République Islamique de Mauritanie

Université de Nouakchott Al Aasriya

Faculté de sciences et techniques

Département Mathématiques et Informatiques

Licence 3 MIAGE/DA2I

PROJET FIN D’ETUDE :

Mise en place d’un portail captif avec
pfsense

Élaboré par :
Bocar Seydou Mangara
Mohamed Mahmoud Sidi Mohamed Jiyid
Cheikh Mohamed Mahmoud Cheikh Ahmed

Encadré par :
Dr. Mamadou Tourad Diallo

2019-2020
Sommaire
SOMMAIRE ________________________________________________________________________________ 2
DEDICACE __________________________________________________________________________________ 3
INTRODUCTION : ____________________________________________________________________________ 4
1. UN PARE-FEU OU FIREWALL (EN ANGLAIS) : ______________________________________________________ 4
2. UN PROXY OU SERVEUR PROXY :______________________________________________________________ 4
3. DIFFERENCE ENTRE PARE-FEU ET PROXY : ________________________________________________________ 5
PROCEDURE D’INSTALLATION : ________________________________________________________________ 5
4. OUTILS UTILISES : _______________________________________________________________________ 5
5. INSTALLATION : _________________________________________________________________________ 6
5.1. Installation de pfsense ____________________________________________________________ 6
CONFIGURATION GENERAL : _________________________________________________________________ 12
6. CONFIGURATION DU WAN : _______________________________________________________________ 14
7. CONFIGURATION DU LAN : ________________________________________________________________ 16
8. LE RESOLVEUR DNS : ___________________________________________________________________ 17
9. LE DNS FORWARDER : ___________________________________________________________________ 18
10. LE SERVEUR DHCP : __________________________________________________________________ 20
11. SECURISATION DE L’INTERFACE WEB : AVEC SSL________________________________________________ 21
12. CREATION DES AUTORITES DE CERTIFICATION : _________________________________________________ 22
12.1. Autorité de certification 1 : ________________________________________________________ 24
12.2. Autorité de certification 2 : ________________________________________________________ 24
13. CREATION DU CERTIFICAT : ______________________________________________________________ 24
14. EXPORTATION DES AUTORITES DE CERTIFICATIONS ______________________________________________ 27
15. CHANGEMENT DU PROTOCOLE DE HTTP VERS HTTPS ___________________________________________ 27
MISE EN PLACE DU PORTAIL CAPTIF : __________________________________________________________ 29
16. C’EST QUOI UN PORTAIL CAPTIF ? : ________________________________________________________ 29
17. CREATION DU PORTAIL CAPTIF : ___________________________________________________________ 29
17.1. Paramètres importants : à ne pas négliger. ___________________________________________ 32
18. CREATION DES UTILISATEURS DU PORTAIL CAPTIF : ______________________________________________ 33
19. GESTION DU PORTAIL CAPTIF : SUIVI DES UTILISATEURS, TRAÇAGE ETC…GESTION D’UTILISATEURS :______________ 36
FILTRAGES DES CONTENUS/ADRESSES WEB INDESIRABLES ________________________________________ 37
CONFIGURATIONS : _________________________________________________________________________ 38
20. CONFIGURATION DE : SQUID_____________________________________________________________ 38
21. CONFIGURATION DE : SQUIDGUARD _______________________________________________________ 42
22. CONFIGURATION DE : LIGHTSQUID ________________________________________________________ 46
22.1. Accès à l’interface LightSquid : _____________________________________________________ 48
INSTALLATION ET CONFIGURATION DE SNORT POUR LA MISE EN PLACE LE FILTRAGE APPLICATIFS ET LA
SECURISATION DU RESEAU : _________________________________________________________________ 49
OPTIMISATION DE LA BANDE PASSANTE : ______________________________________________________ 57
CONCLUSION : _____________________________________________________________________________ 66

2
Dédicace

Dédié à tous le monde

3
Introduction :
Définition de quelques termes pour bien comprendre la suite :

1. Un pare-feu ou firewall (en anglais) :

Un pare-feu est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité
du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique.
Il surveille et contrôle les applications et flux les de données. C’est un appareil de protection du réseau qui
surveille le trafic entrant et sortant et décide d'autoriser ou de bloquer une partie de ce trafic en fonction
d'un ensemble de règles de sécurité prédéfinies. Un pare-feu défend un ordinateur local contre les virus,
vers, chevaux de Troie etc…

