Untitled

PARTIE 2
MAITRISER LE DURCISSEMENT DU RÉESAU
Dans ce module, vous allez :
• Étudier les moyens de sécuriser la partie réseau d’un SI

• Se familiariser avec les problèmes et les contraintes
d’installation et de configuration
16 heures
ACTIVITÉ n° 1
Installation et configuration d’un firewall
Compétences visées :
• Installer un firewall
• Configurer un firewall pour une implémentation sécurisée
Recommandations clés :
• L’exemple donné est un firewall OpenSource, il est

recommandé de passer aussi du temps à refaire les mêmes
activités avec les firewalls du lab disponibles
3 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même.
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les firewalls
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le firewall opensource Pfsense
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 1
Installation et configuration d’un firewall
Pfsense
Exercices
Dans cette activité, nous allons utiliser pfsense, un firewall opensource.
pfSense est un puissant pare-feu/routeur opensource basé sur FreeBSD. L'utilisation de pfSense au lieu d'un routeur grand public typique présente de nombreux
avantages. Les mises à jour fréquentes du système d'exploitation pour corriger les vulnérabilités sont importantes. La plupart des routeurs grand public ne reçoivent
jamais de mises à jour du micrologiciel et la plupart des gens utilisent leur routeur pendant plus de cinq ans. Mais au-delà d'une meilleure sécurité, pfSense comprend de
nombreux outils qui facilitent la configuration de pratiquement n'importe quelle configuration réseau assez facilement grâce à son interface graphique complète.
1. Se rendre sur le site officiel : https://www.pfsense.org/download/ et Télécharger la dernière version stable, community edition.
2. Créer une nouvelle VM virtual box.
3. Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
4. Monter l'ISO téléchargé précédemment et lancer l’installation.
5. Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces.
 Sélectionner la carte avec la mac de la zone externe pour la zone WAN
 Sélectionner la carte avec la mac de la zone interne pour la zone LAN
PARTIE 2
 Sélectionner la carte avec la mac de la zone DMZ pour la zone DMZ
Copyright - Tout droit réservé - OFPPT 5

Activité n° 1
Application des règles de durcissement d’un firewall
Pfsense
Corrigé
Se rendre sur le site officiel : https://www.pfsense.org/download/
et Télécharger la dernière version stable, community edition
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Créer une nouvelle VM virtual box
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Monter l'ISO téléchargé précédemment et lancer l’installation.
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Il faut choisir l’option 1 pour configurer les interfaces.
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Il faut récupérer les adresses MAC de la configuration réseau de la VM :
PARTIE 2

ACTIVITÉ n° 2
Appliquer les règles de durcissement VPN
sur un firewall
Compétences visées :
• Installer un VPN
• Configurer un VPN pour une implémentation sécurisée
Recommandations clés :
• L’exemple donné est un VPN OpenSource, il est recommandé

de passer aussi du temps à refaire les mêmes activités avec les
VPNs du lab disponibles
13 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions VPN
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le firewall opensource OpenVPN
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 2
Appliquer les règles de durcissement VPN sur un firewall
OpenVPN
Exercices
Maintenant que pfsense est installé, une chose facile à configurer sur pfSense est votre propre serveur OpenVPN. Lorsqu'un serveur VPN s'exécute sur votre routeur, vous
pouvez vous connecter à votre réseau domestique en toute sécurité et, de n'importe où, accéder à votre machine locale et même utiliser votre connexion Internet
domestique à partir de votre appareil distant. Et c'est ce que nous allons voir dans cette activité. Nous allons à travers toutes les étapes à suivre configurer notre propre
serveur OpenVPN sur pfSense. Il faut utiliser une autre machine dans le même réseau que pfsense pour se connecter en interface web avec l’ip de pfsense. Les
identifiants à utiliser sont : admin/pfsense.
1. Installer le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
7. Exporter le fichier de configuration OpenVPN pour les clients.
PARTIE 2
8. Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé.

