Julien Tabas

BTS SIO 2

RAPPORT DE STAGE 2015

2

Table des matières

Introduction…………………………………………………………………………………………3

Présentation de l’entreprise…………………………………………………………………………4

Organigramme………………………………………………………………………………………5

Projet :

Présentation du besoin………………………………………………………………………………6

Topologie réseau…………………………………………………………………………………….7

Ipsec PFSense PFSense………………………………………………………………………….8

Ipsec PFsense Cisco………………………………………………………………………………9

Supervision réseau…………………………………………………………………………………..10

Filtrage Web………………………………………………………………………………………...11

Bridage du trafic…………………………………………………………………………………….11

Missions :

En atelier / chez le client …………………………………………………………. ........................ 12

Conclusion…………………………………………………………………………………………..13

Annexes 1 VPN PFsense PFsense

2 VPN PFsense Cisco

3 Supervision réseau

4 Filtrage Web

5 Bridage du trafic

3

Introduction

Ma première année en BTS SIO à l’Institution des Chartreux m’a montré comment

l’informatique et particulièrement le réseau était un élément primordial dans la gestion d’une

entreprise ou toutes sortes de structures.

Lors d’une précédente expérience, j’ai découvert le service informatique d'ID2I. La gestion

des parcs informatiques et l’organisation du réseau m’ont beaucoup intéressé et j’ai décidé de

m’orienter dans cette voie.

A présent ce stage chez ID2I, me permet d’appliquer les connaissances de mes cours à

travers des installations de postes, périphériques et la gestion des accès utilisateurs. En effet,

l’aspect technique est majeur mais il ne faut pas oublier aussi le côté relationnel car nous sommes

souvent en relation avec les clients.

Il est nécessaire d'être organisé et rigoureux afin de gérer au mieux et le plus rapidement

possible le problème qui se présente en face.

4

Présentation de l’entreprise

Nom : ID2I

Création : 2003

Chiffre d’affaire : 2M€

Siège Social : Avignon

Activité : Société de services d’ingénierie informatique

Nombre de salariés : 23

Nombre d’agences : 2

Sociétés clientes : 1000

Objectifs :

Gérer les droits d’accès durant et après les heures de travail

Le trafic des données

La sauvegarde des données

La politique de sécurité régissant tous les types d’accès ou réseau

La surveillance et l’assurance de la fiabilité générale du réseau

Savoir faire :

Infogérance

Maintenance

Help Desk

Matériel et hébergement informatique

Solutions Développement Web

Conseil

Audit

Formation

Applications mobiles sur mesure

Solutions bureautique et ERP

5

Organigramme :

6

Présentation du besoin :

Sujet : 1- Connexion VPN PFsense Site à Site

2- Supervision réseau avec la mise en place de balises PFsense

3- Filtrage Web

4- Bridage du trafic

Qu’est-ce qu’une sonde ?

Une sonde est un équipement qui permet d’analyser les flux réseaux. En effet, placée en sortie de

réseau, elle agit comme un « capteur ». Elle capte toutes les communications au sein du réseau et les

remonte au superviseur. Une fois configurée elle va nous permettre d’avoir une illustration du débit

utilisé total ou par machines que ce soit en montant ou en descendant, des différentes

communications entre IPs (par exemple une machine discute avec tel serveur), des différents

protocoles utilisés, des sites consultés et toutes autres informations utiles à la supervision de

réseaux.

Quelle est la technologie choisie ?

Nous allons utiliser le système d’exploitation PFSense, Open Source. Il a été modifié et complété

avec le temps pour être la solution complète qu’il est aujourd’hui. Il offre de nombreuses

fonctionnalités comme le pare-feu, le DHCP, le DNS, le NTP, la gestion de charge, le PPPoE, le

SNMP, le VPN par IPsec, L2TP, OpenVPN, PPTP ou portail captif. De nombreux paquets

supplémentaires sont disponibles pour compléter le système et s’adapter à notre utilisation comme

Squid ou Ntopng.

Cette solution, très légère, s’implémente sur une machine, qu’elle soit physique ou virtuelle,

contenant au minimum un Pentium II et 256 MB de RAM. Il faudra donc adapter son matériel par

rapport au type d’utilisation de la solution et de la bande passante à traiter.

PFSense est téléchargeable sur le site internet du projet (http://www.pfsense.org/) et une fois

téléchargé il s’installe en mode console puis est administré par une interface web.

