Vous êtes sur la page 1sur 115

Projet de fin de formation

Mise en place d’un pare-feu avec une


configuration avancée (PfSense)

Techniciens Spécialisés en Techniques des Réseaux


Informatiques

 Présenté par :
BSISS Amine
BELLIL Fatima Zahra
 Membres du jury :

Mme MANGAD Myriem

Mr LAMKADEM Abdelmajid

2019/2020
REMERCIEMENTS .................................................................................................................................................................... 4
DÉDICACES…….. ...................................................................................................................................................................... 5
INTRODUCTION .. ..................................................................................................................................................................... 6
PRÉSENTATION DU PROJET ..................................................................................................................................................... 7
Problématique ………………………………………………………………………...…………………………………………………………………..8
SOLUTION……… ...................................................................................................................................................................... 9
Cahier de charge…………………………………………………………………………………………………………………………………….…..10
ÉTAT DE L’ART.. ................................................................................................................................................................... 11
FONCTIONNEMENT DU SYSTEME ..................................................................................................................... 11
GENERALITES .............................................................................................................................................................. 13
a) Réseau local :............................................................................................................................................ 13
b) Réseau WAN : ........................................................................................................................................... 14
c) Routeur : ................................................................................................................................................... 15
d) Firewall : ................................................................................................................................................... 16
e) Proxy : ........................................................................................................................................................ 17
f) Filtrage : .................................................................................................................................................... 18
g) HTTP : ........................................................................................................................................................ 18
h) HTTPS : ...................................................................................................................................................... 19
i) DNS : ........................................................................................................................................................... 20
j) DHCP : ........................................................................................................................................................ 21
k) NAT: ........................................................................................................................................................... 21
l) PAT : ........................................................................................................................................................... 22
m) ANTIVIRUS : .............................................................................................................................................. 23
n) SSH: ............................................................................................................................................................ 24
o) PORTAIL CAPTIVE: .................................................................................................................................. 25
p) VPN:............................................................................................................................................................ 26
q) Squid et SquidGuard: .............................................................................................................................. 27
r) IPS ET IDS:................................................................................................................................................. 28
MISE EN ŒUVRE ................................................................................................................................................................... 31
Voici la topologie que nous allons mettre en place : ................................................................................ 31
a) Préparation de la configuration des VMnet Sous VMWare : ........................................................... 32
b) Installation du PFSENSE sous VMware Workstation : ..................................................................... 34

2
c) Configuration DHCP pour les machines Clients du LAN : ................................................................ 53
d) Configuration du NAT : ........................................................................................................................... 56
e) Mise en place de règles firewall (pare-feu) : ..................................................................................... 59
f) Configuration du DNS : .......................................................................................................................... 71
g) Configuration du SSH: ............................................................................................................................ 72
h) Configuration Captive Portal avec Authentification Utilisateur : .................................................. 73
i) Configuration Utilisateur pour Délégation du Portail Captif : ....................................................... 78
j) Configuration VPN IPsec : ..................................................................................................................... 81
k) Installation package Squid proxy pFsense:........................................................................................ 95
l) Interception SSL squid sous pFsense : ................................................................................................ 98
m) Configuration de Squid sous pFsense : ............................................................................................. 100
n) Authentification LOCAL proxy sous pFsense: .................................................................................. 104
o) Configuration de SquidGuard sous pFsense : .................................................................................. 106
p) Configuration IPS ET IDS : ................................................................................................................... 109
CONCLUSION …… ................................................................................................................................................................ 115

3
Remerciements
Avant de commencer la présentation de Ce travail, je profite de l’occasion pour
remercier toutes les personnes qui ont contribué de près ou de loin à la réalisation
de ce projet de fin d'année.

Je tiens à exprimer mes vifs remerciements pour notre Formateur Mme.MANGED


MYRIEM et Mr.ABDELMAJID LAMKADEM d’avoir accepté de m’encadrer pour mon
projet de fin d’études, ainsi que pour leur soutien, leur remarque pertinente et
leur encouragement.

Mes remerciements vont aussi à tous mes professeurs, enseignants et à toutes


les personnes qui m’ont soutenu jusqu’au bout, et qui n’ont pas cessé de me
donner des conseils très importants.

4
Dédicaces
Que ce travail témoigne de mes respects :

A mes parents :

Grâce à leurs tendres encouragements et leurs grands sacrifices, ils ont pu créer le climat
affectueux et propice à la poursuite de mes études.

Aucune dédicace ne pourrait exprimer mon respect, ma considération et mes profonds


sentiments envers eux.

Je prie Dieu de les bénir, de veiller sur eux, en espérant qu’ils seront toujours fiers de
moi.

Ils vont trouver en ce travail l’expression de mes sentiments de respect et de reconnaissance


pour le soutien qu’ils n’ont cessé de me porter.

A tous mes professeurs :

Leur générosité et leur soutien m’obligent à leur témoigner mon profond respect et ma
loyale considération.

