Académique Documents
Professionnel Documents
Culture Documents
Titre du PFF
Mise en place d'un pare-feu open source « Pfsense »
Adresse : Rue Alan Safari 1003 City Elkhadhra حي الخضراء1003 عن طريق آالن سفاري:العنوان
Téléphone : 71 771 647 Fax : 71 809 676 71809676 : الفاكس71771647 :الهاتف
Site Web : www.isetr.rnu.tn
www.csftk.blogspot.com :موقع الواب
DEDICACES
Je dédie ce travail
A ma fiancée Khouloud,
Pour l’amour et l’affection qui nous unissent. Je ne saurais
exprimer ma profonde reconnaissance pour le soutien continu dont tu as
toujours fait preuve. Tu m’as toujours encouragé, incité à faire de mon
mieux, ton soutien m’a permis de réaliser le rêve tant attendu. Je te dédie
ce travail avec mes vœux de réussite, de prospérité et de bonheur. Je prie
Dieu le tout puissant de préserver notre attachement mutuel, et d’exaucer
tous nos rêves.
A mes chers amis, En souvenir de nos éclats de rire et des bons
moments. En souvenir de tout ce qu’on a vécu ensemble. J’espère
de tout mon cœur que notre amitié durera éternellement.
Ksouri Khairi
REMERCIEMENT
Mes remerciements s’adressent aussi à tous les professeurs ainsi qu’au personnel de Centre
Sectoriel de Formation en Télécommunications, Cité El-Khadra pour leur soutien tout au long
de nos études.
Mes vifs remerciements s’adressent aux membres de jury qui ont accepté d’évaluer mon
travail.
Les mots nous manquent pour exprimer ma profonde gratitude à ma famille tendre dont
l'amour, la patience et les sacrifices sont inscrits sur chaque page de ce document. Enfin, il est
agréable d’exprimer mes profondes et respectueuses gratitudes et nos sincères remerciements
à toutes les personnes qui ont soutenu ce travail et aidé, de près ou de loin, à le mener à bien.
SOMMAIRE
Introduction générale
"Rien ne devient RÉEL tant qu'il n'est pas expérimenté." - John Keats
1
Chapitre 1
1. Contexte du projet
Plan
Introduction
1. Contexte du projet ............................................................................................................ 2
2
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Introduction
Au niveau de ce premier chapitre, je me suis intéressée tout d’abord au cadre général de mon
projet. Je vais présenter l’organisme d’accueil en détaillant son organigramme et sa formation.
Ensuite, je vais décrire l’état de l’art ainsi que la problématique liée à mon projet. Enfin, nous
je vais poser la solution envisagée pour aboutir aux objectifs fixés par le projet.
Automatisme et informatique industrielle « A2I » est une société crée en 2012 spécialisée dans
les secteurs : les systèmes de surveillances, audio-visuel, informatique, informatique industriel
et réseau.
1.1.2. Objectifs :
3
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
1.1.3. L’organigramme :
Chef d'equipe
Ingéneireur d'auomatisme
responsable
Gestion et
comptabilisation
Maintenance et
Technicien
Technicien Reseau devlopment
automatisme
informatique
Figure 2 : Organigramme
1.1.4. Mission
Le rayonnement de l’entreprise « A2I » sur le plan Tunisien avec leurs services de qualité et
réputation bien traiter, ils veulent maintenir un niveau de compétences optimum. Tant
concernant les dernières technologies, que dans le développement de nouveaux systèmes afin
d’anticiper les besoins de leurs clients.
4
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Suite à une recherche détaillée sur les réseaux des entreprises, j’ai dégagé les critiques
suivantes:
• Absence d’un firewall (un réseau pas sécuriser)
• Absence de VPN site to site
Le but de mon projet est d’implanté une solution de sécurité d’un pare-feu open source
« Pfsense » dans deux sites distants.
Conclusion
Ce premier chapitre a été consacré à la présentation de l’organisme d’accueil et la mise du
projet dans son cadre général, en introduisant la problématique et les objectifs du projet, ainsi
que les solutions proposées
5
Chapitre 2
2. Etude de la réalisation
Plan
Introduction
2. Etude de la réalisation...................................................................................................... 6
2.3.2. Les systèmes utilisés pour chaque périphérique utilisé dans la topologie : 11
6
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Introduction
Afin de bien mener mon projet, j’ai à étudier les exigences physiques et logiciels nécessaires,
les configurations requissent et l’étude de la topologie.
