Vous êtes sur la page 1sur 72

Ministre de lEnseignement Suprieur et de la Recherche Scientifique

Direction Gnrale des Etudes Technologiques


Institut Suprieur des Etudes Technologiques de Bizerte
Dpartement Technologies de l'Informatique
Rfrence Dp.
AN
N

TI
2013
RSI 16.13

Rapport de

PROJET DE FIN DETUDES


En vue de lobtention de :
Licence Applique en [Rseau et System Informatique]

Mise en place dun firewall open source PfSense


Elabor par :
Marwen Ben Cheikh Ali
&
Khlifa Hammami
Encadr par :
Mme Afef Gafsi (ISET)
Mme Manoubia GAABAB (ISET)
Mr Soufien Abiidi (ENTREPRISE)
Effectu :
Entreprise : Tunisie Trade Net (TTN)

Adresse : (Rue de lac dAnnecy, Immeuble STRAMICA 1053, Les Bergees du lac)
Tel : (71 861 712)
Mail : ( sofien.abidi@tradnet.com.tn)

Anne universitaire : 2012/2013

Ddicace
Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de reconnaissance
tous ceux qui mont aid le raliser.

A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance
ainsi que mon binme dans ce travail Hammami Khifa qui maccompagne durant toutes mes
tudes universitaires, tous mes collgues de travail qui mont donn du courage pour
continuer les tudes et pour prparer ce diplme et enfin aux Enseignant et Encadreur de
lISET qui nous ont donn confiance et espoir et qui nous ont soutenus durant tout le cursus
universitaire de cette anne.

Marwen Ben Cheikh Ali

Je ddie ce travail tous ceux qui mont aid de prs ou de loin la ralisation de mon projet
fin dtude. Mes vifs et sincres remerciements sadressent aux mes de mes chers parents,
sans oublier mon binme dans ce travail Marwen Ben Cheikh Ali et aussi mes frres pour
leur soutien et ses biens faits quil mapport tout au long de ce stage et enfin tous mes
professeurs et mes amis.

Hammami Khifa

Remerciement
Cest avec le plus grand honneur que nous avons rserv cette page en signe de gratitude et
de reconnaissance tous ceux qui nous ont aids de prs ou de loin la ralisation de ce
rapport de stage.
Nos remerciements sadressent Mr Khaled Marzouk, le directeur gnral de lEntreprise
Tunisie TradNet(TTN) qui nous a accueillies dans son tablissement.

Nos remerciements vont aussi notre encadreur Mr Abidi Sofien qui assur notre
encadrement tout au long de ce stage et par leurs conseils et leur aides prcieux, nous a guids
pendant notre projet.
Notre sincre gratitude sadresse galement tous nos enseignants du dpartement
informatique du lInstitut Suprieur des Etudes Technologies de Bizerte qui ont assur notre
formation pendant ces trois annes dtude.
De mme nous tenons remercier les membres de jury pour lhonneur qui nous ont fait en
acceptant de juger notre travail.

Sommaire
Introduction Gnral...1
Chapitre 1 : Prsentation du cadre du stage2
1. Prsentation de la socit.2
1.1. Historique2
1.2. Domaine dactivit..2
1.3. Organigramme.4
2. Etude de lexistant5
3. Description de lexistant...5
4. Critique de lexistant........7
5. Objectifs ..8
6. Solution propose.8
7. Planification du projet......9
Chapitre 2 : Etat de l'art.11
1. Dfinition Free BSD.........11
2. Portail Captif de free BSD............11
3. Etude des diffrents portails captifs free BSD..........12
3.1. WifiDog....................................13
3.2. Talweg.....................................13
3.3. NoCatSplash.............................14
3.4. Tableau comparaison de Free BSD..........................15
4. Choix de la solution pfsense...............................................15
4.1. Prsentation de pfsense ...............................................15
4.2. Objectifs.......................................................................16
4.3. Avantage ......................................................................16
5. VPN Client........................................................................17
5.1 Prsentation......17
5.2 Open VPN................................................................................18
5.3 Limitation dopen VPN................................................................................19
Chapitre 3 : Mise en place du pare feu.....................................20
1. Configuration de pfsense sous Vmware........................20
1.1. Partie WAN.....................................................................20

1.2. Partie des interfaces rseaux............................................21


1.3. Configuration du serveur PfSense...........................................24
2. Portail Captif.......................................................................................26
2.1. Description des diffrentes options de PFsense.......................................................27
2.2. Configuration travers linterface web....................................................................30
Chapitre 4 : Paramtrage et test des packages de PfSense.......................................................35
1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD.............................................................35
1.1.

Bloquage des sites web ..........................................................................................35

1.2.

Configuration de Squid ..........................................................................................36

1.3.

Configuration de SquidGuard.................................................................................37

1.4.

Spcification de la Common Access List ..............................................................37

1.5.

Filtrage des sites web .............................................................................................38

2. Configuration du server Open VPN........................................................................40


3. Dtection et Prvention dIntrusion Rseau SNORT ...................................................46
3.1.

Maquette de test................................................................................................47

3.2.

Installation et configuration de SNORT...........................................................47

3.3.

Test de la solution.............................................................................................50

4. Partage de la Bande Passante TRAFFIC SHAPER ......................................52


4.1.

Maquette de test....................................................................................52

4.2.

Configuration de TRAFFIC SHAPER.............................................................53

5. Supervision de la Bande Passante NTOP .....................................................................56


5.1.

Maquette de test............................................................. ..................................56

5.2.

Installation et configuration .............................................................................57

5.3.

Scnarios dutilisation de NTOP .....................................................................59

Conclusion Gnrale.61
Netographie...62

Liste des Figures


Figure 1: Organigramme de la Socit4
Figure 2: Larchitecture informatique de la Tunisie Trade Net..6
Figure 3: Architecture propose du rseau de Tunisie Trade Net...9
Figure 4 : Portail Captif.12
Figure 5: Principe du portail captif Talweg...14
Figure 6: Architecture NoCat........14
Figure 7: le rseau informatique avec notre application PfSense.............17
Figure 8: Configuration de carte rseau WAN..20
Figure 9: Configuration de carte rseau WAN sous Virtual Network Editor...21
Figure 10: Configuration de carte rseau Administrateur.....21
Figure 11: Configuration de carte rseau Administrateur sous Virtual Network Editor..22
Figure 12: Configuration de carte rseau DMZ22
Figure 13: Configuration de carte rseau DMZ sous Virtual Network Editor.23
Figure 14: Configuration de carte RseauLAN23
Figure 15: Configuration de carte rseau RseauLAN sous Virtual Network Editor...24
Figure 16: configuration des interfaces rseau Administrateur et interface WAN...25
Figure 17: configuration de linterface DMZ ...25
Figure 18: configuration de linterface RseauLAN.............................................................26
Figure 19 : Schma thorique dun portail captif.....................................................................27
Figure 20: configuration des interfaces rseaux sur serveur PfSense .28
Figure 21 : Configuration de base de systme..31

Figure 22 : paramtrage de base...32


Figure 23 : Activation de SSH......32
Figure 24 : Acces scuris du WebGUI..32
Figure 30: cration de certificat41
Figure 31: Vrification de cl de certification..41
Figure 32: Association de certificat aux client..42
Figure 33 :Utilisation dOpenVPN Wizard..42
Figure 34: choisir le certificat...43
Figure 35: Cration de certificat serveur...43
Figure 36 : choisir lalogoritheme de cryptage.44
Figure 37: modifier ladresse de TUNNEL..44
Figure 38: Exportation darchives de configuration.45
Figure 39: Authentification dOpenVPN..46
Figure 40: Maquette de test de SNORT ...47
Figure 41: Installation de package SNORT..47
Figure 42: Activation et configuration du service48
Figure 43: Spcification des catgories49
Figure 44: Vrification des alertes50
Figure 45: Test de la solution51
Figure 46 : vrification des Alerts 51
Figure 47: maquette de test bande passante..52
Figure 48 : teste de dbit initial.53
Figure 49: Ajoute un limite de download down_limit.54

Figure 50: Ajoute un limite de download up_limit 54


Figure 51:Ajouter un Client..55
Figure 52:Association des limiteurs au Client..55
Figure 54: test de Bande Passante sur un client de RseauLAN..56
Figure 54: Maquette de test de ntop..57
Figure 55 : Installation de packge de ntop57
Figure 56 :Configuration de compte dadministrateur..58
Figure 57 : Interface dcoute...58
Figure 58 : Le rapport de trafic.58
Figure 59 : La rpartition totale du trafic par protocole59
Figure 60 : diagramme de trafic par service..59
Figure 61 : Interface des htes connects.60

Introduction Gnral
Vu limportance et lobligation de llaboration dun pare-feu, chaque organisme doit tablir
un pare-feu pour la scurit informatique priodiquement afin didentifier ses sources de
menace et ces dgts informationnels.
Portant de cette ide, nous avons dcid dtablir un rapport dun Pare-feu de scurit
informatique.
Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un
systme permettant de protger un ordinateur ou un rseau dordinateurs des intrusions
provenant dun rseau tiers (notamment internet).

Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le
rseau, il sagit ainsi dune passerelle filtrante comportant ou minimum les interfaces rseau
suivante :
Une interface pour le rseau protger (rseau interne) ;
Une interface pour le rseau externe.

Ainsi ce rapport est scind sur trois parties primordiales :


La premire partie est axe sur les diffrentes phases ou bien les types de pare-feu rparti sur
lanalyse.

La deuxime partie prsente une tude pratique qui dfinie la mise en place dun pare-feu.

La troisime partie comporte une tude thorique qui dfinie le thme dun pare-feu de la
scurit informatique.

Chapitre 1 : Prsentation du cadre du stage

Chapitre 1 : Prsentation du cadre du stage

1. Prsentation de la socit
1.1.

Historique

La socit Tunisie Trade Net gre, depuis sa cration en fvrier 2000, un rseau informatique
qui relie les diffrents intervenants dans les procdures du commerce extrieur en Tunisie
(Banques, Administrations, Douanes,).
Sous la tutelle du ministre des finances tunisien depuis 2002, TTN sintgre dans le projet de
ladministration en ligne. Le Projet a pour but de faciliter les procdures du commerce
extrieur, den assurer la traabilit, et de rduire les dlais de sjour des marchandises aux
ports.
Ainsi, La solution apporte par Tunisie TradeNet permet aux diffrents oprateurs: Entreprises,
Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les
diffrentes formalits dimportation et dexportation en mode lectronique.
Outre son rle en tant quintermdiaire dans les changes de documents relatifs aux procdures
de commerce extrieur en mode lectronique, Tunisie TradeNet se distingue en tant que
socit de services et d'ingnierie informatique SSII.

1.2.

Domaine dactivit
Rfrences dans le transport : Dveloppement interfaage Laisse Transport,
application manifeste.

Connaissances des systmes dexploitation : UNIX (SOLARIS), Windows 9x, NT,


2000, LINUX et XP

Comptences en SGBD: ORACLE SQL SERVER

Comptence en architecture de systmes :


Mise en place de plates-formes quivalentes celle de TradeNet
Mise en place de la plate forme dchange de donnes du GUCE au port de
Douala Cameroun

Comptences en outils de dveloppement de systmes : (JSP, JAVA, C++, VISUAL


C++)

Comptences en dveloppement de sites WEB : Site TTN, Site GUCE Douala

Chapitre 1 : Prsentation du cadre du stage

Comptences en dveloppement de portail Internet : Portail TTN, Portail GUCE


Douala

Comptences en dveloppement d'applications dans le domaine de la gestion


informatise : Application transitaire, agent maritime, organisme de contrle
technique limportation, interfaage

Rseaux et Scurit des systmes : Dfinition et amlioration de la solution de


scurit de la PLATE- FORME TradeNet.

Connaissances des rseaux de tlcommunication nationaux et internationaux : (X25,


Frame Relay, LS, RTC)

Comptences

en

dveloppement

d'applications

scurises :

(solution

d'authentification forte)

Procdures du transport international et rle des partenaires du transport : Etude et


analyse fonctionnelle des procdures et des circuits des flux documentaires entre les
intervenants de la communaut portuaire Tunisienne.

Procdures douanires : Analyse fonctionnelle des procdures douanires et


dveloppement des procdures lectroniques quivalente dans le cadre du
projet Liasse Unique Et Liasse Transport (ddouanement limportation, admission
temporaire, rgime suspensif, transit, ddouanement lexportation, dclaration du
manifeste douanier.)

Chapitre 1 : Prsentation du cadre du stage

1.3.

Organigramme

Figure 1: Organigramme de la Socit

Chapitre 1 : Prsentation du cadre du stage

2. Etude de lexistant
2.1. Description de lexistant
Le rseau de l'entreprise met en uvre des donnes sensibles, les stocke, les partage en
interne et les communique parfois d'autres entreprises ou personnes.
Cette ouverture vers l'extrieur conditionne des gains de productivit et de comptitivit.
Il est impossible de renoncer aux bnfices de l'informatisation, d'isoler le rseau de
l'extrieur ou de risquer la confidentialit des donnes de lentreprise.
Les donnes sensibles du systme d'information de l'entreprise sont donc exposes aux actes
malveillants dont la nature et la mthode d'intrusion sont sans cesse changeantes.
Les hackers s'attaquent aux ordinateurs surtout par le biais d'accs aux rseaux qui relient
l'entreprise l'extrieur.
La socit travaille dans un environnement bas sur le systme dexploitation Unix. Elle est
caractrise par un trs grand nombre de serveurs grer :

Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requtes
respectant le protocole de communication client-serveur, qui a t dvelopp pour le
World Wide Web. Un serveur HTTP utilise alors par dfaut le port 80.

Serveur FTP : (File Transfer Protocol) est un serveur utilisant un protocole de


communication destin l'change informatique de fichiers sur un rseau TCP/IP.
Cette communication va permettre le partage de fichiers entre machines distantes, et
utilise le port 21 par dfaut.

serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages
texte ASCII vers des htes disposant de services de courrier, Il utilise le port TCP 25.

Chapitre 1 : Prsentation du cadre du stage


Larchitecture du rseau de lentreprise se prsente comme suit :

Figure 2: Larchitecture informatique de la Tunisie Trade Net


Ladministrateur charg du contrle du rseau nest pas actuellement capable de vrifier ni la
disponibilit des accs (en ligne ou pas), ni la qualit des services offerts, ni la dtection des
dfaillance des quipements (charge CPU, Etat mmoire, surcharge des disque...). Il ne
peut contrler non plus les surcharges et pnurie temporaire des ressources. Le seul moyen
de dtecter ces anomalies ne peut se faire que par la rception des diffrentes plaintes et
rclamations des diffrents utilisateurs.
Les moyens de la scurit adopte :

Portail captif (mcanisme dauthentification) : cette interface va jouer le rle dune


passerelle scurise dans le but dauthentification avant laccs Internet.
6

Chapitre 1 : Prsentation du cadre du stage

VPN cest un tunnel scuris.

Systme de dtection et prvention dintrusion rseau (SNORT) : pour protger le


systme dinformation de la Socit contre les attaques.

Partage de bande passante (TRAFFIC SHAPER) et supervision de bande passante


(NTOP).

Filtrage URL (SquidGuard) : va permettre la socit dappliquer la politique de


scurit pour lautorisation de laccs aux sites web.

Mise en place dun serveur proxy (proxy cache)

Personnalisation du thme (on peut change le thme de page Web de PfSense)

Backup (pour sauvegarder la configuration du serveur PfSense) : Ce module va


permettre la TTN dappliquer une solution de backup pour le serveur PfSense pour
avoir une solution de secours en cas de panne du serveur PfSense afin dviter de
rpter toute la configuration.

2.2. Critique de lexistant


Se souciant de sa rputation et concern par la satisfaction et le confort de ses clients, la
socit veut tout prix viter la confrontation des clients mcontents afin viter le risque
de les perdre, et ce en veillant offrir une meilleure qualit de services sa clientle et
en anticipant les pannes et en vitant les arrts de longue dure pouvant avoir de mauvaises
consquences aussi bien financires quorganisationnelles.
Le systme existant prsente de nombreux problmes qui se rsument aux points suivants :

Larchitecture de rseau TTN possde un trs grand nombre de postes et de serveurs


qui rend la gestion de ce rseau une tche dlicate.

Louverture de la socit vers l'extrieur est indispensable et dangereuse en mme


temps et peut laisser place aux trangers pour pntrer au rseau local de l'entreprise,
et notamment accomplir des actions douteuses de destruction ou de vol
d'informations.

Lentreprise prsente aussi une absence de contrle de trafic entre le rseau interne et
externe.

Le but de notre projet est de trouver une solution pour remdier tous ces problmes et ce
en permettant de :

Chapitre 1 : Prsentation du cadre du stage

Raliser une meilleure gestion des serveurs pour amliorer la communication et


assurer une stabilit des quipements et un bon monitoring de leurs tats et offrir
ainsi la possibilit de faire face aux problmes rencontrs.

Pouvoir dtecter et interprter les causes et origines des problmes rencontrs afin de
les traiter le plus rapidement possible.

Scuriser et contrler les accs externes aux donnes ainsi que le partage et transfert
interne des donnes, vu le nombre important des utilisateurs internes et externes de
systme rseaux.

