Securisez Votre Infrastructure Grace A Pfsense - Securisez Votre Reseau Grace Aux VPN Et Firewall

Sécurisez votre infrastructure grâce à pfSense - Sécurisez votre réseau grâce aux VPN et Firewall - OpenClassrooms
Accueil > Cours > Sécurisez votre réseau grâce aux VPN et Firewall > Sécurisez votre
infrastructure grâce à pfSense
Sécurisez votre réseau grâce aux VPN et

Firewall
6 heures  Facile Licence 
Mis à jour le 11/05/2020
 
Sécurisez votre infrastructure grâce à pfSense
 Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !
https://vimeo.com/284146883
Bienvenue à tous dans cette nouvelle partie consacrée à la mise en pratique de ce que vous
avez appris jusqu’à présent. Pour cette mise en pratique nous utiliserons pfSense et Iptables.
L’un est un routeur/firewall que vous pouvez voir comme un OS, et qui va protéger votre LAN,
l’autre est un logiciel que vous allez configurer sur un serveur afin de le protéger. Le but étant
de créer une architecture DMZ et de rendre votre serveur accessible, tout en le protégeant.
Allez, on commence.
Créez votre architecture

Vous allez commencer par placer ses composants dans votre maquette GNS3 :
Un routeur/firewall OPNsense (Un fork de pfSense).

Un serveur Web ToolBox (un petit serveur Linux avec un serveur web pré-configuré).
Un docker Ubuntu (pour les utilisateurs d’Internet et du LAN).
Trois webterm (pour accéder au firewall via HTTP et tester l’accès au web-serveur).
Le tout est disponible sur le marketplace de GNS3.
Mis à part les firewalls, tous ces composants sont déjà configurés. Vous n’avez qu’à changer
leurs adresses IP.
https://openclassrooms.com/...06-securisez-votre-reseau-grace-aux-vpn-et-firewall/5241681-securisez-votre-infrastructure-grace-a-pfsense[16/10/2020 19:25:42]
Votre travail consiste donc à rendre accessible le serveur Web depuis Internet, mais que le LAN
lui, ne le soit pas. Par contre depuis le LAN, il est possible de se connecter au serveur Web. Ce
sont là les principes de l’architecture DMZ.
Vous allez commencer par configurer la DMZ, ensuite, vous ajouterez les composants du LAN.
Configurez les utilisateurs d’Internet
Pour simuler un utilisateur d’Internet, vous allez ajouter :
Un NAT (qui vous connecte à Internet et fournit un service DHCP).

Un Webterm.
Un Switch, pour relier le NAT, le docker Ubuntu et l’interface WAN du Firewall.
Le NAT ne demande aucune configuration.
Pour le Webterm, avant de l’allumer :
Cliquez droit sur son icône.

Puis cliquez sur « configuration ».
Enfin dé-commentez ces lignes :
auto eth0
iface eth0 inet dhcp
Ces lignes vous permettent de configurer l’interface en DHCP. Et c’est le NAT qui va lui attribuer
une adresse.
Ajoutez les composants de votre DMZ
Commencez par ajouter vos composants, comme ceci :
Un réseau 192.168.2.0/24.
Une IP fixe pour le serveur Web. Pour se faire, configurez son interface en statique comme
ceci :
cliquez droit sur son icône.
Puis cliquez sur « configuration ».
Enfin dé-commentez ces lignes :
auto eth0
iface eth0 inet static
address 192.168.2.2
netmask 255.255.255.0
gateway 192.168.2.1 (l’adresse du firewall)
En ce qui concerne le firewall, il doit donc :
Permettre aux utilisateurs d’Internet de joindre le serveur Web.

Et permettre au serveur Web de répondre aux requêtes des utilisateurs d’Internet.
Mais d’abord, ajoutez les composants de votre LAN.
Pour le démarrage du routeur/firewall, vous pouvez vous aider du cours sur GNS3.
Ajoutez les composants de votre LAN
Votre LAN est donc composé :
d’un Firewall,
d’un docker Ubuntu
et d’un Webterm pour vous connecter et configurer votre firewall.
Le tout sur un réseau 192.168.1.0/24.
Regardons maintenant comment configurer le firewall en commençant par la partie LAN.
Configurez votre LAN

Établissez, tout d’abord, votre politique de sécurité. Pour garantir la sécurité de votre LAN, vous
voulez :
Que le réseau de la DMZ, n’ait aucun accès vers votre LAN.

Que votre LAN puisse naviguer sur le web.
Que votre LAN puisse accéder au serveur de la DMZ.
Une fois votre firewall, démarré, vous pouvez vous y connecter via le Webterm.
Webterm est un docker Linux avec Firefox de préinstallé.
Suivez la procédure de démarrage en laissant les paramètres par défaut. Vous pouvez ajouter
les DNS de Google (8.8.8.8 et 8.8.4.4) mais ce n’est pas nécessaire pour notre étude.
Le NAT est automatiquement généré par OPNsense, il ne vous manque plus qu’à configurer les
règles de votre politique de sécurité.
Comme vous n’utilisez pas IPv6, désactivez la règle correspondante.
De plus, vos utilisateurs n’ont besoin d'accéder qu’à HTTP. Ils n’ont donc besoin que du port 80
(443 pour HTTPS).
Une fois votre DMZ créée, vous reviendrez sur les règles à créer entre les deux réseaux.
Configurez votre DMZ

La DMZ, c’est la partie ouverte à Internet. Vous établirez en premier lieu, la politique de sécurité,
puis vous la configurerez point par point.
La politique de sécurité
Établissons rapidement la politique de sécurité :
Les utilisateurs d’internet doivent avoir accès au serveur WEB.

