Vous êtes sur la page 1sur 15

Mise en place dun firewall dentreprise avec PfSense

JA-PSI Programmation & Scurit informatique


http://www.ja-psi.fr

Par Rgis Senet


http://www.regis-senet.fr regis.senet [at] supinfo.com

Le 13/06/2009

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 1/15

Sommaire
1. 2. Introduction.......................................................................................................................... 3 La mthode complte : Configuration de VirtualBox .............................................................. 3 2.1 2.2 2.3 2.4 3. 4. Mise jour du systme .............................................................................................................. 3 Configuration de VirtualBox ...................................................................................................... 4 Activation dune interface rseau.............................................................................................. 6 Installation de PfSense............................................................................................................... 6

La mthode rapide : Utilisation de la version VMWare ........................................................... 9 Configuration de PfSense .................................................................................................... 10 4.1 4.2 4.3 Configuration gnrale ............................................................................................................ 11 Scurit .................................................................................................................................... 12 Configuration simplifi............................................................................................................. 14

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 2/15

1. Introduction
Linstallation ainsi que la configuration PfSense va se raliser sur un systme dexploitation de type FreeBSD. Il est possible dmuler le systme dexploitation FreeBSD grce VirtualBox. Pour plus de renseignement sur VirtualBox, voici un lien prsentant comment le faire fonctionner : http://www.regis-senet.fr/blog/article.php?id_article=44 Nous ne reviendrons donc pas sur linstallation de VirtualBox, mais simplement sur sa configuration afin de pouvoir faire fonctionner PfSense correctement.

2. La mthode complte : Configuration de VirtualBox


2.1 Mise jour du systme

Il est possible tous moment quune faille de scurit soit dcouverte dans lun des modules composant votre systme que ce soit Apache ou quoi que ce soit dautre. Certaines de ces failles peuvent tre critiques dun point de vue scurit pour lentreprise. Afin de combler ce risque potentiel, il est ncessaire de rgulirement mettre jour lensemble du systme grce divers patches de scurit. Il est possible de mettre jour lensemble du systme via la commande suivante : nocrash:~# apt-get update && apt-get upgrade Le systme dexploitation est maintenant compltement jour, il est donc possible de mettre en place VirtualBox dans de bonnes conditions. Il est possible de ne pas passer par cette tape mais elle est fortement conseille pour la scurit ainsi que la stabilit de votre systme dexploitation.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 3/15

2.2

Configuration de VirtualBox

Afin de pouvoir configurer nos machines, il est ncessaire de lancer VirtualBox, pour cela, il est simplement ncessaire dinscrire la commande suivante : nocrash:~# Virtualbox Pour crer notre machine virtuelle, il est ncessaire de suivre les tapes suivantes : 1. 2. Cliquez sur Nouveau afin de commencer linstallation de la nouvelle machine. Cliquez sur Suivant puis rentrez le nom de votre ordinateur ( PfSense ) et slectionnez le systme dexploitation que vous voulez virtualiser ( BSD - FreeBSD ). Choisissez la mmoire que vous voulez disposez sur votre systme virtualis (256 Mo). Slectionnez Crer un nouveau disque dur en vrifiant que la case Disque dur damorage est coche. Afin de crer un disque dur ayant une taille variable (conseill), il est ncessaire de slectionner Image disque taille dynamique puis slectionnez la taille de disque (2Go) Cliquez ensuite deux fois sur Terminer afin de terminer la mise en place de la machine virtuelle.

3. 4.

5.

6.

Voici quoi devrait ressembler votre VirtualBox une fois les configurations termines. Il est prsent possible dinstaller votre systme dexploitation sur lordinateur virtuel prcdemment cr.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 4/15

Nous allons prsent initialiser le systme dexploitation. Pour cela, il est ncessaire de tlcharger la version PfSense sous forme de LiveCD qui permet une installation directe. Cette version se trouve ladresse suivante : http://mirror.qubenet.net/mirror/pfsense/downloads/ Dans ce tutorial, nous avons pris la version suivante : pfSense-1.2.2-LiveCD-Installer.iso

7. 8. 9.

Cliquez sur longlet Prfrences en haut gauche. Dans les prfrences, cliquez sur Disque optique Slectionnez Insrer un disque optique puis cliquez sur Fichier image ISO puis cliquez sur la petite icne. Cliquez sur Ajouter et slectionnez votre systme dexploitation au format ISO.

10.

11.

Une fois le fichier ISO charg, cliquez sur Choisir puis finalement sur OK

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 5/15

2.3

Activation dune interface rseau

Pour lutilisation de PfSense, il est ncessaire dactiver une deuxime interface rseau dans les paramtres de VirtualBox. 12. 13. 14. Cliquez sur longlet Prfrences en haut gauche. Dans les prfrences, cliquez sur Rseau Cliquez sur longlet Carte 2 , puis cochez la case Activer la carte rseau . Dfinissez le mode daccs rseau par NAT puis cliquez sur Ok Il est alors prsent possible de lancez le nouveau systme dexploitation en cliquant sur longlet Lancer se trouvant juste ct de Prfrences .

15.

2.4

Installation de PfSense

Une fois PfSense dmarr, il est ncessaire pour le premier lancement de choisir la rponse 1 Boot PfSense [default] . Dans un premier temps, nous nallons pas configurer de VLAN, la rponse la question suivante sera donc n .

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 6/15

Il est prsent temps de dfinir les interfaces que nous allons utiliser. Il est ncessaire de dfinir linterface LAN ainsi que linterface WAN et de valider ces changements.

