44
PR02 SECURISATION DES ACCES INTERNET contenu PFSENSE AUTHENTIFICATION LDAP ET FILTRAGE DES ACCES INTERNET DES UTILISATEURS INTERNES PFSENSE AUTHENTIFICATION/FILTRAGE DES ACCES INTERNET DES VISITEURS

PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

PR02 SECURISATION DES ACCES INTERNET

contenu : : : � • PFSENSE AUTHENTIFICATION LDAP ET FILTRAGE DES ACCES INTERNET DES

UTILISATEURS INTERNES

• PFSENSE AUTHENTIFICATION/FILTRAGE DES ACCES INTERNET DES VISITEURS

Page 2: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

PR02 SECURISATION DES ACCES INTERNET Lien TRAN/2020

Table des matières

PFSENSE AUTHENTIFICATION LDAP ET FILTRAGE DES ACCES INTERNET DES UTILISATEURS INTERNES.....................................................................................................................................................................1PFSENSE AUTHENTIFICATION/FILTRAGE DES ACCES INTERNET DES VISITEURS..........................1SECURISATION DES ACCES INTERNET.............................................................................................................2

CONTEXTE..............................................................................................................................................................2SOLUTIONS TECHNIQUES RETENUES.........................................................................................................2ARCHITECTURE RESEAU...................................................................................................................................2PARAMETRAGE DES POSTES VIRTUALISES SOUS VMWARE WORKSTATION/GNS3...................2Prérequis pour la communication des machines virtualisées avec la vm pfsense (les sous interfaces vlanX du pfsense) :::4.............................................................................................................................2Sous GNS3 :::4 la carte réseau en vmxnet3 est nécessaire, cettee carte améliorée permet le tag - vlanID de la carte réseau de la VM............................................................................................................................2Editer le fichier .vmx des machines virtuelles, ajouter ethernet0.virtualdev = "vmxnet3" puis dans les propriétés de la carte réseau des VMs, ajouter le VLAN ID..................................................................3PFSENSE AUTHENTIFICATION LDAP ET FILTRAGE DES ACCES INTERNET DES UTILISATEURS INTERNES..................................................................................................................................3

Les étapes sont les suivantes :::4.......................................................................................................................3PFSENSE AUTHENTIFICATION ET FILTRAGE DES ACCES INTERNET DES VISITEURS.............28

RAPPEL DES ETAPES DE DEPLOIEMENT.............................................................................................28Creation du groupe local visiteurs.............................................................................................................29Création du portail captif invité.................................................................................................................30Installation et configuration du module pfblockerng et de la blacklist UT1 de Toulouse...........32

Configuration de pfblockerNG-devel..................................................................................................33Configuration de la liste de blocage UT1............................................................................................34

Test du portail captif......................................................................................................................................36

Page 3: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

SECURISATION DES ACCES INTERNET

CONTEXTEUn établissement de formation souhaite sécuriser son accès à internet.demandeLe cahier des charges impose une authentification LDAP et un filtrage par groupe, administration et stagiaires, se basant sur la blacklist UT1. Le centre souhaite également un portail captif pour les visiteurs.

SOLUTIONS TECHNIQUES RETENUES

PROFIL DE FILTRAGE DU PERSONNEL SOLUTIONS

enseignants et personnel administratifAccès a tous les sites sauf catégorie adult de la blacklist UT1

Filtrage par le biais d’une VM Pfsense en mode explicite, utilisant le module squid et squidGuard s’appuyant sur l’authentification active directory (serveur 2016) permetteant de filter par groupe AD administration et formation.Le mode explicite nécessite le paramétrage du proxy côté navigateurs (déploiement par dhcp-fichier wpad)

Stagiaires   :::4 Accès à tous les sites sauf réseaux sociaux, jeux, adult

PROFIL DE FILTRAGE INVITE

Portail captif visiteurs

Authentification par la base de donnée pfsenseUtilisation du portail captif de pfsense sur le vlan40 inviteFiltrage par blacklist UT1 via le dns resolver de pfsense (module pfblockerNG-devel)