Figure 1 : Schéma d’un pare-feu

2. Un proxy ou serveur proxy :

Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre
deux hôtes pour faciliter ou surveiller leurs échanges. Dans le cadre plus précis des réseaux informatiques, un
proxy est alors un programme servant d'intermédiaire pour accéder à un autre réseau (généralement
Internet), Appelé également serveur mandataire en français, est une machine faisant l'intermédiaire entre
un réseau local (LAN) et internet. Généralement utilisé pour relayer les requêtes HTTP, il peut aussi servir à
d'autres protocoles tels que FTP, SOCKS, Gopher, streaming, etc…

Figure 2 : Un proxy serveur

4
NB : Ne pas confondre pare-feu et proxy.

3. Différence entre pare-feu et proxy :

• Les deux sont des composants de sécurité réseau. Dans une certaine mesure, ils sont similaires dans
un sens qu’ils limitent ou bloquent les connexions vers et depuis votre réseau, mais ils le font de
différentes manières.
• Les Firewall peuvent bloquer les ports et les programmes qui tentent d’accéder sans autorisation à
votre ordinateur, tandis que les Serveurs Proxy masquent essentiellement votre réseau interne sur
Internet. Il fonctionne comme un Firewall en ce sens qu’il empêche votre réseau d’être exposé à
Internet en redirigeant les requêtes Web si nécessaire.
• L’avantage d’un serveur proxy est son cache peut servir tous les utilisateurs. Si un ou plusieurs sites
Internet sont fréquemment demandés, ceux-ci se trouvent probablement dans le cache du proxy,
ce qui améliore le temps de réponse de l’utilisateur. Un proxy peut également enregistrer ses
interactions, ce qui peut être utile pour le dépannage

Cependant le serveur proxy peut exister sur le même ordinateur qu’un Firewall ou sur un serveur
distinct, qui transfère les demandes via le Firewall.

Figure 3 : pare-feu et proxy

Procédure d’installation :
4. Outils utilisés :
• Windows 10 comme machine hôte i3 500gb 8gb ram

5
 • Virtualbox
• ISO pfsense
• ISO kali linux

5. Installation :
5.1. Installation de pfsense
On Commence par monter l’image de pfsense dans Virtualbox puis on configure les paramètres
suivants.

Réseau :

Comme que pfsense est comme un routeur il a 2 adresses IP un pour le WAN (connecté à internet)
l’autre pour le LAN (réseau interne local)

On doit donc activer 2 interfaces sur Virtualbox :

Interface 1 : Pour le WAN. Interface 2 : Pour le LAN

Mode d’accès : accès par pont. Mode d’accès : Réseau interne

Figure 4 : Configuration interface 1 Réseau

6
 Figure 5 : Configuration interface 2 Reseau

Ensuite on monte l’ISO de pfsense dans la partie stockage.

Figure 6 : Installation

Là on débute l’installation de pfsense

7
On continue avec les options

Figure 7 : Installateur pfsense

8
 Figure 8 : Interface Console

Après l’installation on voit la console pfsense avec les deux différents adresses IP. A partir d’ici on
peut avec ces différentes options configurer pfsense.

Mais pour plus de facilité pfsense dispose d’une interface graphique accessible à partir de son
adresse LAN :192.168.1.1 qui on peut modifier s’il Ya confusion avec l’adresse de votre box

A partir du navigateur web on peut y accéder mais pour cela il faut la machine soit connecté au
même réseau que le LAN de pfsense. Pour cela on va devoir installer une l'autre machine sur la Virtualbox
on prendra ici l’ISO kali linux avec les configurations suivantes

• Interface 1 :

Mode d’accès : Réseau interne

9
Figure 9 : Installation sur une seconde machine

Après installation de la Machine kali on voit qu’elle est sur le même réseau que le LAN de pfsense

On voit le réseau. : 192.168.1.X

On peut faire un ping vers l'adresse 192.168.1.1(LAN pfsense) depuis la machine kali pour tester

Figure 10 : ping vers le routeur

10
Figure 11 : ping reussi

Depuis la machine kali on accède à l’interface web de pfsense avec l'adresse http://192.168.1.1

Figure 12 : interface web

11
Les identifiants par défaut son nom « admin » et mot de passe « pfsense ».

Une fois connecté on est dans l’interface web. A partir d’ici on commence les configurations de bases
du pare-feu pfsense

Configuration Général :
On peut soit utiliser l’assistant de configuration qui nous guide pour certains paramètres :

