelle WAN. Remplir les champs gnraux suivants : o Type : Cocher la case CARP o Interface : WAN o IP Address : o Type : Single Address o Address : 192.168.0.248/24 (@IP WAN non utilise) o Virtual IP Password : [votre mot de passe] (Password du groupe VHID) o VHID Group : 1 (Numro de groupe VHID partag par les Pare-feu) o Advertising Frequency : 0 (0=Master, 0+1+n pour backup). Plus la valeur de n est basse, plus le backup se trouve proche derrire le Master : Master(0) Backup1(1 car n=0) Backup2(2 car n=1) Remarque: Lorsque vous voudrez mettre en place un systme Actif/Actif la valeur Advertising Frequency du Master et Slave sera la mme, savoir 0 . o Description: WAN-CARP Cliquez sur Save pour valider.
Cliquez de nouveau sur la case + pour crer une nouvelle IP virtuelle LAN. Remplir les champs gnraux suivants : o Type : Cocher la case CARP o Interface : LAN o IP Address : o Type : Single Address o Address : 192.168.1.254/24 (@IP LAN non utilise) o Virtual IP Password : [votre mot de passe] (Password du groupe VHID) o VHID Group : 2 (Numro de groupe VHID partag par les Pare-feu) o Advertising Frequency : 0 (0=Master, 0+1+n pour backup). Plus la valeur de n est basse, plus le backup se trouve proche derrire le Master : Master(0) Backup1(1 car n=0) Backup2(2 car n=1) Remarque: Lorsque vous voudrez mettre en place un systme Actif/Actif la valeur Advertising Frequency du Master et Slave sera la mme, savoir 0 . o Description: LAN-CARP
Cliquez sur Save pour valider. Cliquez sur Apply Changes pour appliquer vos IPs virtuelles.
5.3.3
Vrification du fonctionnement de CARP
Sur le Master (Master-PfSense) : Status | Failover
Sur le Slave (Slave-PfSense) : Status | Failover
NB : Si vous avez un Status Disabled cliquez sur la case Enable Carp.
PfSense 2009
Page 53 / 88
Toujours sur Slave-PfSense, dans longlet Firewall > Virtual IPs | Virtual IPs nous voyons bien lapparition automatique des IP virtuelles grce pfsync.
5.3.4
Configuration du mapping NAT pour faire du failover WAN stateful.
Nous allons crer une rgle NAT sur linterface WAN pour dfinir notre interface virtuelle WANCARP comme destination par dfaut. Comme cette adresse IP WAN est partage par nos deux Pare feu, si un problme survient sur le Master nous naurons pas de coupure sur des communications pralablement tablies car le Slave possde la mme adresse IP WAN que le Master. Sur le matre (Master-PfSense), aller dans longlet Firewall > NAT | Outbound. Cliquez sur la case Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) . Vous voyez apparatre une rgle par dfaut Auto created rule for LAN quil vous faut diter : Changer uniquement les champs gnraux suivants : o Translation : 192.168.0.248 (WAN-CARP) (nouvelle @IP par dfaut de linterface WAN) o Description : Use WAN-CARP for LAN Cliquez sur Save pour valider. Cliquez sur Apply Changes pour appliquer votre rgle NAT.
NB : PfSense, tellement quil est toujours bien, a donc rpliqu automatiquement cette rgle NAT sur Slave-PfSense grce Pfsync.
5.3.5
Modifier votre serveur DHCP
La mise en place dun systme de basculement (Failover) implique la modification de certains paramtres IP. Ainsi, deux cas se prsentent : Vous avez PfSense en DHCP Suivez lexplication ci-aprs Vous avez votre propre DHCP, modifiez la valeur suivante: o Passerelle par dfaut : 192.168.1.254 (@IP LAN-CARP)
A. Si votre DHCP est PfSense : Sur le matre (Master-PfSense), aller dans longlet Services > DHCP Server | LAN. Changer au moins les champs gnraux suivants : o Gateway : 192.168.1.254 (LAN-CARP) o Failover peer IP : 192.168.1.2 (@IP LAN Slave-PfSense pour le DHCP Failover)
Sur Slave-PfSense: Aller dans longlet Services > DHCP Server | LAN. Changer au moins les champs gnraux suivants : o Gateway : 192.168.1.254 (LAN-CARP) o Failover peer IP : 192.168.1.1 (@IP LAN Master-PfSense pour le DHCP Failover) Remarque : Vous devez avoir les mmes configurations DHCP sur les deux Pare-feu, moyennant les changements prcdents. Si vous voyez dautres champs modifier (par ex le DNS), faites le toujours sur les deux Pare feu.
5.3.6
@IP PC User 1 (LAN) : 192.168.1.198 Commande PING avec option (-t) De PC User 1 vers google.fr
