GSB

Zone
Démilitarisée
Mise en place d’un périmètre et
solution de sécurité

Oscar Loret
13/02/2021
 2021

Table des matières

Introduction............................................................................................................................................. 2
Préparation .............................................................................................................................................. 3
I. Description des rôles et objectifs ................................................................................................ 3
II. Plan d’adressage .......................................................................................................................... 4
III. Paramétrage des VMs ............................................................................................................. 5
IV. Prérequis ................................................................................................................................. 7
1. Serveurs ................................................................................................................................... 7
2. Configuration du DNS .............................................................................................................. 7
3. Création des comptes utilisateurs ........................................................................................... 7
Mise en place du routeur/pare-feu pfSense ........................................................................................... 8
I. Installation de base ..................................................................................................................... 8
II. Etablissement des règles NAT ................................................................................................... 12
Attribution d’une IP virtuelle......................................................................................................... 13
Règles PAT ..................................................................................................................................... 13
III. Etablissement des règles de filtrage...................................................................................... 14
LAN ................................................................................................................................................ 14
DMZ ............................................................................................................................................... 14
WAN .............................................................................................................................................. 14
Testing ................................................................................................................................................... 15
I. Applications distantes ............................................................................................................... 15
LAN ................................................................................................................................................ 15
WAN .............................................................................................................................................. 15
II. Site Web .................................................................................................................................... 16
LAN ................................................................................................................................................ 16
WAN .............................................................................................................................................. 16
III. Accès Internet........................................................................................................................ 16
IV. Mailing ................................................................................................................................... 17
LAN ................................................................................................................................................ 17
WAN .............................................................................................................................................. 17
Sources .................................................................................................................................................. 18

Oscar LORET 1
 2021

Introduction

Nous sommes chargés de l’étude de la mise en place d’un nouveau pare-feu, afin de remplacer
l’ancien firewall PROXYLAB, et de permettre de sécuriser le réseau LAN du groupe. Cette étude sera
basée sur une solution de type Pfsense.

Notre travail devra prendre la forme d’une maquette virtualisée permettant l’installation et le
paramétrage du pare-feu PFSENSE en respectant la mise en place d’une Zone Démilitarisée (DMZ),
qui hébergera dans un premier temps un serveur Web (IIS ou Apache), puis un serveur de
messagerie. L’accès au serveur Web devra se faire aussi bien pour les utilisateurs du LAN du groupe
GSB, ainsi que pour les visiteurs médicaux se trouvant dans le WAN.

On nous charge, dans un second temps, de rendre accessible le serveur de messagerie hébergé dans
la DMZ depuis le LAN et le WAN ; nous devrons également permettre l’accès à des applications
distante, via une passerelle située dans la DMZ.

Ce dossier contient donc :

• Une procédure d’installation et de configuration de notre solution

• Les règles de filtrage et NAT mises en place pour assurer la sécurité du groupe GSB
• Les différents tests effectués (Testing) afin de valider notre solution.

Le responsable informatique du groupe GSB nous a donné la topologie suivante à titre d’exemple afin
de nous aider à la réalisation de notre maquette d’étude :

Topologie de référence

Oscar LORET 2
 2021

Préparation

I. Description des rôles et objectifs

Notre objectif étant donc de tester la mise en place d’un pare-feu PfSense au carrefour du LAN, de
notre DMZ et du WAN, nous ne verrons pas dans cette documentation comment installer les
serveurs en question. Mais nous verrons comment définir les règles de filtrage et de translation
adéquates, afin d’assurer le fonctionnement des services autorisés.

Pour vérifier le bon fonctionnement de PfSense et de ses paramétrages, nous utiliserons donc le
poste client du WAN et du LAN, qui se connecteront au site Web et aux applications distantes. Nous
vérifierons également si l’échange de mails fonctionne entre le WAN et le LAN.

