Académique Documents
Professionnel Documents
Culture Documents
16 heures
ACTIVITÉ n° 1
Installation et configuration d’un firewall
Compétences visées :
• Installer un firewall
• Configurer un firewall pour une implémentation sécurisée
Recommandations clés :
3 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même.
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les firewalls
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le firewall opensource Pfsense
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 1
Installation et configuration d’un firewall
Pfsense
Exercices
Dans cette activité, nous allons utiliser pfsense, un firewall opensource.
pfSense est un puissant pare-feu/routeur opensource basé sur FreeBSD. L'utilisation de pfSense au lieu d'un routeur grand public typique présente de nombreux
avantages. Les mises à jour fréquentes du système d'exploitation pour corriger les vulnérabilités sont importantes. La plupart des routeurs grand public ne reçoivent
jamais de mises à jour du micrologiciel et la plupart des gens utilisent leur routeur pendant plus de cinq ans. Mais au-delà d'une meilleure sécurité, pfSense comprend de
nombreux outils qui facilitent la configuration de pratiquement n'importe quelle configuration réseau assez facilement grâce à son interface graphique complète.
1. Se rendre sur le site officiel : https://www.pfsense.org/download/ et Télécharger la dernière version stable, community edition.
2. Créer une nouvelle VM virtual box.
3. Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
4. Monter l'ISO téléchargé précédemment et lancer l’installation.
5. Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces.
Sélectionner la carte avec la mac de la zone externe pour la zone WAN
Sélectionner la carte avec la mac de la zone interne pour la zone LAN
PARTIE 2
Pfsense
Corrigé
Se rendre sur le site officiel : https://www.pfsense.org/download/
et Télécharger la dernière version stable, community edition
PARTIE 2
Pfsense
Corrigé
Créer une nouvelle VM virtual box
PARTIE 2
Pfsense
Corrigé
Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
PARTIE 2
Pfsense
Corrigé
Monter l'ISO téléchargé précédemment et lancer l’installation.
PARTIE 2
Pfsense
Corrigé
Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces
PARTIE 2
Pfsense
Corrigé
Il faut choisir l’option 1 pour configurer les interfaces.
PARTIE 2
Pfsense
Corrigé
Il faut récupérer les adresses MAC de la configuration réseau de la VM :
PARTIE 2
• Installer un VPN
• Configurer un VPN pour une implémentation sécurisée
Recommandations clés :
13 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions VPN
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le firewall opensource OpenVPN
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 2
Appliquer les règles de durcissement VPN sur un firewall
OpenVPN
Exercices
Maintenant que pfsense est installé, une chose facile à configurer sur pfSense est votre propre serveur OpenVPN. Lorsqu'un serveur VPN s'exécute sur votre routeur, vous
pouvez vous connecter à votre réseau domestique en toute sécurité et, de n'importe où, accéder à votre machine locale et même utiliser votre connexion Internet
domestique à partir de votre appareil distant. Et c'est ce que nous allons voir dans cette activité. Nous allons à travers toutes les étapes à suivre configurer notre propre
serveur OpenVPN sur pfSense. Il faut utiliser une autre machine dans le même réseau que pfsense pour se connecter en interface web avec l’ip de pfsense. Les
identifiants à utiliser sont : admin/pfsense.
1. Installer le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
7. Exporter le fichier de configuration OpenVPN pour les clients.
PARTIE 2
8. Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé.
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Dans les menus en haut de l'écran, sélectionnez Système > Packages Manager. Vous êtes redirigé vers le Packages Manager
• Sélectionnez le Available Packages sous-menus
PARTIE 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Faites défiler vers le bas jusqu'à ce que vous voyiez openVPN-client-export et cliquez sur le bouton Installer à sa droite. Vous êtes redirigé vers la page Package Installer.
PARTIE 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Une fois l'installation terminée, la barre de progression devient verte et vous devriez voir Success affiché dans la fenêtre package.
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
• La première chose que nous devons faire est de générer notre autorité de certification (CA), qui validera l'identité du serveur OpenVPN et authentifiera les certificats
utilisateurs (si activés). Dans les menus en haut de l'écran, sélectionnez Système > Cert. Manager.
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority) :
• Cliquez sur le bouton Ajouter en bas à droite
• Saisissez un nom pour votre autorité de certification
• Assurez-vous que Méthode est définie sur « Create an internal Certificate Authority. »
• Sélectionnez votre type de clé. RSA par exemple, mais vous pouvez également utiliser ECDSA
• Définissez la longueur de votre clé sur au moins 2048
• Réglez votre algorithme Digest sur au moins sha256
• Choisissez un nom commun pour votre certificat ou laissez la valeur par défaut interne-ca
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
OpenVPN
Corrigé
Cliquer sur save pour sauvegarder votre CA.