Explication : Master-PfSense transite linformation au dpart, cest lui la passerelle par dfaut LAN. Dbranchons le maintenant du LAN ou du WAN ; si tout va bien le basculement seffectue (5 secondes Max) et linformation re-transite au travers Slave-PfSense en attendant que MasterPfSense soit reconnect et oprationnel.
PfSense 2009
Page 55 / 88
DETECTION ET PREVENTION DINTRUSIONS RESEAUX : SNORT
6.1
INTRODUCTION
SNORT est un outil open source de dtection dintrusions rseaux (NIDS). SNORT est capable dcouter sur une interface afin deffectuer une analyse du trafic en temps rel, de logger les paquets IP, de rechercher des correspondances de contenu ; le but tant de dtecter une grande varit dattaques connues. SNORT peut fonctionner en quatre modes diffrents : SNIFFER (capture et affichage des paquets, pas de log), PACKET LOGGER (capture et log des paquets), NIDS (analyse le trafic, le compare des rgles, et affiche des alertes) puis IPS (dtection dattaques et prvention de celles-ci). Nous nous concentrerons ici sur les modes NIDS et IPS, qui nous rendrons deux services bien diffrents : NIDS : Dtecter des tentatives dintrusions rseaux daprs des rgles. IPS : Empcher les intrusions rseaux dtectes, toujours daprs les mmes rgles.
6.2
MAQUETTE DE TEST
Voici la maquette qui nous permettra de tester SNORT afin de mettre en avant ses fonctions de NIDS et dIPS :
PfSense 2009
Page 56 / 88
6.3
INSTALLATION ET CONFIGURATION DE SNORT
La premire tape est linstallation du package SNORT dans pfSense (system->packages->SNORT) :
La seconde tape importante, est la cration dun compte sur http://snort.org, afin de pouvoir rcuprer les rgles prdfinies en temps voulu nous y revenons par la suite. Linstallation tant maintenant faite, nous allons configurer SNORT (Services->SNORT) :
PfSense 2009
Page 57 / 88
Interface Performance Oinkmaster code Snort.org subscriber Block offenders
Nous spcifions ici linterface de pfSense sur laquelle SNORT coutera lensemble du trafic. Ici, conformment au schma prcdent : LAN Nous indiquons ici la mthode de recherche utilise par SNORT sur les paquets analyss. ac-sparsebands est la mthode recommande. Code rcupr via votre compte sur SNORT.org qui vous permettra de tlcharger les rgles SNORT pr tablies. Cocher cette case si vous utilisez bien un Oinkmaster code. Elment important de la configuration, puisque le fait de cocher cette case bloquera automatiquement tout hte dclenchant une alerte sur linterface dcoute (fonction IPS de SNORT). Voir plus bas pour des dtails complmentaires. Mise jour automatique des rgles SNORT. Ajouter automatiquement les VPN pr configurs dans pfSense la whitelist, afin dviter tout refus de connexion ou blacklistage. Les alertes apparaissent sous la forme de liens hypertextes. Lier la raison du blocage lhte bloqu dans longlet blocked . Synchroniser la configuration de SNORT avec tous les membres du cluster CARP sil en existe un.
Update rules automatically Whitelists VPNs automatically Convert Snort alerts urls to clickable links Associate events on Blocked tab Sync Snort configuration to secondary cluster members
Validez ensuite en cliquant sur le bouton save en bas de page. SNORT va ensuite automatiquement tlcharger les rgles (premium rules) depuis snort.org grce votre Oinkmaster code :
Toutes les rgles ainsi tlcharges sont regroupes sous forme de catgories dans longlet Categories , vous de slectionner celles qui correspondent aux attaques que vous dsirez dtecter sur votre rseau. Nous concernant, afin de tester lefficacit de la solution, nous nous contentons de la rgle scan.rules qui nous permettra de dtecter et bloquer un attaquant effectuant un scan de port sur un hte distant.
PfSense 2009
Page 58 / 88
Ltape suivante consiste paramtrer les rgles prsentent dans la catgorie que nous venons de slectionner :
Nous activons et paramtrons notamment la rgle SCAN nmap XMAS afin de pouvoir dtecter un scan de port Nmap lanc depuis le LAN (interface dcoute de SNORT, $HOME_NET) vers un hte situ sur un rseau distant (interface WAN, $EXTERNAL_NET). La configuration de test est dsormais termines, la machine de supervision peut dhors et dj consulter les alertes ainsi que la liste des IP bloques (normalement vierge pour le moment ;):
PfSense 2009
Page 59 / 88
6.4
TEST DE LA SOLUTION
