Gemme Kilele

BTS SIO - Devoir SISR

Tutoriel

Sommaire :
I) Pf-sense
1) Présentation du concept
a- A quoi sert pf sense ?
b- Pourquoi pf sense
c- Fonctionnalité de pf sense …
2) Installation et Configuration
3) avantage et inconvénient de pf sense

II) Règles Pf sense

1-Règle d’ouverture des ports
2-regle de blocage
3-Redirection de port

III) OpenVpn
1-Presentation du concepte
2-Prérequis
3- Installation et configuration d’OpenVPN

1
Gemme Kilele
BTS SIO - Devoir SISR

I- PF-SENSE

1) Présentation du concept

Pf Sense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. À
l'origine un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage
et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Pf Sense convient pour la sécurisation d'un réseau domestique ou
d'entreprise

a- A quoi sert pf sense ?

Pf Sense permet la sécurité du réseau et est utilisé en tant que Pare Feu afin de protéger et voir les
tentatives d’infiltration réseau dans notre machine.

b- Pourquoi pf sense ?

• Il est open source

• Très stable et fiable
• Multifonction
• Performant

Retour au sommaire

2
 Gemme Kilele
BTS SIO - Devoir SISR

C- Fonctionnalité de Pf sence

Nous retrouvons dans pf Sense la plupart des fonctionnalités inclus dans des firewalls
commerciaux et quelques autres complémentaires. L'ensemble des fonctionnalités
présentés ci-dessous sont directement disponibles à partir de l’interface web, sans qu'il
soit nécessaire de taper une seule ligne de commande,
• Filtrage par source et destination au niveau des adresses IP, protocole IP, port source et
destination des protocoles TCP et UDP.
• Capacité à limiter le nombre de connexion règle par règle.
• Pf Sense utilise p0f, un utilitaire qui permet de filtrer de façon passive en fonction du type de
Système d’Exploitation qui initie la connexion. Vous souhaitez autoriser les systèmes FreeBSD et
Linux à accéder à l’Internet, mais bloquer les système Windows (ou l’inverse) ? pf Sense peut
réaliser cela en filtrant de façon passive les Systèmes d’Exploitation utilisés.

• Capacité à archiver les traces règle par règle.

• Grande flexibilité dans les politiques de routage en sélectionnant la passerelle par défaut règle
par règle (utile pour la répartition de charge, le failover ou le multi-WAN, etc.).

• Les Alias permettent de regrouper les règles et de nommer les adresses IPs, les réseaux et les
ports. Cela aide à conserver les règles de votre firewall propres et simple à comprendre.
Spécialement dans des environnements avec de multiples adresses IPs publics et de nombreux
serveurs.

• Filtrage de niveau 2 transparent permettant de passer les interfaces en mode pont et de filtrer à
ce niveau, éventuellement pour un firewall sans IPs (bien que vous souhaitiez probablement
avoir une IP pour la gestion de votre firewall…).

• Normalisation de paquets. La description donnée sur le site de pf Scrub est la suivante :

«Scrubbing est l’action de normaliser les paquets afin qu’il n’y ait pas d’ambiguïté sur
l’interprétation de la destination finale des paquets. La directive ‘scrub’ permet aussi de
réassembler les paquets fragmentés, protégeant ainsi certains OS de certaines formes
d’attaques. Elle supprime aussi les paquets TCP qui présentent des combinaisons incompatibles
».
o Activé par défaut sur pf Sense

3
 Gemme Kilele
BTS SIO - Devoir SISR

o Peut-être désactivé en cas de nécessité. Cette option peut provoquer des problèmes sur
certaines implémentations de NFS, mais doit normalement être laissé activé dans la plupart des
cas.
Retour au sommaire
• Désactiver l’ensemble du filtrage de votre firewall si vous souhaitez transformer pf Sense en un
routeur.