Mettre niveau le rseau local de la socit puisque linfrastructure existante ne


rpond plus aux besoins croissant en bande passante (nombres daccs externes en
croissance).

Apporter la scurit essentielle afin de bloquer les virus.

Interdire laccs certains sites et filtrer les pages Web.

2.3. Objectifs
Lobjectif de notre stage est dimplmenter une architecture rseau scurise, dans un
environnement Linux, comprendre les problmatiques lies aux attaques rseau intgrer des
outils de scurit et de surveillance rseau, dployer des solutions sous Linux :

Mise en place dun serveur firewall open source vu la multiplicit et la vitesse de


mutation des attaques, en plus des dispositifs spcialiss pour la protection des accs
internet.

Scuriser un systme informatique : travers le package SNORT est un systme


open source de prvention et dtection d'intrusions (IDS/IPS) sur les rseaux,

2.4. Solution propose


La gestion des serveurs distants et le monitoring de ses quipements tant le plus grand
souci de ladministrateur. Nous avons jug ncessaire de mettre en vidence un outil
pour contrler le fonctionnement du rseau, dtudier les donnes collectes et de
dfinir des seuils dalertes qui peuvent

servir pour le dclenchement des alertes lors de

dtection des problmes.


Il sagit donc et sans doute dune mise en place dun composant firewall. Notre choix porte
sur le logiciel PfSense Open Source qui pourra, grce ses diffrentes fonctionnalits,
8

Chapitre 1 : Prsentation du cadre du stage


dapporter la scurit ncessaire au rseau local de l'entreprise et de dtecter les tentatives
d'intrusion.
Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il
permet d'analyser, de scuriser et de grer le trafic rseau, et d'utiliser ainsi convenablement le
rseau de la socit. Ceci doit se raliser sans encombrer le rseau avec des activits non
essentielles.
La nouvelle architecture propose pour rseau de la socit Trade Net est la suivante :

Figure 3: Architecture propose du rseau de Tunisie Trade Net

3. Planification du projet
Pendant ces quatre mois de travail nous avons fait de notre mieux pour senchaner au plan
suivant :
9

Chapitre 1 : Prsentation du cadre du stage

Premier Mois : Cest la priode que nous avons consacr la prparation des outils
de travails et la documentation et la formation sur le logiciel PfSense.

Deuxime mois : Consacr llaboration du cahier de charge, linstallation et mise


en place de PfSense et crer le dmarche de scurit.

Troisime mois : Nous avons pu enfin entamer la configuration de serveur proxy


sous PfSense et faire les tapes de scurit propose.

Quatrime mois : la ralisation de lapplication : la mise en place de la solution


PfSense au niveau du rseau local de lentreprise TTN.

Conclusion
Nous avons prsent, au niveau de ce premier chapitre, lentreprise daccueil ainsi que les
dfaillances de larchitecture rseau actuelle, et nous avons fini par proposer une nouvelle
architecture qui mettra fin aux failles de scurit du rseau de Tunisie Trade Net.
Suite ltude et la critique de lexistant, les problmes que rencontre la socit ont t
soulevs ce qui nous a permis de cerner la problmatique de notre projet. Nous avons par la
suite propos des solutions : cest une seule solution que vous avez propos et finalement
nous avons fix notre choix des outils que nous avons jug convenables pour la socit.
Le chapitre suivant sera consacr une tude de ltat de lart qui comprend une tude
comparative de diffrents produits du march afin de justifier nos choix et de clarifier les
aspects techniques de notre solution.

10

Chapitre 2 : Etat de lart

Chapitre 2 : Etat de l'art


Introduction
Suite ltude de lexistant de la socit TTN, nous avons prsent les problmes et la
solution propose pour aider ladministrateur contrler le fonctionnement du serveur proxy
et lui permettre dexpliquer certaines situations de surcharge ou encore de mauvaise
utilisation.
Cependant, La solution propose de mise en place dun firewall, nous ramne tudier les
diffrents produits disponibles sur le march et faire notre choix. Ceci ne peut tre fait
indpendamment de lenvironnement de travail du rseau de la socit TTN.
La socit TTN travaille sur l'tude de solutions de filtrage de flux Internet bases sur des
logiciels Open Source bas sur le systme dexploitation Free BSD.

1. Dfinition Free BSD [1]


Le systme dexploitation UNIX dvelopp l'universit de Berkeley, elle contient quatre
BSD Open Source : Net BSD (fonctionne sur des ordinateurs de poche que sur des gros
serveurs, et a t utilis par la NASA dans le cadre de missions spatiales), Open BSD (vise la
scurit et la puret du code: utiliser dans les banques, les bourses) et Dragon Fly BSD, mais
dans notre projet on utiliser le systme dexploitation FreeBSD est un systme
d'exploitation UNIX libre.
L'objectif du projet FreeBSD est de fournir un systme qui peut servir tout, avec le moins
de restrictions possibles.
FreeBSD vise les hautes performances et la simplicit d'utilisation pour l'utilisateur final. Il
est l'un des systmes d'exploitation favoris des fournisseurs de contenu sur le Web. Il
fonctionne sur de nombreuses plates-formes.

2. Portail Captif de FreeBSD [2] :


Un portail captif est une structure permettant un accs rapide et scuris Internet. Lorsqu'un
utilisateur cherche accder Internet pour la premire fois, le portail capte sa demande de
connexion grce un routage interne et lui propose de s'identifier afin de pouvoir recevoir son
accs. Cette demande d'authentification se fait via une page web stocke localement sur le
portail captif grce au serveur HTTP. Ceci permet tout ordinateur quip d'un Web
browser ou navigateur web et d'un accs Wifi de se voir proposer un accs Internet. La
11

Chapitre 2 : Etat de lart


connexion au serveur est scurise par SSL grce au protocole HTTPS ce qui garantit
l'inviolabilit de la transaction. Les identifiants de connexion (Login et Mot de passe) sont
stocks dans une base de donnes qui est hberge localement ou sur un serveur distant. Une
fois l'utilisateur authentifi, les rgles de firewall le concernant sont modifies et celui-ci ce
voir autoris utiliser son accs Internet pour une dure fixe par l'administrateur. A la fin de
la dure fixe, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session.

Figure 4 : Portail Captif [3]


Le client se connecte au rseau par l'intermdiaire d'une connexion filaire ou travers un
point d'accs wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les
paramtres de configuration du rseau. A ce moment l, le client a juste accs au rseau via la
passerelle. Cette dernire lui interdit momentanment l'accs au reste du rseau. Lorsque le
client va effectuer sa premire requte de type web en HTTP ou HTTPS, la passerelle le
redirige vers une page web d'authentification qui lui permet de s'authentifier grce un login
et un mot de passe. Cette page est crypte l'aide du protocole SSL pour scuriser le transfert
du login et du mot de passe. Le systme d'authentification va alors contacter une base de
donnes contenant la liste des utilisateurs autoriss accder au rseau.

3. Etude des diffrents portails captifs free BSD : [3]


Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les
principaux :

12

Chapitre 2 : Etat de lart


3.1. WifiDog [5]
Wifidog est un logiciel libre fonctionnant la fois sur des serveurs d'authentification et, grce
un logiciel de portail captif embarqu, sur une base sans-fil. Cette architecture distribue
permet d'offrir un service de portail captif gratuit tout en rduisant les cots par nuds
installs au minimum.

Fonctionne sur des plateformes embarques ou autres

Se compose de deux parties:


WifiDog Authentification Server : serveur d'authentification
WifiDog Gateway: passerelle filtrante du systme de portail captif
dpendances (un serveur web Apache mode SSL, un serveur DHCP, un
serveur DNS, un pare-feu netfilter).

Les inconvnients de WifiDog sont :

La consommation en ressource rseau est extrmement faible.

Elle utilise seul le port 80 passe.

la bande passante demande est trs faible.

3.2.

Talweg[4]

Le logiciel talweg est un portail captif s'excutant sur une plate-forme Linux. Il utilise un
serveur DNS, DHCP, Apache ainsi quAsp.Net et Iptables*.
Talweg prsente de nombreux points intressants :

Une authentification scurise.

Du multifentrage.

Des traces trs dtailles (de type proxy web : date, utilisateur, URL complte) ;

La possibilit dutiliser ses liens favoris (en lecture) ou des liens par
copier/coller.

En revanche, il y a des points ngatifs :

Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du


tout avec les pages ASP.

Il est impossible denregistrer des liens issus de la rcriture des URLs.

13

Chapitre 2 : Etat de lart

Il ny a pas de gestion de la dure de connexion des utilisateurs.