Nous exploiterons un environnement virtuel hébergé via le freeware VirtualBox. Afin que notre
infrastructure respecte nos attentes, nous pouvons organiser l’architecture ainsi :

• LAN : une machine virtuelle jouant le rôle de contrôleur de domaine et de serveur DNS, une
autre qui sera hôte de session RDS, où seront hébergées les applications distantes , et une
autre sur laquelle sera installée le Broker RDS. Nous ajouterons plus tard une machine
virtuelle jouant le rôle d’un poste client.

• DMZ : une machine virtuelle hébergeant un serveur Web, une autre jouant le rôle de
Passerelle des services RDS et une dernière hébergeant un serveur Mail.

• WAN : une machine virtuelle jouant le rôle d’un poste client.

A propos de pfSense :

« pfSense est un routeur/pare-feu open source basé sur le système

d'exploitation FreeBSD. À l'origine un fork de m0n0wall, il utilise le
pare-feu à états Packet Filter, des fonctions de routage et de NAT lui
permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des outils et
services utilisés habituellement sur des routeurs professionnels propriétaires. pfSense convient pour la
sécurisation d'un réseau domestique ou d'entreprise. » selon Wikipédia.

PfSense est entièrement administrable via une interface web. Parmi les fonctionnalités qu’il propose,
on retrouve entre autres :

• Routage (+ Routage interVLANs)

• Filtrage de paquets
• Translation d’adresses et de ports (NAT/PAT)
• Résolveur DNS
• Serveur OpenVPN (L2TP, IPSec)
• Redondance
• Gestionnaire de paquet (permettant entre autres l’installation de services de Proxy ou
Reverse Proxy, avec Squid)
• Et bien d’autres…

Oscar LORET 3
 2021

II. Plan d’adressage

Le domaine mis en place sera le suivant : gsb.com. Voici comment on pourrait organiser nos
systèmes et leurs adresses :

Passerelle par
VM Nom NetBIOS Adresse IPv4 CIDR Rôle(s)
défaut
N°1 DC1 172.16.34.1 24 172.16.34.254 AD / DNS (LAN)
N°2 RDS-01 172.16.34.2 24 172.16.34.254 RemoteApp Host (LAN)
N°3 RDS-BROKER 172.16.34.3 24 172.16.34.254 Broker RDS (LAN)
N°4 PC-USER 172.16.34.4 24 172.16.34.254 Poste de test (LAN)
N°5 RDS-GW 192.168.200.1 24 192.168.200.254 RDS Gateway (DMZ)
N°6 SRV-WEB 192.168.200.2 24 192.168.200.254 Web server (DMZ)
N°7 SRV-MAIL 192.168.200.3 24 192.168.200.254 Mail server (DMZ)
N°8 PC-GUEST DHCP 24 DHCP Poste de test (WAN)
em0 : DHCP – PfSense
24
192.168.0.31 em0 = WAN
N°9 - 24 -
em1 : 172.16.34.254 em1 = LAN
24
em2 : 192.168.200.254 em2 = DMZ

VirtualBox nous permet de nommer des réseaux internes, afin définir auquel de ces réseaux une
interface doit être connectée. Ici, les serveurs ainsi que l’interface serveur du routeur
(172.16.34.254/24) seront donc placé sur le réseau interne nommé « lan ». La seconde interface du
routeur, correspondant à l’interface de la DMZ (192.168.200.0/24), sera sur le réseau interne

« dmz». La dernière interface, correspondant à la passerelle vers Internet, sera bridgée avec la carte
réseau de notre hôte de virtualisation. Ce sera notre box qui distribuera donc une adresse ip à
l’interface WAN de PfSense, ainsi qu’au poste PC-GUEST. Outre cela, une IP virtuelle sera notamment
attribuée à l’interface WAN, pour permettre de réaliser du NAT vers l’un des sites.