2) Installation et Configuration

Configuration de la VM Hyper-V

Il s’agit d’une machine virtuelle sur Hyper-V. La configuration est la suivante :

• 2 Cartes réseaux
• Disque dur de 10Go (minimum)
• Mémoire vive de 2 Go (minimum) pour ne pas que ça bug

4
Gemme Kilele
BTS SIO - Devoir SISR

Installation de pf Sense

Récupérez les informations liées à votre propre réseau. Dans ce mode opératoire, nous
utiliserons les éléments suivants :

• IP pf Sense (LAN): 192.168.2.1/24

• IP Réseau INTERNET (WAN) : 192.168.100.250/24
• IP PASSERELLE Internet : 192.168.100.254/24 (Adresse de votre Box Internet)
• IP DNS Internet : 8.8.8.8 (DNS Google)

Démarrer la VM

Accepter la licence

Retour au sommaire

5
Gemme Kilele
BTS SIO - Devoir SISR

Install pf Sense : OK

Sélectionner French dans le menu déroulant

Retour au sommaire

6
Gemme Kilele
BTS SIO - Devoir SISR

Sélectionner : Continue with fr.kbd keymap

Retour au sommaire

7
Gemme Kilele
BTS SIO - Devoir SISR

Auto (UFS) : OK

Patientez pendant l’installation

Sélectionner : No

8
Gemme Kilele
BTS SIO - Devoir SISR

Sélectionner : Reboot (Ne pas oublier d’éjecter le CD)

Saisissez “n” pour “no” pour la création de VLAN

9
Gemme Kilele
BTS SIO - Devoir SISR

Sélectionner la carte réseau internet WAN : hn0 – (Voir dans Hyper-V l’adresse MAC qui
correspond à la carte réseau externe)

Sélectionner la carte réseau local LAN : hn1 – (Voir dans Hyper-V l’adresse MAC qui correspond
à votre carte)

10
Gemme Kilele
BTS SIO - Devoir SISR

Appliquer les changements : “y” pour “yes”

Retour au Menu

Configuration de l’adresse IP de la carte réseau local LAN hn1

Sélectionner : 2 (Set interface IP address)

11
Gemme Kilele
BTS SIO - Devoir SISR

Sélectionner la carte réseau local LAN : 2

Saisissez l’adresse IP souhaitée : 192.168.2.1 (pour notre exemple)

Saisissez le masque sous réseau au format CIDR : 24

Laissez vide pour ne pas définir la passerelle : Tapez ENTREE

Laissez vide pour ne pas définir d’adresse IPV6 : Tapez ENTREE

12
Gemme Kilele
BTS SIO - Devoir SISR

Activer le Serveur DHCP : “y” pour “yes”

Définir la plage d’adressage IP du DHCP (exemple : 192.168.2.101 jusqu’à 192.168.2.199)

Activez le retour a http en tant que protocole de configuration Web. Entrez : “y” pour “yes”

Configuration terminée. Cliquez : ENTREE

Retour au sommaire

Retour au Menu. L’adresse IP de pf Sense est notée dans la partie LAN : 192.168.2.1

13
 Gemme Kilele
BTS SIO - Devoir SISR

Tapez L’adresse IP dans le navigateur : 192.168.2.1 – Username : admin – Password : pf sense

Avantage et inconvénient

Avantage de pf sense :
Pf sense offre beaucoup de fonctionnalités :

• Pare-feu
• Routage
• Traduction d'adresse réseau NAT.

14
 Gemme Kilele
BTS SIO - Devoir SISR

• Réseau privé virtuel VPN

• Portail captif
• Serveur DHCP
• Serveur DNS
• VLAN
•
Cette liste n'est pas exhaustive, il y a d'autres fonctionnalités.

Inconvénient de Pf sense :

Pf sense à très peu d’inconvénient mais nous pouvons quand même notée :

• Parce que c'est libre, tout le monde peut étudier son fonctionnement et trouver des failles.
• Un firewall matériel est plus stable qu'un firewall logiciel comme pf sense, le vendeur
"contrôle" son hardware et à conçu son firewall autour de cette hardware.
• Vous n'avez aucune garantie si vous avez un problème matériel ou logiciel, vous devez
vous débrouiller ou alors payer pour du support.
• L'interface qui elle peut paraître peut intuitive et trop fournis.