Page 4: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

ARCHITECTURE RESEAU

Page 5: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

PR02 SECURISATION DES ACCES INTERNET Lien TRAN/2020

PARAMETRAGE DES POSTES VIRTUALISES SOUS VMWARE WORKSTATION/GNS3

Prérequis pour la communication des machines virtualisées avec la vm pfsense (les sous interfaces vlanX du pfsense) :

Sous GNS3 : la carte réseau en vmxnet3 est nécessaire, cette carte améliorée permet le tag- vlan ID de la carte réseau de la VM.

dans les propriétes du nœud des Vms, choisir la carte vmxnet3

Sous vmware workstation

sous interface de pfsense adressage ip VLAN ID des cartes réseaux des VM

vmx1.10 172.20.10.254 10 (administratif)

vmx1.20 172.20.20.254 20 (formation)

vmx1.30 172.20.30.254 30 (serveurs)

vmx1.40 172.20.40.254 40 (visiteurs)

Page 6: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Editer le fichier .vmx des machines virtuelles, ajouter ethernet0.virtualdev = "vmxnet3"puis dans les propriétés de la carte réseau des VMs, ajouter le VLAN ID

PFSENSE AUTHENTIFICATION LDAP ET FILTRAGE DES ACCESINTERNET DES UTILISATEURS INTERNESPARTIE 1 :::4mettere en place une authentification afin de restreindre l’acces à internet des utilisateurs internes.

Les étapes sont les suivantes :

• Installation et configuration de la VM pfsense • Creation groupes et utilisateurs AD• authentification de pfsense sur AD ( DC serveur 2016) • Installation et configuration du module squid –et authenfication squid sur AD• Installation et configuration de squidguard – Paramétrage de la blacklist UT1 et les

ACL• Déploiement automatique des paramètres du proxy - WPAD

un filtrage s’appuyant sur l’active directory permettera au couple Squid/squidGuard de cibler en fonction du groupe d’appartenance de l’utilisateur (groupe d’ administration ou formation.)Le module squidguard sera utilisé pour la gestion des catégories de blacklist UT1.

a. Installation de pfsense

Téléchargement de l’iso htteps4//www.pfsense.org/download/ .

Montage et démarrage de l’iso dans la VM :::4

Page 7: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

• Acceptez les conditions d’utilisation :::4

• Sélectioner Install

Page 8: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

• Sélectionnez dans la liste le clavier Francais

Page 9: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

• Sélectionnez le partionnement automatique Auto (UFS)

• L’installation est terminée, l’assistant demande si l’on souhaite accéder a shell pfsense, refusez en sélectionnant No

Page 10: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

• Redémarrez afin de terminer l’installation

b. configuration de pfsense

Configurons les interfaces   :

Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN

vmx0 =>wan en ip dhcp (par défaut)vmx1 => lan en ip static 172.20.30.254

choix 1) Assign Interfaces

Designez vmx0 en WAN et vmx1 en LAN

2) Set interface(s) IP address

Enter the number of the interface you wish to configure :choix 2 la carte LANEnter the new LAN IPv4 address.Press <ENTER> for nonesaisir : 172.20.30.254Enter the new LAN subnet bit count (1 to 31)saisir le masque cidr: 24IPv4 upstream gateway address <ENTER> for nonesaisir <enter> (pas de passerelle)

Enter the new LAN IPv6 address. Press <enter> for nonesaisir <enter>Do you want to enable dhcp server on LAN (y/n)saisir n

Le résultat suivant s’affiche

WAN (wan) → v4/DHCP4 : ip dhcp (par défaut)LAN (lan) → v4: 172.20.30.254

Page 11: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Activaton de l’accès SSH

Option 14 puis Yes activer le ssh.

Accédons à la webinterface httep4// 172.20.30.254 à partir du serveur (172.20.30.253) afin d’effeectuer la suite du paramétrage.