« GNS3 » est utilisé par des centaines de milliers d'ingénieurs réseau dans le monde pour
émuler, configurer, tester et dépanner des réseaux virtuels et réels. « GNS3 » vous permet
d'exécuter une petite topologie composée de seulement quelques appareils sur votre ordinateur
portable, à ceux qui ont de nombreux appareils hébergés sur plusieurs serveurs ou même
hébergés dans le cloud.
Systèmes d'exploitation pris en charge :
7
2.1.2. Configuration système requise pour exécuter VMware :
« VMware Workstation » s'exécute sur du matériel x86 standard avec des processeurs
Intel et AMD 64 bits, et sur des systèmes d'exploitation hôtes Windows ou Linux 64 bits.
« VMware » est une meilleure option car il est plus rapide et prend en charge la
virtualisation imbriquée (les machines virtuelles à l'intérieur de la machine virtuelle sont
accélérées par votre CPU). La différence de vitesse est importante et certaines VM seront trop
lentes sur VirtualBox.
Configuration requise :
❖ Notez que les hôtes Windows 7 ne sont plus pris en charge, Workstation 16 ne
fonctionnera pas sur eux.
2.1.3. GNS3 VM :
Pourquoi la machine virtuelle GNS3 est-elle requise ?
La VM GNS3 est une machine virtuelle Linux avec un serveur GNS3 à l'intérieur. Cela
vous permet d'exécuter des éléments sur le contrôleur Linux à partir de votre PC Windows. La
raison principale est que certains émulateurs ne fonctionnent pas sous Windows.
8
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
2.2. Pfsense :
2.2.1. Présentation :
• Pfsense 2.2 est basé sur FreeBSD 10.1 ce qui apporte non seulement de nombreux
correctifs de sécurité, mais aussi une meilleure prise en charge du matériel et de la
virtualisation.
• Changement de démon IPSec racoon par strongSwan avec la gestion d'IKEv2, AES-GCM
entre autres.
2.2.2. Caractéristique :
Pfsense ne fait pas seulement firewall, elle offre toute une panoplie de services réseaux.
Je vais vous en présenter une partie, celles que j'ai utilisées ou qui me semblent intéressantes.
• Interface web.
• NAT.
• Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP…).
9
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
• Proxy transparent.
• DNS Dynamique.
• Portail captif.
• Multi-WAN.
10
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
2.3.1. Présentation
Pour répondre aux différentes exigences posées par mon sujet je vais créer deux réseaux
LAN qui ne partage pas le même WAN, ainsi que chaque LAN va être relier par notre solution
de sécurité « Pfsense » C.à.d. 2 pares-feux, et qui sont à leur tour liés par le réseau externe qui
se résume à trois routeurs Cisco 7200 relier entre eux, utilisent le protocole de routage OSPF.
Une DMZ (zone démilitarisée) qui contient les serveurs publics de l'entreprise et qui doit
être sépare à l’autre utilisateurs.
Un administrateur PC-1 : Ce Pc est la seule machine qui peut accède au serveur DMZ
et L’interface de Pfsense après la DMZ.
Un Client ou utilisateur PC-2 : cette machine représente les utilisateurs d’un réseau Lan
dans l’entreprise, Toute machines dans ce réseau n’as pas d’Access ni avec l’administrateur ni
avec Le serveur DMZ.
Parafeux « Pfsense Site distant » pour la sécurité du Lan 2 Ainsi que notre VPN sera entre
les deux Pfsense
11
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Adaptateur 2
Vmnet 9 NAT 192.168.16.0 255.255.255.0 192.168.16.1
GNS3 VM
Adaptateur 1
Vmnet 6 Host only 10.0.0.0 255.255.255.0 10.0.0.1
pfsense
Adaptateur 2
Vmnet 5 Host only 192.168.16.0 255.255.255.0 192.168.16.2
pfsense
Adaptateur 3
Vmnet 7 Host only 192.168.17.0 255.255.255.0 192.168.17.1
pfsense
Adaptateur 4
Vmnet 4 Host only 192.168.25.0 255.255.255.0 192.168.25.1
pfsense
Adaptateur 1
Vmnet 10 Host only 10.10.10.0 255.255.255.0 10.10.10.1
Pfsense distant
Adaptateur 2
Vmnet 3 Host only 172.16.0.0 255.255.255.0 172.16.0.1
Pfsense distant
12
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
13
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Chapitre 3
3. Réalisation
Introduction………………………………………………………………………………….15
3.2. Réalisation : …………………………………………………………………….……15
3.2.1. Topologie : ……………………………………………………………………….…..16
3.1.2. Configuration des adaptateurs virtuels : ………………………………………..….16
3.2. Configuration Pfsense : ………………………………………………………….….19
3.2.1. Configuration des Vmnet : ……………………………………………………..……19
3.2.2. Paramétrer les interfaces : ……………………………………………………..…...19
3.2.3. Interface WEB Pfsense : ………………………………………………………...…..20