II- Règle pf sense

Mettre des règles de blocage et d’ouverture

Tout d’abord pour des questions de commodité, il est préférable de définir une plage
d’adresse ip personnalisé pour faciliter la mise en place des règles. Pour se faire :
- Cliquer sur alias

Retour au sommaire

15
Gemme Kilele
BTS SIO - Devoir SISR

- Ensuite sélectionné ajouter pour configuré une liste de port

Comme nous pouvons le voir sur cette page, il est possible de donner un nom à notre liste de ports,
donner ensuite une description de cette dernière et définir une plage de port, url, adresse ip …

Pour notre cas nous allons sélectionner le type ports. Ensuite il est question de définir une série de
ports, comme pour vous pouvez le voir on peut en définir plusieurs selon notre convenance. Une fois
les ports définis enregistrer.

Retour au sommaire

16
Gemme Kilele
BTS SIO - Devoir SISR

1-Règle d’ouverture des ports

- C’est quoi une règle d’ouverture

Tous d’abord Un port est un numéro unique codé sur 16 bits. Il y a donc 65536 ports différents
possibles. Certains sont réservés, il y en a donc en réalité moins que ça. On peut faire l'analogie
suivante avec un port informatique : un port représente une porte. Lorsqu'une application qui a
besoin de communiquer en réseau se lance, elle ouvre sa propre porte (qui porte toujours le même
numéro). Lorsqu'elle enverra des informations, elle spécifiera qu'elle les envoie sur la porte numéro
X de l'ordinateur distant, de ce fait une règle d’ouverture permet d’ouvrir un ou plusieurs ports afin
de laisser transiter les données.

-Alors pour mettre en place une règle d’ouverture il faut cliquer sur pare-feu ensuite règle

Retour au sommaire

17
Gemme Kilele
BTS SIO - Devoir SISR

Une fois sur la fenêtre suivante nous constatons sur l’image ci-dessous qu’il y a déjà des règles
préexistantes que nous pouvons bien évidements supprimé si elle ne nous est pas utiles à l’exception
de la règle anti-blocage qui fait que les utilisateurs ne peuvent pas interdire l’accès à l’interface
graphique de pf sense, ce qui est bien évidement une bonne chose.

Afin d’ajouter une règle, il faut appuyer sur ajouter.

Cependant il y a deux boutons ajouter, le premier avec la flèche vers le haut permet d’ajouter une
règle en haut de la file et le second permet d’ajouté une règle depuis le bas. Cela permet de prioriser
les règles.

Après avoir cliqué sur Ajouter , cliqué sur la regle qui vient d’etre ajouté pour la paramétré, ensuite
on arrive à cette page :

18
Gemme Kilele
BTS SIO - Devoir SISR

-Sur cette page nous pouvons définir des règles d’ouverture ou de fermeture. Dans notre cas nous
voulant une règle d’ouverture, pour se faire :

 Sur Action il y a trois option possible :

• Passe : il permet l’ouverture d’une règle
• Bloque: il bloque le transfert de donnée
• Rejeté : utilisé le plus souvent pour des tests
 Interface : Pour quelle interface on veut mettre en place cette règle Lan /Wan. Dans notre
cas on mettra Lan.
 Protocol : Pour rappel en informatique , Un protocole est un ensemble de règles qui
régissent les échanges de données ou d'ordinateurs en réseaux ou d'objets connectés. Il
en existe plusieurs, ce qui nous intéresse c’est le TCD/UPD.
 Source : ici nous choisirons LAN.
 Destination : ici Wan et on ajoutera une plage de porte dont on veut laisser ouvert.

Précision : ne pas oublier d’enregistré toute les modifications.

2-regle de blocage

La règle de blocage permet de bloquer l’accès au des ports indésirables.