Coût : PFsense est gratuit, il s’agit d’une distribution FreeBSD modifiée pour l’utilisation en tant

que routeur/pare-feu.

Délais : Le projet se déroule sur les 2 mois de stage. L’organisation des différentes tâches s’effectue

par moi-même. Il m’a été nécessaire de bien m’organiser et de gérer mon emploi du temps car le

projet n’est qu’une partie de mes activités au sein de l’entreprise.

7

Schéma de l'infrastructure réseau :

8

Ipsec PFSense PFSense :

Ipsec est un protocole qui permet d’assurer des communications privées et protégées sur des ré-

seaux IP.

Il opère sur la couche réseau 3 du modèle OSI contrairement aux standards qui opéraient à la

couche application 7. En résumé, les utilisateurs n’ont pas besoin de configurer chaque application

aux standards IPsec.

Cette technologie permet d’identifier et de chiffrer les données. Celle-ci est souvent un composant

du VPN qui permet de créer un lien direct entre des ordinateurs distants.

Dans notre situation, la société ID2I désire mettre en place un VPN entre deux sites distants.

Une entreprise de transport s’est développée sur Marseille et sur Lyon. L’objectif est de faire com-

muniquer ces deux sites par un tunnel privé. Ce tunnel permettra aux deux sites distants de commu-

niquer librement. Le site de Lyon pourra avoir accès au serveur de celui de Marseille et inverse-

ment. Actuellement un routeur PFsense est en place à Marseille et un autre est prévu sur Lyon.

Grâce à une configuration spécifique des deux routeurs (voir annexe1), nous allons pouvoir créer

un réseau privé entre deux PFsense.

Le choix de cette solution par ID2I est d’une part économique. En effet, Pfsense est un système

d’exploitation à part entière pouvant être créé physiquement sur un serveur, un poste ou virtuelle-

ment sur une VM hébergée. Le coût de cette solution est totalement nul car c’est un logiciel open

source. Il est disponible gratuitement sur le site constructeur https://www.pfsense.org/. De plus, le

choix par la SSII de PFsense n’est pas anodin. Ici nous traitons seulement le vpn site à site entre

deux PFSense. Mais le projet autour de la technologie PFsense s’étend bien au-delà. Cette solution

s’est tout d’abord tournée vers la diversité des services proposés par le logiciel qui correspond par-

faitement aux besoins d’ID2I.

9

IPSec PFSense Cisco :

Actuellement, la plupart des clients d’ID2I sont équipés de routeur Cisco. Mais certaines entreprises

étendent leurs activités vers des sites distants. Désireuses de pouvoir communiquer au sein d’un ré-

seau sécurisé, il est possible de créer une connexion privée entre un routeur PFSense et un routeur

Cisco. Cette alternative aux réseaux étendus à relais de trames ou à ligne allouée permet aux entre-

prises d’étendre les ressources réseau aux succursales, aux travailleurs à domicile et aux sites de

leurs partenaires. En plus de pouvoir faire du VPN IPSec site à site, il est possible de faire du vpn

d’accès distant. En effet, ce type de VPN étend presque n’importe quelle application vocale, vidéo

ou de données au bureau distant, grâce à une émulation du bureau principal. Un VPN d’accès dis-

tant peut être déployé à l’aide d’un VPN SSL, IPSec ou les deux, en fonction des exigences de dé-

ploiement.

La stratégie n’est pas de remplacée tous les routeurs cisco actuellement en œuvre par des PFSenses.

En effet, suivant le besoin de l’entreprise un PFSense ou un Cisco sera plus adapté.

A travers l’annexe 2, il est possible d’analyser précisément le processus d’installation et les diffé-

rentes configurations à adopter d’une part coté PFSense et d’autre part du côté Cisco.

Malgré la diversité des rôles que propose la solution applicative open source, ID2I maintient sa con-

fiance dans le matériel Cisco qui reste une référence dans le monde du réseau.

La solution libre est une alternative pour contrer d’une part les coûts mais aussi pouvoir analyser le

trafic entrant et sortant en temps réel.

10

Supervision Réseau :

Après avoir vu les connexions VPN entre deux routeurs, entamons à présent l’une des parties prin-

cipales de ce grand projet. L’ESN est désireuse de pouvoir surveiller le trafic réseau de ses clients

en temps réel. Ce système permettrai d’avoir une vue d’ensemble de ce qui se passe sur les réseaux

de ses différents clients. La supervision est une technologie permettant la surveillance du bon fonc-

tionnement d’un système ou d’une activité.

