Vous êtes sur la page 1sur 18

PFSENSE

Documentation
du Pare-feu
Description & Utilisation

Groupe A – Patrick Planché


Sommaire
Comparaison des différents Pare-feu existants ...................................................................... 2
IPCop .......................................................................................................................................... 2
Endian .......................................................................................................................................... 3
PfSense ........................................................................................................................................ 3
Les différentes zones du pare-feu ............................................................................................. 4
Les règles mises en place ............................................................................................................ 0
Les règles de filtrages .............................................................................................................. 0
DMZ - Zone Orange: ....................................................................................................... 0
- Les serveurs Web : ................................................... Erreur ! Signet non défini.
LAN - Zone Verte : ............................................................................................................ 0
- OCSGLPI : .................................................................. Erreur ! Signet non défini.
- Exchange: ..................................................................... Erreur ! Signet non défini.
- Active Directory :...................................................... Erreur ! Signet non défini.
- EON CentOS : ........................................................... Erreur ! Signet non défini.
- DHCP : ........................................................................ Erreur ! Signet non défini.
Les redirections ........................................................................................................................ 0
Le tableau de récapitulation des règles ................................................................................ 0
Le tableau de récapitulation des redirections .................................................................... 1
Fonctionnalités avancées ............................................................................................................. 0
Le proxy ..................................................................................................................................... 0
L’intrusion avec SNORT ..................................................... Erreur ! Signet non défini.
Le VPN........................................................................................................................................ 0
Problèmes & Solutions ................................................................................................................ 1
Problèmes .................................................................................................................................. 1
Solutions ..................................................................................................................................... 1
Tutoriel de base ............................................................................................................................ 0
Exemple de règle ...................................................................................................................... 0
Exemple de redirection ........................................................................................................... 1
Tutoriel pour un VLAN .............................................................................................................. 2
Exemple de route pour VLAN .............................................................................................. 2
Exemple de règle pour VLAN ............................................................................................... 2
Tutoriel sur le proxy.................................................................................................................... 1
Mettre en place le proxy .................................................... Erreur ! Signet non défini.
Tutoriel sur le VPN ...................................................................................................................... 1
Mettre en place un VPN ......................................................................................................... 1
Pourquoi PfSense ?

Comparaison des différents Pare-feu existants

IPCop

IPCop Linux est une distribution Linux complète. Son seul but est de protéger
le réseau sur lequel elle est mise en œuvre. En implémentant les technologies
existantes, les technologies émergentes et en se servant de pratiques de
programmations sûres.

IPCop est La Distribution Linux pour ceux qui veulent garantir la sécurité de
leurs ordinateurs et réseaux.

C’est un logiciel Open Source distribué sous les termes de la GNU General
Public License.

En plus des multiples avantages inhérents à la formule Open Source, le fait que
les sources soient disponibles permet à des experts en sécurité du monde
entier d'auditer le code et de corriger les éventuelles failles de sécurité. Il
possède une interface Web agréable et pratique.

Inconvénient:

Les extensions ne sont pas toujours faciles d’utilisation et peuvent casser le


système ou ruiner sa stabilité. Il est facilement contournable.
Endian

Endian est une distribution de sécurité open source dont le but est d’obtenir
une distribution Linux complètement dédiée à la sécurité et aux services
essentiels d'un réseau afin d'offrir une protection maximale contre le vol de
données, virus, spyware, spam et autres menaces Internet.

Plus concrètement, il intègre un firewall qui va jouer le rôle d’intermédiaire


entre un réseau considéré comme non sûr (Internet – Zone rouge) et un
réseau que l’on souhaite sécuriser (le réseau local par exemple – Zone verte).

Tout en fournissant des services permettant la gestion et le suivi de celui-ci qui


seront gérer à travers une interface web.

Inconvénient:

Impossible de créer une table de routage sans bug.

PfSense

PfSense est un système d’exploitation à part entière, open source, utilisé pour
mettre en œuvre un pare-feu, un routeur ou une solution permettant la
fourniture d’autres services réseaux.

C’est une distribution FreeBSD 1 personnalisée, et basée initialement sur le


projet m0n0wall, distribution de pare-feu puissant mais léger.

