• Home

  • Documents

  • Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte%...
29
©2016 Mise en œuvre d’un pare/feu PFsense dans un laboratoire de recherche 16/03/2016 Jean/Marc Muller Journées Mathrice 2016 Strasbourg

Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

Embed Size (px)

Citation preview

Page 1: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

©2016&

Mise%en%œuvre%%d’un%pare/feu%PFsense%%dans%un%laboratoire%de%

recherche%

16/03/2016&

Jean/Marc%Muller&

Journées%Mathrice%2016%Strasbourg%

Page 2: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

Unité&mixte&de&recherche&&CNRS&–&Université&de&Strasbourg&

Laboratoire%ICube%%(UMR7357)%

7&Sites&géographiques&

Environ&600&membres&

14&équipes&de&recherche&

Science&de&l’ingénieur,&&de&l’informaHque&et&de&l’imagerie&

Journées%Mathrice%2016%Strasbourg%

Page 3: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

3&

Contexte%

Fusion&des&services&informaHques&

Systèmes&d’informaHons&et&organisaHons&différentes&

AppariHon&d’une&problémaHque&mulHsite&

RéducHon&des&crédits&

Fusion&de&4&laboratoires&de&la&place&strasbourgeoise&en&2013&

Journées%Mathrice%2016%Strasbourg%

Page 4: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

4&

MoMvaMons%

Besoin&de&sécurité&

Journées%Mathrice%2016%Strasbourg%

APaques&en&déni&de&service&

Vulnérabilité&aux&aPaques&de&type&force&brute&

ParHcipaHon&des&machines&du&laboratoire&à&des&botnets&

ExposiHon&d’équipements&vulnérables&sur&internet&

Imprimantes,&caméras&IP,&&systèmes&obsolètes&d’expérimentaHon,&…&

Page 5: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

5&

MoMvaMons%

Besoin&de&sécurité&

Journées%Mathrice%2016%Strasbourg%

APaques&en&déni&de&service&

Vulnérabilité&aux&aPaques&de&type&force&brute&

ParHcipaHon&des&machines&du&laboratoire&à&des&botnets&

ExposiHon&d’équipements&vulnérables&sur&internet&

Imprimantes,&caméras&IP,&&systèmes&obsolètes&d’expérimentaHon,&…&

Contraintes&poliHques&

PSSI&d’état&et&des&tutelles&

Mises&en&place&de&ZRR&

Page 6: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

6&

Etat%des%lieux%

Service&informaHque&central&

Des&organisaHons&différentes&

Journées%Mathrice%2016%Strasbourg%

Service&informaHque&distribué&au&niveau&des&équipes&

Service&informaHque&externalisé&

Page 7: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

7&

Etat%des%lieux%

Service&informaHque&central&

Différentes&cultures&

Des&organisaHons&différentes&

Journées%Mathrice%2016%Strasbourg%

Ligne&de&commande,&interface&web/clic,&sous]traitance&

Service&informaHque&distribué&au&niveau&des&équipes&

Service&informaHque&externalisé&

Page 8: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

8&

Etat%des%lieux%

Service&informaHque&central&

Différentes&cultures&

Des&organisaHons&différentes&

Journées%Mathrice%2016%Strasbourg%

Ligne&de&commande,&interface&web/clic,&sous]traitance&

Des&soluHons&différentes&sur&chaque&site&

Linux&iptables,&Netasq/Stormshield,&rien&du&tout&

Service&informaHque&distribué&au&niveau&des&équipes&

Service&informaHque&externalisé&

Page 9: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

9&

Besoins%

SoluHon&de&filtrage&pour&tous&les&sites&

Journées%Mathrice%2016%Strasbourg%

AdministraHon&centralisée&

Page 10: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

10&

Besoins%

SoluHon&de&filtrage&pour&tout&les&sites&

Journées%Mathrice%2016%Strasbourg%

AdministraHon&centralisée&

Performances&élevées/garanHes&&Haute&disponibilité&

Page 11: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

11&

Besoins%

SoluHon&de&filtrage&pour&tout&les&sites&

Journées%Mathrice%2016%Strasbourg%

AdministraHon&centralisée&

Performances&élevées/garanHes&&Haute&disponibilité&

