prsentationpfsenseismailrachdaoui-131220113544-phpapp02.pdf

Gnie Rseaux et Tlcommunications ENSA Marrakech

Pfsense FreeBSD

2013

- Un Travail de: ISMAIL RACHDAOUI GRT5

- Propos Par: MR.ANAS ABOU EL KALAM - ENSAM

Pour Toute question contactez moi sur :

[email protected] ou via Facebook

FB.com/ismael.rachdaoui

1

ISMAIL RACHDAOUI GRT5 2013

Plan :

I. Introduction Gnrale P.3

II. Installation de Pfsense P.4

III. Configuration basique P.11

IV. Pfsense Firewall P.15

a. Dcouvrir linterface de Gestion.

b. Ajouter un rule

c. Les Alias

d. Time Based Rules

e. Firewall rules Best Practices

V. OpenVPN sous Pfsense P.22

VI. Hotspot Portail captif P.25

2


I. Introduction Gnrale:

PfSense est un routeur / pare-feu opensource bas sur FreeBSD. PfSense peut tre install sur un simple ordinateur personnel comme sur un serveur. Bas sur PF (packet filter), comme iptables sur GNU/Linux, il est rput pour sa fiabilit. Aprs une installation en mode console, il s'administre ensuite simplement depuis une interface web et gre nativement les VLAN (802.1q).

Les avnatges de PFSense que :

Il est adapt pour une utilisation en tant que pare-feu et routeur

Il comprend toutes les fonctionnalits de pare-feu coteux commerciales, et plus encore

dans de nombreux cas ;

il peut tre install sur un simple ordinateur personnel comme sur un serveur ;

il est bas sur P0F (Packet Filter), comme iptables sur GNU/Linux gnralemet

Il permet dintgrer de nouveaux services tels que linstallation dun portail captif, la mise

en place dun VPN, DHCP et bien dautres.

Il offre des option de firewalling /routage plus volue quIPCop

Il permet en autre de raliser :

un portail captif (Lorsquun utilisateur ouvre son navigateur internet il est redirig

vers une page lui proposant de sidentifier pour se connecter) : solution propose

par les hotspot.

Un serveur VPN

De raliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2

FAI diffrents pour avoir une redondance et ainsi viter les pannes ADSL).

La configuration se fait dans l'interface web, sans rien toucher la ligne de commande.

cela implique une intervention minimum sur les machines sauf pour des maintenances

matriels ou de grosse mise jour qu'il est prfrable de faire sur les machines.

Pour plus dinformations sur les fonctionnalits de Pfsence visitez

http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html

3


II. Installation de pfSense :

Version de Pfsence Pfsence 2.0.3

Platforme dinstalaltion Vmware Workstation 9

Si vous tes habitu linstallation des OS, cette partie nest pas faites pour vous. Bien videment

il faut disposer dune image ISO pour procder linstalaltion, les images sont en libre

tlchargement depuis

http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de

mme cette section de tlchargement offre des images VMware prtes.

Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera install sur une machine virtuel

VMware Workstation 9.

Les pr-requis materiels pour linstallation sont :

RAM : 512M (256 min).

HDD : 1Gb

Processor : 100Mhz min.

2 cartes rseaux.

4


Larchitecture de base dune installation Pfsence est la suivante :

Avant de commencer linstallation, votre PC doit tre quip en minimum de deux cartes rseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour quon puisse communiquer localement avec le serveur Pfsence et la deuxime votre choix. Voil les tapes suivre pour crer une interface de loopback :

Poste de Travail > Proprit > gstionnaire de prphriques puis Ajouter un Matriel dancienne gnration .

5


6


Suivant

Puis le deuxime choix

7


Vous choisissez Microsoft > Carte de Bouclage Microsoft

Vous attendez la fin de linstalaltion

Et voil ! votre carte rseau de bouclage (loopback) est prt tre utiliser.

8


On commnce linstalaltion de Pfsence sous Vmware 9

On cre une Machine Virtuelle sous VMware avec les spcifications suivantes :

On click sur finish, puis linstalaltion va commencer

9


La fentre suivante va saficher et choisit le 1re choix.

Durant linstallation Pfsence va detecter automatiquement les listes des cartes rseaux

disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien quil

necessite au moins deux cartes pour quil fonctionne correctement.

La premire question que nous rencontrons durant linstallation est la suivante :

On va rpondre tout simplement par n (No) car on aura pas besoin des Vlan.

Si tout passe trs bien, Pfsence va nous demander daffecter chaque interface ( ici le0,le1

ou le2) une interface WAN ou bien LAN (revoir larchitecture de base de Pfsence fig1).

10


La figure ci-dessus montre quon a affecter le0 au LAN, le1 au WLAN et le2 linterface OPT1.

Astuce ! utiliser la lettre a pour lauto affectation des interfaces.

Et voil ! linstallation se termine ici, vous avez devant vous plein doptions exploerPar

la suite toutes les configurations se font par lintermediare dune intuitive interface web.

Pour se conncter linterface de configuration on utilisera ladresse ip de linterface LAN

http://192.168.2.1, le couple login/pass par dfaut est admin/pfsence.

11


III. Configuration Basique de Pfsence :

A ce stade l, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup

Wizard du menu System, puis on tape Next.