Figure 13 : option systeme

On clique sur suivant ou Next :

Figure 14 : Assistant configuration

Ici on voit les informations générales tels que le nom de l’hôte, domaine etc… ses informations sont
importantes à saisir où on peut les laisser par défaut pour la suite car serviront de correspondance

Mais les trois derniers sont à saisir

Primary DNS Server : 192.168.8.1 (Adresse de votre routeur wifi et non celle de pfsense)

12
Secondary DNS Server : 8.8.8.8 (Google)

Décocher la case Override DNS

N'oublier pas de bien changer les identifiants par défaut pour plus de sécurité :

Figure 15 : Assistant Configuration

Ensuite pour les autres étapes/paramètres on laisse par défaut puis fini la configuration assistée

On Clique sur Reload pour charger les paramètres.

On part sur l’option de la configuration générale au cas où on préfère configurer sans assistance

On peut cependant compléter avec les paramètres déjà Configurer précédemment.

13
On voit apparaître des paramètres presque similaires au précédent avec l'assistant de configuration

Figure 16 : Configuration generale

Ici on voit le nom de l’hôte et domaine on peut laisser par défaut ou les changer

Les serveurs DNS comme dans l’assistant de configuration ici, sont déjà Configurer mais avec
quelques paramètres supplémentaires comme la passerelle ici pour l'adresse 192.168.8.1(routeur wifi) la
passerelle est 192.168.8.1 l'adresse lui-même

6. Configuration du WAN :

Figure 17 : interface

Les paramètres du WAN à modifier

• IPv4 à statique

14
Figure 18 : Configuration Interface WAN
Adresse IPv4 on saisit l’adresse du WAN de pfsense ici 192.168.8.102 et comme passerelle l'adresse
du routeur wifi 192.168.8.1 et comme masque /24

Figure 19 : Configuration Interface WAN-2

Puis on enregistre les paramètres.

15
7. Configuration du LAN :

Figure 20 : Interface LAN

Les paramètres du LAN à modifier

• IPv4 à statique
• Interface de suivie

Figure 21 : Configuration Interface LAN

Pour l’adresse IPv4 ont saisi l’adresse LAN de pfsense 192.168.1.1 et /24

16
Figure 22 : Configuration Interface LAN-2

8. Le Résolveur DNS :

Figure 23 : Résolveur DNS

On décoche/désactive le Résolveur DNS

17
Figure 24 : Résolveur DNS-2

Ensuite on Enregistre.

9. Le DNS Forwarder :

Figure 25 : DNS Forwarder

18
Puis on Enregistre.

On Coche/Activé le DNS Forwarder

Figure 26 : DNS Forwarder-2

Sur l’interface LAN

19
Figure 26 : DNS Forwarder-3

Après on Enregistre.

10. Le Serveur DHCP :

Figure 27 : Serveur DHCP

Activer le serveur DHCP sur le LAN

20
Figure 28 : Serveur DHCP-1

Autres paramètres

Serveur DNS : 192.168.1.1 (adresse LAN pfsense)

Passerelle : 192.168.1.1

Figure 27 : Serveur DHCP-2

Puis on Enregistre

Maintenant la Configuration Général a été faite pfsense fonctionne comme un pare-feu normal

11. Sécurisation de l’interface web : Avec SSL

L’interface web de pfsense est venu par défaut sans sécurité au niveau de l’authentification

Cela veut dire que les données qui passe à travers ne sont pas chiffrés

21
Figure 28 : Interface non sécurisée

C’est-à-dire n'utilise pas le protocole HTTPS (SSL)

Et cela risque d’être compris raison pour laquelle on doit la sécuriser.

Pour cela on doit créer ce qu’on appelle des autorités de certification et des certificats pour l’adapter
à notre réseau

Une Autorité de Certification (AC ou CA pour Certificate Authority en anglais) est un tiers de
confiance permettant d'authentifier l'identité des correspondants.