3.3. Configuration Pfsense distante : ……………………………………………………21
3.3.1 Configuration des Vmnet……………………………………………………………21
3.3.2. Paramétrer les interfaces : ………………………………………………………….21
3.3.3. Interface Pfsense : …………………………………………………………………...22
3.4. Configuration des routeurs : ………………………………………………………..23
3.4.1. Ajouter un Ios Cisco routeur sous GNS3 : …………………………………………23
3.4.2. Configuration R1 : …………………………………………………………………..24
3.4.3. Configuration R2 : ……………………………………………………………..……25
3.4.4. Configuration R3 : ……………………………………………………………..……26
3.5. Configuration de serveur DMZ : ……………………………………………..……27
3.6. Configuration Administrateur : ……………………………………………………28
3.7. Configuration PC-utilisateur : …………………………………………………..…28
3.8. Configuration PC-distant : …………………………………………………………29
4. Configuration de filtrage et des règles Pfsense : ……………………………………30
5. VPN Site-to-Site IPsec entre deux Pfsense : ………………………………….……35
5.2. Présentation : ……………………………………………………..…………………35
5.3. Création : ………………………………………………………………….…………35
CONCLUSION………………………………………………………………………………40
14
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Introduction
Après la recherche théorique et après avoir comprendre les mécanismes nécessaires
pour le travail, nous allons faire la mise en œuvre.
Dans ce présent chapitre, nous allons décrire les étapes du travail. Dans un premier
temps, nous présentons l’environnement matériel et logiciel utilisé. Dans un second temps, nous
présentons des captures d’écran montrant les fonctionnalités du notre projet tels que les étapes
d’installation, de configuration et les tests d’authentification.
3.2. Réalisation :
15
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
3.2.1. Topologie :
Figure 3 : Topologie
➢ Le mode Host-only qui permet de connecter des machines virtuelles entre-elles ou/et avec
la machine physique.
➢ Le mode Bridged qui permet de connecter une machine virtuelle au réseau externe.
16
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
La configuration des Vmnet se fait grâce à l'outil "Virtual Network Editor" qui vient
avec l'installation de VMware Workstation.
Pour ajouter ou supprimer une carte réseau hôte de la liste des cartes incluses :
1. Cliquez sur Modifier > Éditeur de réseau virtuel.
2. Sélectionnez Connecter un adaptateur virtuel hôte à ce réseau.
3. Cliquez sur Appliquer.
1. Cliquez sur Modifier > Éditeur de réseau virtuel et sélectionnez la carte réseau
virtuelle.
2. Sélectionnez Utiliser le service DHCP local pour distribuer l'adresse IP aux
machines virtuelles et cliquez sur Paramètres DHCP.
3. Modifiez le troisième numéro de l'adresse IP. Par exemple, 192.168.x.0 ou
198.16.x.0. En général, ne modifiez pas le masque de sous-réseau. Certains services
de réseau virtuel peuvent ne pas fonctionner aussi bien avec un masque de sous-
réseau personnalisé.
4. Cliquez sur Appliquer
17
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
18
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
19
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Apres la création des interfaces je dois définir l’adresse IP pour chaque interface crée, pour cela
je dois accéder à la deuxième option : définir l'adresse IP des interface (s).
3.2.3. Interface WEB Pfsense :
On lance l’interface web de configuration à travers un poste de client. Au niveau de la barre de
navigation, on tape https://adresse-ip-lan. Ensuite, on doit s'authentifier pour accéder à
l'interface de Pfsense
Par exemple : dans mon cas pour accéder sur l’interface je tape : http://192.168.16.2/
Figure 9 : Interface Web Pfsense
Par défaut, le login est « admin » et le mot de passe « pfsense ». Je peux définir un nouveau mot
de passe à la première connexion, cela se fait depuis la page System/User manager.
Figure 10 - Première interface de Pfsense.
20
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Apres la création des interfaces je dois définir l’adresse IP pour chaque interface crée, pour
cela je dois accéder à la deuxième option : définir l'adresse IP des interface (s).
21
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
22
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
23
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
3.4.2. Configuration R1 :
• Le premier routeur R1 est connecté sur 3 Interfaces dont deux Port Serial et port Fast
Ethernet.
24
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
3.4.3. Configuration R2 :
• Le Deuxième routeur R2 est connecté sur 3 Interfaces dont deux Port Serial et 1 port
Fast Ethernet.
