Académique Documents
Professionnel Documents
Culture Documents
pfSense est l'un des routeurs les plus complets et pare-feu systèmes d’exploitation
orientés là-bas aujourd'hui. Grâce au grand nombre d'options de configuration
avancées, pfSense convient à une utilisation à la fois au niveau domestique avancé,
ainsi que dans les petites et moyennes entreprises. Aujourd'hui, dans cet article, nous
allons vous expliquer comment configurer l'accès à pfSense via le web en utilisant le
protocole HTTPS sécurisé, et aussi comment configurer le serveur SSH avec la
meilleure sécurité possible, afin que l'authentification dans le système d'exploitation
soit effectuée en de manière cryptée et sécurisée.
Nous aurons également la possibilité d'activer le transfert sur le serveur SSH, pour
effectuer le tunnel SSH, par exemple. Enfin, on peut modifier le port d'écoute du
serveur SSH, dans le cas de ce protocole c'est TCP 22, mais on peut le changer, en
fait, pour des raisons de sécurité il est conseillé de changer le port par défaut du
serveur SSH.
Une fois que nous aurons configuré l'authentification, nous devrons configurer les
utilisateurs qui peuvent s'authentifier sur le serveur SSH, ainsi que les clés SSH que
possèdent lesdits utilisateurs. Si nous cliquons sur le lien hypertexte où il est dit
«utilisateur», cela nous mènera directement à «Gestionnaire système / utilisateur», et
ici nous pouvons ajouter un nouvel utilisateur avec des autorisations différentes.
Dans notre cas, nous avons ajouté un nouvel utilisateur qui appartient au groupe
«admins».
Une fois que vous avez cette autorisation, nous pouvons nous connecter au système
d'exploitation avec votre nom d'utilisateur. En fonction de ce que nous avons choisi
lors de l'authentification de l'utilisateur, nous devrons effectuer une action
supplémentaire:
Maintenant que le serveur SSH est correctement configuré, nous allons voir quelques
configurations supplémentaires.
En bas où nous avons la «liste de passage», nous pouvons mettre les adresses IP
publiques que nous autorisons pour passer ces protections, cela est nécessaire pour
des services comme UptimeRobot qui essaient de temps en temps de vérifier que le
serveur SSH ou Web est opérationnel.
D'autres configurations que nous devrions faire sont la section «Menu de la console»,
il est conseillé de la protéger par un mot de passe d'accès. Non seulement nous
aurons besoin d'avoir un accès physique à l'équipe pfSense, mais elle demandera
également une authentification par mot de passe pour root.
Dans le cas où vous n'avez pas d'autre choix que d'exposer les deux services (pour
une raison quelconque), nous vous recommandons d'installer et de configurer un
système de détection et de prévention des intrusions, tel que Snort ou Suricata. De
cette manière, vous aurez plus de contrôle sur les connexions établies et bloquerez
automatiquement les éventuelles attaques par force brute, déni de service, etc.
La même chose se produit si nous voulons autoriser ou refuser l'accès aux différents
VLAN que nous pouvons créer, la chose la plus normale est qu'un réseau défini
comme «Invités» n'a jamais accès au panneau d'administration pfSense, que ce soit
via le Web ou SSH. Cela doit être fait via la section «Pare-feu / Règles», définissant
des règles pour les adresses ou les réseaux d'origine et de destination de pfSense lui-
même, comme cela se fait habituellement.