Important : il faut noter que le système prend en compte les règles du haut vers le bas ce qui signifie
que la règle en tête de liste sera celle qui sera premièrement prise en considération du coup l’ordre
dans lequel on place les règles est important.

Retour au sommaire

19
Gemme Kilele
BTS SIO - Devoir SISR

Pour ce qui de la configuration pour la règle de blocage il suffit de bloquer toute les actions et
aucune donnée ne transitera, la source, toujours du Lan vers le Wan et enregistré.

3- Redirection de port

Pour ce qui est de la redirection de port, sur la page d’accueil de pf sense cliqué sur Pare-feu
ensuite Nat pour accéder à l’interface de configuration.

Retour au sommaire

20
Gemme Kilele
BTS SIO - Devoir SISR

Voici donc l’interface de configuration cliqué sur ajouter afin de crée une règle et la configuré :

Alors tout d’abord cliqué sur :

 Interface : pour définir sur quelle interface cette règle devra s’appliqué. Dans notre cas c’est
Wan.
 Protocol : sélectionner TCP
 Destination : sélectionné Lan net
 Plage de port de destination : Cela permet de redirigé par exemples des utilisateurs qui se
connecte à internet vers une plage de port prédéfinis

21
Gemme Kilele
BTS SIO - Devoir SISR

 Ip de redirection cible : Ici on met l’adresse IP du server cible ce qui est dans notre cas celui
d’active directory
 Port de redirection cible : Utilisé le port FTP, c’est le plus adapté dans notre cas.
 Description : écrire des petits détails sur comment la règle sera utilisée

III- OpenVpn

1-Presentation du concepte
Un vpn permet de créer un lien virtuel entre deux points, par exemple entre deux réseaux
d'entreprise, ou entre un PC client et un réseau d'entreprise. Au sein de ce lien, les données seront
sécurisées et isolées du reste du traffic, c'est là tout l'intérêt du VPN et cette notion de
"privé".Lorsque l'on évoque les accès distants VPN, notamment pour que vos utilisateurs accèdent
à distance au réseau de votre entreprise, le nom d'OpenVPN revient souvent.

- Qu'est-ce qu'OpenVPN ?

OpenVPN est un protocole et un logiciel permettant d'établir une connexion distante "VPN". Il
s'agit d'un projet mûr et bénéficiant d'une solide réputation, il est l'œuvre de James Yonan qui l'a
créé le 13 mai 2001. Grâce à lui, vous allez pouvoir vous connecter à distance à votre réseau
d'entreprise ou votre réseau local de votre domicile, le tout de façon sécurisée grâce au
chiffrement.

Illustration :

Il dispose, à mon sens, des avantages suivants :

22
 Gemme Kilele
BTS SIO - Devoir SISR

-Compatible avec Windows, Linux, Mac OS, Android et Ios.

- OpenVPN est open source, gratuit et fiable .
- Gestion de plusieurs configurations avec une compatibilité avec différents constructeur
(Synology, Stormshield, Sophos, Asustor, etc.).
- Port d'écoute personnalisable, ce qui facilite son utilisation sur des réseaux bridés/sécurisés.
Il est compatible avec les différents systèmes d'exploitation, mais pas nativement. Vous l'avez
surement compris, il faut installer un client OpenVPN sur votre système. A contrario,
d'autres protocoles VPN sont pris en charge directement au niveau OS.
Dans certains cas, il n'est pas possible de l'utiliser : tout dépend de la configuration du tunnel VPN,
mais aussi, dans certains cas seul le client officiel et propriétaire de votre solution est utilisable.
Sur Windows, vous devez stocker vos configurations dans le dossier "C:\Program
Files\OpenVPN\config". Le format pour les fichiers de config est .ovpn . Pour transférer une
configuration d’un poste à un autre, il suffit de copier-coller les fichiers, ce qui est vraiment
pratique.

Dans ce tutoriel, nous allons montrer comment configurer un serveur

VPN sur Pfsense. Le travail a été fait avec des machines virtuelles
sous Hyper-V, mais notez que la procédure est identique si vous
travaillez sur des machines physiques.