A tous mes amis et mes collègues :


Ils vont trouver ici le témoignage d’une fidélité et d’une amitié infinie.

5
Introduction
Le système d'information est généralement défini par l'ensemble des données et des
ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire
circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il
convient de protéger.

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

La sécurité informatique vise généralement trois principaux objectifs :

 L'intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit être.

 La confidentialité : consistant à assurer que seules les personnes autorisées aient accès
aux ressources échangées.

 La disponibilité : permettant de maintenir le bon fonctionnement du système


d'information.

6
Présentation du projet

PfSense est libre, une distribution personnalisée de FreeBSD adapté pour être utilisé comme
routeur et pare-feu. En plus d'être une plate-forme puissante, flexible de routage et de pare-
feu, il comprend une longue liste de caractéristiques connexes et un système de package
permettant en outre l'évolutivité sans ajouter de ballonnement et de failles de sécurité
potentielles à la distribution de base. PfSense est un projet populaire avec plus de

1 million de téléchargements depuis sa création et éprouvés dans d'innombrables installations


allant des petits réseaux domestiques pour protéger un ordinateur unique, pour les grandes
entreprises, les universités et d'autres organisations protégeant des milliers de périphériques
réseau.

7
Problématique

Comment protéger un réseau contre les attaques et les failles de sécurité ?

Comment protéger un réseau contre les virus ?

Comment protéger un réseau contre les logiciels et les téléchargements malveillants ?

8
Solution

PfSense est ce qu'on appelle une Appliance. C'est-à-dire qu'il s'agit d'une solution toute packagée
et prête à l'emploi.

La solution est donc composée d'un système minimaliste basé sur FreeBSD embarquant les
outils nécessaires à la réalisation d'une passerelle réseau (DNS, DHCP, VPN, etc.), un
serveur web et une interface de configuration en PHP. PfSense est né en 2004 en tant que
fork du projet m0n0wall (m0n0wall est une distribution FreeBSD (UNIX) fondée par
Manuel Kasper dont l'ambition est de fournir les services d'un pare-feu professionnel dans
un système embarqué), une Appliance également basée sur FreeBSD, mais orientée
matériel embarqué, là où pfSense vise une plus large gamme de machines (en passant par
des machines virtuelles).

9
Cahier de charge
Mise en place d’un pare-feu avec une
INTITULE :
configuration avancée (Pfsense).

Mise en place d’un pare-feu avec une


configuration avancée (Pfsense).
OBJET :
Pare-feu + Filtrage + Dhcp +Dns+ Nat +Portail
Captive+Squid….

Institut Supérieur de Technologie Appliquée


COMMANDITAIRE :
TAZA
Mon travail se limitera à sécuriser un
PERIMETRE :
réseau.

DELAI : 1 mois.
 Rapport

 Présentation.
LIVRABLES :
 Soutenance.

 Test Effectif.

 vidéo.
 Ordinateur Portable 64 bits.
 2 Machines Virtuelles VMware :
MOYENS :
 Serveur Pfsense.
 1 Machine Client (Windows).

VISA ETUDIANT :
VISA ENCADRANT : Mme MANGAD Myriem
 AMINE BSISS
 BELLIL FATIMA ZAHRA

10
État de l’art
FONCTIONNEMENT DU SYSTEME

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un


système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions
provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant
de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle
filtrante comportant au minimum les interfaces réseau suivante :

 Une interface pour le réseau à protéger (réseau interne).

 Une interface pour le réseau externe.

Le système firewall est un système logiciel, reposant parfois sur un matériel réseau
dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou
plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe
quelle machine et avec n'importe quel système pourvu que :

11
 La machine soit suffisamment puissante pour traiter le Traffic.

 Le système soit sécurisé.

 Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

 D'autoriser la connexion (allow).

 De bloquer la connexion (deny).

 De rejeter la demande de connexion sans avertir l'émetteur (drop).

L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant
de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de
politiques de sécurité permettant :

 Soit d'autoriser uniquement les communications ayant été explicitement autorisées :

 Soit d'empêcher les échanges qui ont été explicitement interdits.

La première méthode est sans nul doute la plus sûre, mais elle impose toutefois
une définition précise et contraignante des besoins en communication.

Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on
utilise le terme d’Appliance.

12
GENERALITES
a) Réseau local :

Un réseau local, souvent désigné par l’acronyme anglais LAN (Local


Area Network), est l’interconnexion d’équipements informatiques
situés dans une zone géographique restreinte (appartement, maison,
boutique, locaux d’entreprise, etc.), afin qu’ils puissant communiquer
entre eux et éventuellement partager une connexion internet par le
biais d’un routeur.

13
b) Réseau WAN :

Un réseau étendu, souvent désigné par son acronyme anglais WAN


(Wide Area Network), est un réseau informatique couvrant une
grande zone géographique, typiquement à l'échelle d'un pays, d'un
continent, voire de la planète entière. Le plus grand WAN est le
réseau Internet.

