Vous êtes sur la page 1sur 31

Sommaire ...................................................................................... Error! Bookmark not defined.

III- Prsentation du projet ............................................................................................................... 2


1-Dfinition ................................................................................................................................. 2
2-Histoire ..................................................................................................................................... 2
3-Licence ..................................................................................................................................... 2
4-Embedded ................................................................................................................................ 2
5-Version ..................................................................................................................................... 3
5.1 Version stable .................................................................................................................... 3
5.2 Versions obsoltes ............................................................................................................. 3
6-Avantages ................................................................................................................................. 3
7-Services .................................................................................................................................... 3
IV-Les procdures dinstallation de Pfsense ................................................................................... 4
1- Chargement de limage ISO : ................................................................................................. 4
2- Installation du Pfsense : ......................................................................................................... 4
3- Configuration de Pfsense ....................................................................................................... 8
3.1 Configuration de Pfsense par linterface graphique : ........................................................ 9
V-PORTAIL CAPTIF ................................................................................................................... 11
1-Presentation ............................................................................................................................ 11
2-Paramtres .............................................................................................................................. 12
3-Lauthentification ................................................................................................................... 13
4- Scurisation de Pfsense ......................................................................................................... 15
5-Configuration client ............................................................................................................... 15
VI-VPN site A site ........................................................................................................................ 17
1-Introduction ............................................................................................................................ 17
2-OPEN VPN ............................................................................................................................ 18
2.1 Prsentation ..................................................................................................................... 18
2.2 Configuration de OpenVPN ............................................................................................ 19
VII- LE BASCULEMENT (FAILOVER) .................................................................................... 29
1 Prsentation ............................................................................................................................ 29
CONCLUSION ............................................................................. Error! Bookmark not defined.

-Prsentation du projet
1-Dfinition
Pfsense, ou Packet Filter Sense est un logiciel gratuit, open source personnaliss distribution de
FreeBSD sur mesure pour lutiliser comme un pare-feu et routeur.
En plus dtre un puissant, souple et pare-feu plateforme de routage, il comprend une longue liste de
fonctionnalits connexes et un systme de paquets permettant augmente encore lvolutivit sans ajouter de
la mtorisation et de failles de scurit potentielles la distribution de bas. Pfsense est un projet populaire
avec plus de 1 million de tlchargements depuis sa cration, et prouve dans dinnombrables installations
allant de petits rseaux domestiques, la protection dun PC et une Xbox pour les grandes entreprises,
universits et autres organisations de protger des milliers de priphriques rseau.

2-Histoire
Le projet Pfsense a dbut en Septembre 2004 par Chris Buechler et Scott Ulrich. Chris est un contributeur de
temps pour le projet m0n0wall. M0n0wall est un pare-feu intgr grande, mais lune des grandes choses au
sujet de sa conception est galement une limitation la capacit dextension. M0n0wall fonctionne
entirement partie de RAM, lensemble du systme dexploitation et toutes les applications sont chargs
dans la RAM au dmarrage. Il sagit dun grand dessein pour les systmes embarqus, pour des raisons de
performance et
de fiabilit. Cependant m0n0wall nest pas capable dtre install dans un systme de fichiers normal sur un
disque dur. Cest pourquoi de nombreuses fonctions souhaitables ne peuvent tre raisonnablement mis en
uvre.
3-Licence
Pfsense: Copyright 2004-2010 BSD Perimeter, LLC
BSD Perimeter, LLC logo actuel est copyright 2005-2010 BSD Perimeter, LLC
Pfsense est une marque dpose aux Etats de BSD Perimeter LLC. Toute utilisation non autorise de cette
marque est interdite par la loi de lEtat fdrales et les traits internationaux.
Tous droits rservs
Configuration matrielle minimale requise
CPU: 100 MHZ Pentium
RAM: 128 MO
Exigences spcifiques aux plates-formes de suivi individuel.
Live CD CD-ROM
Lecteur flash USB ou lecteur de disquette de tenir fichier de configuration
Installation du disque dur
CD-ROM pour linstallation initiale