Afin de mettre en œuvre ce projet (annexe 3), nous utilisons un logiciel en plus de PFsense qui

s’appelle Ntopng. Celui-ci permet d’avoir une vision d’ensemble du réseau et analyser précisément

les entrées et les sorties. Chaque ip qui communiquent ensemble utilisent de la bande passante et

sont illustrées à l’aide de graphique très intuitifs. De plus, les IP révèlent sur quels sites les utilisa-

teurs vont navigués.

Cette solution n’est en aucun cas un moyen d’espionner les utilisateurs sur un réseau mais bien de

visionner en temps réel quel poste utilise le plus la bande passante afin de prévenir d’éventuelles

gênes sur le réseau. Grâce à la commande ping –a « ip » il est possible directement à partir d’une ip

d’obtenir le nom du poste. Désormais il est possible de prévenir les futures pannes même avant que

le client lui-même appelle l’agence pour dire que le réseau est lent. Cette solution est à la fois puis-

santes et très intuitives.

Afin de réceptionner les paquets à l’entrée et à la sortie du réseau il est nécessaire d’adopter une

stratégie de placement du PFsense sur le réseau. Le PFsense est appelé sonde et se situe stratégique-

ment avant le routeur à l’entrée du réseau et le LAN utilisateurs. Lorsque les utilisateurs communi-

quent avec l’extérieur du réseau, les paquets émis et reçus passe naturellement par la sonde mis en

place. Elle est totalement transparente aux utilisateurs et ne provoquent aucune gêne sur le réseau.

La sonde est configurée (annexe3) en mode pont transparent et se munit de graphes pour illustrer les

données passantes d’une patte à l’autre du PFsense. Pour cela une liste variée est mis à disposition.

Pour notre projet, nous allons utiliser NTopng et RRDGraph, deux logiciels permettant d’illustrer

sous forme de graphe l’état de la bande passante en fonction de l’utilisation globale de l’ensemble

des utilisateurs.

11

Filtrage Web :

A présent, nous nous intéressons au filtrage web grâce à l’installation de Squid. Ce package permet

de filtrer les url des utilisateurs en fonction de leurs recherches sur internet. Il est possible d’ajouter

une blacklist lors de la configuration (voir annexe 4) afin d’affiner le filtrage. C’est un serveur

mandataire, plus communément appelé serveur Proxy. Pour plus de détails, voir l’ensemble de con-

figuration en annexe.

Bridage du trafic :

De plus, il est nécessaire de déployer une limitation de la bande passante sur le réseau client. Brider

permet limiter le débit d'un réseau, pour décourager le téléchargement (limiter le piratage, éviter

l'utilisation du matériel de l'entreprise à des fins personnelles). On peut utiliser la sonde comme bri-

deur de débit et ainsi allouer un certain espace de bande passante par machine. (voir annexe 5)

12

Missions en atelier / chez le client :

Durant mon stage chez ID2I, j’ai effectué de nombreuses missions en atelier, par télémaintenance

ainsi que chez divers clients.

En atelier, nous avons mis en place un serveur PXE afin de pouvoir créer des images de postes puis

les déployer à l’aide d’un boot sur le réseau en les récupérant sur le serveur. Grâce au service de

déploiement Windows Deployment Services, l’installation du système d’exploitation s’effectue en

10 min.

J’ai la possibilité de me connecter au helpdesk (logiciel de gestion d’incident) avec un compte

stagiaire afin de résoudre les différents incidents des clients. Le client peut déposer lui-même un

ticket ou peut appeler le standard technique pour déclarer son problème. Ensuite, un voyant indique

la priorité de l’évènement et tous les détails techniques sont indiqués afin de guider le technicien

dans son approche de maintenance. Depuis plusieurs semaines, j’ai effectué de la télémaintenance

grâce à une prise en main directe sur le poste du client à l’aide de TeamViewer. La maintenance des

postes est souvent liée à des nettoyages grâce à des logiciels comme MalwareBytes, ADWCleaner,

CCleaner ou bien des problèmes de messagerie comme un besoin d’archivage, des emails qui ne

s’envoient plus, des mots de passe oubliés…

Chez le client, les interventions sont aussi variées. Souvent j’ai effectué un checkup de l’ensemble

des parcs informatiques à l’aide de scan et nettoyage des éléments potentiellement dangereux. Il y a

eu des migrations de compte de messagerie, des problèmes liés à la connexion internet,

d’imprimantes, des lenteurs au démarrage ou lors de l’exécution d’applications. Les incidents étant

très variés, il m’est nécessaire de m’adapter à toutes les situations. Souvent en ligne avec le client, il

est important d’être à son écoute et de le conseiller dans l’utilisation de son matériel, logiciel.