Activité n° 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Dans les menus en haut de l'écran, sélectionnez Système > Packages Manager. Vous êtes redirigé vers le Packages Manager
• Sélectionnez le Available Packages sous-menus
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Faites défiler vers le bas jusqu'à ce que vous voyiez openVPN-client-export et cliquez sur le bouton Installer à sa droite. Vous êtes redirigé vers la page Package Installer.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Cliquer sur Confirm et l’installation commencera

PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Une fois l'installation terminée, la barre de progression devient verte et vous devriez voir Success affiché dans la fenêtre package.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
• La première chose que nous devons faire est de générer notre autorité de certification (CA), qui validera l'identité du serveur OpenVPN et authentifiera les certificats
utilisateurs (si activés). Dans les menus en haut de l'écran, sélectionnez Système > Cert. Manager.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer la CA (Certification Authority) :
• Cliquez sur le bouton Ajouter en bas à droite
• Saisissez un nom pour votre autorité de certification
• Assurez-vous que Méthode est définie sur « Create an internal Certificate Authority. »
• Sélectionnez votre type de clé. RSA par exemple, mais vous pouvez également utiliser ECDSA
• Définissez la longueur de votre clé sur au moins 2048
• Réglez votre algorithme Digest sur au moins sha256
• Choisissez un nom commun pour votre certificat ou laissez la valeur par défaut interne-ca
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
Choisir un nom de certificat :

PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Cliquer sur save pour sauvegarder votre CA.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer le certificat du serveur OpenVPN (choisissez le certificat interne) :
• Sélectionnez Système > Cert. Manager
• Sélectionnez le sous-menu Certificats
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Dans le sous-menu Certificats, cliquez sur le bouton Ajouter/Signer en bas à droite
• Assurez-vous que Méthode est défini sur Créer un certificat interne
• Entrez un nom descriptif pour votre certificat
• Utilisez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Sélectionnez Certificat de serveur comme type de certificat
• Cliquez sur Save. Vous avez créé votre certificat de serveur
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer l’utilisateur OpenVPN et le certificat de l’utilisateur :
• Nous devons maintenant créer un utilisateur pour accéder au serveur OpenVPN. Dans ce corrigé, nous allons créer un seul utilisateur, mais vous pouvez créer autant
d'utilisateurs que nécessaire. Répétez simplement ces étapes
• Dans les menus en haut de l'écran, sélectionnez Système > User Manager. Vous êtes redirigé vers User Manager :
PARTIE 2
• Cliquez sur le bouton Add en bas à droite

• Entrez un nom d'utilisateur et un mot de passe pour votre utilisateur
• Cliquez sur Save. Vous avez créé votre utilisateur OpenVPN et êtes redirigé vers User Manager

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Si vous avez choisi de configurer votre serveur pour une authentification basée sur un certificat ou une authentification basée sur un certificat et un mot de passe,
cliquez sur l'icône en forme de crayon à droite de votre nouvel utilisateur. Vous êtes ramené à la fenêtre Edit User
• Cliquez sur le bouton Add sous User certificates. Vous êtes redirigé vers le Certificate Manager et vous êtes invité à saisir les paramètres de votre certificat utilisateur
• Assurez-vous que Méthode est défini sur "Créer un certificat interne"

• Entrez un nom descriptif pour votre certificat
PARTIE 2
• Définissez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Assurez-vous que Type de certificat est défini sur Certificat utilisateur

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN. Vous êtes redirigé vers le sous-menu Serveurs OpenVPN
PARTIE 2
• Cliquez sur le bouton Add en bas à droite