A partir de pfsense on en crée puis les exporter vers les navigateurs web de toutes les machines du
réseau LAN de pfsense

12. Création des autorités de certification :

Pour cela on accède à Système/Gestion de certificats

Figure 29 : Gestionnaires certificats

22
On va créer ici deux autorités de certifications et un certificat

• L’une une autorité de certification interne qui va signer la seconde

• L’autre une autorité de certification intermédiaire dont l’hôte sera la première
• Et le certificat qui servira de serveur

Figure 30 : Liste certificats autorithy

Grâce au bouton Ajouter on crée les certificats

Figure 31 : Création d’une autorité de certification 1

23
12.1. Autorité de certification 1 :
• Nom descriptif : AC1
• Méthode : Créer une autorité de certification interne
• Les quatre autres on laisse par défaut
• Nom Commun : pfsense-interne

Et les autres derniers paramètres on remplis avec les informations correspondantes comme le code
du pays, ville etc…

12.2. Autorité de certification 2 :

Faire comme précédemment mais avec un nom différent bien sûr

Cette fois la méthode sera

• Méthode : Créer une autorité de certification intermédiaire

Ici Ya une option supplémentaire

• Autorité de certification de signature : AC1 (choisir le premier certificat crée précédemment)

Et complète les autres options

Figure 32 : Création d’une autorité de certification -2

13. Création du certificat :

Aller a là partie certificats puis crée un nouveau certificat

24
Figure 33 : Liste des Certificats

Ici il est très important de bien remplir les options

Figure 34 : Création d’une Certificat

• Méthode : Créer un certificat interne

• Nom descriptif : pfSense.localdomain
• Autorité de certification : AC2 (c’est la seconde autorité de certification crée précédemment c’est-
à-dire l'autorité de certification intermédiaire

NB : ici se sont le nom de l’hôte (pfsense) et le domaine (localdomain)

De la configuration générale qui sont inscrits il est important de bien les avoir remplis depuis la
configuration générale

25
 • Nom Commun : pfSense.localdomain

Ici aussi ça doit être le même nom que le nom descriptif

Et tous les autres paramètres on peut remplir bon nous semble où laisser

• Options supplémentaires

Ces options sont très importantes pour bien faire fonctionner la transmission des données

• Type de certificats : Server certicate (on choisit l’option serveur pour la transmission)
• Nom alternatifs 1 : Adresse IP, Puis 192.168.1.1 (adresse LAN pfsense)
• Nom alternatifs 2 : FQDN, Puis pfSense.localdomain

Figure 35 : Attributs de certificat

Après on enregistre

26
14. Exportation des autorités de certifications

Figure 36 : Liste des Certificats

Après la création des certificats on doit les exporter pour ensuite les installer

Sur les navigateurs web des machines Local (LAN)

On les exporte avec la petite étoile bleue.

15. Changement du protocole de HTTP vers HTTPS

Après l’installation des certificats

On doit les appliquer dans les paramètres Système/Avancé

Figure 37 : les paramètres Système/Avancé

On doit changer les paramètres pour les adapter à nos Certificats

27
Figure 38 : Accès administrateur

Dans la partie Certificats SSL/TLS choisir le certificat crée pfSense.localdomain

Puis on Enregistre.

Et après quelques secondes on voit le changement de protocole et le chiffrement mise en place

Figure 39 : Interface avec certificat activé

28
Mise en place du portail captif :
16. C’est quoi un portail captif ? :
Le portail captif est une technique consistant à forcer les clients HTTP d'un réseau de consultation à
afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet
normalement. Certains l’appellent également « page de connexion » ou « portail d’authentification de
l’utilisateur ». L’objectif principal d’un portail captif est de permettre d’authentifier un utilisateur afin de lui
donner accès à un réseau Wi-Fi.

Cela permet à toute utilisateur du LAN de s'authentifier avant de pouvoir naviguer sur Internet.

• Grâce au pare-feu pfsense on mettre en place le portail Captif avec d’autre services
supplémentaires tels que :
• Le filtrage des contenus web.
• La protection contre toute tentative d’accès au réseau par un intrus.
• Et d’autres services que nous verrons ensuite.

17. Création du portail captif :

Aller dans services/portail captif ou captive portale en anglais.

29
Figure 40 : Services Portail Captif

Puis avec le bouton Ajouter en crée un nouveau.

Figure 41 : Ajout d’une zone de portail captif

Remplir le nom de zone et la description

Ici par exemple

Nom de zone : depart_informatique

Description de zone : département informatique de l’université.

Puis enregistrer.

Ensuite on doit Activer/cocher le portail Captif pour voir apparaître certains paramètres supplémentaires.

30
Figure 42 : Configuration du Portail Captif

Ces paramètres servent à mieux gérer le portail Captif comme la durée de connexion d’un utilisateur, sa
déconnexion après un temps d’inactivité etc… sans oublier l’interface sur laquelle on doit activer le portail
Captif qui sera bien sûr le LAN.