Une fois la télémaintenance terminée, je fais un compte rendu sur le helpdesk et ajoute le temps de

l’intervention. Si la mission a été effectuée avec succès, le ticket est clôturé.

13

Conclusion

Cette expérience au sein de l’ESN ID2I a été très enrichissante : non

seulement ces deux mois ont été particulièrement actif, mais aussi varié en

apprentissage.

Au sein de l'entreprise, j'ai pu découvrir les métiers de Technicien de

maintenance en informatique et Superviseurs en participant à divers activités de

dépannage et installation. Ce travail demande d'être polyvalent puisqu'il faut faire face

à de nombreux problèmes avec le plus de rapidité et d'efficacité possible.

Il est indispensable de connaître de manière approfondie les spécificités des

produits et des caractéristiques de l'environnement d'exploitation. La rigueur,

l'organisation et la méthode sont des atouts indispensables car il ne faut pas craindre

les situations de stress et d'urgence. De plus, il faut être disponible et avoir une

certaine capacité d'écoute quand il faut mener son enquête pour trouver l'origine du

problème.

Les clients de l'entreprise sont assistés directement ou à distance, par

téléphone ou via le logiciel de prise en main à distance TeamViewer.

Pour la rédaction de mon rapport, j'ai dû rassembler mes notes personnelles

durant chaque mission.

Je garde de ce stage un excellent souvenir car j'ai vécu un mois riche en

activités et en contacts. J'ai beaucoup apprécié la gentillesse et le

professionnalisme des personnes qui m'ont accueilli et je les remercie encore.

14

ANNEXE 1

VPN PFSense vers PFSense

15

ANNEXE 1

Notice VPN IPSEC Site à Site

1). PFSense vers PFSense :

Un VPN (Virtual Private Network) Site-to-Site (aussi appellé LAN-to-LAN) est un tunnel qui permet de joindre deux réseaux de type LAN distants de manière à faire en sorte qu’ils puissent communiquer comme s’ils étaient sur le même réseau et qu’un simple routeur les séparaient.

- interface WAN 192.168.128.73 et un LAN 192.168.128.6.1

- interface WAN 192.168.128.68 et un LAN 13.37.0.79

On débute par accéder au dashboard de PFSense puis se diriger dans le menu VPN puis dans le

sous-onglet Ipsec.

Il faut cocher la case enable Ipsec puis save. Ensuite il faut cliquer sur + pour ajouter une nouvelle

configuration Ipsec

16

Premier serveur :

On commence par remplir l'IP de notre partenaire VPN. Étant sur le PFSense 192.168.6.1 on met

l'IP 192.168.128.68.

Dans le second cadre qui se nomme Phase 1 proposal, on va remplir le champ Pre-Shared Key car

le champ Authentification method est positionné sur Mutual PSK.

Ensuite il faut cliquer sur save et apply changes pour sauvegarder la configuration.

Il faut cliquer sur le + pour configurer de nouveau paramètres

Nous allons remplir le champ Remote Network dans lequel nous allons mettre la plage IP du LAN

distant :

17

On clique sur save puis sur Apply Changes. On développe de tableau principal avec le + et on

obtient :

Ce tableau nous indique le résumé de notre configuration VPN.

Il faut à présent effectuer la même configuration du coté de notre deuxième PFSense en adaptant les

IP.

18

Deuxième Serveur :

19

Sur nos deux routeurs PFSense on va alors aller dans l'onglet Interfaces puis le sous onglet WAN.

Il important de décocher « block private networks » et « block bogon networks » sinon le pare-feu

va bloquer les paquets arrivant du WAN et ainsi bloquer la négociation VPN .

20

Le tunnel entre les deux sites est actif.

21

ANNEXE 2

VPN Cisco vers PFSense

22

ANNEXE 2

2). Cisco vers PFSense :

Toutes les commandes se feront en mode privilégié (enable mode (commande « en ») ).

On connecte le routeur au PC grâce au port console et au câble RJ-11/USB. On exécute l’utilitaire «

Putty » et nous connectons en serial.