Le test repose sur le schma prsent plus haut. Un attaquant va effectuer un scan de port Nmap sur un hte distant. Pendant toute la dure du test, lattaquant effectue en parallle du scan de port un ping vers la victime, afin de vrifier en permanence la connectivit vers lhte et clairement mettre en avant le moment o il sera blacklist par SNORT (attaque dtect ET contre).
Une fois le scan de port lanc, la station de supervision peut trs rapidement constater des alertes ainsi que lIP 192.168.2.99 (notre attaquant !!) a t bloque :
PfSense 2009
Page 60 / 88
6.5
PRINCIPE DE FONCTIONNEMENT
Comme nous lavons voqu plus haut, une simple option cocher permet doctroyer SNORT des fonctionnalits dIPS en bloquant les IP suspectes. Pour ce faire, SNORT influence directement packet filter pour crer ou non des rgles sur lIP concerne. Par dfaut, packet filter bloque tout traffic, et crer des rgles chaque fois quun hte dsire ouvrir une session ( condition que les rgles du firewall le permettent). Par exemple, dans la capture suivante, nous affichons les rgles concernant lhte 192.168.2.99 qui nest pas bloqu et qui ping lhte distant 192.168.0.199:
Comme expliqu, cet hte remplissant toutes les conditions dfinies dans le firewall et ntant pas bloqu par SNORT, une rgle est cre afin de lui autoriser tout accs souhait. En revanche, la mme commande ne retourne rien si lhte est bloqu par SNORT :
Pas de rgle donc trafic forcment bloqu par packet filter.
PfSense 2009
Page 61 / 88
CLIENT/SERVEUR SSL : STUNNEL
7.1
INTRODUCTION
STunnel est un programme permettant de crypter des connexions TCP dans SSL. Lintrt de cette solution est de pouvoir mettre en place des connexions scurises SSL pour des services ne le proposant pas initialement (POP, IMAP, LDAP) sans avoir toucher le code source ou la configuration de ces derniers. Le programme sTunnel seul ne suffit pas pour mettre en place la solution, une bibliothque SSL est indispensable pour compiler un tunnel SSL (dans notre cas, ce sera openSSL install par dfaut dans pfSense). Ainsi, des clients et des serveurs ne permettant ni lun ni lautre de monter un tunnel SSL seront tout de mme capables de scuriser leurs changes grce lintgration de cette solution. Stunnel peut effectivement fonctionner en mode client ou en mode serveur.
7.2
MAQUETTE DE TEST
Afin de dmontrer lefficacit de sTunnel intgr pfSense, nous imaginons la maquette suivante :
PfSense 2009
Page 62 / 88
Afin de se rapprocher dun cas rel, le rseau 192.168.2.0/24 reprsentera Internet, et le rseau 192.168.0.0/24 celui dune entreprise voulant mettre disposition du net un serveur WEB non SSL. Le but de lexercice est de scuriser via Stunnel le lien entre pfSense et la station cliente uniquement lorsque celle-ci dsire accder au serveur WEB de lentreprise.
7.3
INSTALLATION ET CONFIGURATION DE STUNNEL
OpenSSL est indispensable mais dj install dans pfSense, la premire tape sera donc linstallation du package sTunnel :
A ce moment, le menu de configuration de sTunnel est accessible dans longlet service->stunnel de pfSense. Cependant, nous dconseillons dutiliser ce menu puisque les rsultats obtenus et le fichier de configuration gnrs par pfSense ne se sont pas montrs concluants. Direction donc le fichier : /usr/local/etc/stunnel/stunnel.conf Mais avant de rentrer dans le vif du sujet, intressons nous au fonctionnement de sTunnel. Daprs la maquette prsente, pfSense jouera le rle de serveur Stunnel puisquil sera charg dintercepter les requtes clientes (via une connexion crypte SSL) et ensuite de rediriger les flux vers le serveur WEB. De ce fait, trois points sont prvoir : Disposer de certificats valides Spcifier une adresse dcoute sur le serveur, ainsi quun port dcoute Spcifier une adresse et un port de redirection
Pour effectuer ce test, nous utiliserons les certificats dessai fournis lors de linstallation de sTunnel. Nous allons maintenant dtailler ligne par ligne le fichier stunnel.conf que nous injecterons dans notre pfSense :
; Nous indiquons le certificat utiliser (ici, celui fourni par stunnel pour test)
cert = /usr/local/etc/stunnel/stunnel.pem
; Afin d'optimiser la scurit de l'excution du programme
chroot = /var/tmp/stunnel pid = /stunnel.pid setuid = stunnel setgid = stunnel