1GO de disque dur

4-Embedded

La version intgre est spcifiquement adapte pour une utilisation avec nimporte quel matriel utilisant
Compact Flash plutt quun disque dur. Les cartes CF ne peut grer quun nombre limit dcritures, de sorte
que la version intgre fonctionne en lecture seule de la mucoviscidose, en lecture / criture des systmes de
fichiers que les disques RAM.
512 MO de carte Compact Flash
5-Version
5.1 Version stable
-la version 1.2.3 communiqu
Il sagit dune version de maintenance de la srie 1.2. Il comprend plusieurs corrections de bugs et mises
jour pour les avis de coupler une scurit de FreeBSD.
-la version 1.2.2 communiqu
Il sagit dune version de maintenance de la srie 1.2. Il comprend 4 corrections de bugs depuis 1.2.1, et
mises jour pour les avis de coupler une scurit de FreeBSD.
-la version 1.2.1
Il sagit dune version de maintenance de la srie 1.2. Il fournit un certain nombre de corrections de bugs
depuis la version 1.2 dorigine, et les changements de la version FreeBSD de base de 6,2 7,0.
5.2 Versions obsoltes
-la version 1.0.x Communiqu
Il sagit de la premire version, nest plus recommande pour lutilisation.
Elle a de nombreux bugs connus.

6-Avantages
Ses principaux avantages sont :

Une interface d'administration Web facile utiliser

Un systme de configuration par alias qui permet de grer facilement des jeux de rgles
complexes.

La cohrence entre les diffrents composants

Des fonctions avances de QoS et de haute disponibilit telles que HFSC et CARP/ pfsync.

La possibilit de rajouter des composants supplmentaires qui s'intgrent alors dans


l'interface (Squid, outils de monitoring, etc.)

7-Services
Services offerts par Pfsense sont :

Pare-feu : indispensable pour une distribution "firewall" ;). Le firewall est celui de FreeBSD,
savoir PacketFilter.
Table d'tat : La table d'tat ("State Table") contient les informations sur les connexions
rseaux. Cela permet d'avoir un aperu des connexions et surtout de crer des rgles par
exemple sur le nombre de connexion maximum pour un hte.

Traduction d'adresses rseaux (NAT) : Permet de joindre une


machine situ sur le LAN partir de l'extrieur.
VPN : permet la cration de VPN IpSec, OpenVPN ou PPTP.
Serveur DHCP.
Serveur DNS et DNS dynamiques.
Portail Captif.
Redondance et quilibrage de charge.
Graphes pour la charge systme et rseaux.

IV-Les procdures dinstallation de Pfsense


1- Chargement de limage ISO :

Il faut aller sur le site de Pfsense tlcharger limage iso de Pfsense, quon
pendra soin de graver sur un cd rom.
Sur ce lien, il faut choisir le site de tlchargement, puis limage iso la plus
rcente possible.
Vous trouverez aussi les informations si vous avez besoin de faire une mise
jour dune installation existante.
2- Installation du Pfsense :
Aprs le botte partir du cd rom, vous verrez cet cran :
Vous avez plusieurs choix possibles. Vous allez choisir ici l'option 1 (dfaut) :

Aprs le chargement, vous allez avoir cet cran, ou vous pouvez choisir de crer des
VLANS ou non. Dans notre cas on va choisir n .

Ensuite vient la configuration des interfaces rseau.