14
c) Routeur :

Un routeur est un équipement d'interconnexion de réseaux informatiques


permettant d'assurer le routage des paquets entre deux réseaux ou plus
afin de déterminer le chemin qu'un paquet de données va emprunter.

15
d) Firewall :

Un firewall (ou pare-feu) est un outil informatique (matériel et/ou


logiciel) conçu pour protéger les données d'un réseau (protection d'un
ordinateur personnel relié à Internet par exemple, ou protection d'un
réseau d'entreprise).

Il permet d'assurer la sécurité des informations d'un réseau en filtrant


les entrées et en contrôlant les sorties selon des règles définies par son
administrateur.

16
e) Proxy :

Un serveur proxy est un ordinateur ou un module qui sert d’intermédiaire entre un


navigateur Web et Internet, le proxy participe à la sécurité du réseau.
Les serveurs proxy permettent de sécuriser et d'améliorer l'accès à certaines
pages Web en les stockant en cache (ou copie), Ainsi, lorsqu’un navigateur
envoie une requête sur la demande d'une page Web qui a été précédemment
stockée, la réponse et le temps d'affichage en sont améliorés, l'utilisateur
accède plus rapidement au site et ne sature pas le proxy pour sortir, les
serveurs proxy renforcent également la sécurité en filtrant certains contenus
Web et les logiciels malveillants, tout de même il ne faut pas confondre avec un
firewall (pare-feu), bien que le couplage des deux matériels en un, soit très
courant.

17
f) Filtrage :

Le filtrage d'internet est un ensemble de techniques visant à limiter l'accès à certains sites
normalement accessibles sur le réseau Internet. Voir censure de l'Internet pour la légitimité de
ces techniques.

g) HTTP :

HTTP (Hypertext Transfer Protocol) est l'ensemble de règles régissant


le transfert de fichiers (texte, images, son, vidéo, et autres fichiers
multimédias) sur le Web. Dès qu'un utilisateur se connecte au Web et
ouvre un navigateur, il utilise indirectement le protocole HTTP.

18
h) HTTPS :

L'abréviation HTTPS signifie littéralement "HyperText Transfer


Protocol Secure". Ce "protocole de transfert hypertexte sécurisé"
combine le protocole de communication client-serveur, ou HTTP,
avec un certificat d'authentification du site exploré.

Le protocole HTTPS est une garantie pour un internaute de


naviguer sur un site Internet respectueux des règles de
confidentialité. Le visiteur est alors assuré de la fiabilité d'un site
sur lequel il peut être amené à communiquer des données
personnelles.

19
i) DNS :

Le DNS (Domain Name System) est un système essentiel au


fonctionnement d’Internet. C’est entre autres, le service qui permet
d’établir la correspondance entre le nom de domaine et son adresse
IP.

Pour être présent sur internet et être visible autrement que par une
série de chiffres (l'adresse IP), il faut déposer un nom de domaine. On
fait en général appel à un prestataire spécialisé. La gestion des DNS se
fait quant à elle soit par ledit prestataire, soit par des serveurs DNS
privés. Cette dernière option permet une plus grande finesse dans la
configuration du service, mais requiert une compréhension plus
poussée.

20
j) DHCP :

Le DHCP est un protocole réseau chargé de la configuration


automatique des adresses IP d'un réseau informatique. Il évite ainsi à
l'utilisateur qui se connecte pour la première fois à un réseau, d'avoir à
configurer la pile IP de son équipement.

k) NAT:

En réseau informatique, on dit qu'un routeur fait du network


address translation (NAT) (« traduction d'adresse réseau » ou
« translation d'adresse réseau ») lorsqu'il fait correspondre
des adresses IP à d'autres adresses IP.

En particulier, un cas courant est de permettre à des


machines disposant d'adresses qui font partie d'un intranet et
ne sont ni uniques ni routables à l'échelle d'Internet, de
communiquer avec le reste d'Internet en semblant utiliser des
adresses externes uniques et routables.

21
l) PAT :

Pour accéder aux différents services proposés par vos serveurs, les
ordinateurs externes à votre réseau vont utiliser l’adresse publique de
votre réseau mais en appelant des protocoles et donc des ports
différents. (si la notion de services et de protocoles ne vous est pas
familière, je vous conseille de lire : C’est quoi un serveur informatique
et c’est quoi service, port, protocole ).

Un exemple pour comprendre


Allez un petit exemple pour comprendre, avec 3 serveurs dans le réseau interne.
Seulement 2 serveurs seront rendus accessible de l’extérieur.

1. Un serveur web accessible en interne via le port 80. (Et accessible depuis
l’extérieur avec ce même port)
2. Un serveur extranet (web) accessible en interne via le port 80 et depuis l’extérieur
via le port 8181.
3. Un serveur intranet (web) accessible en interne uniquement via le port 80

22
m) ANTIVIRUS :

Un antivirus est un logiciel informatique destiné à identifier et à


effacer des logiciels malveillants (malwares en anglais), également
appelés virus, Chevaux de Troie ou vers selon les formes.