; PfSense est serveur sTunnel, le mode client est donc dsactiv
client = no
; Nous crons la rgle WebServer
[WebServer]
; PfSense coute et accepte les connexions SSL sur le port 6464
accept = 6464
; Redirection des connexions acceptes vers l'ip et le port du serveur web
connect = 192.168.0.141:80 TIMEOUTclose = 0

PfSense 2009
Page 63 / 88
Nous navons plus qu sauvegarder la configuration et redmarrer stunnel. Pour tester le bon fonctionnement de notre stunnel, un client du WAN (192.168.2.64) va accder au serveur web via SSL en rentrant dans son navigateur ladresse dcoute WAN de pfSense et le port adquat, soit ici: https://192.168.2.1:6464 La connexion est initialise et accept, lutilisateur devra ici accepter le certificat propos (pensez gnrer et distribuer les votre en dploiement rel) ! Le client accde finalement au serveur WEB, tous les changes sont encapsuls dans HTTPS. Nous pouvons observer le bon droulement de lopration dans les logs de pfSense :
La demande de connexion de notre client est accepte pfSense nous redirige vers le serveur distant (192.168.0.141) depuis son interface LAN (192.168.0.88). Pour finir, nous lavons voqu plus haut, sTunnel peut tre configur en client SSL dans le cas o ni le client ni le serveur pour un service donn ne sont compatibles SSL. Il suffit pour cela dinstaller sTunnel sur le systme client (windows, unix/linux), de spcifier que nous fonctionnons en mode client (client = yes) et dindiquer les IPs et ports dcoute/redirection.
PfSense 2009
Page 64 / 88
PARTAGE DE LA BANDE PASSANTE : TRAFFIC SHAPER
8.1
INTRODUCTION
La fonction traffic shaping de pfSense permet initialement doptimiser la bande passante en attribuant des priorits aux diffrents flux du rseau. Par exemple, donner une meilleure priorit aux flux VOIP par rapport au reste du trafic afin doptimiser les communications VOIP. Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, savoir comment la partager entre plusieurs htes/rseaux selon nos besoins.
8.2
MAQUETTE DE TEST
Pour ce chapitre, la maquette de test est relativement simple :
PfSense 2009
Page 65 / 88
Lobjectif va tre de dmontrer comment, partir dune connexion ADSL (2500Kbps down, 463 Kbps up), nous pouvons offrir une portion de bande passante diffrente chacun nos deux clients, ou bien une bande passante limite et partage entre les deux clients. Nous nous retrouverons donc dans deux cas de figure diffrents : Chacun des clients possdera sa propre bande passante, par exemple proposer 40Ko/s en download pour le client 1 et 80Ko/s au client 2. Chaque portion de bande passante est rserve et ninfluence pas lautre. Une portion de bande passante est dfinie pour les deux clients, par exemple 80Ko/s en download quils se partageront.
8.3
CONFIGURATION ET TEST DE LA SOLUTION
Nous allons dtailler ici chaque tape de la configuration du traffic shaping de pfSense qui nous permettrons de mettre en uvre les conditions prsentes plus haut. Les tests seront raliss au fil de la configuration afin de reprsenter au mieux les rsultats de chaque lment configur.
8.3.1
Configuration initiale via wizard
Pour commencer, nous conseillons de lancer et de suivre le wizard du traffic shaper, afin de rentrer les premiers lments de configuration comme par exemple les caractristiques de notre ligne ADSL :
Par la suite, le seul autre lment du wizard que nous configurons sera la penalty box , qui va nous permettre de fixer des limitations de bande passante sur une IP, nous prendrons par exemple notre client 1, ip 192.168.2.99 :
PfSense 2009
Page 66 / 88
Pour finir, cliquer sur suivant jusqu la fin du wizard. Dsormais, le menu suivant sera accessible dans le traffic shaper :
PfSense 2009
Page 67 / 88
8.3.2
Fonctionnement du traffic shaper
Avant daller plus loin dans la configuration, nous allons dtailler le fonctionnement du traffic shaper de pfSense. Son fonctionnement repose sur deux lments : les queues et les rgles (des queues sont cres, puis des rgles qui dpendent et fonctionnent daprs les queues). Voici les queues que nous venons de crer automatiquement :
NB : tout ce qui fait rfrence au WAN concerne les flux montants (LAN->WAN), de mme que ce qui fait rfrence au LAN concerne les flux descendants (WAN->LAN). qwanRoot et qlanRoot sont les queues dites parentes ( prciser dans les paramtres des queues), ce sont elles qui fixent les caractristiques de la bande passante disponible initialement, soit ici 2500Kbps en down et 463Kbps en up (les limites de notre ligne ADSL). Toutes les autres queues seront dfinies comme filles de ces deux l. Qwandef et qlandef sont les queues par dfaut ( prciser dans les paramtres des queues), c'est--dire que tout trafic ne correspondant pas des rgles spciales dpendra de ces queues. Qwanacks et qlanacks sont les queues qui permettent de rserver suffisamment de bande passante au trafic de type ack , ce qui permet de maintenir les sessions ouvertes ainsi que de bonnes conditions de download/upload. Pour finir, qPenaltyUp et qPenaltyDown sont les queues qui dfinissent les limitations sur notre client 1 (rentres pendant le wizard).
PfSense 2009
Page 68 / 88
qPenaltyUp et qPenaltyDown dfinissent donc des limitations de dbits (dans notre cas, 160Kbps down, 80Kbps up, Cf. Wizard). Voici par exemple le contenu de la queue qPenaltyDown :