Tout d’abord on fait un « factory reset » du routeur pour être sûr qu’aucune configuration

n’interfère avec notre nouvelle configuration :

Router# Configure terminal

Router(config)#config-register

0x2102 Router(config)#end

Router#write erase

Router#reload

System configuration has been modified. Save ? [yes/no] : n

Lors du redémarrage il faudra sélectionner non lorsque la console nous proposera le setup. Nous

allons maintenant configurer le ssh :

Cisco800>en

Cisco800#con

f t

Router(config)#hostname cisco800

Cisco800(config)#username admin privilege 15 secret 0

admin Cisco800(config)#Ip domain-name stagiaire.id2i

Cisco800(config)#Crypto key generate rsa

How many bits in the modulus [512]

: 1024 Cisco800(config)#Ip ssh

version 2 Cisco800(config)#Line vty

0 4 Cisco800(config-line)#Transport

input all Cisco800(config-line)#exit

Cisco800(config)#Aaa new-model

Cisco800(config)#Aaa authentification login

userauthen local Cisco800(config)#Aaa authorization

network groupauthor local

23

Ces lignes nous créent un utilisateur « admin » de privilège 15 avec le mot de passe « admin »,

génèrent une clé RSA de 1024 bits puis active tous les accès (telnet, ssh et rlogin) ainsi que

l’authentification par le réseau.

On va maintenant activer le NAT, on commence par le VLAN1 (les 4 ports LAN), on lui

donne une adresse, un masque, le côté du NAT et on l’active, on fait pareil pour le port WAN :

Cisco800(config)#int vlan 1

Cisco800(config-if)#ip address 84.82.0.1

255.255.255.0 Cisco800(config-if)#

Cisco800(config-

if)#

Cisco800(config-if)#

Cisco800(config)#int fastethernet 4

Cisco800(config-if)#ip address 192.168.128.63

255.255.255.0 Cisco800(config-if)#ip nat

outside

Cisco800(config-

if)#no shutdown

Cisco800(config-

if)#exit

On active maintenant des règles pour le trafic entrant :

Cisco800(config)#access-list 102 remark permit-outside

Cisco800(config)#access-list 102 permit udp any any eq

isakmp Cisco800(config)#access-list 102 permit udp any

any eq non500-isakmp Cisco800(config)#access-list 102

permit esp any any Cisco800(config)#access-list 102

permit icmp any any Cisco800(config)#access-list 102

permit icmp any any echo-reply

Cisco800(config)#access-list 102 permit ip any any

Cisco800(config)#int fastethernet 4

Cisco800(config-if)#ip access-group 102 in

On active l’inspection de trafic (optionnel)

Cisco800(config)#ip inspect name

FW_INSPECT tcp Cisco800(config)#ip

inspect name FW_INSPECT udp

24

Cisco800(config)#ip inspect name

FW_INSPECT icmp Cisco800(config)#ip

inspect name FW_INSPECT ftp

Cisco800(config)#ip inspect name

FW_INSPECT smtp Cisco800(config)#ip

inspect name FW_INSPECT dns

Cisco800(config)#ip inspect name

FW_INSPECT pptp Cisco800(config)#int

fastethernet 4

Cisco800(config-if)#ip inspect FW_INSPECT out

On va maintenant s’occuper du VPN, on va ainsi définir la police IKE (Internet Key Exchange) grâce à

ISAKMP (Internet Security Association and Key Management Protocol)

Cisco800(config)#crypto isakmp policy

10 Cisco800(config-isakmp)#encr 3des

Cisco800(config-

isakmp)#authentication pre-share

Cisco800(config-isakmp)#group 2

Cisco800(config-isakmp)#exit

Suite à cela on crée les clés et on indique a quel serveur distant on la lie puis on crée les règles de

filtrages (ACLs) qui permettront, une fois associées aux tunnels d’autoriser le trafic entre les deux

réseaux (local/distant)

Cisco800(config)#crypto isakmp key azertyuiop 60.0.0.2 no-xauth

Cisco800(config)#crypto isakmp key azertyuiop 70.0.0.2 no-xauth

Cisco800(config)#crypto ipsec transform-set 3DES-SHA esp-3des esp-

sha-hmac Cisco800(config)#access-list 103 permit ip 192.168.12.0

0.0.0.255 192.168.10.0 0.0.0.255

Cisco800(config)#access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.12.0 0.0.0.255

Cisco800(config)#access-list 104 permit ip 192.168.12.0 0.0.0.255 192.168.11.0 0.0.0.255