Figure 5: Principe du portail captif Talweg [5]

3.3. NoCatSplash
Le logiciel NoCatSplash est un portail web captif destin scuriser le partage dune
connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent
sauthentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement
les rgles Iptables* du firewall pour ouvrir certains ports pour lutilisateur (uniquement TCP
avec NoCatAuth-0.82). NoCatAuth ncessite les droits root pour manipuler les rgles
Iptables*.
NoCatSplash est une solution idale pour les petites structures ou personnes souhaitant
partager facilement une partie de leur bande passante en offrant notamment un contrle sur les
ports autoriss.

Figure 6: Architecture NoCat


14

Chapitre 2 : Etat de lart

3.4. Tableau comparaison de Free BSD


NoCatSplash

Talweg

Wifidog

PfSense

Simplicit
d'installation

Plus important

Nom
Disponible

Important

Important

Infrastructure
ncessaire

Plus important

Nom
Disponible

important

Important

Performances
rseau

Plus important

Plus important

Plus important

Plus important

Gestion utilisateurs

Nom
Disponible

Plus important

important

Important

Scurit
authentification

Nom
Disponible

Plus important

Plus important

Plus important

Scurit
communications

Nom
Disponible

Plus important

Nom
Disponible

Plus important

Etude comparative des diffrents portails captifs

4. Choix de la solution pfSense [5]


Au vu de ce comparatif des diffrentes solutions de portail captif, PfSense apparat
comme la plus performante et volutive s'adaptant aux attentes de One Voice Line. Elle
rpond galement aux critres de scurit dont nous avons besoin :

Disponibilit (Base Free BSD, load balancing, etc...)

Confidentialit (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)

Adaptabilit (Statistique trs nombreuses avec ntop, etc...)

Mise jour du systme sans rinstallation, packages tlchargeables directement


depuis le Web GUI, etc...).

Simplicit d'installation et d'administration.

4.1. Prsentation de pfSense


PfSense t cre en 2004 comme un fork du projet mOnOwall, pour viser une
installation sur un PC plutt que sur du matriel embarqu. PfSense est base sur Free BSD,
en visant les fonctions de firewall et routeur.

15

Chapitre 2 : Etat de lart


PfSense est puissante, en bonne partie car elle est base sur Free BSD, mais aussi assez
simple d'accs, car elle fournit une interface web pour la configuration, (en plus de l'interface
console). Je recommande quand mme de connaitre les commandes basiques de Free BSD en
mode console, au moins pour pouvoir rcuprer la configuration en cas d'erreur (par exemple
une mauvaise route qui vous empche de joindre le firewall...). Cette interface web n'est
accessible par dfaut qu' partir du LAN.
PfSense est une distribution Free BSD ddi firewall / routeur.

Le firewall est bas sur Paquet Filter. Toute la configuration du systme est stocke
dans un fichier xml (/cf/conf/config.xml).

Performances sont lies au matriel.

Linstallation ainsi que la configuration PfSense va se raliser sur un systme


dexploitation de type Free BSD. Il est possible dmuler le systme dexploitation
Free BSD grce VMware.

4.2. Objectifs
Passer en revue les principales fonctionnalits de pfSense travers une analyse dtaille de
son interface.

Apprendre dimensionner son hardware en fonction de ses besoins.

Installer et mettre jour son systme sur diffrents supports.

Sinitier la pratique de loutil en prsentant les diffrents modes daccs


envisageables (Web, port srie, SSH).

Procder aux rglages de base de pfSense (hte, domaine, serveurs DNS, NTP).

Manipuler et assigner les interfaces du firewall pfSense.

Prsentation du fichier XML de configuration /cf/conf/config.xml

Procdure durgence : accs SSH, dsactivation du firewall, rtablissement de rgles


oprationnelles.

Procdure dinstallation des paquetages par lintermdiaire de linterface graphique.

Incidence sur le systme du dploiement des paquets.

4.3.

Avantage

Simplicit de lactivation / dsactivation des modules de filtrage.

Solution riche et performante moindre cot (bas sur des logiciels libres).

16

Chapitre 2 : Etat de lart

Solution lgre pouvant tre dploy sur des configurations minimales.

Interface web sensible et efficace

Figure 7 : le rseau informatique avec notre application PfSense


Sous PfSense il existe plusieurs packages disponibles permettent de mettre en place un rseau
virtuel priv : un VPN client.

5. VPN Client [6]


5.1.

Prsentation

Le VPN client consiste connecter un nomade informatique a son entreprise via un tunnel
scurise. Ce tunnel est vu comme un tuyau hermtique de bout en bout ferme a ses extrmits
par deux portes verrouilles avec une mme clef. A lintrieur de ce tunnel, il y a de
linformation qui transite de faon scurise puisque personne ne peut accder ce quil y a
dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a lextrmit
de ce dernier et possdent tous deux la mme clef.
17

Chapitre 2 : Etat de lart


Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client
suivant diffrentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) :

1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL
supportant une large gamme de systmes dexploitation client. Elle peut tre mise en
uvre en PfSense partir du package http://openvpn.net/
2. IPSec: permet la connectivit avec tout dispositif de support standard IPsec. Ceci est le
plus gnralement utilis pour la connectivit du site aux installations PfSense. IPSEc
peut tre mise en uvre en PfSense partir du package
http://tools.ietf.org/html/rfc4301
3. L2TP: Cette option va grer le Layer 2 Tunneling Protocol (L2TP) qui signifie
protocole de tunnellisation de niveau 2. Il sagit dun protocole rseau utilis pour
crer des rseaux privs virtuels (VPN). Cette technologie peut tre mise en place
partir du package http://tools.ietf.org/html/rfc7546
4. PPTP: est une option populaire VPN, car presque tous les OS sont dots dun client
PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le
serveur Pfsense PPTP peut utiliser une base de donnes dutilisateur local, ou dun
serveur RADIUS pour lauthentification. PPTP peut tre utilis en pfSense partir du
package : http://www.ietf.org/rfc/rfc2637.txt

5.2.

OpenVPN

OpenVPN est un logiciel libre permettant de crer un rseau priv (VPN).


Ce logiciel, disponible dans PfSense, permet des paires de sauthentifier entre eux laide
dune cl prive partage lavance ou laide de certificats. Pour chiffrer ses donnes,
OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi prsente dans PfSense.

18

Chapitre 2 : Etat de lart

5.3.

Limitations dOpenVPN :

Clients mobiles

Utiliser IP statiques ou
dynamiques
Filtrage de traffic VPN
Type dauthentification

Fonctionnalits du
mcanisme non encore
implmentes dans
PfSense

OpenVPN
Oui

Static IP : Oui
Dynamic IP :
V2.0
Prvu dans la
V2.0
Shared Key,
Certificat

Celles
manquantes dans
la V2.0

IPSec
Ne support pas NATT ce qui empche
lutilisation de client
mobiles derrire du
NAT
Static IP : Oui
Dynamic IP : Un seul
point final autoris
Oui
Pre Shared Key,
Certificat

PPTP
Oui

Static IP : Oui
Dynamic IP : Oui
Oui
Local user database,
RADIUS server
(Authentification,
Accounting)

DPD, XAuth, NAT-T


et autres

Tableau : Limitation dOpenVPN

Conclusion
Les diffrents modles prsents dans ce chapitre expliquent bien le fonctionnement
global du projet. Cette dfinition nous donne une ide claire sur les principes et les objectifs
de lapplication et on peut facilement par la suite atteindre la phase de ralisation.
Nos travaux nous ont conduits tudier plus particulirement le projet pfSense. Cette solution
offre des avantages important en termes de filtrage des flux Internet et peut permettre de
rpondre efficacement la plupart des problmes de scurit et de filtrage des flux Internet.

19

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Chapitre 3 : Installation de PFsense et configuration des rseaux

1. Configuration de pfsense sous VMware


1.1.

Partie WAN

Une carte rseau contient deux interfaces rseau :interne et externe


1.1.1.

Interface du carte rseau WAN interne :

Pour rseau WAN on coche tous les services activs,par exemple :

VMware br idge protocol


Protocole internet version 6 (TCP IPv6)
Protocole internet version 4 (TCP IPv4) etc.

Figure 8: Configuration de carte rseau WAN

20

Chapitre 3 : Installation de PFSense et Configuration des rseaux


1.1.2. Interface du carte rseau WAN externe:
On configure ladresse IP en mode bridge pour dtecter ladresse automatiquement.

Figure 9: Configuration de carte rseau WAN sous Virtual Network Editor

1.2.
1.2.1.
Pour

Partie des interfaces rseaux :

Configuration carte rseau Administrateur :


le rseau Administrateur, nous activons tous les services sauf le service

(Vmware Bridge Protocol) afin de pouvoir le configurer manuellement.