Figure 43 : Configuration du Portail Captif -2

Il y a plusieurs paramètres plus ou moins importants qu’on peut remplir ou non selon nos besoins.

31
17.1. Paramètres importants : à ne pas négliger.
La manière dont les utilisateurs se connectent au portail et le stockage des données

On a plusieurs moyens de le faire :

• Soit par un serveur Local que pfsense intégrer pour faciliter

• Soit par un serveur à distance comme RADIUS
• Ou tout simplement sans authentification

Cependant on a opté pour la première option

• Méthode d’authentification : User an authentification backend

Server d'authentification : Local Database

Les autres options on laissent par défaut

Figure 43 : Paramètres d’authentification

On peut aussi personnaliser la page d'authentification du portail captif pour l’adapter à notre
environnement.

On peut insérer notre propre page d’authentification crée grâce a du HTML

Ou tout simplement insérer des images comme des logo, arrière-plan etc…

32
Figure 43 : Captive Login Page

Puis on Enregistre.

18. Création des utilisateurs du portail Captif :

Rendez-vous dans Système/Gestionnaire d'usagers

Figure 44 : Gestionnaire d'usagers

On crée un utilisateur grâce au bouton Ajouter

33
Figure 45 : Liste des Utilisateurs

On complète les informations

Puis on Enregistre.

Figure 46 : Création d’un utilisateur

Ensuite on clique modifier (le petit crayon bleu) sur l’utilisateur qu’on vient de créer pour lui assigner des
privilèges comme admin, surveillant du portail captif

Mais ici l’utilisateur crée n’est qu’un utilisateur du portail captif

Figure 47 : gestionnaires d’usager

Ensuite on descend jusqu’à Privilèges de l’utilisateur

Aller dans Privilèges assignés et choisir parmi une liste d’options possible

34
Mais ici on choisit l'option Utilisateurs-services : Connexion au portail captif

Car l’utilisateur crée sert uniquement à se connecter au portail captif

Figure 48 : attribution de privilèges

Puis on Enregistre.

Maintenant qu’on a mis en place le portail et créer un utilisateur on peut tester

Utilisation du portail Captif :

Après l'activation du portail Captif on va dans le navigateur web et on remarque qu’il y a un message
qui nous dit pour aller sur internet il va falloir s'authentifier :

Figure 49 : Bannière d’authentification

On Clique sur « Open Network Login Page » pour ouvrir la page d’authentification.

Là on voit la page d’authentification apparaître et on s'authentifie avec les identifiants de l'utilisateur qu’on
a créé puis on pourra accéder à Internet

35
Figure 50 : Page d’authentification

On peut cependant créer autant d’utilisateurs qu’on le veut pour le portail Captif.

19. Gestion du portail Captif : suivi des utilisateurs, traçage etc…gestion

d’utilisateurs :
On peut voir l’état du portail captif comme les utilisateurs qui y sont connectés etc…on peut même les
déconnecter.

Aller dans État/portail captif.

Figure 51 : Etat

Là on a une sorte de tableau de bord du portail captif on peut voir les utilisateurs.

36
Figure 51 : Etat portail

On voit l’adresse IP, mac, le nom d’utilisateur, le début de session…etc…

Filtrages des contenus/adresses web indésirables

Pour le filtrage des adresses web indésirables ou tout autre genre

On doit installer certains composants Qui sont :

• Squid : Un serveur Squid est un serveur mandataire et un mandataire inverse conçu pour relayer les
protocoles FTP, HTTP, Gopher, et HTTPS. Contrairement aux serveurs proxy classiques, un serveur
Squid gère toutes les requêtes en un seul processus d'entrée/sortie asynchrone
• SquidGuard : SquidGuard est un logiciel de redirection d'URL, qui peut être utilisé pour contrôler le
contenu des sites Web auxquels les utilisateurs peuvent accéder. Il est écrit en tant que plug-in pour
Squid et utilise des listes noires pour définir les sites pour lesquels l'accès est redirigé.
• LightSquid : LightSquid est un analyseur de logs pour le proxy/cache Squid Il permet de garder la
traçabilité des utilisateurs.

Pour cela pfsense dispose d’un gestionnaire de paquets qui nous permettra de télécharger les outils
qu’il nous faut.