Vous allez spcifier le nom de linterface LAN (rseau local). Dans notre cas lnc0

De mme vous allez spcifier le nom de linterface WAN (Internet). Dans notre cas
lnc1
Aprs la configuration des noms des interfaces, vous allez avoir une demande de
confirmation, on demandant est-ce que voulez vous continuer. (Vous allez taper
y ).
FreeBSD se charge ensuite et nous entrons dans le menu. Nous allons donc passer
l'installation sur le disque dur en tapant le choix "99" :

Nous allons voir en dtail comment se dcompose l'installation de Pfsense (le choix a
faire est celui surligne en bleu)

Le changement de configuration du clavier en franais ne fonctionne pas, la


modification pourra tre faite aprs linstallation.
Linstallation de Pfsense va commencer :

Nous allons maintenant crer le "BOOT" du disque dur. Cela va permettre de


dmarrer la machine directement sur Pfsense.
Faites Accept and install Boot blocks puis OK

A la fin de linstallation de Pfsense, vous pouvez retirer le CD et redmarrer la


machine en allant sur reboot

3- Configuration de Pfsense
Pfsense est en marche. Nous allons maintenant passer a la configuration.
Il faut changer l'IP sur la carte rseau LAN (rseau Admin) de Pfsense. Pour cela, dans
le menu, tapez le choix 2 Set LAN IP address .
Entrez l'adresse IP correspondante votre LAN.
Ainsi que le masque (24 en gnral) :

Aprs si vous voulez configurer comme un serveur DHCP pour fournir des adresses IP
aux stations rseaux LAN. (Dans notre cas on va choisir non ).

Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.


Connectez une machine sur la carte rseau de Pfsense (cot LAN : rseau admin).
Ouvrez ensuite votre navigateur Web, puis entrez http://10.21.201.254 (dans
notre cas). Entrez ensuite le login (par dfaut admin, mdp : Pfsense).
3.1 Configuration de Pfsense par linterface graphique :

La premire chose que nous allons faire est de changer lapparence de cette
interface. Pour ce faire nous irons sur longlet Systme puis Gnral Setup .
Nous changerons linterface dans la rubrique thme pour Pfsense . La nouvelle
interface est plus pratique car nous accderons aux diverses rubriques sans avoir
passer par des menus droulants.

Dans ce mme menu gnral se trouve la configuration gnrale du portail captif.


Nous y retrouvons des lments dj configurs comme le DNS ou le nom de la
machine. Nous vrifierons que loption Allow DNS server list to be overridden by
DHCP/PPP on WAN est bien coche. Cette dernire permettra de trouver le serveur
DNS et den faire le relais sur linterface WAN.

Nous pourrons galement redfinir le login et le mot de passe de ladministrateur


mais surtout dactiver la connexion scurise cette interface. Pour cela nous irons
la ligne WebGUI Protocole et nous cliquerons sur HTTPS, le port indiquer est le
443. Une fois ceci effectu nous cliquerons sur Save en bas de la page et
relancerons linterface graphique avec ladresse https:\\192.168.77.252.
La connexion sera alors scurise par le protocole SSL.
Nous irons ensuite dans la section System/Advanced pour scuriser au maximum
le serveur.
Ici, nous pouvons activer la connexion SSH afin de l'administrer distance sans passer
par l'interface graphique (en effet, pour une configuration accrus, il vaut mieux
passer par le Shell)

V-PORTAIL CAPTIF
1-Presentation
Un portail captif est une structure permettant un accs rapide Internet.
Lorsqu'un utilisateur cherche accder une page Web pour la premire fois,
le portail captif capture la demande de connexion par un routage interne et
propose l'utilisateur de s'identifier afin de pouvoir recevoir son accs. Cette

demande d'authentification se fait via une page Web stocke localement sur le
portail captif grce un serveur HTTP. Ceci permet tout ordinateur quip d'un
navigateur HTML et d'un accs WiFi de se voir proposer un accs Internet.
La connexion au serveur est scurise par SSL grce au protocole HTTPS, ce qui
garanti l'inviolabilit de la transaction. Les identifiants de connexion (identifiant,
mot de passe) de chaque utilisateur sont stocks dans une base de donnes qui
est hberge localement ou sur un serveur distant. Une fois l'utilisateur authentifi,
les rgles du Firewall le concernant sont modifies et celui ci se voit alors autoris
utiliser son accs pour une dure limite fixe par l'administrateur. A la fin de la
dure dfinie, l'utilisateur se verra redemander ses identifiants de connexion
afin d'ouvrir une nouvelle session.