Nous constatons donc que : Cette queue bnficie par dfaut d1% de la bande passante parente (ici, qlanRoot), que sa priorit est de 2 (sur une chelle de 0 7), et que la limite ne pas dpasser en download sera donc 160Kbps.
PfSense 2009
Page 69 / 88
Nous allons maintenant voir comment nos queues qPenaltyUp et qPenaltyDown agissent sur notre client 1, pour cela, direction les rgles de notre traffic shaper :
Deux rgles ont t cres, une rgissant le trafic de 192.168.2.99 dans le sens descendant, lautre dans le sens montant. Nous observons bien la prsence des queues concernes dans la colonne target . Pour finir sur le fonctionnement du traffic shaper pfSense, nous ajouterons que : Le traffic shaper repose sur les tables dtats (states) du firewall. Il est donc recommand, chaque modification de la configuration du traffic shaper, de rinitialiser les tables du firewall. Pour ce faire, rendez vous dans le menu diagnostics->states->reset states afin de vider les tables du firewall et rinitialiser toutes les connexions. La charge en temps rel de chaque queue est visible dans le menu status->queues . La somme de bande passante attribue chaque queue ne doit pas dpasser la valeur de la bande passante parente. Par ex : qpenaltyDown + qlanAcks + qlanDef qlanRoot.
8.3.3
Configuration avance et tests
Nous avons vu le principe de fonctionnement des queues et des rgles, nous allons maintenant pouvoir approfondir la configuration de celles-ci. Tous les paramtres que nous avons parcourus sont les paramtres par dfaut, nous allons dans un premier temps les modifier afin de rendre tout ceci plus clair (en rapport avec notre maquette) et optimis. Par dfaut, le wizard configure toutes les queues (ou presque) pour quelles utilisent 1% de la bande passante totale, ce qui nest pas suffisant. Ceci est particulirement le cas pour la queue qwanAck. En effet, lors dun tlchargement, notre machine va envoyer des paquets Ack afin dattester au serveur distant la bonne rception des paquets envoys. Si la bande passante pour cette queue nest pas suffisante, des paquets Ack pourraient tre dropps automatiquement : le serveur considrera donc que les donnes nont pas t reues et les renverra. Nous pouvons donc configurer cette queue pour quelle bnficie de 60% de la bande passante totale, avec un minimum de 10% :
PfSense 2009
Page 70 / 88
Nous pouvons conserver la configuration par dfaut de la queue qlanacks, 25% de la bande passante totale dans le sens descendant est suffisant pour la rception de paquets dacquittement.
Comme premier test, nous voulions que le client 1 nait droit qu 160Kbps de dbit descendant. La queue qlanacks sest vue rserve 25% soit 625Kbps. Nous pouvons donc configurer la queue qlandef pour quelle dispose de la bande passante restante soit : 2500-(160+625)= 1715Kbps. Nous effectuons le mme calcul concernant la queue qwandef, le rsultat obtenu est 105Kbps. Nous finissons par renommer nos queues pour que tout soit plus agrable lire, nous obtenons ainsi les queues suivantes :
PfSense 2009
Page 71 / 88
Ainsi que les rgles associes :
A partir de ce moment, notre client 1 sera limit un dbit descendant de 160Kbps (20Ko/s). Nous le vrifions dune manire trs simple, via le site zdnet.fr qui nous permet de calculer le dbit descendant depuis une station. Voici les rsultats pour la station cliente 1 soumise limitation :
De mme, voici le rsultat du mme test effectu depuis la station cliente 2 (192.168.2.199) non soumise une rgle particulire, et qui dpendra donc de la queue qlanDef (queue par dfaut !) :
PfSense 2009
Page 72 / 88
Dans les deux cas, les rsultats concordent avec les configurations de chaque queue. Voici titre indicatif les rsultats obtenus depuis une des stations avant mme de mettre en place le traffic shaper :
Nous venons de configurer les queues par dfaut ainsi quune queue limitant le dbit dun hte en particulier. Nous allons maintenant voir comment rajouter facilement un hte dans la rgle dj tablie, afin que les clients 1 et 2 se partagent la bande passante maximum alloue par les queues client1up et client1down (partage de 160kbps down et 80Kbps up). Nous allons tout dabord crer un aliases (firewall->aliases) configur de la sorte :
Cet alias peut pointer au choix sur plusieurs htes, plusieurs rseaux ou des ports. Dans notre cas, nous enregistrons les adresses de nos deux clients. Valider, lalias est cre :
PfSense 2009
Page 73 / 88
Pour finir, nous renseignons lalias la place de ladresse prcdente dans les rgles du shaper :
Nous appliquons la nouvelle configuration du shaper, et effectuons quelques tests. Notre premier hte (192.168.2.199) lance un tlchargement via http :
En mme temps, le second hte excute le mme test de bande passante que prcdemment :
Une fois encore les rsultats sont immdiats et en rapport avec nos attentes : les deux htes se partagent bien la portion de bande passante configure dans nos queues.
PfSense 2009
Page 74 / 88
Pour finir ce chapitre, nous allons voir comment attribuer une portion de bande passante indpendante chacun de nos htes. Le principe consiste crer un groupe de queues et de rgles pour chaque utilisateur. Notre station cliente 1 bnficiera toujours de 160Kbps en download, nous allons faire en sorte que la station 2 bnficie de 640Kbps. Voici les queues que nous crons pour cela :