Menu [System – General Setup] 1 hostname4 saisir pfsense - 2 renseigner le domain.tld :::4 banboa.adds

Section [Dns Server Setteings]

1 Utilisons les dns public, sécurisés de cloudflare, en passerelle le wan-dhcp 2 ajoutez le serveur 2016 (srv2016-1) comme serveur dns complémentaire 4 172.20.30.253

3 Décocher Disable DNS Forwarder :::4 empêche l’utilisation du localhost (127.0.0.1) comme dns resolver dans pfsense

Page 12: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

5 Réglage de la time zone et du serveur de temps :::4Timezone :::4 Etc/ParisTimeservers :::4 fr.pool.ntp.orgpuis Save.

Paramétrage du Dns Resolver Unbound

[Services -Dns Resolver – General Setteings ] 1 activation 2 Mode forwardingLe mode forwarding indique au dns resolver de pfense (unbound) d’eviter d’utiliser les serveurs racine, mais plutôt ceux paramétrer dans system – general setup

3 enregistrement des hôtes dhcp dans le resolver dns

4 configuration des hôtes et domaine à ajouter au dns resolver (pour la résolution interne)

 5 Network Interfaces :::4 sélectionner toutes les interfaces sauf le wan (interface d’écoute pour les réponses dns des clients)

Test de validation du fonctionnement   :

DNS :::4 [Status -DNS Resolver]

Cet outil permet de vérifier les serveurs dns disponibles , ceux configurés dans les paramètres généraux.

[Diagnostic – Dns lookup]

Dns lookup permet de vérifier la résolution des serveurs internes (pfsense,srv2016-1,domaine) et la résolution pour les requêtes externes.

Page 13: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Vérification du NTP :::4 accèdons en ssh via mobaxterm, utilisons la cmd date pour vérifier la syncronisation de l’heure

Configuration des vlans   10,20,30,40:

Menu [Interfaces – Vlans – Add]À effeectuer pour chaque vlan :::41choix de la carte réseau vmx1 (lan)2 tag du vlan3 Description du vlan

Activation de l’interface vlan - adressage des vlans

Menu [Interfaces – Assignments]

1 selectionner l’interface vlanX correspondant2 add pour valider l’ajout3 selection de l’interface

4 activation de l’interface5 Description du vlanX6 et 7 adressage statique

Page 14: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Voici le résultat de la création des vlans 10,20,30,40 :::4*** Welcome to pfSense 2.4.4-RELEASE-p3 (amd64) on pfsense *** WAN (wan) -> vmx0 -> v4/DHCP4: 192.168.1.36/24 VLAN10 (lan) -> vmx1.10 -> v4: 172.20.10.254/24 VLAN20 (lan) -> vmx1.20 -> v4: 172.20.20.254/24 VLAN30 (lan) -> vmx1.30 -> v4: 172.20.30.254/24 VLAN40 (lan) -> vmx1.40 -> v4: 172.20.40.254/24

Création des regles firewall pour l’accès à chaque vlanà effeectuer sur chaque vlan

Test de validation :::4 pinguer les interfaces vlanX à partir du serveur et des clients

Configuration du serveur dhcp sur chaque interface vlan

1 activation du dhcp par interface vlan – exemple pour vlan10

2 configuration des étendues dhcp

3 options dns  :::4les vlans utiliserons le serveur dns du serveur 2016 à l’exception du vlan 40 invités, laissé le champs vide pour utiliser unbound (prérequis pour utiliser le module pfblockerNG )

Page 15: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

4 options dhcp :::4 passerelle et domaine

avant de continuer, Il est nécessaire d’effeectuer un test de validation dhcp sur les postes clients par vlan + résolution dns (commande ipconfig /release && ipconfig /renew et nslookup )

b. creation groupes et utilisateurs AD sur le serveur 2016

Le groupe de sécurité Internet contiennent les utilisateurs administratifs + stagiaires (dans notre exemple admin1 et form1) . Celui-ci va être utilisé par squid pour l’authentification ldap active directory, afin de permettere un filtrage ciblé. L’authentification utilisera le compte pfsense-ad.

Le groupe de sécurité Gl_admin et Gl_form sera utilisé par le filtrage par groupe acl dans squidguard

Page 16: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

c. Authentification ldap de pfsense

[System - User Manager - authenfication servers – add ]

1 saisir un nom pour authentification à AD du serveur 2016 :::4 LDAP-AD-CENTREType :::4 LDAPIp du serveur AD 2016 :::4 172.20.30.253port 389 (ldap)

3 Nous ciblons sur l’arborescence entière de ADDomaine utilisé :::4DC=banboa,DC=addsAuthenfication containers :::4 il s’agit de l’unité d’organisation Centre dans lesquels les entités

ciblées sont situées.dans notre cas OU=Centre,DC=banboa,DC=adds

4 Bind credentials :::4 compte d’authentification avec l’AD :::4 pfsense-ad5 User naming atteribute :::4 nous ciblerons le nom de session du compte utilisateur (sAMAccountName microsoft))

group naming atteribute :::4 l’atteribut du groupe utilise son CN (common name)group member atteribute :::4 member of , la recherche renvoie les utilisateurs membres d’un

groupe6 la class d’objet renseigne sur les propriétés ou atteributs récupérables , dans notre cas l’Active Directory utilise soit top ou group (atteributs fils), posixGroup est utilisé par les systèmes de type unix .