2-Prérequis

Pour commencer nous allons avoir besoin de plusieurs certificats :

• Un certificat pour le VPN

• Un certificat pour le serveur
• Un certificat pour les utilisateurs

Commençons par le certificat pour le VPN :

1. Rendez-vous dans la partie : Système > Gestionnaire de certificats.

2. Restez dans l’onglet “ACs” et cliquez sur Ajouter.
3. Remplissez les informations suivantes (en remplaçant par la localité de votre serveur et votre
adresse mail) :

23
 Gemme Kilele
BTS SIO - Devoir SISR

Retour au sommaire

4. Une fois enregistré, vous devriez avoir ceci :

Continuons avec le certificat pour le serveur :

1. Restez dans le Gestionnaire de certificats mais rendez-vous dans l’onglet Certificats.

2. Remplissez les informations suivantes (en remplaçant l’ip par celle de votre routeur pfSense) :

24
 Gemme Kilele
BTS SIO - Devoir SISR

Retour au sommaire

Et finissons par le certificat pour les utilisateurs :

1. Rendez-vous dans la partie : Système > Gestionnaire d’usagers.

2. Nous allons ajouter une utilisateur pour le VPN, cliquez donc sur Ajouter.

25
 Gemme Kilele
BTS SIO - Devoir SISR

3. Remplissez les informations suivantes (en remplaçant votre utilisateur et son mot de passe) :

26
 Gemme Kilele
BTS SIO - Devoir SISR

3- Installation et configuration d’OpenVPN

Une fois les certificats créés, nous pouvons attaquer l’installation et la configuration sur serveur
OpenVPN.

Pour cela nous allons avoir besoin d’un paquet qui n’est pas installé par défaut :

1. Rendez-vous dans la partie : Système > Gestionnaire de paquets puis dans l’onglet Paquets
disponibles.

3. Une fois installé, vous devriez le retrouver dans l’onglet Paquets installés.

Configuration du serveur OpenVPN :

1. Rendez-vous dans la partie : VPN > OpenVPN puis dans l’onglet “Assistants“.
2. Étape 1 : sélectionnez “Local User Access“.
3. Étape 5 : sélectionnez le certificat VPN précédemment créé.
4. Etape 7 : sélectionnez le certificat Utilisateur précédemment créé.
5. Etape 9 : rentrez les informations suivantes :

27
Gemme Kilele
BTS SIO - Devoir SISR

28
Gemme Kilele
BTS SIO - Devoir SISR

29
Gemme Kilele
BTS SIO - Devoir SISR

30
Gemme Kilele
BTS SIO - Devoir SISR

6 . Etape 10 : Cochez “firewall rule “ et “OpenVPN rule “

7 . Et voilà Le serveur est configuré

Retour au sommaire

31
 Gemme Kilele
BTS SIO - Devoir SISR

Connexion au VPN
Afin de pouvoir vous connectez à ce VPN, il va falloir exporter la configuration et l’importer dans
votre client que ça soit sur Windows, MacOS, Linux, Android ou encore iOS.

Exportation de la configuration :

1. Rendez-vous dans la partie : VPN > OpenVPN puis dans l’onglet “Client Export“.
2. Laissez la configuration de base et dirigez-vous vers le bas de la page.
3. Il ne vous reste plus qu’à choisir votre plateforme

Pour Windows, je vous conseille directement le Windows Installer qui, même si vous avez déjà le
client, placera les fichiers de configuration au bon endroit.

Se connecter au VPN :

1. Une fois installé, vous allez trouver un nouveau logiciel : OpenVPN GUI.
2. Lancez-le et sélectionnez, dans la barres des tâches, le serveur VPN que vous venez de
configurer.
3. Rentrez les identifiants de l’utilisateur créé précédemment dans pfSense.

Retour au sommaire

32
Gemme Kilele
BTS SIO - Devoir SISR

Voilà la configuration est terminé.

Retour au sommaire

33