[Mise en place d’un serveur Proxy]

[Epreuve E4 : Projet n°2]

Cindy Phetphoumy BTS SIO – Option SISR

Sommaire :I – Présentation

a. Contexte ……………………………………………………….3

b. Objectifs ……………………………………………………….3

II – Mise en œuvre du serveura. Installation du serveur pfSense

…………………….4b. Configuration du serveur

……………………………..5i. Configuration de l’interface WAN et LAN

……...5ii. Configuration générale du serveur

………………6iii. Configuration du service DHCP

…………………….7

III – Mise en service du proxya. Installation de Squid

…………………………………….7b. Configuration du proxy

………………………………..8c. Filtrage

https ………………………………………………..8

2

IV – Tests ……………………………………………………………9

V – Conclusion ……………………………………………..…10

VI – Sources ……………………………………………..………11

I – Présentationa. ContexteSimpson Strong-tie est une entreprise américaine créé en et située aux Etats-Unis. Son activité principale est la fabrication de connecteurs pour assemblages, charpentes et ossatures bois, et est une référence en système d'ancrage pour béton et maçonnerie. Elle s’est implantée en Asie et dans plusieurs pays en Europe, dont la France, pour laquelle j’ai pu travailler durant 2 ans en tant qu’étudiante salariée.

Simpson Strong-tie France possède 2 branches en France : une située à Sainte-Gemme la Plaine en Vendée comptant 110 salariés, et la seconde située dans le sud de la France à Cardet, avec 45 salariés.

La branche à Cardet rencontre de nombreux problèmes de réseau. Elle subit de nombreux problèmes météorologiques provoquant plusieurs coupures de réseau (lié ou non au fournisseur d’accès). En plus de cela, la ligne Internet fournie par le FAI n’a pas un très bon débit. C’est pourquoi il a été décidé de mettre en place un serveur pfsense, une solution open-source doté de plusieurs services.

b. ObjectifspfSense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. Il possède des fonctions de routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte également de nombreuses fonctionnalités permettant la sécurisation d'un réseau domestique ou de petite entreprise.

3

J’ai donc décidé de mettre en place cette solution pour résoudre les problèmes réseau que rencontre l’entreprise, car les fonctions principales de pfSense vont permettre de :

- Sécuriser le LAN en ne l’exposant pas directement aux réseaux publics.

- Améliorer le trafic en faisant usage du cache pour les sites fréquemment utilisés par les différents utilisateurs.

- Surveiller le trafic grâce aux logs du proxy en filtrant le « http » et « https ».

Ci-dessous, un schéma de l’infrastructure du projet :

II – Mise en œuvre du serveura. Installation du serveur pfSenseL’ISO est disponible sur le site officiel : https://www.pfsense.org/download/J’ai téléchargé la version 2.4.3 qui est la dernière actuellement.

4

Il s’installe comme n’importe quel OS, donc à booter sur clé ou CD dès le démarrage.Avant de commencer l’installation, il faut prévoir 3 interfaces réseaux :

- Une pour le WAN, pour l’accès à Internet 192.168.1.15, Passerelle 192.168.1.254- Une pour le LAN, pour le réseau local 192.168.7.7/24 Gateway 192.168.7.254- Une pour la DMZ, pour le serveur pfsense (et autres serveurs si il y a).

On peut ensuite commencer l’installation de pfSense :

On choisit les différentes options pour l’installation du serveur, comme le choix du langage etc… puis, on confirme et le serveur s’installe.

Une fois l’installation terminée, il faut redémarrer le serveur. Au moment du redémarrage, il faut retirer le CD d’installation rapidement avant qu’il ne démarre complètement, pour éviter de retomber sur la fenêtre d’installation.

5

b. Configuration du serveur

i. Configuration de l’interface WAN et LANAprès l’installation, il est possible de modifier les adresses IP de chaque interface en choisissant l’option 2 « Assign Interfaces » au menu. On commence par configurer le WAN en lui attribuant l’adresse IP 192.168.1.15/24 et sa passerelle 192.168.1.254. Puis on configure le LAN en attribuant l’adresse 192.168.7.7 et sa passerelle 192.168.7.254.

Les interfaces sont maintenant configurées.

Après modification et reboot, on peut accéder à l’interface Web via l’adresse du LAN.

6

ii. Configuration générale du serveur

Par défaut, les identifiants sont :Username : adminPassword : pfsense

Mise en place d’un nouveau mot de passe Administrateur :Password : Admin,2Dans l’onglet System > General Setup, on configure les informations générales du serveur :Hostname : pfsense_serverDomain : toughcookie.com

DNS Servers: 8.8.8.8 pour la passerelle de l’interface WAN : 192.168.1.254J’ai choisi d’utiliser le DNS de google pour ne pas à avoir tout faire manuellement en attendant.