Aller dans Système/Gestionnaire de paquets

Et aller dans la partie Paquets disponibles puis rechercher squid

37
 Figure 52 : Installation de Squid

Une fois recherché appuyer sur Install pour installer le paquet Une fois installé vous verrez dans
Paquets installés la liste des paquets que vous avez installé.

Configurations :
20. Configuration de : Squid
On va d’abord configurer l’outil squid pour cela aller dans Services et sélectionner Squid proxy server.

Figure 53 : liste de paquet

Une fois dedans on commence la configuration comme suite.

Figure 54 : Configuration du serveur proxy

38
Figure 55 : Configuration du serveur proxy 2

On Coche les cases et on suit les paramètres suivants l’image

Ne pas oublier de choisir ici l’interface LAN dans Proxy Interface.

Continue les démarches pour les autres paramètres

Figure 56 : Configuration du serveur proxy 3

Activer le proxy transparent sur le LAN.

Activer l’interception HTTPS/SSL pour pouvoir aussi filtrer les adresses passant par ces protocoles

39
Figure 57 : Configuration du serveur proxy 4

40
 Option importante ici : AC (autorité de certification) choisir le certificat intermédiaire crée
précédemment.

Ceci permet d'avoir accès aux logs.

Figure 58 : Configuration du serveur proxy 5

Enfin on complète les paramètres puis on Enregistre.

Maintenant on part dans la section Local cache.

Figure 59 : Configuration du serveur proxy 6

41
La seule option qui nous intéressera ici c’est Hard Disk Cache Size qui nous permet de définir la taille de
cache.

Mettez par exemple 1000 puis Enregistrer.

21. Configuration de : SquidGuard

Maintenant on passe à la configuration de SquidGuard qui permet le filtrage.

On se rend dans Services puis on sélectionne SquidGuard proxy filtre.

On commence par activer le filtre SquidGuard.

Figure 60 : Configuration de Squidguard

42
Figure 61 : Configuration de Squidguard 1
On active les logs

Dans la section Blacklist options on Coche la case.

Ensuite on met l’URL http://dsl.ut-capitole.fr/blacklists/download/blacklists_for_pfsense.tar

Ceci nous permettra de télécharger une liste noire des éléments à filtrer.

Ensuite aller dans la section Blacklist pour télécharger la liste

Figure 62 : Configuration de la blackliste

Appuyer sur Download pour commencer le téléchargement.

Une fois terminé aller dans Common ACL

43
Figure 63 : Configuration de la blackliste 2

Pour ainsi filtrer parmi une liste noire.

Figure 64 : Blocage des contenus

Ici on voit une liste complète de choix de filtrage.

44
Figure 65 : Blocage des contenus 1

Il suffit d’aller sur une et choisir parmi trois options possibles : Whitelist, deny, allow

Parce exemple ici on va filtrer tout ce qui réseau social comme Facebook, twitter etc…

On va dans [blk_blacklists_social_networks] et on met deny

NB : ne faut pas oublier de mettre Default Access [All] a allow afin d’éviter que toute page que vous souhaitez
visiter soit filtrer ou inaccessible

Figure 66 : Blocage des contenus 3

Coche aussi Do not allow IP adresses in URL

Afin d’éviter qu’un utilisateur bypass le filtrage en saisissant l’adresse IP et non un URL.

Coché aussi Use SafeSearch engine puis enregistrer.

NB : après chaque enregistrement des paramètres faut les appliquer en retour vers General Settings et
appuyer sur le bouton APPLY.

Et maintenant faisons un test on va tenter d’aller sur Facebook.com

45
Figure 67 : Page bloqué

Figure 68 : Application

On voit que c’est inaccessible.

Voyons pour twitter.

Figure 69 : Page bloqué 2

On constate la même chose.

Ce qui montre que le filtrage a réussi.

22. Configuration de : LightSquid

LightSquid qui permet le suivi des traces des utilisateurs.

On va dans États puis Squid proxy Reports.

Figure 70 : Squid Proxy

46
On peut changer le port et les identifiants ou les laisser par défaut. Ce sont les mêmes identifiants que
pfsense « admin »et « pfsense »

Figure 71 : Configuration de lightSquid

On peut même changer la langue de l’interface et le thème

L’option IP Résolve Method mettre Squidaut.

Figure 72 : Configuration de lightSquid-2

Configurer le temps de rafraichissement des données de suivi dans Refresh Schedule.