ÉvoluHvité&(nombre&de&réseaux,&débits,&…)&&

IPv4&et&IPv6&

Page 12: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

12&

Besoins%

SoluHon&de&filtrage&pour&tout&les&sites&

Journées%Mathrice%2016%Strasbourg%

AdministraHon&centralisée&

Performances&élevées/garanHes&&Haute&disponibilité&

ÉvoluHvité&(nombre&de&réseaux,&débits,&…)&&

IPv4&et&IPv6&

RéducHon/maîtrise&des&coûts&

Clickodrome&

Page 13: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

13&

OpenBSD&avec&Packet&Filter&

Linux&avec&iptables&

Journées%Mathrice%2016%Strasbourg%

Choix%possibles%

Page 14: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

14&

OpenBSD&avec&Packet&Filter&

Firewall&Builder&

PFSense&(FreeBSD&avec&packet&filter)&

Linux&avec&iptables&

Journées%Mathrice%2016%Strasbourg%

Choix%possibles%

Page 15: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

15&

OpenBSD&avec&Packet&Filter&

Firewall&Builder&

PFSense&(FreeBSD&avec&packet&filter)&

Linux&avec&iptables&

Netasq/Stormshield&

D’autres&produits&commerciaux…&

Journées%Mathrice%2016%Strasbourg%

Choix%possibles%

Page 16: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

16&

Filtre&de&paquets&avec&états&en&IPv4&et&IPv6&

Produit&open&source&basé&sur&FreeBSD&avec&pf&

Journées%Mathrice%2016%Strasbourg%

PFsense%

Page 17: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

17&

Filtre&de&paquets&avec&états&en&IPv4&et&IPv6&

MulHprocesseur&(garanHe&de&bonnes&performances)&

EvoluHvité&(serveurs&Dell&R420&avec&des&cartes&1Go&mulHports)&

Produit&open&source&basé&sur&FreeBSD&avec&pf&

Robuste&et&fiable&(soluHon&routée,&haute&dispo&via&CARP&et&pfsync)&

Journées%Mathrice%2016%Strasbourg%

PFsense%

Page 18: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

18&

Filtre&de&paquets&avec&états&en&IPv4&et&IPv6&

MulHprocesseur&(garanHe&de&bonnes&performances)&

EvoluHvité&(serveurs&Dell&R420&avec&des&cartes&1Go&mulHports)&

Produit&open&source&basé&sur&FreeBSD&avec&pf&

Interface&web&d’administraHon&

Robuste&et&fiable&(soluHon&routée,&haute&dispo&via&CARP&et&pfsync)&

Journées%Mathrice%2016%Strasbourg%

PFsense%

Shell&disponible&via&SSH&

Page 19: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

19&

Routeur&IPv4&et&IPv6&

Serveur&DHCP,&DNS&

Pare]feu&avec&état&en&IPv4&et&IPv6&

Serveur&VPN&(IPSEC,&openVPN)&

Portail&capHf&

TranslaHon&d’adresse&

Journées%Mathrice%2016%Strasbourg%

FoncMonnalités%

GesHon&des&logs&(en&local&ou&déportée)&

OuHls&de&capture&de&trafic&

Page 20: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

20&

Bilan&

Clickodrome&et&terminal&avec&shell&

Facilité&d’installaHon&/&mise&à&jour&

Journées%Mathrice%2016%Strasbourg%

Page 21: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

21&

Bilan&

Clickodrome&et&terminal&avec&shell&

MulHples&foncHonnalités&réseau&

Facilité&d’installaHon&/&mise&à&jour&

Routage&et&sous]adressage&

Journées%Mathrice%2016%Strasbourg%

Page 22: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

22&

Bilan&

Clickodrome&et&terminal&avec&shell&

MulHples&foncHonnalités&réseau&

Facilité&d’installaHon&/&mise&à&jour&

Règles&communes&IPv4&et&IPv6&

Routage&et&sous]adressage&

Filtrage&sur&adresses&MAC&liées&aux&baux&DHCP&

Journées%Mathrice%2016%Strasbourg%

Page 23: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

23&

Bilan&

Clickodrome&et&terminal&avec&shell&

MulHples&foncHonnalités&réseau&

Facilité&d’installaHon&/&mise&à&jour&

Règles&communes&IPv4&et&IPv6&

Routage&et&sous]adressage&

Filtrage&sur&adresses&MAC&liées&aux&baux&DHCP&

Bonnes&performances&

Des&ouHls&de&diagnosHc&

Journées%Mathrice%2016%Strasbourg%

Page 24: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

24&

EvoluHvité&matérielle&

Journées%Mathrice%2016%Strasbourg%