Schma thorique dun portail captif


Le portail captif permet au client de sauthentifier. La diffrence entre un simple
Firewall et un portail captif rside dans le fait que le portail captif ne refuse pas une
connexion, il la redirige vers une page dauthentification.

2-Paramtres
- Choisir l'interface sur laquelle le portail captif va couter (exemple LAN).
- Nous dfinissons les temps partir desquelles les clients seront dconnects.
Idle Timeout dfinie le temps partir duquel un client inactif sera
automatiquement dconnect. Et Hard Timeout dfinie le temps partir duquel un
client sera dconnect quelque soit sont tat. On choisi de mettre 1h pour
l'inactivit, et 12h pour les dconnexions brutales.
- la mthode d'authentification. 3 possibilits s'offre nous :

Sans authentification, les clients sont libres


Via un fichier local
Via un serveur RADIUS

3-Lauthentification
Pfsense embarque plusieurs types dauthentification possibles :
Une base locale en XML local manager ou sont inscrits les utilisateurs.
Un serveur embarqu Free Radius
Un serveur Radius externe de type Microsoft IAS (Internet Authentification
Service)
Activation de l'authentification
Pour activer l'authentification slectionnez l'authentification locale ou le rayon sur le
portail paramtres page principale en captivit. Cliquez sur le bouton Enregistrer
pour activer les changements.

Cration d'utilisateurs locaux


Si vous avez slectionn l'utilisateur gestionnaire local que votre mthode
d'authentification, alors vous aurez besoin de crer des utilisateurs. Si vous envisagez
de mettre en place un grand nombre d'utilisateurs, je vous conseille d'utiliser
RADIUS, LDAP ou Active Directory au lieu de la base de donnes locale.
Si vous ne vous attendez pas mettre en place de nombreux tmoignages, cette
option fonctionne bien parce qu'il est si simple. Dans certains cas, vous voudrez peuttre pour permettre aux utilisateurs de partager un nom d'utilisateur et mot de passe
commun, et c'est une option parfaitement valable aussi.
Pour crer des utilisateurs dans Pfsense ouvrir le gestionnaire de l'utilisateur qui se
trouve sous le menu systme. Ensuite, cliquez simplement sur le symbole + pour
crer un nouvel utilisateur.

Configuration du compte utilisateur


Pour crer un utilisateur simple, vous n'avez qu' entrer un nom d'utilisateur et mot
de passe. Il y a quelques autres options utiles qui valent le dtour si.
Date d'expiration - Cette option vous permet de dfinir une date que le compte
sera automatiquement expirer. Donc si vous connaissez le compte est temporaire,
vous pouvez conomiser la peine d'avoir dsactiver manuellement le compte. Si
vous laissez ce champ vide le compte sera toujours actif.
Appartenance un groupe - Les groupes sont porte de main pour
l'organisation de vos utilisateurs. Les groupes peuvent tre affectes l'accs
administrer certaines parties de l'interface graphique Web Pfsense. Pour les fins des
groupes du portail ne sont pas vraiment trs utile.

4- Scurisation de Pfsense
Pfsense, son installation, est dnu de toute scurit. Cest assez embtant
dans la mesure o par exemple un mot de passe en clair serait facilement
interceptable. Plusieurs tapes sont prendre en compte :
- Laccs au Web Gui (linterface dadministration) : utiliser une connexion HTTPS
pour scuris .
- Lauthentification de lutilisateur : Le client devra tlcharger un certificat pour la
mise en place du tunnel crypt.
- Laprs authentification, Une communication crypte.

5-Configuration client
La solution installe a t faite de sorte ce que la mise en place du portail captif soit
la plus transparent possible pour les utilisateurs (utiliser la procdure de connexion
d'un client WiFi).
Le client sera automatiquement redirig vers la page html d'authentification. Il devra
alors entrer ici son login et mot de passe.

Si le login est bon, il pourra alors surfer sur Internet !