Figure 10: Configuration de carte rseau Administrateur


21

WAN

Chapitre 3 : Installation de PFSense et Configuration des rseaux


Ensuite On passe lcran suivant,afin de configurer ladresse IP : Ladministrateur saisit
ladresse : 192.168.1.0, adresse de la carte rseau externe de ladministrateur.

Figure 11: Configuration de carte rseau Administrateur sous Virtual Network Editor

1.2.2. Configuration carte rseau DMZ :


Pour rseau DMZ , Nous activons tous les services sauf le service WAN (Vmware Bridge
Protocol).

Figure 12: Configuration de carte rseau DMZ


22

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Figure 6: Configuration de carte rseau DMZ sous Virtual Network Editor


1.2.3. Configuration RseauLAN :
Pour

RseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge

Protocol).

Figure 14: Configuration de carte rseauLAN

23

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Figure 15: Configuration de carte rseau RseauLAN sous Virtual Network Editor

1.3.

Configuration du serveur PfSense :

1.3.1 Configuration du rseau Administrateur :


Aprs l'installation du logiciel Free BSD pfSense nous avons commenc par
configurer linterface rseau Administrateur. Nous avons dsactiv ladressage dynamique
(DHCP) et nous avons chang ladresse IP Administrateur par ladresse 192.168.1.1 et
donc cette adresse IP va nous permettre laccs pfSense via son interface WEB.
1.3.2 Configuration du rseau WAN :
Aprs Configuration du rseau Administrateur nous avons commenc par configurer
linterface rseau WAN. Nous avons activ ladressage dynamique (DHCP) et change
ladresse IP par ladresse 192.168.137.1 et donc cette adresse IP va nous permettre laccs
pfSense via son Internet.

24

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Figure 16: configuration des interfaces rseau Administrateur et interface WAN


1.3.3 Configuration du rseau DMZ
Nous avons configur linterface rseau DMZ et dsactiv ladressage dynamique
(DHCP) et nous avons ajout ladresse IP

192.168.2.1 et donc cette adresse IP va nous

permettre laccs au rseau DMZ par pfSense.

Figure 17: configuration de linterface DMZ


25

Chapitre 3 : Installation de PFSense et Configuration des rseaux


1.3.4 Configuration du rseauLAN :
Configuration

dinterface RseauLAN. Nous avons dsactiv ladressage

dynamique (DHCP) et nous avons ajout ladresse IP 192.168. 3.1

Figure 18: configuration de linterface rseauLAN

2. Portail Captif :
La diffrence entre un simple Firewall et un portail captif rside dans le fait que le portail
captif ne refuse pas une connexion, il la redirige vers une page dauthentification.
Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stocks dans
une base de donnes qui est hberge localement ou sur un serveur distant. Une fois
l'utilisateur authentifi, les rgles de firewall le concernant sont modifies et celui-ci ce voir
autoris utiliser son accs Internet pour une dure fixe par l'administrateur. A la fin de la
dure fixe, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session.

26

Chapitre 3 : Installation de PFSense et Configuration des rseaux


Fonction type dun portail captif :
Si le Client : http://www.google.fr (en passant par le portail)
Portail : redirection vers la page dauthentification locale
Client : Login+Mot de Passe
SI OK : le client accs la page
http://www.google.fr
Les mmes paramtres dauthentification du client doivent fonctionner avec tous les
protocoles applicatifs (FTP, HTTP,.).

Figure 19 : Schma thorique dun portail captif [7]

2.1. Description des diffrentes options de PFsense:

27

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Figure 20: configuration des interfaces rseaux sur serveur PfSense


1) Assign Interfaces :
Cela va redmarrer le serveur en raffectant les interfaces existantes, ou en crant de
nouvelles.
En choisissant cette option, nous avons ajout les interfaces :
DMZ, Administrateur et rseau LAN
2) Set interface(s) IP address
Cette option nous permet dabord dajouter ou de modifier une adresse IP, ensuite soit :

Activer le DHCP sur linterface : Dans ce cas, nous avons la main pour rgler la plage
dadresses IP.

Dsactiver le DHCP sur linterface.

Au niveau de cette option, nous avons ajout les adresses suivantes :

WAN : 192.168.137.5 en activant le DHCP pour les plages : 192.168.137.1


192.168.137.100.

Administrateur : ladresse IP est 192.168.1.1 /24 et en dsactivant le DHCP.

DMZ : ladresse IP est 192.168.2.1 /24 et en dsactivant le DHCP

Rseau LAN : ladresse IP est 192.168.3.1 /24 et en dsactivant le DHCP

28

Chapitre 3 : Installation de PFSense et Configuration des rseaux


3) Reset web configurator password
Cette option permet de rinitialiser le nom dutilisateur et le mot de passe Web GUI,
respectivement admin et pfsense .
4) Reset to factory default
Cela permet de restaurer la configuration du systme aux paramtres dusine. Cela napporte
cependant pas de modifications au systme de fichier ou aux paquets installs sur le systme
dexploitation. Si les fichiers systme ont t endommags ou modifis, le meilleur moyen
consiste faire une sauvegarde, et rinstaller PfSense partir du CD ou autre support
dinstallation ou galement partir du WebGUI, onglet Diagnostic puis Factory defaults).
5) Reboot system
Arrte PfSense et redmarre le systme dexploitation. Cette opration est galement possible
partir du WebGUI, onglet Diagnostic puis Reboot.
6) Halt system
Arrte proprement PfSense et met la machine hors tension. Cette opration est galement
possible partir du WebGUI, onglet Diagnostic puis Halt system).
7) Ping host
Ajuste une adresse IP, qui seront envoyes trois demandes dcho ICMP. Le rsultat du Ping
montre le nombre de paquets reus, les numros de squence, les temps de rponse et le
pourcentage de perte paquets.
Au niveau de cette option, nous avons effectu des tests de Ping vers les diffrentes interfaces.
8) Shell
Dmarre une ligne de commande Shell. Cette option est trs utile, et puissante. Certaines
tches de configuration complexes peuvent ncessiter de travailler avec les commandes Shell,
et certaines tches de dpannage sont plus faciles accomplir avec Shell. Cependant, il y a
toujours une chance de provoquer des erreurs de manipulation irrparables au systme sil
nest pas manipul avec soin. La majorit des utilisateurs PfSense ne toucheront peut-tre
jamais au Shell, ou mme ignoreront quil existe. Les utilisateurs de Free BSD pourront se
auront la majorit des commandes certaines ne sont pas prsentes sur le systme pfSense,
puisque les parties inutiles de lOS ont t supprimes pour des contraintes de scurit ou de
taille.
9) Pftop
Pftop donne une vue en temps rel des connexions du pare-feu, et la quantit de donnes
envoye et reue. Il peut aider identifier les adresses IP qui utilisent actuellement de la
bande passante et peut aussi aider diagnostiquer dautres problmes de connexion rseau.
29

Chapitre 3 : Installation de PFSense et Configuration des rseaux


10) Filter Logs
En utilisant cette option vous verrez toutes les entres du journal de filtrage apparaissant en
temps rel, dans leur sous forme brute. Il est possible de voir ces informations dans le
WebGUI (onglet Status Puis System Logs et enfin onglet Firewall), avec cependant mois de
renseignements par lignes.
11) Restart webConfigurator
Redmarrer le processus du systme qui excute le WebGUI. Dans de rares occasions, un
changement sur ce dernier pourrait avoir besoins de cela pour prendre effet, ou dans des
conditions extrmement rares, le processus peut avoir t arrt pour une raison quelconque.
Le redmarrer permettrait dy rtablir laccs.
12) PfSense Dvelopper Shell
Le Shell du dveloppeur est un utilitaire trs puissant qui permet dexcuter du code PHP
dans le contexte du systme en cours dexcution. Comme avec le Shell normal, il peut aussi
tre trs dangereux utiliser suite une mauvaise manipulation. Ce Shell est principalement
utilis par les dveloppeurs et les utilisateurs expriments qui sont familiers au code PHP et
au code de base de pfSense.
13) Upgrade from console
En utilisant cette option, il est possible de mettre niveau le VMware de pfSense, et ce en
entrant lURL de limage pfSense mettre niveau, ou grce un chemin daccs locale vers
une image tlcharge dune autre manire.
Nous avons travaill avec la version PfSense 2.0.1, caractrise par sa stabilit. Cependant
grce cette option, il nous est possible de mettre jour facilement notre version.
14) Enable Secure Shell (sshd)
Cette option nous permet de changer le statut du dmon Secure Shell, sshd.
Nous avons effectu son activation travers linterface Web WebGUI. Dans ce qui suit, nous
allons dtailler les tches ralises pour le faire.