Une fois les interfaces configures, il est ncessaire dinstaller PfSense en dur sur le disque dur.

Il est ncessaire de confirmer que vous voulez rellement installer PfSense.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 7/15

Les tapes suivantes sont obligatoires. Elles permettent la cration des partitions accueillant linstallation de PfSense.

Dans lventualit ou linstallation vous demande sil est ncessaire de mettre jour PfSense, il est possible de refuser du fait que nous venons de prendre la dernire version en ligne.

Une fois les partitions cres et paramtres, il est ncessaire de redmarrer lordinateur pour que les changements soient effectifs.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 8/15

3. La mthode rapide : Utilisation de la version VMWare


Une version VMWare de PfSense est disponible cette adresse : http://files.pfsense.org/vmware/pfSense-1.2.3-Prerelease.zip Dans cette version, le formatage du disque dur ainsi que la cration des partitions est dj fait. Linstallation de PfSense est galement faite.

Avant tout, il est conseill de changer l'IP sur la machine de PfSense pour plus de simplicit par la suite. Pour cela, dans le menu de PfSense, tapez le choix 2 : Set LAN IP address .

Il est prsent possible dutiliser PfSense. Et oui, dj.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 9/15

4. Configuration de PfSense
Une fois lune des mthodes choisies, Version complte ou Version rapide , il est possible de commencer faire les configurations dans PfSense. Pour cela, nous allons donc faire les configurations directement via linterface Web. Pour cela, il est ncessaire douvrir notre navigateur Web et se connecter lurl : http://ip_pfsense Dans notre cas, nous ferons http://192.168.1.24 Afin de se connecter pour la premire fois sur linterface PfSense, les identifiants par dfaut sont : - Identifiant : admin - Mot de passe : pfsense

Une fois connect avec succs, il est possible daccder linterface Web permettant ladministration de PfSense.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 10/15

4.1

Configuration gnrale

Afin de commencer les configurations de base, rendez-vous dans longlet General Setup prsent dans System Ici se trouve donc la configuration gnrale de Pfsense. Il est possible de rentrer le nom de la machine ainsi que son domaine les champs Hostname et Domain . Il est galement possible de rentrer ladresse IP des serveurs DNS dans le champ DNS Servers . Il est ncessaire galement de dcocher la case Allow DNS server list to be overridden by DHCP/PPP on WAN du fait que cette option provoque des conflits puisque les DNS des clients ne sont plus PfSense, mais un DNS du WAN inaccessible par le LAN. ----Le menu de PfSense est rellement un menu extrmement complet. Il permet en quelques clics davoir accs lensemble des configurations disponible.

System : Interfaces : Firewall : Services :

Permet de faire lensemble des rglages concernant le systme en lui-mme. Permet la gestion des interfaces rseau (Lan et Wan). Permet de mettre en place toute les rgles servant de Firewall. Permet dactiver de nombreux service faisant de PfSense un firewall multifonction pouvant se transformer en serveur/relai DHCP ou bien encore en portail captif. Permet dactiver/dsactiver le VPN, de mettre en place une scurit via IPSec. Permet de voir le statut de lensemble des configurations. Permet de donner des outils permettant le diagnostic dun quelconque bug

VPN : Status : Diagnostics :

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 11/15

4.2

Scurit

Pour des raisons de scurit videntes, il est ncessaire de modifier le couple login/mot de passe par dfaut (admin/pfsense). Cela se ralise dans longlet General Setup de loption System

Afin daccroitre encore un peu la scurit, il est ncessaire dactiver la connexion scuris sur ces pages grce lutilisation de SSL. Avant toute chose, dans le cas ou cela ne serait pas encore fait, il est ncessaire de crer votre certificat pour pouvoir avoir des connexions scurises. Rendez vous dans longlet Advanced du menu System . Dans la partie webGUI SSL certificate/key , cliquez sur Create pour gnrer le certificat et rpondez aux questions poses

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 12/15

Puis, une fois le certificat cr et sauvegard, il est ncessaire dactiver lHTTPS et de spcifier le port dans webGui port (Port 443).

Puis cliquez sur Save afin de valider les modifications. Aprs validation, la page va se recharger automatiquement et nous rediriger vers une page scurise via SSL (https).

A prsent, rendez-vous dans longlet Advanced prsent dans System A partir dici, il est possible dactiver la connexion distance via SSH. Cette connexion distance va permettre dadministrer PfSense distance sans passer par l'interface graphique permettant une configuration accrus et de manire scurise.

Cochez la case Disable Password login for Secure Shell (Key only) permet comme son nom lindique de nautoriser que les connexions SSH par cl et non pas par mot de passe. Les cls autorises devront se trouver dans le champ Authorizedkeys

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 13/15

4.3

Configuration simplifi

Afin de ne pas vous perdre dans lensemble des configurations quil est possible de mettre en place, il est possible dutiliser lassistant de configuration. Pour cela, cliquez sur longlet Setup Wizard prsent dans System . Cet assistant va reprendre les pages de configuration importante pour une mise en place et une configuration rapide de PfSense.

1.

La premire tape va reprendre les tapes de la configuration globale.

2.

La deuxime tape reprend galement les tapes de la configuration globale.

3.

La troisime tape reprend ltape de configuration des rseaux. (Lan et Wan)

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 14/15

4.

La quatrime tape quand elle consiste en la configuration des mots de passe permettant laccs PfSense via linterface graphique ou via SSH.

Mise en uvre dun firewall avec PfSense http://www.ja-psi.fr

Page 15/15