Le serveur Web doit pouvoir leur répondre.
Seuls les ports 80 et 443 (les ports HTTP et HTTPS) sont ouverts.
Commencez par activer l’interface OPT1 et renommez-la en DMZ.
Configurez l’interface DMZ
Commencez par rendre le serveur accessible depuis Internet.
Rendez le serveur Web accessible depuis Internet
Pour cela, il vous faut donc configurer le PAT.
Cliquez sur Ajouter :
Voici la redirection de l’adresse WAN et du port 80, vers l’adresse du serveur Web et vers le port
80.
Faites attention à sélectionner l’option « Autoriser », dans le champ association de règles de
filtrage.
Il ne vous manque plus qu’à créer la règle firewall permettant l’accès à l’adresse WAN part le
port 80.
Vous n’avez plus qu’à tester, en entrant l’adresse WAN du routeur dans le navigateur Firefox de
l’utilisateur Internet.
Et voilà, ça fonctionne ! Votre serveur Web est bien accessible.:soleil:
Il vous faut maintenant vérifier que votre DMZ elle, n’a pas accès au LAN. Depuis le serveur Web,
tentez des ping vers les interfaces LAN et WAN du firewall.
Ça ne fonctionne pas ? C’est que votre configuration est bonne ! :p
Voilà, les trois points de votre politique de sécurité sont respectés. Vous avez pu, lors de ce
chapitre, sécuriser votre architecture réseau grâce aux règles de votre firewall. Nous verrons
dans le prochain chapitre comment renforcer cette sécurité en configurant directement le
firewall du serveur WEB.
Ce qu’il faut retenir
OPNsense est un routeur/firewall open source. C’est un fork de pfSense.

ToolBox est un serveur Linux, où un serveur Web est déjà installé, il permet de tester une
configuration web.
Webterm est un docker Linux avec Firefox d'installé. Il permet dans votre cas d’accéder à la
configuration par HTTP de votre firewall.
Dans une architecture DMZ :
La DMZ est accessible depuis Internet.
Le LAN n’est pas accessible depuis Internet.
Le LAN peut ou non avoir accès à Internet.

Le LAN peut ou non avoir accès à la DMZ.
La DMZ n’a pas accès au LAN.
Dans le cas d’une architecture WEB, seuls les ports concernés doivent être ouverts. Les
autres ports restent fermés.
 RENDEZ VOTRE SERVEUR ACCESSIBLE

QUIZ : PARTIE 2 TOUT EN LE SÉCURISANT

Le professeur
Lélio Motta
Ingénieur diplômé du
Conservatoire National des
Arts et Métiers, réseaux, systèmes et
multimédia. Freelance pour start-up
et PME.

Securisez Votre Infrastructure Grace A Pfsense - Securisez Votre Reseau Grace Aux VPN Et Firewall

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securisez Votre Infrastructure Grace A Pfsense - Securisez Votre Reseau Grace Aux VPN Et Firewall

Transféré par

Droits d'auteur :

Formats disponibles

Sécurisez votre infrastructure grâce à pfSense - Sécurisez votre réseau grâce aux VPN et Firewall - OpenClassrooms

Sécurisez votre réseau grâce aux VPN et

Sécurisez votre infrastructure grâce à pfSense

 Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Créez votre architecture

Un routeur/firewall OPNsense (Un fork de pfSense).

Le tout est disponible sur le marketplace de GNS3.

Configurez les utilisateurs d’Internet

Pour simuler un utilisateur d’Internet, vous allez ajouter :

Un NAT (qui vous connecte à Internet et fournit un service DHCP).

Le NAT ne demande aucune configuration.

Pour le Webterm, avant de l’allumer :

Cliquez droit sur son icône.

Ajoutez les composants de votre DMZ

Commencez par ajouter vos composants, comme ceci :

En ce qui concerne le firewall, il doit donc :

Permettre aux utilisateurs d’Internet de joindre le serveur Web.

Mais d’abord, ajoutez les composants de votre LAN.

Ajoutez les composants de votre LAN

Votre LAN est donc composé :

Regardons maintenant comment configurer le firewall en commençant par la partie LAN.

Configurez votre LAN

Que le réseau de la DMZ, n’ait aucun accès vers votre LAN.

Webterm est un docker Linux avec Firefox de préinstallé.

Comme vous n’utilisez pas IPv6, désactivez la règle correspondante.

Configurez votre DMZ

Établissons rapidement la politique de sécurité :

Les utilisateurs d’internet doivent avoir accès au serveur WEB.

Commencez par activer l’interface OPT1 et renommez-la en DMZ.

Configurez l’interface DMZ

Commencez par rendre le serveur accessible depuis Internet.

Rendez le serveur Web accessible depuis Internet

Pour cela, il vous faut donc configurer le PAT.

Cliquez sur Ajouter :

Faites attention à sélectionner l’option « Autoriser », dans le champ association de règles de

Et voilà, ça fonctionne ! Votre serveur Web est bien accessible.:soleil:

Ça ne fonctionne pas ? C’est que votre configuration est bonne ! :p

Ce qu’il faut retenir

OPNsense est un routeur/firewall open source. C’est un fork de pfSense.

Le LAN peut ou non avoir accès à Internet.

 RENDEZ VOTRE SERVEUR ACCESSIBLE

Vous aimerez peut-être aussi