Fonctionnement d'un antivirus :


L'antivirus analyse les fichiers entrants (fichiers téléchargés ou
courriers électroniques) et, périodiquement, la mémoire vive de
l'ordinateur et les périphériques de stockage comme les disques
durs, internes ou externes, les clés USB et les cartes à mémoire
Flash.

La détection d'un logiciel malveillant peut reposer sur trois méthodes :


Reconnaissance d'un code déjà connu (appelé signature) et
mémorisé dans une base de données.
Analyse du comportement d'un logiciel (méthode heuristique).
 Reconnaissance d'un code typique d'un virus.

23
n) SSH:

Le SSH, pour Secure Shell, désigne à la fois un protocole de communication et un programme


informatique. Il permet la connexion d'une machine distante (serveur) via une liaison
sécurisée dans le but de transférer des fichiers ou des commandes en toute sécurité.

Développés par de nombreuses entreprises, les clients SSH pour Windows sont basés sur ce
protocole SSH et permettent aux utilisateurs séduits par les produits informatiques de
Microsoft de réduire les risques de piratage des données lors d'opérations effectuées à
distance.
Auparavant, un individu mal intentionné pouvait en effet profiter de ce trafic à distance pour
s'intercaler entre le point de départ et le point d'arrivée des informations/fichiers.

24
o) PORTAIL CAPTIVE:

Le portail captif est une technique consistant à forcer les clients HTTP d'un réseau de
consultation à afficher une page web spéciale (le plus souvent dans un but
d'authentification) avant d'accéder à Internet normalement.

Au-delà de l'authentification, les portails captifs permettent d'offrir différentes classes


de services et tarifications associées pour l'accès Internet. Par exemple, Wi-Fi gratuit,
filaire payant, 1 heure gratuite...

Cette technique est généralement mise en œuvre pour les accès Wi-Fi mais peut aussi
être utilisée pour l'accès à des réseaux filaires (ex. : hôtels, campus, etc.).

25
p) VPN:

En informatique, un réseau privé virtuel, abrégé VPN – Virtual Private Network est un
système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs
échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics.
On utilise notamment ce terme dans le travail à distance, ainsi que dans le cadre de
l'informatique en nuage.

Plusieurs catégories de VPN sont supportées par pfSense:

Le VPN IPSec peut être utilisé en mode transport (hôte à réseau ou hôte à hôte) ou en
mode tunnel(réseau à réseau). Il sait gérer le protocole AH (Authentification) et ESP
(Cryptage). Il gère également les autorités de certification.

Le VPN OpenVPN gère les serveurs et les clients VPN. Il gère également les autorités de
certification.

Le VPN PPTP gère aussi les serveurs et les clients. Il prend en compte un serveur RADIUS
pour l’authentification. Du côté client, un simple login/mot de passe est à renseigner.

26
q) Squid et SquidGuard:

Squid est un serveur mandataire, en anglais un proxy, entièrement libre et très


performant.

Squid est capable de gérer les protocoles FTP, HTTP, HTTPS. Il est généralement
utilisé pour des fonctions de filtrage d'URL ou en tant que tampon. Les pages Internet
sont stockées localement ce qui évite d'aller les recharger plusieurs fois et permet
d'économiser la bande
passante .

SquidGuard est un filtre, un redirecteur et un plugin de contrôle d'accès pour Squid. Il


va notamment permettre d'appliquer sur un proxy une liste noire de sites ou mots-clés
interdits

27
r) IPS ET IDS:

IDS :
IDS ont été mis en place pour surveiller de maniére passive le traffic sur un réseau. Il copie le flux de
traffic et analyse le traffic copié. Travaillant hors ligne , il compare le flux de traffic avec des
signatures malveillantes connues, similaire a un logiciel qui recherche les virus .

IPS :
IPS s’appuis dur la technologie IDS , il travaille en mode en ligne, lorsqu’un paquet arrive a travers
une interface sur IPS , ce paquet n’est pas envoyé a l’interface de sortie tant que le paquet n’a pas
été analysé .

Signature :
Une signature est un ensemble des régles utilise pour détecter une activité malveillante .

Snort :
Snort est un système de détection et de prévention des intrusions. Il peut être configuré pour
simplement enregistrer les événements réseau détectés pour les enregistrer et les bloquer.

28
SYSTEMES & OUTILS UTILISES

VMware Workstation propose un outil de virtualisation de système


d'exploitation (OS) sur une machine hôte. L'application s'appelle ici un
hyperviseur et peut créer des machines virtuelles (VM) complètes avec gestion
du son, de la vidéo, du réseau, de la quantité de RAM, des disques durs, des
processeurs, etc. VMware Workstation peut intercepter des périphériques USB
lors de leur connexion pour les intégrer à l'OS invité. Le logiciel autorise de
lancer plusieurs VM simultanément, les mettre en pause pour les reprendre
plus tard dans l'état laissé précédemment, etc. Enfin, VMware Workstation
met à disposition des utilisateurs une connexion VNC pour l'accès au bureau à
distance du système invité et faciliter ainsi les démonstrations logicielles sur
un OS propre.