2.2. Configuration travers linterface web


Pour effectuer la mise en place des diffrents services objets de notre architecture rseau avec
le serveur pfSense, nous allons utiliser son interface WEBGUI.
LURL daccs ladministration de pfSense est : 192.168.1.1
Cette adresse prsente linterface dauthentification pour configurer Pfsense.

30

Chapitre 3 : Installation de PFSense et Configuration des rseaux


Les paramtres de scurit daccs sont offerts par dfaut comme suit :
- utilisateur: admin
- Mot de passe: pfsense.
Ainsi, une page daccueil est affiche. En choisissant le menu System General Setup, on
accde linterface de configuration gnrale suivante :

Figure 21 : Configuration de base de systme


Dans cette page, nous avons introduit les donnes suivantes :

Le nom de la machine : pfSense

Le domaine : localdomain

lIP DNS : 196.203.80.4 et 196.203.82.4

Nous avons dcoch loption se trouvent dessous (Allow DNS server liste to be overridden by
DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des
clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le
LAN.
Ensuite, nous avons modifi le nom et le mot de passe du compte permettent de se connecter
sur PfSense.
Nous pouvons ensuite activer laccs ses pages, via une connexion scurise SSL. Pour cela,
nous avons activ le protocole HTTPS pour plus de scurit.
31

Chapitre 3 : Installation de PFSense et Configuration des rseaux


Nous avons entr le port 443 dans Web GUI, port correspondant SSl.
Nous avons ensuite modifi le serveur NTP (Network Time Protocol : qui permet de
synchroniser les horloges des systmes informatiques travers un rseau) et le fuseau horaire
pour rgler votre horloge.
Enfin, il est conseill de changer le thme daffichage de pfSense. En effet, le thme par
dfaut (metallic), comporte quelques bugs (problme daffichage, lien disparaissant). Nous
avons choisi le thme code-red .
Nous obtenons linterface suivante :

Figure 22 : paramtrage de base


Ensuite, nous avons choisi le menu System Advanced pour activer la connexion SSH
afin dadministrer le rseau distance sans passer par linterface graphique. Nous avons
introduit le numro de port SSH : 22

32

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Figure 23 : Activation de SSH


En activant le SSH, nous avons obtenu les pages web https. Comme le montre la figure 17.

Figure 24 :Acces scuris du WebGUI


33

Chapitre 3 : Installation de PFSense et Configuration des rseaux

Conclusion :
Dans ce chapitre nous avons dcrit la mise en place de firewall PfSense dans notre
environnement de travail. Nous avons configur les interfaces rseaux existantes dans le
firewall.
Dans le chapitre suivant, nous allons implmenter et raliser notre application et prsenter une
description complte de lapplication.

34

Chapitre 4 : Paramtrage et test des packages de PFSense

Chapitre 4 : Paramtrage et test des packages de PFsense


Introduction :
Ce chapitre constitue la dernire phase de ce projet, durant laquelle nous allons essayer de
continuer la mise en place de PfSense dans son environnement dexcution. Nous allons
procder au paramtrage des diffrent packages quil prsente, tout en effectuant les divers
tests ncessaires la vrification de la scurit des multiples changes au niveau de notre
rseau.
Nous allons ainsi dtailler quelque cran montrant les fonctionnalits les plus importantes de
lapplication et les rsultats des tests effectus.

1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD:


1.1.

Bloquage des sites web

Pour pouvoir utiliser les fonctionnalits du proxy, il faut ajouter les packages
SquidGuard

Squid

et

puis configurer les blacklist, les diffrentes restrictions et ventuellement des

rgles daccs supplmentaires ACL (Access Control List).

1.1.1 Squid :
Squid est un serveur proxy/cache libre trs connu de monde Open Source. Ce serveur est
trs complet et propose une mulitude doptions et de services qui lui ont permis dtre trs
largement adopt par les professionnels, mais aussi dans un grand nombre dcole ou
administrations travailliant avec les systmes de type Unix
Squid est capable de manipuler les protocoles HTTP,FTP,SSL...

1.1.2 SquidGuard :
SquidGuard est un redirecteur URL utilis pour utiliser les listes noires avec le logiciel
proxy Squid . SquidGuard possde deux grands avantages: Il est rapide et il est aussi
gratuit. SquidGuard est publi sous GNU Public License, licence gratuite.
SquidGuard peut etre utilis pour :

Limiter laccs Internet pour certains utilisateurs une liste de serveurs Web et /ou
des URLs qui sont accepts et bien connus.

Bloquer laccs des URL correspondant une liste dexpressions rgulires ou


des mots pour certains utilisateurs.

35

Chapitre 4 : Paramtrage et test des packages de PFSense

Imposer lutilisation de mons de domaine et interdire lutilisation de ladresse IP


dans les URL .

Rediriger les URLbloques une page dinformations relative Pfsence.

Rdiriger certaines bannires un vide.

Avoir des rgles daccs diffrents selon le moment de la journe, le jour de la


semaine, date, etc.

Figure 25 : Instalation des pakages :Squid et SquidGuard

1.2.

Configuration de Squid

Nous avons choisi le menu Services Proxy server .


Dans longlet Gnral, nous vons configur les options suivantes :

Proxy interface : Nous a permi de choisir daffecter Squid au interfaces rseau.

Allow user on interface :Nous avons choisi de valider cette option pour linterface
choisie.

Log store directory : /var/log :dossier contenant les autres logs.

Proxy port : 3128 : port de proxy.

Language : French.

Au niveau du menu longlet Access Control Blacklist , Il est possible dindiquer des
sites non autoris en complement des Blacklist de SquidGuard.
36

Chapitre 4 : Paramtrage et test des packages de PFSense

1.3.

Configuration de SquidGuard

Nous avons choisi le menu Services Proxy filter .


nous vons configur les options suivantes :

Enable : valider pour activer SquidGuard

Blacklist : valider pour activer blacklist

Blacklist URL : ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz, Url de


la blacklist

Ensuite nous sauvegardons et nous tlchargeons la blacklist.

1.4.

Spcification de la Common Access List

Lorsque le tlchargement est termin, Il faut ensuite cliquer sur longle Default puis sur
le triangle vert pour afficher la blacklist dans la page Common ACL .
Sur chaque lment quenous voulons autoriser, nous choisissons allow , et pour ceux que
vous voulez interdire, nous choisissons deny .
Au niveau de longlet Common ACL, nous configuron les options suivantes:

Not to allow IP adresses in URL :nous cochons cette option si nous voulons
interdire les adresses IP tapes directement dans lURL.

Redirect mode : laisser loption par dfaut int error page : Pour garder les messages
derreur par dfaut

Redirect info : pour entrer un message derreur personnalis, par exemple Accs
interdit,cantacter votre administrateur

Enable log : nous cochons cette case pour enregistrer lactivit du service

Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de


longlet General settings pour visualiser les options paramtrs.

Aprs avoir install les packages au niveau de longlet Services proxy filtre , on
active le paquet SquidGuard comme il se trouve dans la figure

37

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 26: Activation de proxy filter

1.5.

Filtrage des sites web

Nous avons activ le paquet SquidGuard, nous allons ensuite ajouter les autres sites filtrer.
Nous alonns tester par exemple les sites:
www.facebook.com

www.gmail.fr

www.tunisa sat.com

Pour cela, nous nous sommes dirigs longlet Target catgories (nous travaillons encore
sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le
log et enfin, nous pouvons ajouter une description.

38

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 27: journalisation des filtrage


Lorsque nous avons termin, nous cliququons sur le bouton Save et nous avanons au
dernier onglet Common ACL et nous mettons uniquement les sites choisis en mode
deny .
Nous avons test laccs au site filtr : www.facebook.com.
Nous avons obtenu le rsultat du filtrage saffiche dans la figure 28: Le message suivant
saffiche : Request denied by pfsense proxy

Figure 28: Rsultat du test dinterdiction daccs

39

Chapitre 4 : Paramtrage et test des packages de PFSense

2. Configuration du server OpenVPN [8]


Dans un premier temps, nous allons installer le paquet client OpenVPN Export Utility ,
partir du System Packages .

Figure 29: Installation dopenVPNclient export


Puis, partir de System Cert Management , au niveau de longlet CA (Certificate
Authority), nous allons cre un nouveau certificat. Nous notons les noms descriptifs et
communs (Descriptive and Common names) que nous lui donnons puisque nous en aurons
besoin plus tard. Ensuite nous entrons le reste des dtails pour le CA, voir figures 30 et 31.

40

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 30: cration de certificat

Figure 31: Vrification de cl de certification

41

Chapitre 4 : Paramtrage et test des packages de PFSense


Aprs, nous allons sous Systme User Management , afin de crer un nouveau compte
utilisateur.