Cisco800(config)#access-list 104 permit ip 192.168.11.0 0.0.0.255 192.168.12.0 0.0.0.255

On crée maintenant nos deux tunnels et on les attribue à notre port de sortie :

Cisco800(config)#crypto map PFSVPN 15

ipsec-isakmp Cisco800(config-crypto-map)#set

peer 60.0.0.2 Cisco800(config-crypto-map)#set

25

transform-set 3DES-SHA Cisco800(config-

crypto-map)#set pfs group2 Cisco800(config-

crypto-map)#match address 103

Cisco800(config-crypto-map)#exit

Cisco800(config)#crypto map PFSVPN 15

ipsec-isakmp Cisco800(config-crypto-map)#set

peer 70.0.0.2 Cisco800(config-crypto-map)#set

transform-set 3DES-SHA Cisco800(config-

crypto-map)#set pfs group2 Cisco800(config-

crypto-map)#match address 104

Cisco800(config-crypto-map)#exit

Cisco800(config)#int

fastethernet 4

Cisco800(config-if)#crypto

map PFSVPN

Pour finir on crée une ACL afin de bloquer le trafic entre les deux réseaux par le NAT afin de le forcer

à passer par le tunnel et on l’attribue à notre NAT :

Cisco800(config)#access-list 101 deny ip 192.168.12.0 0.0.0.255

192.168.10.0 0.0.0.255

Cisco800(config)#access-list 101 deny ip 192.168.12.0 0.0.0.255

192.168.11.0 0.0.0.255 Cisco800(config)#access-list 101 permit ip

192.168.12.0 0.0.0.255 any

Ip nat inside source list 101 interface fastethernet 4 overload

26

Configuration PFSense

On va maintenant sur les serveurs PFSense et on crée un nouveau tunnel en entrant ces

informations dans la phase 1 :

Remote Gateway: 80.0.0.2

Authentication Method: Pre-Shared Key

Negotiation Mode: Main

My Identifier: My IP Address

Pre-Shared Key: azertyuiop

Encryption Algorithm: 3DES

Hash Algorithm: SHA1

DH Key Group: 2

Lifetime: 28800

NAT Traversal: Disable

Ainsi que celles-ci dans la phase 2 :

Mode: Tunnel IPv4

Local Network: LAN Subnet

Remote Network: 192.168.12.0 /24

Protocol: ESP

Encryption Algorithm: 3DES

Hash Algorithm: SHA1

PFS Key Group: 2

Lifetime: 3600

27

ANNEXE 3

Supervision réseau

28

Topologie Réseau

Avant-propos : Les manipulations énoncées ci-dessous doivent se faire dans un

environnement de test simulant l’adresse réseau du futur lieu d’implantation de la sonde Il

faudra donc une adresse IP libre du réseau d’implantation de la sonde et l’adresse de la

passerelle.

Les sondes sont implantées en sortie de réseau juste avant le routeur et sont configurées

sous forme de « pont transparent » afin qu’elles soient invisible du point de vue de l’utilisateur,

ainsi la passerelle des équipements reste toujours l’adresse du routeur.

Le réseau de test pour ce dossier est celui-ci-dessous :

29

Installation Optionnel : Machine Virtuelle sur serveur ESX

En accédant au serveur par vSphere Client, on va créer une nouvelle machine virtuelle en

cliquant droit sur l’adresse du serveur puis sur « Nouvelle machine virtuelle ». On choisira

une configuration Typique en nommant la machine, et en indiquant la version (Autre –

FreeBSD (32 bits).

On ajoutera une deuxième carte réseau qu’on attribuera au réseau « réseau

consultation » et on approvisionnera le disque au fur et a mesure (Thin

Provision). On viendra ensuite cliquer droit sur la machine nouvellement

créée et sélectionner

puis dans .

Ayant préalablement envoyé l’image ISO de pfSense sur le serveur ( serveur -> configuration -

> Stockage -

> clic droit sur datastore1 -> parcourir la banque de données…) on va indiquer qu’on utilise

un fichier ISO de la banque de données puis on va cocher la case « connecter lors de la mise

sous tension»

Sur une machine physique insérer un CD de PFSense.

On démarre la machine et on laisse le programme booter, il va progresser jusqu’à s’arrêter sur

cette ligne :

nous taperons non (n).

Nous taperons « a » et sur « entrée » puis nous brancherons la carte que nous voudrons en

WAN pour que le programme la détecte puis on validera, nous laisserons rien pour l’interface

LAN et on validera avec « y » pour laisser le programme continuer.

