Académique Documents
Professionnel Documents
Culture Documents
Tutoriel
Sommaire :
I) Pf-sense
1) Présentation du concept
a- A quoi sert pf sense ?
b- Pourquoi pf sense
c- Fonctionnalité de pf sense …
2) Installation et Configuration
3) avantage et inconvénient de pf sense
III) OpenVpn
1-Presentation du concepte
2-Prérequis
3- Installation et configuration d’OpenVPN
1
Gemme Kilele
BTS SIO - Devoir SISR
I- PF-SENSE
1) Présentation du concept
Pf Sense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. À
l'origine un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage
et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Pf Sense convient pour la sécurisation d'un réseau domestique ou
d'entreprise
b- Pourquoi pf sense ?
Retour au sommaire
2
Gemme Kilele
BTS SIO - Devoir SISR
C- Fonctionnalité de Pf sence
Nous retrouvons dans pf Sense la plupart des fonctionnalités inclus dans des firewalls
commerciaux et quelques autres complémentaires. L'ensemble des fonctionnalités
présentés ci-dessous sont directement disponibles à partir de l’interface web, sans qu'il
soit nécessaire de taper une seule ligne de commande,
• Filtrage par source et destination au niveau des adresses IP, protocole IP, port source et
destination des protocoles TCP et UDP.
• Capacité à limiter le nombre de connexion règle par règle.
• Pf Sense utilise p0f, un utilitaire qui permet de filtrer de façon passive en fonction du type de
Système d’Exploitation qui initie la connexion. Vous souhaitez autoriser les systèmes FreeBSD et
Linux à accéder à l’Internet, mais bloquer les système Windows (ou l’inverse) ? pf Sense peut
réaliser cela en filtrant de façon passive les Systèmes d’Exploitation utilisés.
• Grande flexibilité dans les politiques de routage en sélectionnant la passerelle par défaut règle
par règle (utile pour la répartition de charge, le failover ou le multi-WAN, etc.).
• Les Alias permettent de regrouper les règles et de nommer les adresses IPs, les réseaux et les
ports. Cela aide à conserver les règles de votre firewall propres et simple à comprendre.
Spécialement dans des environnements avec de multiples adresses IPs publics et de nombreux
serveurs.
• Filtrage de niveau 2 transparent permettant de passer les interfaces en mode pont et de filtrer à
ce niveau, éventuellement pour un firewall sans IPs (bien que vous souhaitiez probablement
avoir une IP pour la gestion de votre firewall…).
3
Gemme Kilele
BTS SIO - Devoir SISR
o Peut-être désactivé en cas de nécessité. Cette option peut provoquer des problèmes sur
certaines implémentations de NFS, mais doit normalement être laissé activé dans la plupart des
cas.
Retour au sommaire
• Désactiver l’ensemble du filtrage de votre firewall si vous souhaitez transformer pf Sense en un
routeur.
2) Installation et Configuration
Configuration de la VM Hyper-V
• 2 Cartes réseaux
• Disque dur de 10Go (minimum)
• Mémoire vive de 2 Go (minimum) pour ne pas que ça bug
4
Gemme Kilele
BTS SIO - Devoir SISR
Installation de pf Sense
Récupérez les informations liées à votre propre réseau. Dans ce mode opératoire, nous
utiliserons les éléments suivants :
Démarrer la VM
Accepter la licence
Retour au sommaire
5
Gemme Kilele
BTS SIO - Devoir SISR
Install pf Sense : OK
Retour au sommaire
6
Gemme Kilele
BTS SIO - Devoir SISR
Retour au sommaire
7
Gemme Kilele
BTS SIO - Devoir SISR
Auto (UFS) : OK
Sélectionner : No
8
Gemme Kilele
BTS SIO - Devoir SISR
9
Gemme Kilele
BTS SIO - Devoir SISR
Sélectionner la carte réseau internet WAN : hn0 – (Voir dans Hyper-V l’adresse MAC qui
correspond à la carte réseau externe)
Sélectionner la carte réseau local LAN : hn1 – (Voir dans Hyper-V l’adresse MAC qui correspond
à votre carte)
10
Gemme Kilele
BTS SIO - Devoir SISR
Retour au Menu
11
Gemme Kilele
BTS SIO - Devoir SISR
12
Gemme Kilele
BTS SIO - Devoir SISR
Activez le retour a http en tant que protocole de configuration Web. Entrez : “y” pour “yes”
Retour au sommaire
Retour au Menu. L’adresse IP de pf Sense est notée dans la partie LAN : 192.168.2.1
13
Gemme Kilele
BTS SIO - Devoir SISR
Avantage et inconvénient
Avantage de pf sense :
Pf sense offre beaucoup de fonctionnalités :
• Pare-feu
• Routage
• Traduction d'adresse réseau NAT.