Activité n° 2
OpenVPN
Corrigé
• Informations générales / Mode Configuration / Endpoint Configuration
 Entrez un nom pour votre serveur dans le champ Description
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Informations générales / Mode Configuration / Endpoint Configuration
 Définissez le mode server sur Accès à distance (SSL/TLS), Accès à distance (Authentification de l'utilisateur) ou Accès à distance (SSL/TLS + Authentification de
l'utilisateur)
 Remplacez le port local par un port différent si la topologie de votre réseau l'exige ou laissez-le par défaut (1194)
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN
• Paramètres cryptographiques :
 Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
 Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que nous avons créée précédemment
 Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
 Sélectionnez 4096 pour le réglage de la longueur du paramètre DH
 Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Paramètres des tunnels :
 Dans le champ IPv4 Tunnel Network, entrez un sous-réseau qui n'est pas présent sur votre réseau à utiliser comme sous-réseau interne du réseau OpenVPN.
Dans notre exemple : 192.168.2.0/24
 Si votre réseau prend également en charge IPv6 et que vous souhaitez que votre tunnel OpenVPN prenne également en charge IPv6, saisissez un sous-réseau
IPv6 inutilisé dans le champ Réseau de tunnel IPv6. Dans cet exemple, je configure mon serveur pour IPv4 uniquement.
 Activez Redirect IPv4 Gateway afin d'acheminer tout le trafic IPv4 via le tunnel VPN
 Activez Redirect IPv6 Gateway afin d'acheminer tout le trafic IPv6 via le tunnel VPN, si nécessaire
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Configuration avancée :
 Activez UDP Fast I/O
 Si vous utilisez uniquement IPv4, sélectionnez IPv4 only dans le champ Gateway Creation. Si vous utilisez à la fois IPv4 et IPv6, laissez-le défini sur Les deux.
 Cliquez sur Save. Vous avez créé votre serveur OpenVPN.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN.
• Vérification de la configuration du serveur OpenVPN :

 Pour vous assurer que notre serveur est correctement configuré, sélectionnez Status > system logs dans les menus supérieurs
 Sélectionnez le sous-menu OpenVPN. Les journaux OpenVPN s'affichent.
 Si tout est configuré correctement, vous devriez voir Initialization Sequence Completed dans les journaux
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Vérification des logs
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
Cette règle autorisera le trafic du sous-réseau OpenVPN vers Internet.
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu OpenVPN
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4.
• Définissez le champ Protocole sur Any
• Définissez la Source sur Network
• Entrez le sous-réseau OpenVPN que vous avez spécifié précédemment dans le champ Adresse source mais sans le /24. Par exemple : 192.168.2.0
• Sélectionnez 24 dans le menu déroulant à droite du champ Adresse source
• Entrez une description pour cette règle dans le champ Description
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé à sortir du pare-feu à partir du sous-réseau OpenVPN.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès.
Afin de vous connecter à votre serveur OpenVPN depuis l’extérieur (c'est-à-dire Internet), vous devrez ouvrir le port sur lequel votre serveur fonctionne (1194, dans cet
exemple) sur votre interface WAN. Cette règle permettra à votre client de se connecter à votre serveur OpenVPN depuis Internet :
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu WAN (par défaut)
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4
• Assurez-vous que Source est défini sur Any
• Définissez le champ Protocole sur UDP
• Définissez la plage de ports de destination sur 1194
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé depuis internet vers le serveur OpenVPN.

Activité 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN
• Sélectionnez le sous-menu client export
• Assurez-vous que le bon serveur OpenVPN est sélectionné à côté de Remote Access Server
• Si vous utilisez le DNS dynamique pour accéder à votre pfSense WAN, sélectionnez Other dans le menu déroulant Résolution du nom d'hôte. Entrez ensuite le nom
d'hôte dans la zone Nom d'hôte qui apparaît ci-dessous. Cela vous permet d'accéder à votre pfSense WAN par nom d'hôte plutôt que par adresse IP, ce qui signifie que
vous ne perdrez pas l'accès à votre serveur OpenVPN si votre FAI modifie votre adresse IP WAN. Si vous n'utilisez pas le DNS dynamique, laissez la résolution du nom
d'hôte définie sur l'adresse IP de l'interface
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Faites défiler vers le bas de la page et vous trouverez des configurations générées pour divers systèmes et applications. Cliquez sur la configuration appropriée pour
votre ou vos appareils pour la télécharger sur votre ordinateur.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé :
• Après l'importation de la configuration adaptée dans le gestionnaire de réseau de Linux, il suffit de saisir le nom d'utilisateur et le mot de passe (ils ne sont pas inclus
dans le fichier de configuration) et vous pouvez vous connecter au serveur OpenVPN sécurisé.
PARTIE 2