Bilan&

Page 25: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

25&

EvoluHvité&matérielle&

AuthenHficaHon&LDAP/AD&

Journées%Mathrice%2016%Strasbourg%

Bilan&

GesHon&fine&des&uHlisateurs/groupes/droits&&

Page 26: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

26&

Coûts&

EvoluHvité&matérielle&

AuthenHficaHon&LDAP/AD&

Journées%Mathrice%2016%Strasbourg%

Stormshield&SN710&à&8000&€&(redondant&et&5&ans&de&maintenance)&

3000&€&

Bilan&

GesHon&fine&des&uHlisateurs/groupes/droits&&

Page 27: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

27&

Coûts&

EvoluHvité&matérielle&

AuthenHficaHon&LDAP/AD&

Journées%Mathrice%2016%Strasbourg%

Stormshield&SN710&à&8000&€&(redondant&et&5&ans&de&maintenance)&

3000&€&

Bilan&

GesHon&fine&des&uHlisateurs/groupes/droits&&

Riches&en&foncHonnalités&supplémentaires&faciles&à&installer&

Routage&RIP,&BGP&et&OSPF,&Arpwatch,&Squid,&ModSecurity,&Snort,&Suricata,&Zabbix,&…&

DocumentaHon&en&ligne,&communauté&d’uHlisateurs&

Page 28: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

28&

Points%faibles&

Pas&de&haute&disponibilité&en&IPv6&pour&l’instant&

Clickodrome&

Prise&en&charge&des&matériels&

Journées%Mathrice%2016%Strasbourg%

Pas&de&filtrage&applicaHf&

Page 29: Mise%en%œuvre%% d’un%pare/feu%PFsense%% dans%un ... · 3& Contexte% Fusion&des&services&informaHques& Systèmes&d’informaHons&et&organisaHons&différentes& AppariHon&d’une&problémaHque&mulHsite&

30&

Merci%pour%votre%aQenMon.%%

Des%quesMons%?%

Journées%Mathrice%2016%Strasbourg%


Pare3 PARE CUSÌ MA … Pare pare pare pare pare Pare pare nulla ma Tuttu in celu in tarra è in mare Aiuta à fà ci ingrandà ! Quand’e basgiu u me ursucciu Nant’à u nasu à

Pare3 PARE CUSÌ MA … Pare pare pare pare pare Pare pare nulla ma Tuttu in celu in tarra è in mare Aiuta à fà ci ingrandà ! Quand’e basgiu u me ursucciu Nant’à u nasu à

Documents
PORTAIL CAPTIF ET PROXY PFSENSE & SQUID

PORTAIL CAPTIF ET PROXY PFSENSE & SQUID

Documents
services fournis par PfSense - Logiciel de gestion de ...elixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial... · • Installation et configuration de base de PfSense

services fournis par PfSense - Logiciel de gestion de ...elixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial... · • Installation et configuration de base de PfSense

Documents
Installation et configuration de pfSense - index [BTS …iia-laval.info/wiki/_media/user/d.leflem/doc_pfsense.pdf · Projet GSB – Installation et configuration de pfSense Page 3

Installation et configuration de pfSense - index [BTS …iia-laval.info/wiki/_media/user/d.leflem/doc_pfsense.pdf · Projet GSB – Installation et configuration de pfSense Page 3

Documents
Mise en place d'un portail captif PfSense - VirtIT

Mise en place d'un portail captif PfSense - VirtIT

Documents
Mise en place d’un pare-feu avec une configuration avancée ... · VIVET Jordan – Ajouter des modules à pfsense dans un réseau 1 ... Par défaut, le proxy Squid ne peut pas

Mise en place d’un pare-feu avec une configuration avancée ... · VIVET Jordan – Ajouter des modules à pfsense dans un réseau 1 ... Par défaut, le proxy Squid ne peut pas

Documents
Mise en place d’un OpenVPN sous PfSense

Mise en place d’un OpenVPN sous PfSense

Internet
Pare brise

Pare brise

Documents
Guide utilisateur pfsense - Teddy BRUGUET

Guide utilisateur pfsense - Teddy BRUGUET

Documents
PFSense et OpenVPN pour les novices -  · votre disquette soit insérée alors que PFSense démarre depuis votre CD-Rom, autrement vous nʼaurez pas la possibilité de sauvegarder

PFSense et OpenVPN pour les novices -  · votre disquette soit insérée alors que PFSense démarre depuis votre CD-Rom, autrement vous nʼaurez pas la possibilité de sauvegarder