29
PFsense est un système sous Linux FreeBSD proposé nativement pour assurer
des fonctions de routeur/pare-feu. Il est connu pour sa fiabilité et sa sécurité,
OpenSource et adapté à tout type de besoin même en entreprise.

Voici quelqu’une de ses principales fonctionnalités :

 Gestion complète par interface web (facilitation d’administration).


 Pare-feu stateful avec gestion du NAT.
 Gestion de multiples WAN.
 DHCP server et relay.
 Filtrage.
 Serveur proxy.
 VPN Ipsec, OpenVPN, L2TP.
 Portail captif.

30
Mise en œuvre
Voici la topologie que nous allons mettre en place :

31
a) Préparation de la configuration des VMnet Sous VMWare :

Ouvrir VMWare et cliquer sous VM puis Virtual Network Editor pour configurer les
paramètres réseaux des deux VMnet, la première VMnet0 c’est pour le réseau WAN et
VMnet1 pour le réseau LAN.

Par défaut, VMnet0 est configuré pour utiliser le mode de pontage automatique et
est configuré pour se connecter à toutes les cartes réseau actives sur le système
hôte. Vous pouvez utiliser l'éditeur de réseau virtuel pour remplacer VMnet0 par un
pont vers une carte réseau hôte spécifique ou restreindre les cartes réseau hôte
auxquelles VMnet0 se connecte automatiquement. Les modifications que vous
apportez affectent toutes les machines virtuelles qui utilisent un réseau ponté sur le
système hôte.

32
Nous devons ajouter une nouvelle VM « VMnet1 » pour le réseau LAN avec le réseau
192.168.191.0/24 c’est-à-dire avec un masque de sous réseau 255.255.255.0 et avec un nombre
de machine de 254 machines nous avons désactiver l’option du DHCP parce que PFSENSE qui va
prendre le rôle d’un serveur DHCP pour le LAN.

33
b) Installation du PFSENSE sous VMware Workstation :

Téléchargez l’image de pfSense dans la section « Download » de pfSense


(http://www.pfsense.com).
Démarrez votre ordinateur à partir du cd de l’image de pfSense, l’installation va alors
commencer

La première étape consiste à ouvrir VMware Workstation Pro file


New Virtual Machine choisissez Typical est cliquer sur suivant.

34
Après choisissez l’image iso du PFSENSE.

Choisissez le Type du système à installer.

35
Définissez un nom pour la machine avec la location d’installation.

Définissez l’espace du disque que vous voulez donnez à l’espace d’installation du


pfsense.

36
Dans cette étape de la configuration il faut choisir la taille du RAM que nous allons utiliser
pour l’utilisation du PFSENSE.

37
La dernière étape de configuration avant de lancer l’installation il faut
configurer le réseau sous VMware :

Le type Bridge : Ce mode est surement le plus utilisé puisqu’il permet de connecter une
machine virtuelle directement sur le réseau physique sur lequel est branchée la carte
réseau physique de l’hôte.

Le type Host-Only : Ce type de connexion ne permet pas de sortir vers un


réseau extérieur, ni d’accéder au réseau local par l’intermédiaire de la carte
réseau physique de la machine physique hôte.

Comme son nom l’indique, ce mode permet uniquement d’établir une


connexion entre la machine virtuelle et la machine physique. Cela par
l’intermédiaire de l’adaptateur virtuel de la machine virtuelle et l’adaptateur
virtuel de la machine physique qui obtiendront des adresses IP via le serveur
DHCP virtuel de l’hyperviseur.

38
Après cette étape nous cliquons sur Ok pour valiser après nous cliquons sur
« Power on this virtual machine » pour lancer l’installation.

39
Voici donc notre installation va bientôt démarrer.

L'installation qui va suivre se fait en acceptant toutes les options par défaut. Il
suffit d'accepter toutes les demandes (formatage si nécessaire et création de la
partition).

40
On choisit d’installer pfSense facilement et rapidement.

Sélectionner French dans le menu déroulant

41
Sélectionner : Continue with fr.kbd keymap

Auto (UFS) : OK

42
Patientez pendant l’installation

Sélectionner : No

43
Sélectionner : Reboot

Et voilà ! l’installation se termine ici

44
Pour se conncter à l’interface de configuration on utilisera l’adresse ip de l’interface LAN
http://192.168.191.1

le compte login/pass par défaut est admin/pfsence.

45
A ce stade là, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup Wizard du
menu System, puis on tape Next.

Eclaircicement des champs demandés :

 Hostname : le nom du Host

 Domain: le domaine si c’est déjà établis si non on laisse le choix par défaut.

 Primary (Secondary) DNS Server : l’adresse primaire (secondaire) du serveur DNS à utiliser.