Untitled

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Untitled

Transféré par

Droits d'auteur :

Formats disponibles

PARTIE 2

MAITRISER LE DURCISSEMENT DU RÉESAU

Dans ce module, vous allez :

• Étudier les moyens de sécuriser la partie réseau d’un SI

• L’exemple donné est un firewall OpenSource, il est

 Sélectionner la carte avec la mac de la zone DMZ pour la zone DMZ

Copyright - Tout droit réservé - OFPPT 5

Copyright - Tout droit réservé - OFPPT 6

Copyright - Tout droit réservé - OFPPT 7

Copyright - Tout droit réservé - OFPPT 8

Copyright - Tout droit réservé - OFPPT 9

Copyright - Tout droit réservé - OFPPT 10

Copyright - Tout droit réservé - OFPPT 11

Copyright - Tout droit réservé - OFPPT 12

• L’exemple donné est un VPN OpenSource, il est recommandé

Copyright - Tout droit réservé - OFPPT 15

Copyright - Tout droit réservé - OFPPT 16

Copyright - Tout droit réservé - OFPPT 17

• Cliquer sur Confirm et l’installation commencera

Copyright - Tout droit réservé - OFPPT 18

Copyright - Tout droit réservé - OFPPT 19

Copyright - Tout droit réservé - OFPPT 20

Copyright - Tout droit réservé - OFPPT 21

Choisir un nom de certificat :

Copyright - Tout droit réservé - OFPPT 22

Copyright - Tout droit réservé - OFPPT 23

Copyright - Tout droit réservé - OFPPT 24

Copyright - Tout droit réservé - OFPPT 25

Copyright - Tout droit réservé - OFPPT 26

Copyright - Tout droit réservé - OFPPT 27

• Cliquez sur le bouton Add en bas à droite

Copyright - Tout droit réservé - OFPPT 28

Copyright - Tout droit réservé - OFPPT 29

• Assurez-vous que Méthode est défini sur "Créer un certificat interne"

Copyright - Tout droit réservé - OFPPT 30

Copyright - Tout droit réservé - OFPPT 31

Copyright - Tout droit réservé - OFPPT 32

Copyright - Tout droit réservé - OFPPT 33

• Cliquez sur le bouton Add en bas à droite

Copyright - Tout droit réservé - OFPPT 34

Copyright - Tout droit réservé - OFPPT 35

Copyright - Tout droit réservé - OFPPT 36

Copyright - Tout droit réservé - OFPPT 37

Copyright - Tout droit réservé - OFPPT 38

Copyright - Tout droit réservé - OFPPT 39

Copyright - Tout droit réservé - OFPPT 40

Copyright - Tout droit réservé - OFPPT 41

Copyright - Tout droit réservé - OFPPT 42

Copyright - Tout droit réservé - OFPPT 43

• Vérification de la configuration du serveur OpenVPN :

Copyright - Tout droit réservé - OFPPT 44

Copyright - Tout droit réservé - OFPPT 45

Copyright - Tout droit réservé - OFPPT 46

Copyright - Tout droit réservé - OFPPT 47

Copyright - Tout droit réservé - OFPPT 48

Copyright - Tout droit réservé - OFPPT 49

Copyright - Tout droit réservé - OFPPT 50

Copyright - Tout droit réservé - OFPPT 51

Copyright - Tout droit réservé - OFPPT 52

Copyright - Tout droit réservé - OFPPT 53

Copyright - Tout droit réservé - OFPPT 54

Copyright - Tout droit réservé - OFPPT 55

Copyright - Tout droit réservé - OFPPT 56

Vous aimerez peut-être aussi