VI-VPN site A site


1-Introduction
Le VPN client consiste connecter un nomade informatique son entreprise via
un tunnel scuris. Ce tunnel est comme un tuyau hermtique de bout en bout
ferm ses extrmits par deux portes verrouilles avec une mme clef. A lintrieur
il y a de linformation qui transite de faon scurise puisque personne ne peut
regarder ce quil y a dans le tuyau. Les personnes pouvant voir le contenu du
tuyau se trouvent donc lextrmit de ce dernier et possdent tous deux la
mme clef.
Plusieurs technologies disponibles dans Pfsense permettent de mettre en place un
VPN client:

OpenVPN
IPSec
PPTP

2-OPEN VPN
2.1 Prsentation

OpenVPN est un logiciel libre permettant de crer un rseau priv virtuel (VPN).
Ce logiciel, disponible dans PfSense, permet des pairs de s'authentifier entre eux
l'aide d'une cl prive partage l'avance ou de certificats. Pour chiffrer ses donnes
OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi prsente dans
PfSense.
Limitations dOpenVPN :
OpenVPN
Clients mobiles

Oui

Utiliser IP statiques ou dynamiques


Filtrage de trafic VPN

Static IP : OUI
Dynamic IP : v2.0
Prevu dans la v2.0

Types dauthentification

Shared Key,certificat

Restrictions
Fonctionnalits du mcanisme non encore
implmentes dans PfSense

Celles manquantes dans la v2.0

Schma gnral
Aprs avoir vrifier les pr requis en dbut de ce chapitre, nous pouvons
dsormais passer la partie schma gnral.

Matriel utilis
VmWare Workstation 6.5 avec :
o Un MasterIPfSense v1.2.2
o Un SlaveIPfSense v1.2.2
o Un PC User 1 XP Pro
o Un PC User 2 XP Pro
Matriels WAN (DNS et Passerelle)

2.2 Configuration de OpenVPN

Cration du Serveur OpenVPN sur Master-PfSense et Cliquer que la case + pour


crer un nouveau Serveur OpenVPN.
Dans un premier temps, nous allons installer le "client OpenVPN Export Utility"
paquet, partir du systme/Forfaits. Nous en aurons besoin plus tard.

Puis allez dans Systme> Gestion de Cert. Sur le CA (Certificat Authority) feuille, crer
un nouveau. Prenez note des noms descriptifs et commune que vous lui donnez,
nous en aurons besoin plus tard. Entrez le reste des dtails pour le CA.

Maintenant, en vertu de gestion des utilisateurs du systme>, crez nouveau


compte utilisateur.

Cochez dans la section Certificat Cliquez pour crer un certificat d'utilisateur. , Ou


aprs que l'utilisateur est cr, entrez le compte d'utilisateur nouvellement cr et de
gnrer un certificat pour l'utilisateur. Comme une mthode slectionnez "Crer un
certificat interne", entrez les dtails de nom unique.
Il est maintenant temps de configurer le serveur OpenVPN. Passez sous VPN>
OpenVPN, slectionnez la feuille Assistant.

Pour le type de serveur, slectionnez l'accs des utilisateurs locaux

Pour l'autorit de certification Slectionnez le nom de celui que nous avons cr plus
tt, dans notre cas Road Warrior CA

Pour un certificat de serveur, slectionnez Ajouter un nouveau certificat , tapez


quelque chose de mmorable pour le nom descriptif, parce que nous allons l'utiliser
immdiatement.

Maintenant, ditez la configuration du serveur OpenVPN. Sur cette page vous pouvez
activer TLS.

Slectionnez la taille de DH, Algorithme de chiffrement.

Pour le rseau Tunnel choisir un sous rseau qui est diffrente de votre sous rseau
LAN. Dans le Rseau local d'entrer votre sous rseau LAN. Dcider du nombre de
connexions simultanes, et si vous voulez utiliser la compression.

Comme il s'agit d'une configuration trs basique, nous n'entrerons pas les serveurs
DNS et de domaine par dfaut, mais vous devriez envisager ces options, en fonction
de votre environnement.