Ainsi, non content de bnficier dune meilleure bande passante disponible, le trafic du client 2 sera prioritaire sur celui du client 1 en cas de congestion. Nous finissons par crer les rgles adquates :
PfSense 2009
Page 75 / 88
Ainsi, le client 1 est bien limit 160Kbps :
Alors quau mme moment, le client 2 bnficie de ses 640Kbps :
Comme nous lvoquions plus haut, nous pouvons avoir une vue en temps rel sur la charge de chaque queue :
PfSense 2009
Page 76 / 88
Cette vue est relativement intressante puisquelle nous permet de contrler que les dbits configurs pour chaque queue sont bien respects. Nous pouvons galement avoir quelques informations supplmentaires sur chacune des queues (drop, suspends, borrows,).
8.4
EXEMPLES DAPPLICATIONS
Comme dit prcdemment, le shaper de pfSense permet initialement de rendre certain flux prioritaires sur dautres. Par exemple la VOIP sera prioritaire sur le reste du trafic, quand le P2P sera le moins prioritaire de tous les flux. Lapplication que nous venons den faire, en partageant la bande passante (quitablement ou non) entre plusieurs entits, est une fonctionnalit particulirement intressante, notamment si nous nous trouvons dans lun des deux cas suivants : Le partage quitable dune ligne ADSL entre les diffrentes promotions dune cole (en loccurrence, ce qui nous a amen traiter cet aspect du shaper pfSense). Le partage dune ligne xDSL entre les diffrentes entreprises dune ppinire dentreprises. Par ppinire nous entendons le fait quun btiment hberge plusieurs entreprises diffrentes et indpendantes, et que ce btiment ne possde quun unique accs xDSL partager. Chacune des entreprises tant diffrente (en terme de nombre de poste et de besoins de bande passante), le partage ne sera pas forcment quitable, do lintrt du dernier point prsent !
PfSense 2009
Page 77 / 88
SUPERVISION DE LA BANDE PASSANTE : NTOP
9.1
INTRODUCTION
Ntop est une sonde danalyse du trafic rseau et nous permet ainsi davoir un il sur lutilisation qui est faite en temps rel de notre rseau. Nous pouvons galement le qualifier de superviseur de bande passante, puisque nous pourrons afficher de manire dtaille un ensemble dlments tels que la bande passante moyenne utilise par un hte ou un rseau, les diffrents flux, leur type et leur sens (local->local, local->Remote), et beaucoup plus encore. Nous ne dtaillerons pas ici lensemble des fonctions et lments visualisables via Ntop (beaucoup trop nombreux), mais seulement les lments qui nous semblent les plus intressants pour superviser au mieux son rseau. De mme, la fonction permettant NTOP de recevoir des informations depuis une sonde NetFlow ne sera pas abord
9.2
MAQUETTE DE TEST
Typiquement, Ntop sera raccord au cur de votre rseau via un port miroir. Ce port miroir, aussi appel port monitoring, effectue une rplication de lensemble du trafic transitant via llment actif sur lequel il est configur (gnralement un commutateur ou un chssis de cur de rseau). Ainsi, lensemble des paquets entrants et sortants sera redirig vers notre pfSense avec Ntop en coute. Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas remanis, ce qui nous permet de conserver les adresses, ports, etc dorigine. Voici ainsi la maquette dploye pour traiter ce chapitre :
PfSense 2009
Page 78 / 88
9.3
INSTALLATION ET CONFIGURATION
Linstallation commence par le tlchargement et linstallation du package Ntop :
Une fois linstallation termine, rendez-vous dans dans le menu Diagnostics->ntop settings pour initialiser ntop et lancer le service correspondant. Les paramtres disponibles ici sont maigres, et permettent seulement de configurer le mot de passe admin pour accder la configuration avance de ntop, ainsi linterface dcoute :
Dsormais Ntop est accessible via votre browser ladresse suivante : http://<@pfsense>:3000 (mais aussi en cliquant directement sur le bouton access ntop ci-dessus, ou encore via le menu pfSense Diagnostics->ntop ). En vous connectant cette adresse, vous accderez aux statistiques gnrales de votre rseau, affichant ainsi : De brves informations concernant Ntop (interface dcoute, uptime, etc):
PfSense 2009
Page 79 / 88
Un rapport concernant le trafic sur linterface dcoute (paquets, trafic, ou la charge) :
La rpartition totale du trafic par protocole :
Ou encore un diagramme dtaill du trafic par services :
PfSense 2009
Page 80 / 88
Sur la mme page se trouve le menu principal de Ntop, dont nous dtaillons le contenu : Summary o Traffic o Hosts o Network load o Network flows All protocols o Traffic o Throughput o Activity IP o Summary Traffic Multicast Internet Domain Networks ASs Host clusters Distribution Traffic directions Local to local Local to Remote Remote to local Remote to Remote Local Ports used Active TCP/UDP sessions Host fingerprint Host characterization Network traffic map Local Matrix
Ports utiliss par hte et par service Sessions TCP/UDP actives Affiche lOS des htes dtects Affiche le type dquipement pour chaque IP dtecte Dessine une carte du rseau Affiche une matrice des flux locaux
Rsum de lensemble des informations NTOP