NB : vous pouvez très bien utiliser des serveurs DNS distant.

Next …

46
Ici on déclare le serveur d’horloge avec lequel on doit se sychroniser, par défaut c’est
0.pfsence.pool.ntp.org

Puis Next …

Là, on arrive à une étape très importante, on doit configurer notre interface WAN.

47
Ici il est demandé de choisir le type de configuration de l’interface WAN différent choix sont
disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est basé sur la manière avec laquelle notre
interface va être utiliser.

Le champs MAC Address c’est pour définir une adresse MAC pour l’interface, Pfsence lui affecte
une adresse par défaut si on le laisse vide.

MTU c’est pour la taille du fragement qui doit traverser le réseau.


La suite de configuration est basé sur le type de l’interface WAN (Static,DHCP,PPoE ou PPTP).

Block RFC1918 Private Networks : si cette case est cochée, le parfeu va bloquer tous le trafic
issue des adresses privés ou de loopback.

Block bogon Networks : Pour bloquer les paquets dont l’adresse source est non définie par l’IANA.

Next …

48
Maintenant c’est le temps pour configurer l’interface LAN.

Cette page s’affiche (permet de changer le mot de passe de l’interface Web).

49
Maintenant nous allons configurer le WAN comme vous voyez dans notre cas en laissons le WAN en
DHCP pour qu’il prend la configuration IP depuis le routeur de l’entreprise est pour éviter aussi le
conflit d’adressages.

50
Pour le LAN nous utilisons une configuration statique d’adresse IP parce que pour le LAN c’est
pfsense qui va prendre en charge le rôle du routeur & le passerelle par défaut pour les machines
clients du LAN.

51
Voici donc le résultat de la configuration des deux interfaces.

52
c) Configuration DHCP pour les machines Clients du LAN :

Cocher l’option « Enable DHCP server LAN interface » pour activer le serveur DHCP.

53
Après pour cette étape de la configuration il faut choisir la plage d’adressage que vous
voulez que le serveur DHCP les distribués au machine client du LAN.

Pour les deux configurations suivantes pour que les machines clients du LAN se
connecter à internet il faut que le serveur DHCP distribue aussi le DNS et la
passerelle par défaut, dans notre cas nous avons utilisé le DNS du google et la
passerelle par défaut 192.168.191.1 qui est l’adresse IP du LAN du pare-feu
pfsense.

54
Voici donc notre résultat de la configuration des paramètres réseaux pour
les machines clients du LAN :

Même après cette configuration les machines client ne peuvent pas se connecter à internet
c’est pour cela il faut configurer le NAT.

En réseau informatique, on dit qu'un routeur fait du network address translation (NAT)
(« traduction d'adresse réseau » ou « translation d'adresse réseau »)
lorsqu'il fait correspondre des adresses IP à d'autres adresses IP. En particulier,
un cas courant est de permettre à des machines disposant d'adresses qui font
partie d'un intranet et ne sont ni uniques ni routables à l'échelle d'Internet, de
communiquer avec le reste d'Internet en semblant utiliser des adresses
externes uniques et routables.

55
d) Configuration du NAT :

Maintenant après la configuration du Serveur DHCP pour que les


machines du LAN se connecte à internet il faut configurer le NAT.

56
57
Maintenant après cette configuration les machines du réseau LAN peuvent
maintenant se connecter à internet.

58
e) Mise en place de règles firewall (pare-feu) :

Se connecter à l’interface d’administration

Pfsense. Cliquer sur “Firewall” puis sur

“Rules”.

Voici donc les règles par défaut, avant de commencer il faut désactiver ces deux règles.

59
60
Maintenant en commence par bloquer toute communication vers LAN :

61
Voici donc le résultat de cette configuration :

Pour que les machines du LAN puissent se connecter à internet il faut autoriser

trois ports : HTTP + HTTPS + DNS.

62
Le port 80 pour HTTP.

63
Le port 443 pour HTTPS.

64
65
Le port 53 pour DNS.

66
67
Et pour augmenter la sécurité il faut bloquer le PING depuis le WAN vers le LAN.

68
Après cette configuration du NAT et l’autorisation des protocoles DHCP,
DNS, HTTP, HTTPS en peut maintenant se connecter à internet depuis le
LAN.

69
Voici donc la dernière configuration des Rules.

70
f) Configuration du DNS :

Par défaut, pfSense utilise un resolver DNS pour les requêtes.


La configuration du service est située dans l'onglet Services -> DNS Resolver.

Les serveurs DNS utilisés par le resolver sont paramétrables dans System -> General Setup -> DNS
Server Settings.

71
g) Configuration du SSH:

Pour Activer l'accès SSH à pfSense, aller dans System -> Advanced -> Admin Access

Dans la partie Secure Shell, cocher Enable Secure Shell

Il est également possible de choisir l'authentification par clé ou encore de changer le port
d'écoute.