Maintenant, allez VPN/OpenVPN, slectionnez la feuille d'exportation du client. Le


paquet que nous avons install dans le dbut nous donne la possibilit d'exporter
automatiquement archive avec les fichiers de configuration utilisateur.
Trouvez l'utilisateur pour lequel vous voulez exporter la configuration, et cliquez sur
le lien d'archive de configuration.

Si vous n'avez pas dj tlcharg le client OpenVPN, tlcharger et installer le client


OpenVPN avec une interface graphique partir Ici
Maintenant, ouvrez l'archive de configuration et d'extraire les fichiers cet
emplacement sur la machine sur laquelle vous allez tablir la connexion VPN.
C: Program Files \ OpenVPN \ config \
Vous devriez tre capable de se connecter votre VPN depuis l'extrieur

VII- LE BASCULEMENT (FAILOVER)


1 Prsentation

Le basculement (en anglais, failover qui se traduit par passer outre la panne)
est la capacit d'un quipement basculer automatiquement vers un chemin rseau
alternatif ou en veille.
Cette capacit existe pour tout type d'quipements rseau: du serveur au routeur en
passant par les pare-feu et les commutateurs rseau (switch). Le basculement
intervient gnralement sans action humaine et mme bien souvent sans aucun
message d'alerte. Le basculement est conu pour tre totalement transparent.
Il existe deux modes principaux de basculement :
Actif/actif qui s'apparente plus de l'quilibrage de charge (load-balancing)
Et le mode classique couramment rpandu, actif/passif o l'quipement
secondaire (passif) est en mode veille tant que l'quipement primaire (actif) ne
rencontre aucun problme.
Pfsense permet la mise en place dun systme de basculement Actif Passif.
Le basculement (pour linstant Actif Passif) est rendu possible grce au
protocole CARP (Common Address Redundancy Protocol).
CARP est un protocole permettant un groupe d'htes sur un mme segment rseau
de partager une adresse IP, ce qui cre donc un groupe de redondance.
Au sein de ce groupe, un hte est dsign comme "matre". Les autres
membres sont appels "esclaves". L'hte matre est celui qui "prend" l'adresse
IP partage. Il rpond tout trafic ou requte ARP l'attention de cette
adresse. Chaque hte peut appartenir plusieurs groupes de redondance.
Chaque hte doit avoir une seconde adresse IP unique.
Une utilisation commune de CARP est la cration d'un groupe de pare-feu
redondants. L'adresse IP virtuelle attribue au groupe de redondance est dsigne
comme l'adresse du routeur par dfaut sur les machines clientes. Dans le cas o le
pare-feu matre rencontre une panne ou est dconnect du rseau (mise jour par
exemple), l'adresse IP virtuelle sera prise par un des pare-feu esclaves et le service
continuera tre rendu sans interruption.
SCHEMA GENERAL
Matriel utilis
VmWare Workstation 6.5 avec :
Un MasterIPfSense v1.2.2
Un SlaveIPfSense v1.2.2
Un PC User 1 XP Pro
Matriels WAN (DNS et Passerelle)

Remarque : vrifier que vous possdez une interface optionnelle OPT configure sur
chaque pare-feu PfSense. Ces interfaces sont utilises pour faire transiter linformation
CARP-Pfsync.
Description du schma
Le cluster partage ladresse IP publique 192.168.0.248. Le NAT Outbound avanc sur
PfSense est paramtr pour utiliser cette adresse en passerelle WAN par dfaut.
Le cluster partage ladresse IP prive 192.168.1.254. Ainsi un client utilisera
uniquement cette adresse IP LAN en passerelle.
Master-PfSense utilise le mcanisme pfsync XMLRPC sync pouvant synchronise
automatiquement sa configuration sur Slave-PfSense (NAT, Rules, etc.) et paramtrer
nodes (informations de statues), advskew (hirarchie dans le cluster) et vhid
(groupe de cluster) .