Il s’appuie sur le principe de base de m0n0wall et reprend la plupart de ses


fonctions, en prenant soin de mieux les faire cohabiter, de les sécuriser, de les
stabiliser, tout en favorisant la compatibilité du système afin d’y ajouter une
variété d’autres services liés essentiellement aux réseaux.

Le pare-feu PfSense est une contrainte du cahier des charges.


Cependant il reste le pare-feu open source le plus complet.

Il n’a pas d’inconvénients sur les fonctions primordiales, il est rapide et efficace.
Il demande en contrepartie une bonne prise en main.
Pourquoi PfSense ?

Les différentes zones du pare-feu

PfSense possède 3 zones, le LAN, la DMZ et le WAN.

Sur d’autres pare-feu (comme Endian) ces zones sont appelées :


 Zone verte : Elle correspond au LAN
 Zone Orange : Elle correspond à la DMZ
 Zone Rouge : Elle correspond au WAN

PfSense lui, voit les 3 zones comme suit :


 LAN : Le réseau local
 OPT1 : Il s’agit de la DMZ (c’est son appellation par PfSense)
 WAN : Internet

Le pare-feu possède 3 cartes réseau physique qui sont reliées aux réseaux des
3 zones, voilà les IP des interfaces :

LAN 172.16.0.254
DMZ 172.31.0.14
WAN 192.168.6.X
(Délivré par le DHCP de l’IFC)
La configuration de PfSense

Les règles mises en place


Les règles de filtrages

DMZ - Zone Orange:


DESCRIPTION REGLES
 Communique avec En attente de
l’Active Directory création
 Communique avec OCSGLPI (Inventaire) En attente de
création
 Communique avec la Supervision En attente de
création
 Communique avec la base de données En attente de
création
 Communique avec Internet (MAJ serveur) Règle n°1
 Autorisation du ping (Pour les tests) Règle n°2
 Communique avec le DNS Règle n°3

LAN - Zone Verte :

DESCRIPTION REGLES
 Communique avec la DMZ
 Communique avec Internet
 Autorisation du ping (Pour les tests) Règle n°3
 Empêche le blocage, par règle, de l’administration Règle par défaut n°1
du pare-feu
- «Anti-Lockout Rule»

WAN - Zone Rouge :

DESCRIPTION REGLES
 Communique avec la DMZ (Redirection -> Serveur En attente de
WEB) création
 Bloque la communication avec les IP privées Règle par défaut n°1
extérieur au réseau (hors utilisation du VPN) –
«Block bogon networks»
Les redirections

Une redirection a été mise en place afin de permettre aux visiteurs d’aller faire des requêtes HTTPS auprès des
serveurs Web.
Le tableau de récapitulation des règles DMZ
N° de Interface Action Adresse Port Adresse Port Protocole Description
règle d’arrivée Source Source Destination Destination

1 172.31.0.14 Autorise 172.31.0.0/28 * * * TCP/UDP Ouverture Internet DMZ


(temporaire)
2 172.31.0.14 Autorise * * * * ICMP Ping
3 172.31.0.14 Autorise 172.31.0.0/28 * 172.16.0.5 80 TCP/UDP DMZ -> OCS-GLPI
4 172.31.0.14 Autorise 172.31.0.0/28 * 172.16.0.1 53 UDP DMZ -> DNS AD
5 172.31.0.14 Autorise 172.31.0.1 * 172.16.0.1 3268 TCP/UDP WEB01 Auth – DMZ ->
AD
6 172.31.0.14 Autorise 172.31.0.2 * 172.16.0.1 3268 TCP/UDP WEB02 Auth – DMZ ->
AD
7 172.31.0.14 Autorise 172.31.0.3 * 172.16.0.1 3268 TCP/UDP WEB03 Auth – DMZ ->
AD

Le tableau de récapitulation des règles WAN


N° de Interface Action Adresse Port Adresse Port Protocole Description
règle d’arrivée Source Source Destination Destination

1 192.168.6.X Autorise * * 172.31.0.3 443 TCP/UDP NAT Load


2 192.168.6.X Autorise * * Wan address 1195 UDP OpenVPN Acces Externe
3 192.168.6.X Autorise * * Wan address 1194 UDP OpenVPN AD Externe
Le tableau de récapitulation des règles LAN