L’architecture que nous allons mettre en place peut être représentée ainsi :

Oscar LORET 4
 2021

III. Paramétrage des VMs

Afin de fonctionner correctement et d’optimiser les ressources matérielles mises à disposition, les
machines virtuelles doivent avoir les configurations suivantes :

DC1
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Services AD DS, DNS
Carte réseau Réseau Interne (lan)

RDS-01
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Hôte de session RDS
Carte réseau Réseau Interne (lan)

RDS-BROKER
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Broker RDS
Carte réseau Réseau Interne (lan)

PC-USER
Processeurs alloués 1
RAM allouée 1 Go
Taille du disque virtuel 20 Go
Système d’exploitation Windows 7
Rôles Poste de test
Carte réseau Réseau Interne (lan)

RDS-GW
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Passerelle des services RDS
Carte réseau Réseau Interne (dmz)

Oscar LORET 5
 2021

SRV-WEB
Processeurs alloués 1
RAM allouée 1 Go
Taille du disque virtuel 20 Go
Système d’exploitation Debian 10.4
Rôles Serveur Web
Carte réseau Réseau Interne (dmz)

SRV-MAIL
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Serveur Mail
Carte réseau Réseau Interne (dmz)

pfSense
Processeurs alloués 1
RAM allouée 500 Mo
Taille du disque virtuel 5 Go
Système d’exploitation pfSense 2.4.4
Cartes réseau NIC1 : Réseau Interne (lan)
NIC2 : Réseau Interne (dmz)
NIC3 : Réseau Interne (wan)

PC-GUEST
Processeurs alloués 1
RAM allouée 1 Go
Taille du disque virtuel 20 Go
Système d’exploitation Windows 7 Entreprise
Carte réseau Réseau Interne (wan)

Oscar LORET 6
 2021

IV. Prérequis
L’objectif de cette documentation étant de tester l’installation d’un routeur/pare-feu PfSense, nous
ne nous attarderons pas sur la mise en place de l’infrastructure globale. Voici donc la pré-
configuration que vous devez avoir mise en place avant l’installation des rôles RDS.

1. Serveurs
Avant de mettre en place le routeur/pare-feu PfSense, vous devriez avoir installé :

• Un contrôleur de domaine, ainsi qu’un serveur de nom. (DC1)

• Un cluster RDS avec Broker de session (RDS-BROKER), Passerelle et Portail Web (RDS-GW), et
au moins un hôte de session RDS (RDS-01).
• Un serveur Web hébergeant au moins une page basique type « Hello World » (SRV-WEB).
Notre serveur hébergera ici le site « siège.gsb.com ». Ici nous utiliserons Apache2.
• Un serveur de messagerie (SRV-MAIL).

Avant d’installer PfSense, vous pouvez placer tous les serveurs cités précédemment sur le même
réseau pour vous faciliter la tâche. Ensuite, nous créerons deux réseaux supplémentaires à
l’installation de PfSense, et nous disposerons les serveurs comme décidé en introduction.

Assurez-vous que votre infrastructure est fonctionnelle avant la mise en place de PfSense.

2. Configuration du DNS
La seconde configuration à appliquer se fait au niveau du DNS, sur DC1. La zone de recherche directe
doit être configurée ainsi :

Nom Type Données

DC1 Hôte (A) 172.16.34.1
RDS-01 Hôte (A) 172.16.34.2
RDS-BROKER Hôte (A) 172.16.34.3
RDS-GW Hôte (A) 192.168.200.1
SRV-WEB Hôte (A) 192.168.200.2
SRV-MAIL Hôte (A) 192.168.200.3
Siège.gsb.com Hôte (A) 192.168.200.2
N’oubliez pas de créer les pointeurs PTR associés en conséquence, dans la zone de recherche
inversée.

3. Création des comptes utilisateurs

La dernière étape de cette phase de pré-configuration consiste à créer les comptes utilisateurs et
leurs garantir certains droits pour faciliter nos tests. Pour cela, dans l’AD, créez un groupe de sécurité
appelé Utilisateurs_RDS, et un autre appelé Utilisateurs_Winrar. Créez un compte utilisateur « John
Doe » (login : jdoe@gsb.com) et ajoutez-le dans les groupes suivants : Administrateurs,
Administrateurs du domaine, et Utilisateurs du Bureau à Distance.