72
h) Configuration Captive Portal avec Authentification Utilisateur :

pfSense dispose d’un portail captif. Le portail captif force les clients d’un réseau à afficher une
page Web d’authentification avant de pouvoir se connecter à Internet.

Il est utilisé dans des réseaux qui assurent un accès public tels que les espaces d’accueil ,
établissement scolaires …

Sélectionner : Services – Captive Portal

Cliquez sur “+ Add”

Renseigner le Nom du Portail Captif et sa description

73
Activer “Enable Captive Portal” et sélectionner l’interface “LAN”

Maximum concurrent connections : 1 (Limite le nombre de connexions simultanées d’un même


utilisateur)

Idle timeout (Minutes) : Choisir entre 1 a 5 (Les clients seront déconnectés après cette période
d’inactivité)

74
Activer “Enable logout popup window” (une fenêtre popup permet aux clients de se
déconnecter)

Définir “After authentication Redirection URL” (URL de redirection après connexion

http://….. devant le domaine)

Activer “Disable Concurrent user logins” (seule la connexion la plus récente par nom

d’utilisateur sera active)

Activer “Disable MAC filtering” (nécessaire lorsque l’adresse MAC du client ne peut pas être
déterminée)

75
Sélectionner “Use an Authentication backend”

Sélectionner “Local Database” pour “Authentication Server”

Attention : Ne pas sélectionner “Local Database” pour “Secondary Authentication Server”

Activer “Local Authentication Privileges” (Autoriser uniquement les utilisateurs avec les droits
de “Connexion au portail captif”)

Puis cliquez “Save”

76
Résultat

77
i) Configuration Utilisateur pour Délégation du Portail Captif :

Création d’un groupe et utilisateur qui aura pour fonction de créer des Utilisateurs autorisés a se
connecter au Portail Captif. Ce groupe et utilisateurs associés auront seulement le droit de créer
des Utilisateurs du Portail Captif.
Sélectionner : System – User Manager

78
Onglet “Users“, cliquez sur “+ Add”

Entrer un Nom d’Utilisateur “bsiss”, son mot de passe et sa description (Agent autorisé a créer
des utilisateur du Portail Captif).

79
La délégation pour l’utilisateur “bsiss” est autorisé a créer des utilisateurs pour connexion au
Portail Captif

80
j) Configuration VPN IPsec :

le premier routeur pfSense :

Sur le premier routeur pfSense, Naviguer dans VPN => IPsec.

81
Cliquer ensuite sur l’icône Add.

Au niveau de la ligne Remote Gateway indiquer l’adresse du routeur pfSense situé dans le
Datacenter 2 (l’IP doit correspondre à l’IP Wan).

82
Dans la partie suivante sélectionner les options suivantes :

 My identifier : Peer IP address + IP Wan Datacenter 1


 Pre-Shared Key : Clé d’authentification qui sera a entrée sur nos 2 routeurs.
 Encryption Algorithm : AES
 Hash : SHA256

83
Enregistrez ensuite la configuration puis cliquez sur Show Phase 2 Entries.

Choisir alors les options suivantes :


 Mode : Tunnel IPv4
 Local Network : LAN + Addresse IP Lan
 Remote network : Network
 Protocol : ESP
 Encryption Algorithms : AES
 Hash Algorithms : SHA256

84
Sauvegarder et appliquer les changements.

La configuration est maintenant terminée sur le premier routeur Pfsense.

85
Effectuer ensuite la même configuration sur le routeur pfSense du Datacenter2 en faisant
correspondre les adresses IP.

Enfin,activer sur les deux routeurs les règles pour permettre les communications site à site.

Aller dans Firewall => Rules et ajouter les règles IPsec pour permettre ICMP.

86
Pour terminer activer sur les deux routeurs le tunnel dans Status => IPsec en cliquant sur
Connect VPN pour démarrer la connexion IPsec site à site. Patientez ensuite 1 à 2 minutes le
temps que la connexion VPN monte.

87
le douzième routeur pfSense :

Sur le douzième routeur pfSense, Naviguer dans VPN => IPsec.

88
Cliquer ensuite sur l’icône Add.

Au niveau de la ligne Remote Gateway indiquer l’adresse du routeur pf Sense situé dans le
Datacenter 1 (l’IP doit correspondre à l’IP Wan).

89
Dans la partie suivante sélectionner les options suivantes :

 My identifier : Peer IP address + IP Wan Datacenter 2


 Pre-Shared Key : Clé d’authentification qui sera a entrée sur nos 2 routeurs.
 Encryption Algorithm : AES
 Hash : SHA256

90
Enregistrez ensuite la configuration puis cliquez sur Show Phase 2 Entries.

Choisir alors les options suivantes :


 Mode : Tunnel IPv4
 Local Network : LAN + Addresse IP Lan
 Remote network : Network
 Protocol : ESP
 Encryption Algorithms : AES
 Hash Algorithms : SHA256

91
Sauvegarder et appliquer les changements.

La configuration est maintenant terminée sur le douzième routeur Pfsense.