25
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
3.4.4. Configuration R3 :
26
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Pour le serveur DMZ j’ai choisir Windows server 2003, je dois alors crée une nouvelle machine
virtuelle et mettre l’adaptateur sur le même Vmnet choisi sur Pfsense pour l’interface du serveur
DMZ « Vmnet5 ».
Le Vmnet 5 est configurer avec L’option DHCP, Apres l’installation de la machine DMZ
prendra une adresse aléatoire de réseaux qui correspond à son Vmnet qui est 192.168.16.0
27
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
28
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
29
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
• WAN <—> DMZ : je vais autoriser uniquement les ports nécessaires (il est
possible d’autoriser tout le trafic).
• DMZ <—> ADMIN : Tout autorisé.
• USER —> DMZ : contrairement ici, je dois autoriser uniquement les ports
nécessaires et bloquer le reste.
• ADMIN —> WAN : je laisse une connexion internet le LAN c’est déjà le cas
• USER —>. ADMIN : je dois autoriser uniquement les ports nécessaires et bloquer
le reste.
• ADMIN —> USER : Tout autorisé.
30
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Cliquez sur WAN et cliquez sur Ajouter : Cliquez sur Ajouter une autre fois :
31
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Cliquez sur ADMIN et cliquez Cliquez sur Ajouter une autre fois :
sur Ajouter : • Règle
• Règle o Action : Autoriser (Pass)
o Action : Autoriser (Pass) o Interface : ADMINISTRATION
o Interface : ADMINISTRATION o Famille d’adresse : IPv4
o Famille d’adresse : IPv4 o Protocole : Tout (any)
o Protocole : ICMP o Sous-types ICMP : Tout (any)
o Sous-types ICMP : Tout (any) • Source
• Source o Source :
o Source : ADMINISTRATION net o Plage de port source : Tout / Tout
o Plage de port source : Tout / Tout • Destination
• Destination o Destination : Tout
o Destination : Tout o Plage de port source : Tout / Tout
o Plage de port source : Tout / Tout • Options additionnelles
• Options additionnelles o Description : Allow LAN to ALL rules
o Description : ALLOW ICMP WAN TO Enregistrer
ALL
Enregistrer
32
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Cliquez sur DMZ et cliquez sur Ajouter : Cliquez sur Ajouter une autre fois :
• Règle • Règle
o Action : Autoriser (Pass) o Action : Bloquer (Block)
o Interface : DMZ o Interface : DMZ
o Famille d’adresse : IPv4 o Famille d’adresse : IPv4
o Protocole : Tout (any) o Protocole : Tout (any)
o Sous-types ICMP : Tout (any) o Sous-types ICMP : Tout (any)
• Source • Source
o Source : DMZ net o Source : DMZ net
o Plage de port source : Tout / Tout o Plage de port source : Tout / Tout
• Destination • Destination
o Destination : ADMINISTRATION o Destination : User net
o Plage de port source : Tout / Tout o Plage de port source : Tout / Tout
• Options additionnelles • Options additionnelles
o Description : ALLOW ALL TO ADMIN o Description : BLOCK ALL FROM USER
Enregistrer Enregistrer
33
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Cliquez sur USER et cliquez sur Ajouter Cliquez sur Ajouter une autre fois :
: • Règle
• Règle o Action : Bloquer (Block)
o Action : Autoriser (Pass) o Interface : USER
o Interface : USER o Famille d’adresse : IPv4
o Famille d’adresse : IPv4 o Protocole : ICMP
o Protocole : TCP o Sous-types ICMP : Tout (any)
o Sous-types ICMP : Tout (any) • Source
• Source o Source : USER net
o Source : USER net o Plage de port source : Tout / Tout
o Plage de port source : Tout / Tout • Destination
• Destination o Destination : Tout (any)
o Destination : Tout (any) o Plage de port source : Tout / Tout
o Plage de port source : Tout / Tout • Options additionnelles
• Options additionnelles o Description : ALLOW ICMP FOR ALL
o Description : ALLOW LAN-USERS TO Enregistrer
ANY
Enregistrer
Figure 35 : Configurations des règles de filtrage sur l’interface USER
34
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
5.2. Présentation :
5.3. Création :
On commence donc par accéder à l'interface d'administration de notre premier Pfsense
(192.168.16.2 dans mon cas). On se rend directement dans le menu "VPN" puis dans "IPsec"
35
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Apres que l’interface VPN / IPsec / Servers S’ouvre on clique sur le bouton ajouter P1 :
Figure 37 : Ajout VPN IPsec
On se retrouve alors avec beaucoup d'options, toutes ont leur importance et leur
pertinence mais il n'est pas utile de toute les modifier. Nous allons ici nous contenter de faire
un VPN simple et fonctionnel, la compréhension, la modification et l'utilisation des différentes
options dépend de votre cadre d'utilisation. On commence par remplir l'IP de notre partenaire
VPN. Étant sur mon Pfsense 192.168.16.2, je mets l'IP du Pfsense distant 172.16.0.1, On peut
également y mettre une description :
Dans le second cadre qui se nomme "Phase 1 proposal", on va remplir le champ "Pre-Shared
Key"
36
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
On finit par cliquer sur "Save" puis sur "Apply changes" sur la page suivante. On va alors
cliquer sur le "+" présent en dessous de la première ligne du tableau qui se situe sur la page :
37
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Il n'est pas nécessaire de modifier les autres paramètres. On clique sur "Save" puis sur "Apply
changes" sur la page suivante. Si on redéveloppe le tableau principal avec le "+", nous aurons
quelque chose qui ressemble à cela :
Figure 43 : Résumé configuration VPN pfsense
Nous avons donc un résumé de notre configuration VPN. Il faut maintenant effectuer
exactement la même configuration du coté de notre deuxième Pfsense en adaptant bien entendu
les IP et les plages IP précisées et ne cochant la case "Enable PFsense" uniquement après
avoir saisi les configurations.