Affiche les lments prsents prcdemment Affiche les htes (locaux et distants) + infos basiques Graphiques de la charge rseau diffrentes priodes Informations basiques concernant les flux rseaux
Informations concernant lensemble des protocoles

Donnes IN/OUT par hte et par protocole de communication Dbit (actuel, moyen et max) par hte Activits des htes (en % du trafic total) sur les 24H dernires
Informations concernant TCP/IP uniquement

Donnes IN/OUT par hte et par protocole de TCP/IP Statistiques multicast par hte Volume de donnes in/out par domaine internet Volume de donnes in/out par rseau Liste des systmes BGP autonomes traverss par le trafic Statistiques pour tous les clusters dhtes Rpartition du trafic (local, local->remote, rem->local)
Informations concernant les flux locaux Informations concernant le sens de flux local->distant Informations concernant le sens de flux distant->local Informations concernant les flux distants
PfSense 2009
Page 81 / 88
Utils Plugins Admin
Pour dumper des donnes, et afficher les logs Donne accs aux diffrents plugins NTOP Menu dadministration avance de NTOP
NB : Toutes les donnes collectes et archive pour crer les historiques NTOP sont stockes dans les RRD (Round-Robin Databases). Vous pouvez modifier la manire dont ces donnes sont rcupres et stockes dans le menu Plugins->Round-Robin databases->configure .
NB2 : Les clusters dhtes sont des regroupements de plusieurs htes sous un nom (quivalent dalias). Ceci nous permet dafficher les statistiques sur un groupe dutilisateurs donns au lieu des informations individuelles. Nous pouvons le configurer dans le menu admin->configure>preferences . Pour finir, nous ne dtaillerons pas la configuration mme de NTOP, qui reste relativement simple et relve plus de la customisation personnelle tant loutil tel quinstall est dj entirement exploitable. Dans tous les cas, le menu admin vous offrira toutes les options ncessaires pour personnaliser votre NTOP.
9.4
SCENARIOS DUTILISATION DE NTOP
Comme dit plus haut, NTOP est trs fournit en termes de menus et de donnes affichables. Nous allons donc imaginer les scnarios classiques auxquels nous faisons face lorsque nous supervisons notre rseau/bande passante.
9.4.1
Quels htes consomment le plus de bande passante Internet ?
Des lenteurs ont t constates pour tout accs Internet, que ce soit pour du download ou de lupload, et nous dsirons contrler lutilisation que fait chaque hte de notre connexion Internet. Nous allons donc afficher un top 10 des htes les plus gourmands en bande passante Internet. Pour ce faire : 1. 2. 3. 4. Slectionner all protocols -> traffic Dans hosts choisir Local Only Dans data, choisir au choix received ou sent Et enfin le VLAN concern ou la totalit du rseau
Nous affichons ainsi lensemble des htes et les quantits de donnes reues et/ou envoyes. Il ne reste plus qu cliquer sur data pour afficher les plus gros consommateurs en tte de liste ! NB : Dans chaque fentre NTOP de ce type, en cliquant sur le nom ou ladresse dun hte, vous pourrez accder toutes ses statistiques dtailles.
9.4.2
Quels sites les plus gros consommateurs de bande passante visitent-ils ?
Nous allons maintenant nous assurer que notre top 10 des consommateurs de bande passante, lutilise bien des fins professionnelles et non pas perverses et obscures >:-D
PfSense 2009
Page 82 / 88
Pour cela, rien de plus facile puisquil suffit de cliquer le nom ou lIP de lhte voulu. Nous navons plus qu descendre la page affiche jusquaux tableaux Last contacted peers et TCP/UDP Service/port Usage afin de constater quels sites web ont t consultez, les quantits de donnes envoyes ou mises pour chacun deux, ainsi que pour chaque service Internet :
9.4.3
Quels sites reoivent/mettent le plus de trafic depuis/vers mon entreprise ?
Suivant le mme ordre dide que prcdemment, nous allons vrifier quels sites web reoivent le plus de donne depuis notre rseau local. En effet, il pourrait tre intressant de contrler les sites les plus souvent sollicits afin daffiner notre blacklist SquidGuard par exemple Pour cela : 1. Slectionner all protocols -> traffic 2. Dans hosts choisir remote only 3. Dans data choisir received only Nous sommes ainsi en mesure dafficher les sites qui ont reu le plus de requtes/datas depuis notre entreprise :
De la mme manire, nous pouvons afficher les sites qui envoient le plus de donnes vers notre rseau local. Il suffit pour cela de changer received only par sent only dans le menu data :
PfSense 2009
Page 83 / 88
9.4.4
Quels htes schangent le plus de donnes ?
Nous avons la possibilit dafficher une matrice des flux locaux, idal afin de constater les quantits de donnes changes entre diffrents htes (fonctionne uniquement avec des htes locaux du mme domaine de broadcast). Nous y accdons en cliquant sur IP->Local->local matrix :
9.4.5
Quelle est la charge de mon rseau ?
Vous dsirez afficher la charge de votre rseau sur les 10 dernires minutes, ou bien encore constater quelle heure de la journe votre rseau est le plus utilis ? Nous nous rendons pour cela dans le menu summary->network load qui nous permet de dtailler via des graphiques la charge du rseau pour : Les 10 dernires minutes La dernire heure La journe en cours Le mois en cours
Voici titre dexemple le graphique pour les dix dernires minutes dutilisation :
PfSense 2009
Page 84 / 88
Cet exemple fait apparatre les diffrentes informations que peut nous afficher le graphique : La charge moyenne (throughput), les pics hauts (upper) et bas (lower), et un pallier reprsentant les 95% dutilisation pour situer le reste de la charge.
9.4.6
Quel type dquipement correspond chacun de mes htes ?
Nous avons vu quil tait trs facile dafficher une liste des diffrents htes de notre rseau. Nous allons voir comment les identifier trs clairement. Ains, nous saurons exactement quel hte est serveur DHCP, imprimante, commutateur, passerelle, ou autre. Nous nous rendons dans le menu IP->local->host characterization :
PfSense 2009
Page 85 / 88
PfSense 2009
Page 86 / 88
CONCLUSION
Une conclusion voudrait que le travail soit achev, or nous venons dinitier un document pouss voluer. En effet vous avez srement remarqu que certains services proposs par PfSense ne sont pas traits. En cela nous esprons notre dmarche sera largement suivie et le tutorial complt. Plus globalement nous sommes heureux davoir pu contribuer la communaut en lui proposant une premire version de tutorial.
Ladministration rseau est un travail compliqu. Le mtier veut que lon doive souvent matriser diffrentes technologies et les faire travailler ensembles. La tche se complique encore si ladministration et la configuration de tout cela se fait manuellement. Des questions fusent : Est-ce que ces technologies fonctionnent ensembles ? Ne vais-je pas trop perdre de temps administrer telle ou telle technologie ? etc. En ce sens nous avons vrifi travers ce document que PfSense rpond ces interrogations. Cet Outil est en effet un gestionnaire central doutils rseaux. On peut ainsi faire travailler ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de dtection dattaque rseau, un systme de Failover, etc. Le tout sur un seul et mme Serveur. On peut par exemple crer trs facilement des Backups pour ne pas se retrouver avec un seul point nvralgique dans notre rseau Bref nous pensons que PfSense est vou exister et se dvelopper. Nous avons mis en place et test certains services (les principaux pour tre prcis) de PfSense. Tous ces outils cohabitent parfaitement ensemble dans PfSense, il ne manquait plus qu les documenter en Franais, cest prsent chose faite.
PfSense 2009
Page 87 / 88
CE QUIL RESTE A FAIRE
Au 01/02/2009 Crer la partie SQUID /SQUIDGuard Ajouter la partie de CCNET publie sur http://forum.pfsense.org/index.php?topic=13551.0 ???
PfSense 2009
Page 88 / 88