Page 17: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Selectionner Save pour enregistrer – nous sélectionnons d’autres containers pour la recherche ldap

Page 18: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Test d’authenfication   :::4

[Diagnostics – Authentification]

d. INSTALLATION DE SQUID ET SQUIDGUARD

[System -Package Manager - Available Packages ] faire une recherche sur squid et squidguard – selectionner install pour chaque paquet.On en profite pour installer open-vm-tools (Vmware tools)

e. CONFIGURATION DE SQUID

Configuration du cache de squid

[Services – Squid proxy server – Local cache]

1 Algorithme du cache• LRU - Least Recently Used 4 supprime les objets les plus anciens de la mémoire vive.• LRU-THOLD 4 copie en fonction de sa taille un objet dans le cache.• MRU 4 Most Recently Used 4 les données les moins demandées sont supprimées.• GDSF 4 Greedy Dual Size Frequency 4 supprime en fonction de la taille et du temps d’accès

d’origine. Les plus petits sont conservés. • LFUDA � Least Frequently Used With Dynamic Aging 4 idem que GDSF sans notion detaille. Utile pour les caches avec des fichiers de grande taille.

Page 19: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

2 Création du cache de squid nécessaire au démarrage du service squid.

Calcul de la taille du cache :::4Ex pour 200 utilisateurs , 110 000 requetes / utilisateursNombre de requêtes par seconde = 5% du nombre d'utilisateurs (référence cisco)Taille moyen d'un objet = 12,5KO200 X 5% X 125500 X 110 000 = 13.75GOPour notre phase test nous utiliserons 500Mb.

Activation de squid

[Services – Squid proxy server – General]

1 cocher enable 2 choix des interfaces d’ecoute du service squid :::4 vlan 10,20,30

Page 20: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

1 Activation des logs – 2 conservation des logs sur 6 mois

AUTHENTIFICATION LDAP SQUID

Nous allons syncroniser squid avec l’active directory présent sur le serveur 2016 , afin de pouvoir effeectuer un filtrage par groupe d’utilisateurs .[Services – Squid proxy server – Authentification]1 - choix de la méthode d’authentification LDAP2 – indiquons l’addresse ip du serveur AD4172.20.30.2533 – port 389 utilisé par les requêtes LDAP4 - Message présent sur le pop-up d’authentification

Page 21: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Par précaution , le réseau invité ne sera pas filtré par squid

5 – version de ldap :::4 3pour le vérifier , il suffeit de saisir la commande suivante en powershell sur le serveur AD4

Get-ADRootDSE -Server localhostsupportedLDAPVersion : {3, 2}

6 – DN du compte se connectant sur le serveur AD :::4

CN=pfsense-ad,OU=Centre,DC=banboa,DC=adds compte pfsense-ad situé dans OU centreLe DN (Distinguished Name) est l'identifiant d'une entrée LDAP. C'est un chemin dans l'arborescence de l'annuaire. 7 saisir le mot de passe lié au compte pfsense-ad8 SamAccountName indique l’atteribut de session (ce sera l’objet de recherche)

9 (&(memberOf=CN=Internet,OU=Centre,DC=banboa,DC=adds)(samAccountName=%s))synthaxe LDAP afin de lister tous les utilisateurs (samAccountName) du groupe Internet qui serontpermis à utiliser l’accès .