30

On accède, après un certain temps au menu de pfSense :

On entrera l’option 99 pour installer pfSense sur le

disque dur on peut changer la Keymap pour indiquer

un clavier FR puis on accepte. Dans le menu suivant

on fera une installation Rapide.

Par la suite de l’installation nous laisserons le choix sur un noyau standard ,

le programme continuera l’installation. A la fin de celui-ci on redémarrera la machine et on

ira dans les paramètres de la machine pour « retirer » l’image ISO ou on retirera la clé USB / le

CD d’installation.

Nous revoilà dans le menu de PFSense, nous allons donc donner une adresse à notre interface

WAN. Pour cela nous entrons l’option 2, nous entrons « n », l’adresse de l’interface, le

masque CIDR, la passerelle et pas d’adresse IPv6 :

31

Configuration

Nous nous connectons au WebConfigurator à l’adresse https://adressesonde et nous nous

connecterons avec les identifiants « admin » et « PFSense ».

Ce dernier va nous proposer un « Setup » nous allons l’ignorer en cliquant sur le logo de

PFSense et nous allons nous diriger vers > et nous allons renseigner le nom de la

sonde, le domaine, le ou les serveurs de résolution de nom et décocher la case « Allow DNS

server list to be overridden by DHCP/PPP on WAN » nous pouvons aussi changer la « Time

Zone ». Nous cliquerons enfin sur « Save »

Nous allons maintenant dans puis , nous descendons en bas de la page et

décochons « Block private networks » et « Block bogon networks ». Nous finissons en

cliquant sur « Save » puis sur « Apply Changes ».

Nous nous rendons maintenant dans puis et dans l’onglet WAN on clique sur

le on va laisser passer le trafic de n’importe quel réseau vers n’importe quel réseau et de

n’importe quel port vers n’importe quel port :

32

Nous allons dans > et nous allons attribuer l’interface LAN pour cela nous

sélectionnons la bonne carte et nous cliquons sur :

Puis dans > nous cocherons et ne mettrons pas d’adresse. Nous

finirons en cliquant sur « Save » et « Apply Changes ».

Nous retournons dans > et nous allons dans l’onglet , là nous en créons un

en cliquant sur . Dans la nouvelle page on va sélectionner à l’aide de CTRL + Clic les deux

interfaces et cliquer sur « Save » :

On retourne dans puis dans et on ajoute le nouveau port en cliquant sur « + » :

On se rend ainsi dans puis dans et on coche et on renomme

la description en BRIDGE. On « Save » et on « Apply changes ».

Le Pont maintenant créé on va activer la fonction filtrage sur celui-ci. On se rend dans

puis dans et enfin dans l’onglet .

On va changer la valeur de « net.link.bridge.pfil_bridge » qui est par défaut à 0 à 1 puis on va

cliquer sur

« Save » et « Apply Changes ».

Nous nous rendons maintenant dans puis et dans l’onglet BRIDGE nous créons

la même règle que celle créée précédemment dans l’onglet WAN.

Dans l’onglet LAN il faudra créer la même règle mais aussi supprimer les deux règles « IPv4

LAN subnet vers any » et « IPv6 LAN subnet vers any ».

33

Installation des Packages

Maintenant que le Pont est créé et opérationnel on va pouvoir le configurer en tant que

moniteur de trafic réseau, Proxy transparent et / ou brideur de bande passante. On va ainsi

installer ntopng et/ou Squid.

Ntopng

Ntopng pour Network TOP Next Generation où TOP correspond à la commande Unix lançant

le gestionnaire des tâches pour ainsi voir la liste des processus et les ressources utilisées.

Pour l’installer nous allons dans

> puis nous descendons jusque « ntopng » et nous cliquons sur puis nous

cliquerons sur

« Confirm »

Une fois l’installation finie nous pourrons nous rendre dans l’onglet où deux

boutons sont apparus : et . Le premier sert à accéder directement à

l’interface tandis que le second permet une configuration minimale de ce dernier. On va donc

se rendre dans « settings » et indiquer le mot de passe souhaité, les interfaces (ici LAN –

WAN – BRIDGE) avec un CTRL + Clic. Activer ntopng sur les interfaces LAN et WAN

en plus de l’interface BRIDGE permet de les configurer en mode « promiscuous »

(promiscuité) ce qui permet à la carte d’accepter et ainsi analyser tous les paquets qu’elle

reçoit même si ceux-ci ne lui sont pas destinés donc même si rien ne passe dans le pont

ntopng est capable d’écouter le trafic réseau

Sélectionner « Decode DNS responses and resolve all numeric IPs » et enfin on va cocher la

case « Enable historical data storage » :

34

Une fois ceci fait nous pouvons cliquer sur « Change » puis sur « Access ntopng », nous

accèderons ainsi à l’interface d’ntopng, indépendant de celle de PFSense. Les identifiants par

défaut sont « admin » « admin ».