PFsense 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PFsense 2

Transféré par

Droits d'auteur :

Formats disponibles

V0.1.

Etude des principaux services fournis par PfSense

Pour la communaut PfSense : http://www.pfSense.org http://forum.pfsense.org

Rdacteurs : Anthony COSTANZO Damien GRILLAT Lylian LEFRANCOIS

Tutorial PfSense Franais v0.1.0

Etude des principaux services fournis par PfSense

Historique des modifications

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

VPN client ..................................................................................30

VPN site site ...........................................................................39

Le basculement (Failover) .........................................................49

Dtection et prvention dintrusions rseaux : SNORT...............56

Client/serveur SSL : sTunnel .....................................................62

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

Installation et configuration de sTunnel ............................................... 63

Partage de la bande passante : traffic shaper ............................65

Supervision de la bande passante : NTOP ..................................78

CONCLUSION...................................................................................87 Ce quil reste faire ........................................................................88

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

PRESENTATION GENERALE DE PFSENSE

LES SERVICES PROPOSES

INDEX DES VERSIONS DE LOGICIELS ET OS

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

Tutorial PfSense Franais v0.1.0

Active Directory + Radius

LAN PfSense 192.168.77.0 /24

Les principaux paramtres

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

Ajout de lauthentification Radius dIAS Microsoft Server2003 PfSense

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

a. Configuration de lauthentification sous PfSense

Il y ensuite la possibilit de crer des statistiques pour Radius : lAccounting

COSTANZO GRILLAT LEFRANCOIS

Tutorial PfSense Franais v0.1.0

b. RADIUS sous Windows Server 2003 Enterprise Edition

Tutorial PfSense Franais v0.1.0

Crer lutilisateur nomm lefrancois ainsi :

Remarque : Si vous avez lerreur suivante reportez vous annexe 4

Editer les proprits de lefrancois, pour autoriser laccs distant :

Tutorial PfSense Franais v0.1.0

Nous allons crer un groupe PfSenseInternetUsers puis ajouter lutilisateur ce groupe.

Dans le dossier IUT-BLAGNAC.FR crer un nouvel hte ( A )

COSTANZO GRILLAT LEFRANCOIS