14
Gemme Kilele
BTS SIO - Devoir SISR
Inconvénient de Pf sense :
Pf sense à très peu d’inconvénient mais nous pouvons quand même notée :
• Parce que c'est libre, tout le monde peut étudier son fonctionnement et trouver des failles.
• Un firewall matériel est plus stable qu'un firewall logiciel comme pf sense, le vendeur
"contrôle" son hardware et à conçu son firewall autour de cette hardware.
• Vous n'avez aucune garantie si vous avez un problème matériel ou logiciel, vous devez
vous débrouiller ou alors payer pour du support.
• L'interface qui elle peut paraître peut intuitive et trop fournis.
Tout d’abord pour des questions de commodité, il est préférable de définir une plage
d’adresse ip personnalisé pour faciliter la mise en place des règles. Pour se faire :
- Cliquer sur alias
Retour au sommaire
15
Gemme Kilele
BTS SIO - Devoir SISR
Comme nous pouvons le voir sur cette page, il est possible de donner un nom à notre liste de ports,
donner ensuite une description de cette dernière et définir une plage de port, url, adresse ip …
Pour notre cas nous allons sélectionner le type ports. Ensuite il est question de définir une série de
ports, comme pour vous pouvez le voir on peut en définir plusieurs selon notre convenance. Une fois
les ports définis enregistrer.
Retour au sommaire
16
Gemme Kilele
BTS SIO - Devoir SISR
-Alors pour mettre en place une règle d’ouverture il faut cliquer sur pare-feu ensuite règle
Retour au sommaire
17
Gemme Kilele
BTS SIO - Devoir SISR
Une fois sur la fenêtre suivante nous constatons sur l’image ci-dessous qu’il y a déjà des règles
préexistantes que nous pouvons bien évidements supprimé si elle ne nous est pas utiles à l’exception
de la règle anti-blocage qui fait que les utilisateurs ne peuvent pas interdire l’accès à l’interface
graphique de pf sense, ce qui est bien évidement une bonne chose.
Cependant il y a deux boutons ajouter, le premier avec la flèche vers le haut permet d’ajouter une
règle en haut de la file et le second permet d’ajouté une règle depuis le bas. Cela permet de prioriser
les règles.
Après avoir cliqué sur Ajouter , cliqué sur la regle qui vient d’etre ajouté pour la paramétré, ensuite
on arrive à cette page :
18
Gemme Kilele
BTS SIO - Devoir SISR
-Sur cette page nous pouvons définir des règles d’ouverture ou de fermeture. Dans notre cas nous
voulant une règle d’ouverture, pour se faire :
2-regle de blocage
Important : il faut noter que le système prend en compte les règles du haut vers le bas ce qui signifie
que la règle en tête de liste sera celle qui sera premièrement prise en considération du coup l’ordre
dans lequel on place les règles est important.
Retour au sommaire
19
Gemme Kilele
BTS SIO - Devoir SISR
Pour ce qui de la configuration pour la règle de blocage il suffit de bloquer toute les actions et
aucune donnée ne transitera, la source, toujours du Lan vers le Wan et enregistré.
3- Redirection de port
Pour ce qui est de la redirection de port, sur la page d’accueil de pf sense cliqué sur Pare-feu
ensuite Nat pour accéder à l’interface de configuration.
Retour au sommaire
20
Gemme Kilele
BTS SIO - Devoir SISR
Voici donc l’interface de configuration cliqué sur ajouter afin de crée une règle et la configuré :
Interface : pour définir sur quelle interface cette règle devra s’appliqué. Dans notre cas c’est
Wan.