Enfin, créez un compte utilisateur « Pierre Dupont » (login : pdupont@gsb.com) et ajoutez-le

uniquement au groupe Utilisateurs du Bureau à Distance.

Oscar LORET 7
 2021

Mise en place du routeur/pare-feu pfSense

I. Installation de base
Dans cette première partie, nous verrons comment configurer le routeur/pare-feu pfSense et ses
interfaces.

Procédons à l’installation de pfSense. Dans VirtualBox, nous avons créé une machine FreeBSD x64, et
avons utilisé l’ISO de pfSense 2.4.5. Lançons la machine virtuelle :

Acceptez les conditions d’utilisations.

Sélectionnez Install pfsense.

Sélectionnez la configuration de votre

clavier.

Faites Continue with fr.kbd keymap.

Oscar LORET 8
 2021

Sélectionnez Guided Disk Setup.

Pfsense effectue un partitionnement du disque.

Attendez la fin du chargement.

L’installation est terminée. Faites No pour ne pas

ouvrir d’invité de commande.

Sélectionnez Reboot.

Déchargez ensuite l’ISO de la machine virtuelle,

pour ne pas rebooter sur l’installation.

Au redémarrage, pfSense devrait afficher son menu principal :

Dans le menu de pfSense, on peut remarquer que chaque interface a un nom qui lui est propre (em0,
em1 et em2). Entrez 1 pour configurer les interfaces telles que :

• em0, correspondant au réseau bridgé wan, soit la passerelle du WAN (DHCP).

Oscar LORET 9
 2021

• em1 correspondant au réseau interne lan, soit la passerelle du LAN (172.16.34.254/24).

• em2 correspondant au réseau interne dmz, soit la passerelle de la DMZ (192.168.200.254/24).

Vous pouvez adresser chaque interface en entrant 2. Vous devriez avoir la configuration suivante :

Vous pouvez ensuite accéder au configurateur Web via le navigateur de n’importe quel poste du
LAN, en entrant l’adresse ip de la passerelle LAN dans la barre de recherche.

Connectez-vous avec l’identifiant admin (mdp :

pfsense).

Effectuez la configuration initiale (laissez tout par

défaut).

Rendez-vous directement dans les règles de filtrage (Onglet Pare-Feu > Règles).

Comme vous pouvez le constater , des règles existent par défaut. Le message en jaune vous indique
que comme vous n’en avez encore créé aucune de vous-même, toutes les connexions entrantes
seront bloquées nativement.

Supprimez les règles par défaut que vous voyez sur chaque interface, en les sélectionnant et en
cliquant sur Supprimer :

Ensuite, cliquez sur Ajouter et créez

une règle autorisant tous les
protocoles, pour toutes adresse
d’origine et de destination. Faites-le
pour chaque interface. De cette
manière, toutes les communications
seront autorisées.

Oscar LORET 10
 2021

Vous pouvez ensuite tester le bon fonctionnement des règles appliquées précédemment en
effectuant un ping de PC-USER vers votre machine hôte de virtualisation. Si le ping n’obtient pas de
réponse, vérifiez vos adresses ip, et vos règles. Vus devriez même pouvoir accéder à Internet.

Si vos tests sont concluants, procédez au déplacement des serveurs si vous les aviez placés tous dans
le même réseau : changez leurs adresses ip de manière à être conforme au plan d’adressage établit
en introduction. Vérifiez que vos enregistrements DNS concordent, et si vous devez changer des
enregistrements en conséquence, faites un ipconfig /flushdns sur vos serveurs.