Figure 32: Association de certificat aux client


Nous avons Coch dans la section certificat pour crer un certificat dutilisateur, aprs
que lutilisateur est cr, nous avons entr le compte dutilisateur nouvellement cr et gnr
un certificat pour lutilisateur.
Nous avons choisi de slectionner Crer un certificat interne .
Puis nous avons configur le serveur OpenVPN VPN OpenVPN .
Pour le type de serveur, nous avons slectionn laccs des utilisateurs locaux voir figure
33.

Figure 33 :Utilisation dOpenVPN Wizard


42

Chapitre 4 : Paramtrage et test des packages de PFSense


Pour lautorit de certification nous avons entr le nom que nous avons cr plus tt
(TTN_vpn).

Figure 34: choisir le certificat


Pour un certificat de serveur, nous avons slectionn ajouter un nouveau certificat . Ensuite
nous avons renomm le nom descriptif TTN_vpn Server Cert , pour lutiliser au niveau
du serveur VPN.

Figure 35: Cration de certificat serveur


Ensuite, nous ditons la configuration du serveur OpenVPN.
43

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 36 : choisir lalogoritheme de cryptage


Nous slectionnons lalgorithme de chiffrement.
Pour le rseau Tunnel, nous avons choisi un sous-rseau qui est diffrent de notre sous-rseau
WAN.
Dans le rseau local, nous entrons notre sous-rseau CLIENT. Et nous Dcidons du nombre
de connexions simultanes. Nous avons choisi : 10 clients externes.

Figure 37: modifier ladresse de TUNNEL

44

Chapitre 4 : Paramtrage et test des packages de PFSense


Comme il sagit dune configuration trs basique, nous nenterons pas les serveurs DNS et de
domaine par dfaut, mais nous devrions envisager ces options, en fonction de notre
environnement.
Puis nous allons VPN OpenVPN , slectionnons la feuille Client Export . Le
paquet que nous avons install dans le dbut nous donne la possibilit dexporter
automatiquement larchive en plus des fichiers de configuration utilisateur.
Nous Trouvons lutilisateur pour lequel nous voulons exporter la configuration, et nous
cliquons sur le lien darchive de configuration voir la figure 38.

Figure 38: Exportation darchives de configuration


Aprs linstallation du OpenVPN GUI, nous ouvrons larchive de configuration et y extraire
les fichiers cet emplacement sur la machine avec laquelle nous allons tablir la connexion
VPN.
Lorsque nous lanons OpenVPN GUI, nous obtenons une icne reprsentant un petit poste
de travail de couleur rouge qui nous indique que notre connexion au serveur VPN nest pas
active.
Pour activer notre connexion VPN, nous faisons un clic droit sur licne de la barre de tche
OpenVPN . Puis nous cliquons sur Connect.
Une fois que nous aurons cliqu sur Connect, nous obtenons la fentre suivante avec une
bote de dialogue nous demandant denter le mot de passe. Voir la figure 39.
45

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 39: Authentification dOpenVPN


Si la connexion VPN se droule sans aucun problme, licne dans notre barre de tche
change de couleur et devient verte. La connexion notre serveur VPN est fonctionnelle.

3. Dtection et Prvention dIntrusion Rseau SNORT

[9]

SNORT est outil open source de dtection dintrusion rseaux (NIDS). SNORT est capable
dcouter sur une interface afin deffectuer une analyse du trafic en temps rel, de logger les
paquets IP et de rechercher des correspondances de contenu ; le but tant de dtecter une
grande varit dattaques connues.
SNORT peut fonctionner en quatre modes diffrents :

SNIFFER:capture et affichage des paquets, pas de log.

PACKET LOGGER :capture et log des paquets.

NIDS(Network Intrusion Dtection System): analyse le trafic, le compare des


rgles, et affiche des alertes et ainsi dtecter des tentatives dintrusion rseau daprs
des rgles.

IPS (Systme de prvention d'intrusion): dtection et prvention dattaques et donc


empcher les intrusions rseau dtectes en suivant les mmes rgles.

46

Chapitre 4 : Paramtrage et test des packages de PFSense


Nous nous concentrerons sur les modes NIDS et IPS ,qui nous rendent deux services bien
diffrents.
3.1.

Maquette de test :

Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de
NIDS et dIPS :

Figure 40: Maquette de test de SNORT [10]


3.2.

Installation et configuration de SNORT :

Le premire tape est linstallaltion du package SNORT dans Pfsense


Systme package SNORT :

Figure 41: Installation de package SNORT


La seconde tape importante est la cration dun compte sur http:/ /snort.org,afin de pouvoir
rcuprer les rgles prdfinies en temps voulu, nous y revenons par la suite.
Linterface tant maintenant paramtre, nous allons configurer SNORT Service
SNORT :

47

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 42: Activation et configuration du service


Les paramtres de SNORT sont resums sous forme de tableau :
Interface

Nous spcifions ici linterface de pfSense sur laquelle SNORT


coutera lensemble du trafic. conformment au schma prcdent :
rseauLAN

performance

Nous indiquons ici la mthode de recherche utilise par SNORT sur


les paquets analyss. ac-sparse bands est la mthode recommande.

Oinkmastre code

Code rcupr via notre compte sur SNORT.org qui nous permettrons
de tlcharger les rgles SNORT pr tablies.

Snort.org subscriber

Nous cochons cette case si nous utilisons un Oinkmaster code.

Block offenders

Elment important de la configuration, puisque le fait de cocher cette


case bloquera automatiquement tout hte dclenchant une alerte sur
linterface dcoute (fonction IPS de SNORT). Voir plus bas pour des
dtails complmentaires.

Update rules
Mise jour automatique des rgles SNORT.
authomatically
Whitelists VPNs uris to Ajouter automatiquement les VPN pr configurs dans pfSense la
clickable links
whitelist, afin dviter tout refus de connexion ou blacklistage.

48

Chapitre 4 : Paramtrage et test des packages de PFSense


Convert Snort alerts
uris to clickable links
Associate events on
Blocked tab
Sync Snort
configuration to
secondary cluster
members

Les alertes apparaissent sous la forme de liens hypertextes.


Lier la raison du blocage lhte bloqu dans longlet blocked .
Synchroniser la configuration de SNORT avec tous les membres du
cluster CARP sil en existe un.

Tableau :dfinition de paramtres


Nous validons ensuite en cliquant sur le bouton Save en bas de page. SNORT va ensuite
automatiquement tlcharger les rgles (premium rules) depuis Snort.org grce notre
Olinkmastre code.
Toutes les rgles ainsi tlcharges sont regroupes sous forme de catgories das longlet
Categories. Nous slctionnons celles qui correspondent aux attaques que nous dsirons
dtecter sur notre rseau. Afin de tester lefficacit de la solution, nous nous contentons de la
rgle scan.rules qui nous permettra de dtecter et bloquer un attaquant effectuant un scan de
port sur hote distant.
Ltape suivante consiste paramtrer les rgles prsentent dans la catgories que nous
venons de slectionner.

Figure 43: Spcification des catgories

49

Chapitre 4 : Paramtrage et test des packages de PFSense


Nous activons et paramtrons notamment la rgle SCAN nmap XMAS afin de pouvoir
dtecter un scan de port Nmap lanc depuis linterface administrateur vers un hte situ sur un
rseau distant (interface WAN). La figure suivante illustre linterface avant le test au niveau
de nos rseaux.

Figure 44: Vrification des alertes


3.3.

Test de la solution :

Un attaquant va effectuer un scan de port Nmap sur un hte distant. Pendant toute la dure du
test, lattaquant effectue, en parallle du scan du port, un Ping vers la victime, afin de vrifier
en permanence la connectivit vers lhte et fixer le moment o il sera blacklist par
SNORT : attaque dtect ET contre.

50

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 45: Test de la solution


Une fois le scan de port lanc, la station de supervisons peut trs rapidement lancer des alertes
ainsi, ladresse IP 192.168.2.99, de notre attaquant, a t bloque :

Figure 46 : vrification des Alerts


51

Chapitre 4 : Paramtrage et test des packages de PFSense

4. Partage de la Bande Passante TRAFFIC SHAPER


La fonction traffic shaping de pfSense permet initialement doptimiser la bande passante
en attribuant des priorits aux diffrents flux du rseau. Par exemple, nous donnons une
meilleure priorit aux flux VOIP par rapport au reste du trafic afin doptimiser les
communications VOIP.
Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante,
savoir comment la partager entre plusieurs htes/rseaux selon nos besoins

4.1.

MAQUETTE DE TEST

Figure 47: maquette de test bande passante

52

Chapitre 4 : Paramtrage et test des packages de PFSense


Lobjectif va tre de dmontrer comment, partir dune connexion ADSL (2500Kbps down,
463 Kbps up), nous pouvons offrir une portion de bande passante diffrente chacun nos
deux clients, ou bien une bande passante limite et partage entre les deux clients.