PARTIE 2
OpenVPN
Corrigé
Créer le certificat du serveur OpenVPN (choisissez le certificat interne) :
• Sélectionnez Système > Cert. Manager
• Sélectionnez le sous-menu Certificats
PARTIE 2
OpenVPN
Corrigé
• Dans le sous-menu Certificats, cliquez sur le bouton Ajouter/Signer en bas à droite
• Assurez-vous que Méthode est défini sur Créer un certificat interne
• Entrez un nom descriptif pour votre certificat
• Utilisez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Sélectionnez Certificat de serveur comme type de certificat
• Cliquez sur Save. Vous avez créé votre certificat de serveur
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer l’utilisateur OpenVPN et le certificat de l’utilisateur :
• Nous devons maintenant créer un utilisateur pour accéder au serveur OpenVPN. Dans ce corrigé, nous allons créer un seul utilisateur, mais vous pouvez créer autant
d'utilisateurs que nécessaire. Répétez simplement ces étapes
• Dans les menus en haut de l'écran, sélectionnez Système > User Manager. Vous êtes redirigé vers User Manager :
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
• Si vous avez choisi de configurer votre serveur pour une authentification basée sur un certificat ou une authentification basée sur un certificat et un mot de passe,
cliquez sur l'icône en forme de crayon à droite de votre nouvel utilisateur. Vous êtes ramené à la fenêtre Edit User
• Cliquez sur le bouton Add sous User certificates. Vous êtes redirigé vers le Certificate Manager et vous êtes invité à saisir les paramètres de votre certificat utilisateur
• Définissez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Assurez-vous que Type de certificat est défini sur Certificat utilisateur
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN. Vous êtes redirigé vers le sous-menu Serveurs OpenVPN
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
Entrez un nom pour votre serveur dans le champ Description
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
Définissez le mode server sur Accès à distance (SSL/TLS), Accès à distance (Authentification de l'utilisateur) ou Accès à distance (SSL/TLS + Authentification de
l'utilisateur)
Remplacez le port local par un port différent si la topologie de votre réseau l'exige ou laissez-le par défaut (1194)
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN
• Paramètres cryptographiques :
Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que nous avons créée précédemment
Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
Sélectionnez 4096 pour le réglage de la longueur du paramètre DH
Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Paramètres des tunnels :
Dans le champ IPv4 Tunnel Network, entrez un sous-réseau qui n'est pas présent sur votre réseau à utiliser comme sous-réseau interne du réseau OpenVPN.
Dans notre exemple : 192.168.2.0/24
Si votre réseau prend également en charge IPv6 et que vous souhaitez que votre tunnel OpenVPN prenne également en charge IPv6, saisissez un sous-réseau
IPv6 inutilisé dans le champ Réseau de tunnel IPv6. Dans cet exemple, je configure mon serveur pour IPv4 uniquement.
Activez Redirect IPv4 Gateway afin d'acheminer tout le trafic IPv4 via le tunnel VPN
Activez Redirect IPv6 Gateway afin d'acheminer tout le trafic IPv6 via le tunnel VPN, si nécessaire
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Configuration avancée :
Activez UDP Fast I/O
Si vous utilisez uniquement IPv4, sélectionnez IPv4 only dans le champ Gateway Creation. Si vous utilisez à la fois IPv4 et IPv6, laissez-le défini sur Les deux.
Cliquez sur Save. Vous avez créé votre serveur OpenVPN.
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN.
OpenVPN
Corrigé
Vérification des logs
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
Cette règle autorisera le trafic du sous-réseau OpenVPN vers Internet.
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu OpenVPN
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4.
• Définissez le champ Protocole sur Any
• Définissez la Source sur Network
• Entrez le sous-réseau OpenVPN que vous avez spécifié précédemment dans le champ Adresse source mais sans le /24. Par exemple : 192.168.2.0
• Sélectionnez 24 dans le menu déroulant à droite du champ Adresse source
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
OpenVPN
Corrigé
.
PARTIE 2
OpenVPN
Corrigé
.
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé à sortir du pare-feu à partir du sous-réseau OpenVPN.
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès.
Afin de vous connecter à votre serveur OpenVPN depuis l’extérieur (c'est-à-dire Internet), vous devrez ouvrir le port sur lequel votre serveur fonctionne (1194, dans cet
exemple) sur votre interface WAN. Cette règle permettra à votre client de se connecter à votre serveur OpenVPN depuis Internet :
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu WAN (par défaut)
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4
• Assurez-vous que Source est défini sur Any
• Définissez le champ Protocole sur UDP
• Définissez la plage de ports de destination sur 1194
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé depuis internet vers le serveur OpenVPN.
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN
• Sélectionnez le sous-menu client export
• Assurez-vous que le bon serveur OpenVPN est sélectionné à côté de Remote Access Server
• Si vous utilisez le DNS dynamique pour accéder à votre pfSense WAN, sélectionnez Other dans le menu déroulant Résolution du nom d'hôte. Entrez ensuite le nom
d'hôte dans la zone Nom d'hôte qui apparaît ci-dessous. Cela vous permet d'accéder à votre pfSense WAN par nom d'hôte plutôt que par adresse IP, ce qui signifie que
vous ne perdrez pas l'accès à votre serveur OpenVPN si votre FAI modifie votre adresse IP WAN. Si vous n'utilisez pas le DNS dynamique, laissez la résolution du nom
d'hôte définie sur l'adresse IP de l'interface
PARTIE 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Faites défiler vers le bas de la page et vous trouverez des configurations générées pour divers systèmes et applications. Cliquez sur la configuration appropriée pour
votre ou vos appareils pour la télécharger sur votre ordinateur.
PARTIE 2
OpenVPN
Corrigé
Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé :
• Après l'importation de la configuration adaptée dans le gestionnaire de réseau de Linux, il suffit de saisir le nom d'utilisateur et le mot de passe (ils ne sont pas inclus
dans le fichier de configuration) et vous pouvez vous connecter au serveur OpenVPN sécurisé.
PARTIE 2