Oscar LORET 11
 2021

II. Etablissement des règles NAT

Afin de rediriger les requêtes externes vers les serveurs correspondants de la DMZ, nous devons
mettre en place des règles de translation d’adresses réseaux (ou NAT). Ainsi, les requêtes HTTPS
devront être redirigés vers le serveur Web correspondant au nom de domaine précisé dans l’en-tête
de la requête. Également, les requêtes POP3 et SMTP devraient être redirigées vers le serveur SRV-
MAIL. Pour résumer, voici la liste des protocoles qui seront utilisés dans notre infrastructure, avec les
services et ports associés :

Protocole Ports Description

IPv4 TCP/UDP 80, 443 http et HTTPS (Web)
IPv4 TCP 110, 25 POP3 & SMTP (Mail)
IPv4 UDP 53 DNS
IPv4 TCP 3389 RDP
IPv4 UDP 88 Authentification Kerberos
IPv4 TCP 135 RPC
IPv4 TCP/UDP 389, 3268 LDAP

Nous allons voir ensemble comment créer une règle de translation. Rendez-vous dans l’onglet NAT >
Transfert de port, et cliquez sur Ajouter.

Dans les champs Adresses Source et Ports Source, laissez tout. Dans le champ Adresse de
destination, mettez WAN Address et sélectionnez le port 443 (HTTPS) ; dans IP de redirection cible,
mettez l’adresse de RDS-GW en précisant également le port 443. Enregistrez, et appliquez les
modifications. Vous venez de créer une règle de translation redirigeant les requêtes HTTPS arrivant
sur l’interface WAN vers RDS-GW, sur son port 443.

En revanche, pour la translation vers le serveur SRV-WEB, vous ne pourrez pas utiliser le port HTTPS
sur l’interface WAN, puisqu’il est utilisé pour le portail RDS. Pour résoudre ce problème, nous
pourrions envisager plusieurs options :

• Installation d’un serveur DNS dans la DMZ

• Utilisation d’un Reverse-Proxy
• Rajout d’une IP virtuelle sur l’interface WAN

C’est cette dernière solution, très simple à mettre en place, que nous allons utiliser.

Oscar LORET 12
 2021

Attribution d’une IP virtuelle

Rendez-vous dans Pare-feu > IPs virtuels, puis cliquez sur Ajouter.

Configurez l’adresse ainsi : Type = Alias IP, Interface = WAN, et Adresse = 192.168.0.3/24 (ou
n’importe quelle adresse du réseau WAN, sauf celle de l’interface physique) :

Enregistrez et appliquez. Votre interface WAN possède désormais deux IPs. Vous pouvez ensuite
configurer le NAT en conséquence.

Règles PAT
Assurez-vous ensuite d’avoir les règles suivantes :

Oscar LORET 13
 2021

III. Etablissement des règles de filtrage

Nous allons pouvoir établir les règles de filtrage à mettre en place. Supprimez les règles permettant
tous types de protocoles que vous avez créé précédemment. Voyons ensuite les règles détaillées à
configurer.

LAN

DMZ

WAN
Ici, les règles de NAT indiquées précédemment ont permis la génération automatique de règles de
filtrage.

Nous pouvons maintenant effectuer nos tests de connexion.

Oscar LORET 14
 2021

Testing

I. Applications distantes
Vous devriez pouvoir accéder au portail RDS via https://rds-gw.gsb.com/RDweb depuis le LAN
comme le WAN :

LAN

WAN

Oscar LORET 15
 2021

II. Site Web

Vous devriez pouvoir accéder au site web siège.gsb.com depuis le LAN comme le WAN :

LAN

WAN

III. Accès Internet

Vous devriez avoir accès à Internet depuis n’importe quel poste du LAN :

Oscar LORET 16
 2021

IV. Mailing
Vous devriez pouvoir envoyer des mails entre jdoe@gsb.com et pdupont@gsb.com depuis le WAN et
le LAN :

LAN

WAN
Envoi

Réception

Oscar LORET 17
 2021

Sources

Règles NAT :

https://www.provya.net/?d=2019/11/19/09/53/08-

Remote Desktop :

https://fr.wikipedia.org/wiki/Remote_Desktop_Protocol

https://serverfault.com/questions/12005/what-port-should-i-open-to-allow-remote-desktop

https://hichamkadiri.wordpress.com/tag/liste-des-ports-rds/

Mail :

https://www.hostinger.fr/tutoriels/mail-pop3-smtp-imap/

Oscar LORET 18