On enregistre par save

Dans l’onglet [ACLs – Blacklists] ajoutons l’interdiction sur le domaine google.fr

Test de validation du filtrage de squid Dans un 1er temps , l’option proxy est paramétré manuellement.pour IE/et Chrome , qui utilise les paramètres proxy de windows , dans les options internet, paramètres de réseau local, saisir :::4srv2016-1.banboa.adds sur le port 3128

Page 22: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Dès l’ouverture du navigateur , une authentification est demandée,après une authentification (obligatoire), internet est accessible, à l’exception du site google.fr, le message suivant s’affeiche :::4 La connexion a été refusée par le serveur proxy, le filtrage squid est bien fonctionnelle. Vérifions les logs .Ongle [Temps Réel] erreur TCP_DENIED/443

Page 23: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

f. CONFIGURATION DE SQUIDGUARD

[Services - Squidguard proxy filter – General]

1 on active le service squidguard2 activation du filtrage via les requêtes LDAP puis on définie le compte permetteant la connexion au serveur (DN du compte pfsense-ad) , saisie du mot de passe du compte3 activation pour la prise en charge des anciens système NT et l’authentification kerberos4 la version 3 sera utiliséeAction des logs et activation des blacklists UT1

on applique les réglages par Save et à chaque modification de configuration Apply.

Page 24: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Onglet [Blacklist] on télécharges les blacklists UT1

Onglet [Common ACL]

1- selectionne allow pour Default access All pour autoriser l’accès à internet

2 -on interdit la saisie des ip directement dans la barre d’adresse du navigateur pour bypasser le filtrage

3 – redirige sur une page d’erreur en cas de blocage

4 – activation des logs de squidguard – Save puis Apply

FILTRAGE PAR GROUPE AD POUR LES ACLCréation des horaires de filtrage   :::4 Onglet [Times] Nom de la catégorie horaire :::4 working_hoursdu lundi au vendredi 9h-18h cela correspond au heures de travail (utilisable pour le filtrage via ACL)

Page 25: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Créons 2 groupes administration et formation utilisés pour le filtrage par catégorie des blacklist UT1.Ces groupes vont correspondre aux groupes de sécurité globale de l’active Directory , qui par le biais d’une recherche LDAP va matcher avec les groupes Gl_admin et Gl_form de l’AD.L’exemple est effeectué pour le groupe d’administation, faire de même avec le groupe formation.

Onglet [Groupe ACLs]

1 – Nom du groupe :::4 administration 2 – Requête LDAP pour rechercher le groupe Gl_admin de l’AD

ldapusersearch ldap://172.20.30.253/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Gl-admin%2cOU=Administration %2cOU=Centre%2cDC=banboa%2cDC=adds)

3 – ciblage du filtrage sur les horaires de travail, défini précèdemment.

Page 26: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

4 – sélection des catégories à filtrer :::4 blk_blacklists_adult activé en metteant sur deny

Puis allow sur Default access pour autoriser les accès internet.

5 – redirection sur une page d’erreur en cas de blocage en affeichant site bloqué6 – ajout d’une description au groupe puis activation des logs

7 Save puis Apply dans l’onglet General Setteing

voici le résultat de la création des 2 groupes ACL administration et formation

Page 27: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Vérification et test de blocage internet par groupe

Onglet [Log] vérifions la configuration de squidguard :::4

dans la rubrique Filter Config, nous pouvons vérifier la présence de la blacklist UT1 et aussi la création des ACL et des blocages des groupes administration et formation.

g. Configurer la découverte automatique du proxy avec WPAD

Wpad est un protocole qui permet la découverte automatique du proxy par les navigateurs.Le principe est simple, si le navigateur est configuré pour détecter automatiquement la configuration du proxy, il essayera de télécharger le fichier :::4 wpad.<domaine_local>/wpad.dat ou le fichier proxy.pac.

Les étapes  :::4

• creation de 3 fichiers pac ou wpad pour le support des diffeérents types de navigateurs

• entrée wpad dans le dns resolver + réglage du serveur dhcp (options 252)

• tester la publication des fichiers via le serveur web interne de pfsense

Page 28: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Création des 3 fichiers pac et wpad :

Création des 3 fichiers proxy.pac et wpad.dat et wpad.da

[Diagnostic – edit files]

Le script wpad contient4

function FindProxyForURL(url, host) {  if (isPlainHostName(host) || shExpMatch(host, "172.20.30.*")) return "DIRECT";  return "PROXY 172.20.30.254:3128";}