Documents
Tutorial PfSense Francais 1v1.0

Tutorial PfSense Francais 1v1.0

Documents
Presentation-PfSense - Portail DRTIC

Presentation-PfSense - Portail DRTIC

Documents
Doc portail-captif-pfsense

Doc portail-captif-pfsense

Documents
Guide PfSense

Guide PfSense

Documents
Installation de pfSense

Installation de pfSense

Documents
net futurepfSense.pdf · Tutoriel installation PfSense Version 1.0.0 Introduction PfSense est un routeur / pare-feu open source basé sur FreeBSD

net futurepfSense.pdf · Tutoriel installation PfSense Version 1.0.0 Introduction PfSense est un routeur / pare-feu open source basé sur FreeBSD

Documents
pfSense - lagourde.free.frlagourde.free.fr/Rapport Arcachon/Tutorial Pfsense.pdf · CH-ARCACHON pfSense Manuel d’Installation et d’Utilisation du logiciel 1 TABLE DES MATIERES

pfSense - lagourde.free.frlagourde.free.fr/Rapport Arcachon/Tutorial Pfsense.pdf · CH-ARCACHON pfSense Manuel d’Installation et d’Utilisation du logiciel 1 TABLE DES MATIERES

Documents
Mémoire de Fin d'Étude pfsense

Mémoire de Fin d'Étude pfsense

Documents
pfSense 2 - dev.entrouvert.org · pfSense 2.2 - config radius ... vers une page de ce format :

pfSense 2 - dev.entrouvert.org · pfSense 2.2 - config radius ... vers une page de ce format :

Documents
CRTPwifi PFSENSE

CRTPwifi PFSENSE

Documents
Étude comparative. Plan Présentation PfSense Présentation Firewall Builder Conclusion

Étude comparative. Plan Présentation PfSense Présentation Firewall Builder Conclusion

Documents
WE PROXY PFSENSE - brotelrichard.files.wordpress.com · WE PROXY PFSENSE Pre requis Travail effectué en version 2.2.6 Ajouter le routeur PFSENSE dans les exceptions de proxy Installation

WE PROXY PFSENSE - brotelrichard.files.wordpress.com · WE PROXY PFSENSE Pre requis Travail effectué en version 2.2.6 Ajouter le routeur PFSENSE dans les exceptions de proxy Installation

Documents
Tuto pfsense

Tuto pfsense

Education
Mise en place et configuration Par-Feu(Pfsense) · Dans la barre d’outils de Pfsense, dérouler « Firewall ». Puis sélectionner « Rules ». Nous allons créer des règles sur

Mise en place et configuration Par-Feu(Pfsense) · Dans la barre d’outils de Pfsense, dérouler « Firewall ». Puis sélectionner « Rules ». Nous allons créer des règles sur

Documents
Tutorial Pfsense

Tutorial Pfsense

Documents
NSTALLATON T ONURATON PSNS · 2018-10-31 · MENA YOHAN INSTALLATION ET CONFIGURATION DE PFSENSE PAGE 2 SUR 10 1 - Présentation de pfSense pfSense est un OS open source basé sur

NSTALLATON T ONURATON PSNS · 2018-10-31 · MENA YOHAN INSTALLATION ET CONFIGURATION DE PFSENSE PAGE 2 SUR 10 1 - Présentation de pfSense pfSense est un OS open source basé sur

Documents
Installation et Configuration de Pfsense

Installation et Configuration de Pfsense

Technology
PARE-BRISE ATHERMIQUE - Ferrari · 2016. 10. 26. · PARE-BRISE ATHERMIQUE Ferrari propose un pare-brise thermo-isolant complètement transparent en remplacement du pare-brise traditionnel

PARE-BRISE ATHERMIQUE - Ferrari · 2016. 10. 26. · PARE-BRISE ATHERMIQUE Ferrari propose un pare-brise thermo-isolant complètement transparent en remplacement du pare-brise traditionnel

Documents
Pfsense 121202023417-phpapp02

Pfsense 121202023417-phpapp02

Documents
net futuresky-future.net/.../uploads/2015/01/Installation+pfSense.pdf · 2018-01-17 · PfSense est un routeur / pare-feu open source basé sur FreeBSD. Il a pour particularité de

net futuresky-future.net/.../uploads/2015/01/Installation+pfSense.pdf · 2018-01-17 · PfSense est un routeur / pare-feu open source basé sur FreeBSD. Il a pour particularité de

Documents