Projet : Appliquer les règles de

durcissement VPN sur un firewall

Formateur : Znagui yassine
Architecture :

VPN Internet

Utilisateur VPN

Interface WAN

Interface DMZ

Serveur Linux Interface LAN

Machine Linux
Réalisation de LAB:
Pour réaliser ce LAB, vous aurez besoin de 3 machines virtuelles :

1. Machine PFSense :
- RAM : 512 MB
- Disque Dur : 20 GB
- Carte Réseau 1 : Mode Bridge (VMNET 0) pour le port LAN
- Carte Réseau 2 : Mode NAT (VMNET 7) pour le port WAN
- Carte Réseau 3 : Mode HostOnly (VMNET 8) pour le port DMZ

2. Machine Linux :
- RAM : 1 GB
- Disque Dur : 20 GB
- Carte Réseau 1 : Mode Bridge (VMNET 0)

3. Serveur Linux :
- RAM : 1 GB
- Disque Dur : 20 GB
- Carte Réseau 1 : Mode HostOnly (VMNET 8)
Plan d’adressage:
Nous proposons la configuration des adresses IP comme suit
Pour le PFsense :

Interface IP
LAN adresse IP dans le même segment d'adresse (Réseau) que votre Machine Physique
WAN 192.168.83.128/24
DMZ 192.168.136.100/24

pour la Machine Linux:

Interface IP Gateway
ens33 adresse IP dans le même segment L’adresse IP de l’interface LAN du
d'adresse (Réseau) que votre Machine PFsense
Physique

pour Le serveur Linux:

Interface IP Gateway
ens33 192.168.136.101/24 L’adresse IP de L’interface DMZ du
PFsense
Architecture :

VPN Internet

Utilisateur VPN
192.168.83.128/24
Interface WAN

Interface DMZ

192.168.136.100/24 192.168.0.1/24
Serveur Linux Interface LAN
192.168.136.101/24

Machine Linux
192.168.0.2/24
Test de connectivité:

• Test 1 : Lancez un ping depuis votre machine physique vers l'interface LAN du pfSense.
• Test 2 : Lancez un ping depuis votre machine Linux vers l'interface LAN du pfSense.
• Test 3 : Lancez un ping depuis votre machine Linux vers la machine physique.
• Test 4 : Lancez un ping depuis votre serveur Linux vers l'interface DMZ du pfSense.

Si les 4 pings réussissent, accédez à l'interface graphique du pfSense via le navigateur de votre machine en
utilisant l'adresse IP de l'interface LAN du pfSense (par exemple, http://192.168.0.100/)
Matrice de Flux (Règle de filtrage entre La Zone LAN et DMZ sur PFsense)

IP source IP destination Protocoles Action

Adresse IP du Réseau LAN 192.168.136.0/24 ICMP Autoriser
(Exemple 192.168.0.0/24)
Adresse IP du Réseau LAN 192.168.136.0/24 Tous les protocoles a part Bloquer
(Exemple 192.168.0.0/24) ICMP
192.168.136.0/24 Adresse IP du Réseau LAN ICMP Autoriser
(Exemple 192.168.0.0/24)
192.168.136.0/24 Adresse IP du Réseau LAN Tous les protocoles a part Bloquer
(Exemple 192.168.0.0/24) ICMP
Test de règles de filtrage :

• Test 1 : Lancez un ping depuis votre serveur Linux vers la machine Linux.
• Test 2 : Lancez un ping depuis votre Machine Linux vers le serveur Linux.
• Test 3 : Essayez d’accéder depuis votre machine linux au serveur linux via SSH (Exemple : ssh
root@192.168.136.101).
• Remarque : L’ OpenSsh doit être installer sur votre serveur Linux.

Si les deux premiers tests réussissent alors que le troisième test échoue, il y a une grande possibilité que vous
soyez dans le bon chemin.
Configuration du OpenVpn sur Pfsense:

Etapes de configuration :
1. nstaller le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
7. Exporter le fichier de configuration OpenVPN pour les clients.
8. Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé
Règles à respecter lors du configuration des certificats :
1. Sélectionnez votre type de clé: RSA
2. Définissez la longueur de votre clé sur au moins 2048
3. Réglez votre algorithme Digest sur au moins sha256
Configuration du OpenVpn sur Pfsense:

Paramètres cryptographiques :
1. Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
2. Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que
nous avons créée précédemment
3. Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
4. Sélectionnez 4096 pour le réglage de la longueur du paramètre DH
5. Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
Recommandations Pour la configuration générale

Recommendations Etat d’application

Assurez-vous que la bannière d'avertissement SSH est configurée

Assurez-vous que AutoConfigBackup est activé

Assurez-vous que le "Message Of The Day (MOTD)" est défini
Assurez-vous que le nom d'hôte est défini
Assurez-vous que la journalisation est activée pour toutes les règles du
pare-feu
Recommandations Pour la configuration des règles de sécurité

Recommandations Etat d’application

Assurez-vous qu'aucune règle "Autoriser" avec "Any" dans le champ de services
n'est présente dans les règles du pare-feu
Assurez-vous qu'aucune règle "Autoriser" avec "Any" dans le champ de source
n'est présente dans les règles du pare-feu
Assurez-vous qu'aucune règle "Autoriser" avec "Any" dans le champ de
destination n'est présente dans les règles du pare-feu
Assurez-vous qu'il n'y a pas de politiques inutilisées
Recommandations Pour la configuration du compte administrateur
Recommandations Etat d’application
Assurez-vous que le menu de la console est protégé par mot de passe
Assurez-vous que la durée de la session est définie à moins de 10 minutes
Assurez-vous que la gestion Web est configurée pour utiliser HTTPS
Assurez-vous que le mot de passe par défaut de l'administrateur est modifié
Recommandations Pour la configuration du journalisation
Recommandations Etat d’application
Assurez-vous que la journalisation est activée pour toutes les règles du pare-
feu