Dans les options de localisation, j’indique fuseau horaire Europe/Paris.Puis, on sauvegarde les modifications.

iii. Configuration du service DHCPPour configurer le service DHCP, il faut se rendre dans l’onglet Service > DHCP Server > LAN

On active le service DHCP pour le LAN en cochant la case « Enable DHCP server on LAN interface ».

On indique ensuite l’étendue d’adresses à attribuer aux machines se connectant au réseau.

J’ai indiqué une étendue allant de 192.168.7.16 à 192.168.7.245.

Dans la partie « Servers », on indique l’adresse de google pour le DNS : 8.8.8.8

III – Mise en service du proxya. Installation de SquidAprès avoir fini de configurer tous les éléments nécessaires au bon fonctionnement du routage, le serveur peut enfin avoir accès à Internet. Les ordinateurs connecté au LAN peuvent donc également

7

avoir accès à Internet en passant par le serveur pfsense, mais plus important, il est maintenant possible de rechercher les paquets disponibles dans le « package manager ».

Il faut installer Squid pour intégrer le service proxy.

Une fois installé, il faut procéder à la configuration du proxy.

b. Configuration du proxyDans l’onglet Services > Squid Proxy Server > General, il faut cocher la case « Check to enable the Squid proxy ».

Dans “Proxy Interface(s)”, on sélectionne l’interface LAN pour que cela agisse sur le LAN.

Dans Transparent HTTP Proxy, il faut cocher la case « Enable transparent mode to forward all requests for destination port 80 to the proxy server » pour rediriger les paquets allant sur le port 80 vers le serveur proxy, toujours sur l’interface LAN.

On se rend ensuite dans l’onglet « Local Cache ». J’ai laissé les valeurs par défaut pour les configurations sauf pour « Hard Disk Cache Size » qui est la taille (en Mo) du disque pour la sauvegarde de fichier cache. J’ai mis 1 Go au lieu de 100 Mo.

On sauvegarde les modifications, et le service proxy est prêt.

c. Filtrage https La configuration du proxy faite précédemment ne permet pas de filtrer le « https » mais seulement le « http ». Pour que cela soit possible, il faut se rendre dans System > Certificate Manager, et créer un certificat.

On choisit “Create an internal Certificate Authority” et on renseigne un nom de certificat et divers informations. On sauvegarde, et le certificat est maintenant créé.

8

Il faut retourner dans Services > Squid Proxy Server, et dans la partie de configuration « SSL Man in the Middle Filtering », dans HTTPS/SSL Interception il faut cocher la case « Enable SSL filtering » et dans CA, il faut choisir le certificat créé.

Ensuite on exporte le certificat pour l’importer dans le poste client qui doit être filtré par le serveur.System > Cert. Manager En dessous de « Actions » il existe différents formats d’export selon l’OS (Windows, Mac, Linux).

Sur la machine cliente, dans le menu Démarrer de Windows, on tape « mmc.exe » pour arriver sur la console de gestion de certificats et on importe le certificat téléchargé :

IV – TestsOn connecte un PC au LAN. Voici les configurations qu’il a pu récupérer :

9

On peut apercevoir que le PC est bien connecté au LAN car il a récupéré en DNS le domaine que l’on a indiqué lors de la configuration du serveur, ainsi qu’une adresse dans le réseau 192.168.7.0.

Dans Services > Squid Proxy Server > Real Time, on peut observer que le serveur filtre bien toutes les entrées « https » et « http » de la machine cliente :

10

V - Conclusion:pfSense est une solution gratuite qui offre de nombreux services utiles permettant la gestion du routage (DHCP, DNS, NAT etc...) et la sécurisation d’un LAN tel que le proxy transparent « http » et « https » et bien plus encore (Pare-feu etc…). Les coûts sont moindre pour mettre en place ce service car cela nécessite qu’un seul serveur, mais demande beaucoup de rigueur et de réflexion pour la configuration, car cela peut avoir un impact sur la sécurité du réseau local.

VI - Sources:pfSense, Wikipédia.orghttps://fr.wikipedia.org/wiki/PfSense

Consulté en janvier 2018

Download, pfSense.orghttps://www.pfsense.org/download/

Consulté en janvier 2018

Installation de pfSense, IT-Connect.frhttps://www.it-connect.fr/installation-de-pfsense%ef%bb%bf/

Consulté en janvier 2018

11

Trouble Connectivity, pfSense Documentationhttps://doc.pfsense.org/index.php/Connectivity_Troubleshooting

Consulté en février 2018

Le proxy HTTP, L’internet Rapide et Permanenthttp://irp.nain-t.net/doku.php/210http:50_proxy

Consulté en février 2018

Comment importer un certificat approuvé existant ?, Microsoft.comhttps://msdn.microsoft.com/fr-fr/library/cc546470(v=ws.11).aspx

Consulté en mars 2018

12