N° de Interface Action Adresse Port Adresse Port Protocole Description


règle d’arrivée Source Sourc Destination Destinatio
e n
1 172.16.0.254 Autoris * * 172.16.0.0/24 80 * Anti-Lockout Rule
e
2 172.16.0.254 * * * * * IPv4* Default allow LAN to any
rule
3 172.16.0.254 Autoris * * * * ICMP Ping
e
4 172.16.0.254 Autoris 192.168.20.0/24 * * * TCP/UDP Accès Internet
e
5 172.16.0.254 Autoris 192.168.30.0/24 * * * TCP/UDP Accès Internet
e
6 172.16.0.254 Autoris 192.168.150.0/23 * * * TCP/UDP Accès Internet
e
7

Le tableau de récapitulation des redirections


If Proto Adresse Port Source Adresse Port NAT IP NAT Ports
Source Destination Destination
WAN TCP/UDP * * * 443(HTTPS) 172.31.0.3 443(HTTPS)
La configuration de PfSense

Fonctionnalités avancées
Les alias

Pour faciliter la création des règles de filtrage, il est possible d’associer une IP
ou un réseau à un nom. PfSense va traduire automatiquement le nom donné en
IP.
Pour créer des alias, il faut se rendre dans l’onglet «Firewall» puis dans «Alias».
Il faut cliquer sur l’icône dessus, puis entrez le nom et l’IP avec une
description pour faciliter la visibilité.

Le proxy

Le proxy filtre l’accès sur Internet depuis le réseau. Il empêche l’accès à


certains sites par le biais d’une liste de site qui seront bannis.

Le VPN

Un VPN a était mise en place, n’autorisant que les utilisateurs du groupe


Visiteurs de l’Active Directory à se connecter au LAN depuis l’extérieur.

Avec le VPN, l’échange entre l’interface et le serveur web est protégée.


Le dépannage de PfSense

Problèmes & Solutions


Problèmes

Différents problèmes sont apparus pendant la mise en place du pare-feu :

1. L’accès à Internet était bloqué depuis les VLAN 20/30/150

Solutions

1. L’ajout d’une règle de filtrage pour chaque VLAN était nécessaire afin de
donner l’accès à Internet. Pour cela, il a fallu exploiter une
documentation de PfSense.
Les tutos de PfSense

Tutoriel de base
Exemple de règle

Pour créer une règle, il faut se rendre depuis le menu d’accueil de PfSense dans
l’onglet Firewall.

Puis, dans la liste déroulante, choisissez «Rules».


Il y a par défaut des règles mises en place par le pare-feu.

Une règle dans le LAN qui a pour but d’empêcher un blocage de l’interface
web afin de pouvoir toujours administrer, et une règle qui autorise le LAN à
tous faire.

Dans le WAN, la règle «Block bogon networks» permets de bloquer les


adresses IP sources qui sont soient réservées soient non attribuées par IANA.
C’est une sécurité supplémentaire.

Pour créer une règle, il faut cliquer sur l’icône qui se situe là :

Il faut en premier choisir l’action de la règle (Bloque/Autorise/Rejette).


Puis indiquer l’interface qui sera concernée par la règle, puis le protocol TCP,
UDP ou les deux.
L’adresse source avec le port source si nécessaire et enfin l’adresse de
destination avec le port de destination.
Ne pas oublier de remplir le champs description afin de s’y retrouver dans les
règles.
Puis on sauvegarde la règle avec le bouton ‘Save’.
Exemple de redirection

Pour créer une règle, il faut se rendre depuis le menu d’accueil de PfSense dans
l’onglet Firewall.

Pour créer une règle de redirection, il faut cliquer sur l’icône :


Tutoriel pour un VLAN

A la création d’un nouveau VLAN sur le réseau, il faut passer par PfSense pour
configurer certains paramètres.

Exemple de route pour VLAN

Pour chaque nouveau VLAN crées, il est impératif de créer une route afin que
PfSense puisse reconnaître le VLAN et communiquer avec celui-ci.