47
Figure 73 : Configuration de lightSquid-3

Ensuite appuyer sur Refresh Full. Puis Enregistrer

22.1. Accès à l’interface LightSquid :

Aller dans le navigateur et mettez l’adresse du LAN de pfsense avec le port 7445

192.168.1.1 :7445 puis mettez les identifiants ensuite vous verrez l’interface de LightSquid.

Figure 74 : Interface LightSquid

Ici on a des informations importantes comme la date, le groupe etc…si on Clique sur une de ces dates on
verra une liste d'adresses IP qui se sont où sont connectés ensuite on peut pourra cliquer sur une de ces
adresses pour voir l’ensemble informations de connexion de l’utilisateur comme les sites visités, le nombre
de connexions etc…

48
Figure 75 : liste visités

Installation et configuration de Snort pour la mise en place le

filtrage applicatifs et la sécurisation du réseau :
Snort : Snort est un système de détection d'intrusion libre publié sous licence GNU/Linux. Snort
permet de détecter et de prévenir contre toute attaque sur le réseau grâce à ces fonctions de filtrages, de
règles etc…

Snort peut être installé depuis le gestionnaire de paquets de pfsense comme on vient de faire avec
les paquets squid etc….

Snort servira de complément pour pfsense afin de rendre le réseau plus sécurisé.

Une fois qu’on a installé Snort on va dans Services puis Snort.

49
Figure 76 : menu snort

Ensuite on va dans Global Settings pour faire la configuration générale.

Cependant pour pouvoir continuer avec Snort Vous devez vous inscrire sur snort.org pour ensuite
récupérer un code appeler Snort Oinkmaster code qu’on devra insérer dans la partie correspondante de la
configuration.

Figure 77 : Configuration de snort

On Coche les cases comme sur l’image pour ensuite obtenir les règles qui permettront à Snort de filtrer,
bloquer etc…

50
Figure 78 : Configuration de snort-2

Option importante ici c’est OpenAppID Detectors permet de détecter l’identité d’une application qui est
utilisé.

Ici on peut mettre l’intervalle de temps dans lequel Snort mettra à jour de nouvelles règles.

Une autre option importante c’est le temps de blocage d’un adresse IP suspect.

Figure 79 : Configuration de snort-3

Ensuite on se rendra dans la partie Update/Mis à jour pour télécharger/mettre à jour de nouvelles règles

51
Figure 80 : Configuration de snort-3

Une fois fait. On part vers Snort Interfaces pour créer une nouvelle sur les interfaces.

Ici on est sur l’interface LAN mettre aussi sur le WAN et les deux en même temps.

Figure 81 : Configuration de snort-4

Ont activé l’interface.

52
On va permettre à Snort d’envoyer Des alerte au Système pfsense.

Figure 82 : Configuration de snort-5

Ici pour Search Method on choisit AC-BNFA. Puis Enregistrer

Aller dans LAN catégories.

53
Figure 83 : Configuration de snort-6

Cette partie nous permet de définir comment les règles vont être utilisées. Et quelles règles vont
être utilisées.

On Coche Résolve Flowbits Puis Use IPS Policy

Figure 84 : Configuration de snort-7

IPS Policy Selecton on choisit Connectivity.

Puis en bas on voit une liste de règles a coché on peut tous les cocher selon nos besoins. Puis on descend

Figure 85 : Configuration de snort-8

Une Règle est une manière de dire comment on fait pour filtrer, bloqué ou laisser passer un paquet,
une application, ou tout simplement un élément sur un réseau.

54
Ensuite on se rend dans LAN Preprocs.

Cette partie permet d’approfondir la prévention et la détection. En choisissant les catégories de

protocoles ou Services.

Figure 86 : Configuration de snort-9

Cette option nous permet de collecter des informations sur l’interface.

Figure 87 : Configuration de snort-10

Même démarche ici.

Ici par exemple on permet à Snort de détecter une tentative détection de ruse SSH.

55
Figure 88 : Configuration de snort-11

Ici pour la détection des applications utilisés comme twitter.

On a encore la détection de scan de port qui permet de bloquer toute tentative de scan de ports.

On Retour vers Snort Interfaces pour mettre en marche Snort

56
Figure 89 : Activation de snort

On Clique sur la flèche bleue pour démarrer le service Snort

Une fois fait on passe vers la partie Alerts à partir de là on verra toute activité.

Figure 90 : Alert de snort

Tout ce que passe se trouve ici. En cas de choses illégal on verra les adresses Bloqués dans Blocked.

On verra aussi des messages nous décrivant quelques genres d'activités ont été faites sur le réseau.