4.2.

Configuration de TRAFFIC SHAPER

Il y a deux tapes de base la mise en place dun limiteur de contrle la bande passante.

Configurez les limiteurs que vous allez utliser.

Attribuer le trafic vers ces limiteurs.

A partir de ce moment, nous le vrifions la bande passante dune manire trs simple,via le
speedtest.net qui nous permet de calculer le dbit descendant depuis une station.

Figure 48 : teste de dbit initial


Limitteur sont configurs en les crant sous firewall Traffic Shaper ,sur longlet
limiter.
Nous pouvons utiliser un seul tuyau pour le traffic entrant , et sortant mais cela signifierait
que nous simulons une connexion half-duplex.
La mthode recommand consiste crer 2 tuyaux, lun pour le trafic entrant et un pour le
trafic sortant. La mthode est partir de la persective de linterface.si nous utilisons des
limteurs sur LAN ,la file dattente entrante est notre upload et la file dattente sortante est
notre tlchargement. Nous devons nommer les tuyaux down_limit et up_limit.
Pour le tuyau down_limit nous avons choisi la valeur exemple (300kbps)
53

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 49: Ajoute un limite de download down_limit


Pour le tuyau up_limit nous avons choisi la valeur exemple (200kbps)

Figure 50: Ajoute un limite de download up_limit

54

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 51:Ajouter un Client


Une fois que nous avons install un tuyau limiteur,ltape suivante consiste affecter le trafic
en dfinissant l in /out dans un firewall rule.Rapplons-nous que dans et hors du point de
vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur linterface
RseauLAN, out est la vitesse de tlechargement (le trafic du carte rseau LAN sur le
rseau local) et dans est la vitesse de tlechargement (le trafic du rseau local dans la carte
rseau LAN).
Il suffit de crer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour
quils soient utiliss.

Figure 52:Association des limiteurs au Client

55

Chapitre 4 : Paramtrage et test des packages de PFSense


Le resultat saffiche comme le montre le figure suivante :

Figure 53: test de Bande Passante sur un client de RseauLAN

5. Supervision de la Bande Passante NTOP


Ntop est une sonde danalyse du trafic rseau et nous permet ainsi davoir un il sur
lutilisation qui est faite en temps rel de notre rseau. Nous pouvons galement le qualifier
de superviseur de bande passante, puisque nous pourrons afficher de manire dtaille un
ensemble dlments tels que la bande passante moyenne utilise par un hte ou un rseau, les
diffrents flux, leur type et leur sens (locallocal, localRemote).
Nous ne dtaillerons pas ici lensemble des fonctions et lments visualisables via Ntop
(beaucoup trop nombreux), mais seulement les lments qui nous montrent les plus
intressants pour superviser au mieux son rseau. De mme, la fonction permettant NTOP
de recevoir des informations depuis une sonde NetFlow ne sera pas aborde.

5.1.

Maquette de test :

Ntop sera raccord au cur de notre rseau via un port miroir. Ce port miroir, aussi appel
port monitoring, effectue une rplication de lensemble du trafic transitant via llment actif
sur lequel il est configur (gnralement un commutateur ou un chssis de cur de rseau).
Ainsi, lensemble des paquets entrants et sortants sera redirig vers notre PfSense avec Ntop
en coute.
56

Chapitre 4 : Paramtrage et test des packages de PFSense


Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas
remanis, ce qui nous permet de conserver les adresses, ports, etc. dorigine. Voici ainsi la
maquette dploye pour traiter ce chapitre :

Figure 54: Maquette de test de ntop

5.2.

Installation et configuration :

Nous avons commence par le tlchargement et linstallation du package Ntop :

Figure 55 : Installation de packge de ntop


Une fois linstallation termine, nous allons au menu Diagnostics ntop settings pour
initialiser ntop et lancer le service correspondant. Nous avons configur le mot de passe
admin pour accder la configuration avance de ntop, ainsi linterface dcoute :

57

Chapitre 4 : Paramtrage et test des packages de PFSense

Figure 56 :Configuration de compte dadministrateur


Puis nous avons alle au access ntop ci-dessus, ou encore via le menu pfSense
Diagnostics ntop ).pour accder aux statistiques gnrales de rseauLAN

les informations concernant Ntop (interface dcoute, uptime, etc.)

Figure 57 : Interface dcoute

Un rapport concernant le trafic sur linterface dcoute (paquets, trafic, ou la


charge)

Figure 58 : Le rapport de trafic


58

Chapitre 4 : Paramtrage et test des packages de PFSense

La rpartition totale du trafic par protocole

Figure 59 : La rpartition totale du trafic par protocole

Ou encore un diagramme dtaille du trafic par services

Figure 60 : diagramme de trafic par service

5.3.

Scnarios dutilisation de NTOP :

NTOP est trs fournit en termes de menus et de donnes affichables. Nous allons donc
imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre
rseau/bande passante.
Consomment de bande passante
59

Chapitre 4 : Paramtrage et test des packages de PFSense


Des lenteurs ont t constates pour tout accs Internet, que ce soit pour du download ou de
lupload, et nous dsirons contrler lutilisation que fait chaque hte de notre connexion a
Internet.
Nous allons donc afficher un top 10 des htes les plus gourmands en bande passante
Internet.
Pour ce faire :
1. Slectionner all protocols traffic
2. Dans hosts choisir Local Only
3. Dans data, choisir au choix received ou sent
4. Et enfin le VLAN concerne ou la totalit du rseau

Figure 61 : Interface des htes connects


Nous affichons ainsi lensemble des htes et les quantits de donnes reues et/ou envoyes.
Il ne reste plus qua cliquer sur data pour afficher les plus gros consommateurs en tte de
liste.
Dans chaque fentre NTOP de ce type, nous cliquant sur le nom ou ladresse dun hte, nous
pourrons accder toutes ses statistiques dtailles.

60

Conclusion Gnrale
Ladministration rseau est un travail complique. Le mtier veut que lon doive souvent
matriser diffrentes technologies et les faire travailler ensembles. La tche se complique
encore si ladministration et la configuration de tout cela se fait manuellement.
En ce sens nous avons vrifie travers ce rapport que PfSense rpond ces interrogations.
Cet Outil est en effet un gestionnaire central doutils rseaux. On peut ainsi faire travailler
ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de dtection dattaque
rseau etc. Le tout sur un seul et mme Serveur. On peut par exemple crer trs facilement des
Backups pour ne pas se retrouver avec un seul point nvralgique dans notre rseau Bref
nous pensons que PfSense est voue exister et se dvelopper.
Nous avons mis en place et test certains services (les principaux pour tre prcis) de
PfSense.

Netographie
[1] http://fr.wikipedia.org/wiki/FreeBSD: Systme dexploitation FreeBSD: le 2 mai 2013
consult le17 mai 2013
[2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Dcembre 2012 consult le 17
fvrier 2013
[3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securiseedacces-internet-portail-captif2.html : Dfinition et infrastructure portail captif le 03 fvrier 2010
consult le28 mars 2013
[4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consult
le 22 avril 2013
[5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense : configuration PFSense: le 11
septembre 2012 consult le 20 fvrier 2013

[6]http://www.frameip.com/vpn/ Virtuel private network : le 27 septembre 2012 juin2011


consult le 29 mai 2013
[7] http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/ :
Schma portail captif: le 16 mai 2010 consult le 03 mai 2013

[8] http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2 : open


Virtuel private Network: le 18 juin 2013consult le 30 mai 2013
http://bzhmarmit.wordpress.com/2012/09/11/pfsense
[9]http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html Intrusion Dtection
Systems: le juillet 2011 consult le 2 juin 2013
[10]http://www.snortattack.org/ schma test de snort le 19 novembre 2005 consult le 30 mai
2013
[11]http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial
information sur Squid et SquidGuard le 22 janvier 2013 consult le 30 fvrier 2013
WWW.pfsense.org
http://doc.pfsense.org

Rsum :
La scurit permet la protection du rseau informatique cest pour cela nous avons utiliss un
Firewall PFSense qui peut servir enregistr lutilisation de laccs Internet et bloquer
laccs des sites web pour avoir une ide sur ltat du trafic et les menaces on provenance
dInternet pour offre les utilisateurs un accs distant rapide et scuris travers de package
installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN.

Abstract:
Security enables the protection of computer network that is why we used a PFSense Firewall
that can serve recorded using the Internet and block access to web sites to get an idea on the
traffic conditions and threats from the Internet is to offer users fast and secure remote access
through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and
Open VPN.


" esnPSFP"

/ndiuq
. OPPS eeR RSOe ,SNFssS nFFeRN ,nRONS ,ndiuq diuqq