Si le serveur est pfsense ou sur le réseau 172.20.30.0/24 on n’effeectue pas de filtrage proxy.

vérification de la résolution dns :

[2.4.4-RELEASE][[email protected]]/root 4 nslookup> wpad.banboa.addsServer4 127.0.0.1Address4 127.0.0.1#53

Name4 wpad.banboa.addsAddress4 172.20.30.254

configuration de l’option 252 du serveur dhcp[services – dhcp server ] selectionner interface vlan10 (à faire également pour interface vlan20)1 section Additional BOOTP/DHCP - cliquer sur display advanced 2 saisir 4 252 string "httep4//wpad.banboa.adds/wpad.dat" puis add

252 string "httep4//wpad.banboa.adds/wpad.da" puis add252 string "httep4//wpad.banboa.adds/proxy.pac" puis add et save

Page 29: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Test de la publication des fichiers via le serveur web interne de pfsense Les fichiers doivent être téléchargeables via le navigateur httep4//wpad.banboa.adds/proxy.pac etc ...

Test sur les navigateurs des postes clients :

Au lancement des navigateurs, l’invite d’authentification s’affeiche en indiquant bien l’adresse du proxy wpad.banboa.adds :::4sur firefox

sur internet explorer :::4

Page 30: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Test de validation du filtrage par acl et groupe AD :

voici les résultats des diffeérents tests effeectués sur les postes :::4

Utilisateur / groupe Blacklist

Poste dans le domaine Poste hors domaine

By-pass de l’authentification impossibleauthentification obligatoire pour l’accès internet

Form1 / formationblacklist_games et social_networks

Blocage validé par catégorie acl Blocage validé par catégorie acl

Admin1 / administrationblacklist_adult

Blocage validé par catégorie acl Blocage validé par catégorie acl

Redirection sur la page d’erreur en cas de blocage pour les sites en httep :::4

pour les sites en htteps, un simple message s’affeiche :::4 La connexion a été refusée par le serveur proxy

Page 31: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Log de squidguard consultable   :::4 [services – squidguard proxy filter – Log – blocked][services – squid proxy server - Realtime]ou en bien ssh,squidguard :::4 tail -f /var/squidGuard/log/block.log et squidGuard.logsquid  : : : � tail -f /var/squid/logs/access.log

Page 32: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

PFSENSE AUTHENTIFICATION ET FILTRAGE DES ACCES INTERNET DES VISITEURS

PARTIE 2 - Objectif :::4 Gestion des accès internet des invités, ayant des postes nomades.

• le portail captif permettera l’authentification des visiteurs (avec un groupe d’ utilisateurs locaux géré par la base de données xml de pfsense.)

• Le filtrage d’internet utilisera la blacklist UT1 gérée et mis à jour par le module pfblockerng devel . Ce module permet un filtrage internet par le dns resolver de pfsense, (aka unbound), qui va rediriger les requêtes internet interdites vers une voix sans issue (blackhole) une adresse ip menant nulle part. (Par défaut 10.0.0.1). Les postes clients auront comme passerelle l’adresse ip de pfsense et comme serveur dns , le dns resolver de pfsense.

Cettee solution présente les avantages suivants :::4• simplicité de déploiement :::4 ne nécessite pas le déploiement de certificat d’autorité racine sur

les postes (ssl proxy transparent) ou bien le paramétrage des navigateurs (proxy explicite)• richesses des filtrages• Le filtrage cible tous les postes domaines / hors domaine , par sous-réseaux avec exception

possible sur une ip spécifique

L’inconvénient , filtrage granulaire impossible sur plusieurs groupes d’utilisateurs dans un même réseau.

RAPPEL DES ETAPES DE DEPLOIEMENT

Creation du groupe local et utilisateurs invités sur la VM pfsenseCréation du portail captif invitéInstallation et configuration du module pfblockerng et de la blacklist UT1 de Toulouse

Le portail captif necessite l’utilisation du service dhcp de pfsense obligatoirement.Pour le fonctionnement de pfblocker , il est nécessaire d’utiliser le dns resolver de pfsense et ne pas activer dns forwarder.

Avant de commencer, il est nécessaire de valider le bon fonctionnement du dns resolver sur pfsense et sur le poste client invité.