Figure 91 : Alert de snort-2

Optimisation de la bande passante :

C’est parti consiste à bien géré la bande passante du réseau

Pour ainsi permettre de prioriser certains services, de définir une limite et d’éviter toute gaspillage
de la bande.

Aller dans Pare-feu puis Régulateur de flux.

57
Figure 92 : Regulateur de flux

On arrive ainsi dans le menu.

On a plusieurs options

On peut définir manuel notre propre régulateur de Flux dans la partie limiteurs Ou par assistance.

Dans notre cas on a choisi par assistance.

Figure 93 : Régulateur de flux configuration

Grâce à l'assistant on va voir les bases de la configuration de la bande.

Ici on choisit Liens dédiés.

58
Figure 94 : Régulateur de flux configuration 2

On choisit le nombre de WAN ici on a 1.

Figure 95 : Régulateur de flux configuration 3 On met Next.

On choisit notre LAN puis on laisse les autres paramètres par défaut.

59
Figure 96 : optimisation de la bande selon le service

On a deux paramètres importants ici c’est la limite

Du téléchargement et du téléversement mais avant faut

Mesurer notre connexion à partir du site speedtest.net

Figure 97 : optimisation de la bande selon le service 2

On saisira les valeurs selon l’information fourni par le site.

Ensuite on passe à la configuration suivante.

Figure 98 : Service VOIP etc…

Ici il s’agit de prioriser Voix par IP si on en dispose. Sinon on laisse ce paramètre puis on passe la suivante.

Ici ça concerne le Peer to Peer Comme que ce dernier consomme beaucoup alors on va diminuer sa priorité

60
Figure 99 : Service Peer to Peer

On peut même activer/désactiver certains des protocoles des applications utilisant le Peer to Peer.

Ensuite on passe aux Réseaux de jeux vidéo ici on laisse par défaut on ne va pas prioriser.

61
Figure 100 : Service gaming

Figure 100 : Service gaming-2

On va maintenant à cette partie très important concernant les applications et Services utilisés
quotidiennement.

Ici nous permet de prioriser des services comme le service mail, la connexion à distance, la
messagerie, les appels par conférence etc…

Et d’autres services encore.

Figure 101 : Service remote

Même le http.

62
Figure 102 : Service web

Et bien d’autres encore…Comme le DNS, gît, ICMP, SMB etc…

Figure 103 : Service autres

63
Ensuite on charge les configurations.

Figure 104 : Application des changements

Une fois l’optimisation a été mis en place on peut voir tout le trafic du réseau la bande passante etc…

Dans État / graphique du Traffic.

Figure 105 : Menu

Ici on a le graphique qui indique le traffic entrant et sortant

64
On peut même voir les adresses IP et leur consommation en bande passante.

Figure 106 : tableau de bord de la bande passante

Cependant on peut d’une manière plus détaillée voir le Traffic grâce à un package appeler ntopng.

65
Conclusion :
Pfsense est une distribution libre et gratuite fondée sur FreeBSD. Installée sur un équipement doté de
plusieurs cartes réseau, elle permet d'optimiser et de sécuriser le réseau local.

Un système a été mis en place pour filtrer tout le trafic réseau dans le Réseau local (ou WLAN), cela bloque
les pages qui ont été définies à l'aide des listes noires.

Grace à cette mise en place on peut maintenant mieux gérer les connexions et ainsi contrôler tout le Traffic
entrant et sortant, comme ça toute activité malveillante et indésirable sera évitée.

Avec cette solution du portail captif on peut éviter tout accès non autorisé au réseau seul l’authentification
nous permet d’y accéder.

66
Références :
• HTTPS :// TECHEXPERT . TIPS/ FR / PFSENSE - FR/ PFSENSE -CONFIGURATION -DU-PORTAIL -CAPTIF/
• HTTPS :// PIXELABS . FR/ INSTALLATION -CONFIGURATION -PFSENSE -VIRTUALBOX /
• HTTPS :// WWW . PC 2 S. FR/ PFSENSE -PORTAIL -CAPTIF-AVEC -AUTHENTIFICATION -UTILISATEUR /
• HTTPS :// COMPUTERZ . SOLUTIONS/ PFSENSE -PORTAIL -CAPTIF/
• HTTPS :// WWW . SERDARBAYRAM . NET/ PFSENSE -CAPTIVE -PORTAL -AND- FREERADIUS -
ENTEGRATION . HTML

67