Nous arrivons donc sur cette page – le tableau de bord – composé de plusieurs onglets. L’onglet

« Talkers » (ci-dessus) contient un flux en direct qui répertorie les discussions (qui

communique avec qui).

L’onglet « Hosts » nous donne un aperçu des hôtes qui envoie et

reçoient le plus. Il nous permet ainsi d’avoir un premier

apperçu de l’utilisation du réseau.

L’onglet « Ports » permet de visualiser

deux graphiques en continu représentant

les ports utilisés chez les clients et chez

les serveurs.

35

L’onglet ASNs affiche le flux répondant au Standard

international

« Abstract Syntax Notation » utilisé par les applications de

gestion de réseau, la messagerie, la sécurité, …

Enfin l’onglet Senders (illustré ci-contre) représente en live les

appareils qui envoient le plus de paquets.

Dans le menu principal nous avons un onglet « Flows » où nous pouvons voir le flux actif

grâce au tableau regroupant les Applications, le Protocole, l’adresse du Client, l’adresse du

Serveur, la durée, la proportion Client / Serveur, la vitesse actuelle et la taille totale transférée.

En cliquant sur un Hôte on

peut avoir plus

d’informations sur celui-ci

comme sa carte d’activité

(visible ci-dessous), le trafic

en détail, le pourcentage des

paquets envoyés par taille,

les ports utilisés, les

protocoles, les discussions et

les contacts en direct.

Si nous continuons dans le menu nous pouvons voir que le bouton « Hosts » contient un

sous menu qui nous permet d’accéder à la liste complète des hôtes avec la proportion

Envoyé / Reçu, le débit en temps réel et le trafic ;

Le classement des hôtes en temps réel

(rafraichissement toutes les trois secondes) avec

l’illustration de l’utilisation du réseau ;

36

Les interactions entre les machines sous formes

de cartes dynamiques et de codes couleurs.

Les trois derniers onglets permettent d’avoir

une carte du réseau sous forme de tableau,

d’arbre ou de géolocalisation.

37

ANNEXE 4 Filtrage Web

38

Squid

Squid est un serveur mandataire, plus communément appelé serveur Proxy Pour l’installer nous

allons dans

> puis nous descendons jusque « Squid » et nous cliquons sur puis nous

cliquerons sur

« Confirm »

Une fois installé nous y accédons par l’onglet > . Nous arrivons dans les

options générales, nous sélectionnerons l’interface sur lequel le proxy fonctionnera,

nous cocherons la case

« Transparent Proxy ». Pour logger (enregistrer les requêtes) nous cocherons « enable logging

» où les logs seront accessibles dans le dossier /var/squid/logs. Le cache peut être

personnalisé dans l’onglet « Cache Mgmt » et nous pourrons filtrer dans l’onglet « Access

Control » et ainsi ajouter www.facebook.com dans le cadre « Blacklist » pour bloquer l’accès

à ce site.

39

Annexe 5

Bridage du trafic

On peut utiliser la sonde comme brideur de débit et ainsi allouer un certain espace de

bande passante par machine.

Ainsi nous nous rendons dans l’onglet > puis dans et nous allons

cliquer sur

.

On va devoir activer le

limiteur, lui donner un

nom, indiquer la bande

passante, nous pouvons

aussi indiquer des dates et

des heures grâce aux «

Schedules » disponibles

dans

> et

ainsi pouvoir moduler la

bande passante selon les

horaires de la journée.

Nous indiquerons le

masque source ou de

destination. On cliquera

ensuite sur

« save »

Une fois ceci fait (il est

préférable de créer une

règle en Upload et une

autre en Download) nous

cliquerons sur « Apply

Changes »

Nous nous rendons maintenant dans > nous sélectionnons l’interface

que nous voulonset nous éditons la règle sur laquelle nous voulons que le bridage

s’applique et nous descendons jusque

« In/Out » dans la partie « Advanced features » et nous définissons les règles qui

s’appliquent en entrant et en sortant.

40