Sur l’interface web de PfSense, il faut se rendre dans System > Routing et
cliquer sur Routes :

Pour créer une route, il faut cliquer sur l’icône :


Et configurer les paramètres en fonction du nouveau VLAN.

Exemple de règle pour VLAN


Tutoriel sur le proxy

Le proxy Squid est généralement utilisé pour des fonctions de filtrage d’URL ou
en tant que tampon. Cela permet donc de bloquer l’accès à des sites aux
contenus indésirables (pornographie, arme, drogue etc) et de stocker
localement des pages internet ce qui évite d’aller les recharger plusieurs fois.

SquidGuard permet de géré le blocage de site grâce à une liste préétablie par le
site http://www.shallalist.de/

Se rendre dans Service -> SquidGuard Proxy -> Commong ACL -> allez
sur Target Rules List

Il suffit de modifier l’accès pour interdit ou autoriser un type de site.


Afin d’appliquer les changements, revenir sur General settings et cliquer
sur Apply.
Il est également possible de bloquer des sites spécifiques, prenons pour
exemple Facebook et Twitter :

- Target catégories et remplir les champs avec l’adresse des sites


que l’on souhaite bloquer (cela bloque uniquement les adresses http
des dits sites)

- Choisir la page de redirection en cas de tentative de connexion aux


sites bloqués

- Cocher la case concernant la création de log

L’accès à ces sites via le protocole http est maintenant interdit !


Afin de bloquer également l’accès via https il faut combiner Squid avec un
autre logiciel, cette solution ne sera pas étudiée ici.
Tutoriel sur le VPN
Mettre en place un VPN côté Visiteur

Le VPN est configuré de manière à ce que les utilisateurs qui sont dans le
groupe Visiteurs de l’Active Directory, soient les seuls à pouvoir se connecter
en VPN.

Dans l’exemple, Marc est un utilisateur du groupe Visiteurs.

Pour mettre en place un VPN, il faut commencer par créer un utilisateur dans
le groupe Visiteurs de l’Active Directory.

Une fois l’utilisateur ajouté, il faut se rendre sur l’interface web du pare-feu et
se connecter avec les identifiants de l’utilisateur créé précédemment.
Dans la liste déroulante de l’onglet VPN, allez sur OpenVPN puis Client
Export.

Par défaut, PfSense prend le premier serveur crée. S‘il y en a plusieurs,


sélectionnez le serveur qui a était configuré pour communiquer avec l’Active
Directory.
Dans l’exemple, le serveur qui communique avec l’AD a pour nom OpenVPN AD
Externe, il est donc facilement identifiable.

Les options par défaut suffisent.


Le téléchargement d’OpenVPN se passe en bas de page.
Le visiteur n’as plus qu’à cliquer sur le lien qui correspond à son système.

Pour un Windows en 64 bits, il faudra prendre x64-win6.


Si le navigateur notifie que le téléchargement peut être dangereux, il n’en est
rien, pour Chrome il suffit de cliquer sur la flèche à droite du téléchargement
et de choisir Conserver afin qu’il effectue le téléchargement.

Lancez l’installation d’OpenVPN puis choisissez Lancer OpenVPN à la fin du


téléchargement.
L’icône apparait dans la barre des tâches.
Cliquez droit sur l’icône. Il y a deux possibilités :

 Une liste des différentes configurations apparait


(si OpenVPN était au préalable déjà installé et s’il
avait des configurations existantes) en passant le
curseur sur la configuration communiquant avec l’AD
venant d’être créée, une nouvelle liste apparait avec
la possibilité de se connecter, de voir les logs,…

 Si OpenVPN n’as pas de configuration déjà existantes, il proposera le menu


de connexion de la configuration communiquant avec l’AD venant d’être
créée.
La fenêtre statut du VPN s’ouvre. Le visiteur entre alors ces identifiants et son
mot de passe.

Le VPN s’initialise, quand celui-ci est opérationnel, la fenêtre statut se ferme,


une notification indiquant l’IP donnée par le VPN apparait.
Le VPN est maintenant fonctionnel.

Pour se déconnecter, il faut se rendre dans le menu déroulant du VPN et


cliquez sur Déconnecter.