Protocol : sélectionner TCP
Destination : sélectionné Lan net
Plage de port de destination : Cela permet de redirigé par exemples des utilisateurs qui se
connecte à internet vers une plage de port prédéfinis
21
Gemme Kilele
BTS SIO - Devoir SISR
Ip de redirection cible : Ici on met l’adresse IP du server cible ce qui est dans notre cas celui
d’active directory
Port de redirection cible : Utilisé le port FTP, c’est le plus adapté dans notre cas.
Description : écrire des petits détails sur comment la règle sera utilisée
III- OpenVpn
1-Presentation du concepte
Un vpn permet de créer un lien virtuel entre deux points, par exemple entre deux réseaux
d'entreprise, ou entre un PC client et un réseau d'entreprise. Au sein de ce lien, les données seront
sécurisées et isolées du reste du traffic, c'est là tout l'intérêt du VPN et cette notion de
"privé".Lorsque l'on évoque les accès distants VPN, notamment pour que vos utilisateurs accèdent
à distance au réseau de votre entreprise, le nom d'OpenVPN revient souvent.
- Qu'est-ce qu'OpenVPN ?
OpenVPN est un protocole et un logiciel permettant d'établir une connexion distante "VPN". Il
s'agit d'un projet mûr et bénéficiant d'une solide réputation, il est l'œuvre de James Yonan qui l'a
créé le 13 mai 2001. Grâce à lui, vous allez pouvoir vous connecter à distance à votre réseau
d'entreprise ou votre réseau local de votre domicile, le tout de façon sécurisée grâce au
chiffrement.
Illustration :
22
Gemme Kilele
BTS SIO - Devoir SISR
2-Prérequis
23
Gemme Kilele
BTS SIO - Devoir SISR
Retour au sommaire
24
Gemme Kilele
BTS SIO - Devoir SISR
Retour au sommaire
25
Gemme Kilele
BTS SIO - Devoir SISR
3. Remplissez les informations suivantes (en remplaçant votre utilisateur et son mot de passe) :
26
Gemme Kilele
BTS SIO - Devoir SISR
Une fois les certificats créés, nous pouvons attaquer l’installation et la configuration sur serveur
OpenVPN.
Pour cela nous allons avoir besoin d’un paquet qui n’est pas installé par défaut :
1. Rendez-vous dans la partie : Système > Gestionnaire de paquets puis dans l’onglet Paquets
disponibles.
3. Une fois installé, vous devriez le retrouver dans l’onglet Paquets installés.
1. Rendez-vous dans la partie : VPN > OpenVPN puis dans l’onglet “Assistants“.
2. Étape 1 : sélectionnez “Local User Access“.
3. Étape 5 : sélectionnez le certificat VPN précédemment créé.
4. Etape 7 : sélectionnez le certificat Utilisateur précédemment créé.
5. Etape 9 : rentrez les informations suivantes :
27
Gemme Kilele
BTS SIO - Devoir SISR
28
Gemme Kilele
BTS SIO - Devoir SISR
29
Gemme Kilele
BTS SIO - Devoir SISR
30
Gemme Kilele
BTS SIO - Devoir SISR
Retour au sommaire
31
Gemme Kilele
BTS SIO - Devoir SISR
Connexion au VPN
Afin de pouvoir vous connectez à ce VPN, il va falloir exporter la configuration et l’importer dans
votre client que ça soit sur Windows, MacOS, Linux, Android ou encore iOS.
Exportation de la configuration :
1. Rendez-vous dans la partie : VPN > OpenVPN puis dans l’onglet “Client Export“.
2. Laissez la configuration de base et dirigez-vous vers le bas de la page.
3. Il ne vous reste plus qu’à choisir votre plateforme
Pour Windows, je vous conseille directement le Windows Installer qui, même si vous avez déjà le
client, placera les fichiers de configuration au bon endroit.
Se connecter au VPN :
1. Une fois installé, vous allez trouver un nouveau logiciel : OpenVPN GUI.
2. Lancez-le et sélectionnez, dans la barres des tâches, le serveur VPN que vous venez de
configurer.
3. Rentrez les identifiants de l’utilisateur créé précédemment dans pfSense.
Retour au sommaire
32
Gemme Kilele
BTS SIO - Devoir SISR
Retour au sommaire
33