92
Enfin,activer sur les deux routeurs les règles pour permettre les communications site à site.

Aller dans Firewall => Rules et ajouter les règles IPsec pour permettre ICMP.

93
Pour terminer activer sur les deux routeurs le tunnel dans Status => IPsec en cliquant sur
Connect VPN pour démarrer la connexion IPsec site à site. Patientez ensuite 1 à 2 minutes le
temps que la connexion VPN monte.

94
k) Installation package Squid proxy pFsense:

Sélectionner : System , Package Manager

Sélectionner “Available Packages” , dans la recherche taper “squid” puis cliquez sur “Search”

Installer les 3 packages un par un : Squid , SquidGuard , LightSquid

95
Installation des Packages

96
Les 3 Packages sont installés

97
l) Interception SSL squid sous pFsense :

Sélectionner : System , Cert. Manager

Cliquer sur “Add”

98
Donner un Nom au certificat : “Cert_SSL_TRI” , laisser le reste par défaut et cliquez sur “Save”

Le Certificat est créé

99
m) Configuration de Squid sous pFsense :

Sélectionner “Services” et “Squid Proxy Server”

100
Sélectionner : Local Cache et paramétrer le “Hard Disk Cache Size” a 500 Mo puis cliquer sur “Save”

101
Onglet “General” : Activer “Enable Squid Proxy”

Activer Transparent HTTP Proxy

102
Activer “HTTP/SSL Interception SSL filtering” , sélectionner “Splice Whitelist, Bump Otherwise” et le
Certificat précédemment créé “Cert_SSL_TRI”

Puis Cliquer sur “Save” pour enregistrer toutes les modifications effectuées dans Squid

103
n) Authentification LOCAL proxy sous pFsense:

Configurer mes utilisateurs dans Services > Proxy > Users :

Cliquez sur Add pour ajouter un utilisateur :

Donner un Nom utilisateur : “bsiss” , cliquez sur “Save” :

104
Select LOCAL Authentication method in Services > Proxy > Authentication :

Sélectionné « local » :

Ajouter un commantaire de l’authentification :

105
o) Configuration de SquidGuard sous pFsense :

Sélectionner “Services” et “SquidGuard Proxy Filter”

106
Activer SquidGuard “Enable”

Activer “Enable Blacklist” et inserer dans Blacklist URL : http://dsi.ut-


capitole.fr/blacklists/download/blacklists_for_pfsense.tar.gz

Puis cliquez sur “Save”

107
Onglet “Blacklist” : Cliquer sur “Download” pour télécharger les listes de filtrage

Onglet “Common ACL” Cliquer Deny “Movies” :

Test :

108
p) Configuration IPS ET IDS :

Accédez à Systéme> Gestion de packages> Packages disponibles. Trouvez Snort et


cliquez sur installer.

109
Accédez à Service> Snort> Paramétres globaux .Cochez “Activer Snort VRT” et insérez
votre code Snort Oinkmaster.

Réglez l’interval de mise a jour sur 12 HEURES :

110
Service> Snort> Mise a jour> Mettre a jour votre ensemble des régles, cliquez sur Mettre
a jour :

La mise a jour est Réussi :

111
Snort Interfaces> None Settings> cochez l”interface WAN :

Si vous pouvez avoir un journal Snort dans les journaux systéme , Cochez “Envoyer des
Alerts aux journaux Systéme”
Laissez les autres Paramétres a leurs valeurs par défaut et Enregistrer .

112
Vous trouverez maintenant sous Trier les interfaces l’interface que vous venez de créer.
Cliquez sur l’icone modifier sous Actions :

Cliquez sur Catégorie LAN, cochez “Utiliser la stratégie IPS” et choisissez la stratégie “
Security” :

113
Trouvez vos Alertes dans Services> Snort> Alertes :

114
Conclusion
Les pares-feux sont devenus très populaires en tant qu’outils de sécurité pour les
réseaux. Un firewall offre au système une protection d’un réseau interne, contre
un certain nombre d’intrusions venant de l’extérieur, grâce à des techniques de
filtrage rapides et intelligentes.

Un pare-feu donc a pour fonction de faire respecter la politique de sécurité


du réseau, celle-ci définissant quels sont les types de communication
autorisés ou interdits.

Nous avons utilisé deux stratégies de filtrage la première c’est avec un filtrage simple en
utilisant les ports de chaque service à bloquer ou bien à autoriser, et la deuxième en se
servant des solutions libres, à savoir Squid pour le proxy et SquidGuard pour
l’élément de filtrage. Tout l’intérêt ici réside dans la facilité de filtrage que
Squid et SquidGuard peut nous fournir, tout en gardant une grande efficacité en
se basant sur une liste noire « ici Shalla » mise à jour régulièrement. Nous
gardons également la possibilité de rajouter simplement nos propres entrées.
Tout ceci de manière transparente pour l’utilisateur.

115

Vous aimerez peut-être aussi