38
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Sur nos deux routeurs, on va alors aller dans "Firewall" puis "rules" pour aller dans
l'onglet "IPsec" et cliquer sur le "+" à droite du tableau pour ajouter une règle qui va autoriser
tous les flux à arriver depuis l'interface IPsec (ceci est bien entendu à adapter selon vos besoins)
la configuration de votre règle doit ressembler à cela :
Une fois ces deux configurations faites, on peut attendre une bonne minute que les pares-
feux négocient la construction du VPN.
Note : Si les réseaux WAN ont des plages IP de réseaux internes veillez bien à décocher la
case " Block private networks" dans les pages "Interfaces" > "WAN" des deux routeurs
sinon le pare-feu va tout simplement va bloquer les paquets arrivant du WAN et ainsi bloquer
la négociation du VPN.
Afin de tester le fonctionnement de nos Pfsense, nous pouvons effectuer un ping entre
les deux machines clientes pour vérifier leur bonne communication :
Figure 45 : Test de fonctionnement de VPN SITE TO SITE
Notre VPN est donc bien fonctionnel et les deux LAN arrivent désormais à communiquer au
travers de notre tunnel IPsec !
39
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
CONCLUSION
Les pare-feux sont devenus très populaires en tant qu’outils de sécurité pour les réseaux.
Un firewall offre au système une protection d’un réseau interne, contre un certain nombre
d’intrusions venant de l’extérieur, grâce à des techniques de filtrage rapides et intelligentes.
L’objectif de ce travail est la mise en place d’un firewall open source, PfSense comme solution
qui va nous augmente la sécurité du réseau.
Ce projet m’a permis de comprendre les concepts du pare-feu pfSense. L’interface et les
configurations que j’ai fait au long de ce projet m’a appris à gérer pfSense, et chaque
administrateur peut choisir sa propre stratégie pour son réseau, qui dépend de la taille, des
plateformes, des équipements..., en le réseau. En termes de perspective, je recommande
l'installation d'un package utile tel que la sauvegarde automatique, le squidguard, et snort, la
première aide à la redondance, la seconde à l'url filtrage plus c'est gratuit et publié sous licence
publique GNU, et le troisième est une intrusion Système de détection (IDS) publié sous la
licence open source GNU GPL
En clôturant ce présent rapport on veut noter que la réalisation de cette solution déroulée
dans de très bonnes conditions en nous permettant d’acquérir de nouvelles connaissances. Ainsi
que d’améliorer nos compétences et capacités d’adaptations.
40
Mise en place d’une solution de sécurité parafeu open source « Pfsense »
Les références :
➢ http://en.wikipedia.org/wiki/PfSense
➢ http://forum.pfsense.org
➢ http://doc.pfsense.org/index.php
➢ http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf
➢ http://doc.pfsense.org/index.php/PfSense_and_FreeBSD_Versions
➢ http://pfsensesolution.blogspot.com/2012/07/pfsense-features.html
➢ http://doc.pfsense.org/smiller/pfSenseQuickStartGuide.pdf
➢ http://doc.pfsense.org/index.php/Captive_Portal
➢ www.pcengines.ch/alix.htm
➢ www.pcengines.ch/wrap.htm
➢ http://www.linuxpedia.fr/doku.php/bsd/pfsense
➢ pfSense 2 Cookbook
➢ Tutorial-Pfsense
41