Page 33: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Creation du groupe local visiteurs

[system – user manager – Add]

1 nom du groupe :::4 visiteurs2 Scope :::4 local

on assigne les privilèges « User- Services :::4 Captive Portal login » au groupe invité

Save pour enregistrer

Un message indique qu’un redémarrage est nécessaire suite au modification des droits d’accès.

Page 34: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Création d’un utilisateur visiteur1

Onglet [users]

1 username visiteur12 saisir le mot de passe atteribué à l’utilisateur3 full name informatif4 et 5 intégration de visiteur1 au groupe visiteurs (selectionner visiteurs puis Move to Member of list)

Save - puis Nous redémarrons le serveur pfsense

Création du portail captif invité

[services – captif portal – add]

Créons la zone du portail   :::4 1 – nom de zone :::4 portail_invite2 – description :::4 authentification des visiteurs – 3 cliquer save et continue

Page 35: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Message avertissement qui indique la nécessité d’utiliser le service dhcp et la résolution dns de pfsense .

Dans notre cas le serveur dhcp de pfsense est déjà paramétré pour écouter sur l’interface vlan40 et le dns resolver fonctionnelle.

Editons la zone invité pour la configurer

activons le portail sur l’interface vlan40 à selectionner

active la redirection vers qwant.com après une authenfication réussite

Page 36: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

1 affeichage d’une fenêtre backend pour authentification2 utilisation des utilisateurs local Database de pfsense23 vérification de l’authentification toutes les minutes, pour la déconnexion immédiate en cas de banissement de l’utilisateur.4 permission uniquement aux personnes ayant le rôle « captif portal login » atteribué.Save pour enregistrer la configuration

Installation et configuration du module pfblockerng et de la blacklist UT1de Toulouse

[system – packer manager – available package] installer pfblockerNG-devel

Page 37: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Configuration de pfblockerNG-devel

[firewall – pfblockerNG]

choix interface d’entrée WAN et de sortie le VLAN40 invite (les requêtes sortent du vlan 40 pour aller vers le firewall)

VIP adress 10.0.0.1 on laisse par défaut, c’est l’adresse de redirection en cas de blocage de site.

Page 38: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

On termine avec finish pour valider .

Configuration de la liste de blocage UT1

onglet DNSBLVerification que DNSBL est sur enable

Le serveur doit écouter sur l’interface vlan40

Page 39: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

1 et 2 menu DNSBL puis DNSB Category3 enable pour activer la blacklist4 on selectionne la blacklist UT1

on règle la

fréquence de mise à jour à une fois par jour et activons les logs.

Selection de la catégorie adult et warez à bloquer puis save.

L’avertissement indique que la mise à jour de la liste est nécessaire.

Dans l’onglet update, on lance la mise à jour en cliquant sur run.

Page 40: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Test du portail captif

sur le poste invité, le navigateur est bien redirigé vers le portail captif invité :::4

après authentification , l’accès internet est disponible.Le blocage est fonctionnelle :::4

Page 41: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

pour vérifier la connexion du visiteur1 :::4 [status – Captif portal]

Logs de pfblockerNG :::4/var/log/pfblockerng/ip_block.log/var/log/pfblockerng/dnsbl.log

menu [Firewall – pfblockerNG – logs]

Page 42: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

REGLAGE DES REGLES DE FIREWALL

INTERFACE VLAN20 ET VLAN10

INTERFACE VLAN 40

INTERFACE VLAN 30

Page 43: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

INTERFACE WAN

BLOCAGE D’ACCES ENTRE VLAN10/VLAN20/VLAN40

Test d’accès smb entre vm formation vers vm administratif

vm formation à vm invité

Test d’accès smb entre vm Invité vers administratif

vm Invité vers vm formation

Page 44: PR02 SECURISATION DES ACCES INTERNET ...lien.lescigales.org/projets/PR02-AIS-Securisation-Acces...Assignez interface logique WAN/LAN aux cartes vmx et addressage de la carte LAN vmx0

Test d’accès smb entre vm administratif vers vm formation

vm administratif vers vm invité

à noter   :::4 les règles de blocage réseau se feront plutôt au niveau d’un switch coeur de réseau (ACL), situé entre le pfsense et le switch répartiteur (switch coeur de réseau non représenté dans ce lab)