12


Eclaircicement des champs demands :

Hostname : le nom du Host

Domain : le domaine si cest dj tablis si non on laisse le choix par dfaut.

Primary (Secondary) DNS Server : ladresse primaire (secondaire) du serveur DNS

utiliser.

NB : vous pouvez trs bien utiliser des serveurs DNS distant.

Next

Ici on dclare le serveur dhorloge avec lequel on doit se sychroniser, par dfaut cest

0.pfsence.pool.ntp.org

Puis Next

L, on arrive une tape trs importante, on doit configurer notre interface WAN.

13


Ici il est demand de choisir le type de configuration de linterface WAN, diffrent choix

sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est bas sur la manire avec

laquelle notre interface va tre utiliser.

Le champs MAC Address cest pour dfinir une adresse MAC pour linterface, Pfsence lui

affecte une adresse par dfaut si on le laisse vide.

MTU cest pour la taille du fragement qui doit traverser le rseau.

La suite de configuration est bas sur le type de linterface WAN (Static,DHCP,PPoE ou PPTP).

Si le WAN est en Static on doit dfinir dans les champs IP Address et Gateway ladresse IP

choisit et la passerelle respectivement.

Si cest DHCP on doit identifier notre serveur Pfsence par un nom pour quil puissance

sidentifier auprs du serveur DHCP (optionel).

Block RFC1918 Private Networks : si cette case est coche, le parfeu va bloquer tous le

trafic issue des adresses privs ou de loopback.

14


Block bogon Networks : Pour bloquer les paquets dont ladresse source est non dfinie

par lIANA.

Next

Maintenant cest le temps pour configurer linterface LAN.

Cest simple ici, on affecte une adresse IP de notre sous rseau linterface LAN.

Next

Pour changer le login et le pass delinterface Web.

Puis Reload pour que Pfsence prend en charge la nouvelle configuration.

15


IV. Firewall rules :

a. Dcouvrir Linterface De Gestion :

Linterface de gestion des rules est joignable de Firewall > rules,

Comme vous voyez, il est possible de dfinir des rules pour linterface LAN ainsi que

linterface WLAN.

Pour ajouter un rule

Pour modifier un rule

Pour suprimer un rule

16


b. Ajouter un Rule :

Action : Choisir une Action Block,Reject ou Pass.

Disable This rule : cocher pour dsactiver le rule.

Interface : linterface concrn par le filtrage de packet.

Protocole : spcification du protocole concrn par le rule en question.

Source : IP source

Destination : IP destination

Log : si on veut que Pfsence sauvgarde les log de cette rule.

Description : descrption du rule.

Dans cette exemple on va empcher tout packet ICMP (ping) au sein du rseau local.

17


Cette fentre montre que notre rule est bien ajout.

Preuve

NB : par dfaut le trafic du WAN vers le LAN est bloqu.

Pour modier/suprimer le rule on click sur //fr/

Toutefois, Pfsence offre des fonctionnalits de filtrage avanc, telsque le filtrage par systme

dexploitation, TCP flags etc.

Voir figure ci-dessous :

18


c. Les Alias :

Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rle du conteneurs, ils peuvent

grouper un ensemble de htes, de rseaux, ou de port afin de les daffecter un traitement

group.

On va commencer tout dabord par la cration dun Alias, pour se faire, on click sur Alias du menu

Firewall.

Puis sur licone ajouter

19


On a les champs suivants :

Name : le nom de lAlias

Description : une dscription

Type : on distingue entre 5 types dAlias, Host, Network, Port et URL.

Network(s) (a dpend du type dalias): par exemple ici on dois spcifier ladresse du

rseau sous format CIDR.

Save lexemple montr ci-dessus va crer un Alias portant le nom Alias1, qui va regrouper tous

les adresses du sous rseau 192.1682.0/24, par la suite on peut utiliser juste le nom de lAlias pour

lui appliquer une politique de filtrage (voir dmo).

d. Time Based rules :

Parfois on a intert ativer une politique de filtrage durant une priode spcifique, par exemple

on souhaite dsactiver tous flux sortant de type HTTP durant les priodes de repos, pour faire

cela on fait appel aux Time Based rules (TBR).

Pour crer une TBR on doit commencer par la cration du Schedule, pour se faire on click sur

Schedules du menu Firewall.

20


On nomme notre Schedule et on dfinis la priode de validit, aprs on sauvgarde.

Pour pouvoir lutiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN

vers le WAN, on peut se base sur lalias crer auparavant), puis Advanced Settings et Schedules.

21


On sauvgarde les nouveaux changements, dsormais le parfeu va interdir tout accs internet du

rseau LAN durant la periode du repos.

e. Firewall Rules Best Practices :

Default Deny

Keep it Short

Document Your Configuration

Reducing Log Noise

Logging Practices

22


V. OpenVPN sous Pfsence :

il est possible de configurer facilement Pfsence pour quil fonctionne comme un serveur

VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN.

Lobjectif tant de crer un tunnel client-to-site avec une cl secret partag.

Par le menu principale on choisis VPN > OpenVPN.

On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device

Mode > tun et linterface LAN,donc cest les utilisateurs locaux qui vont pouvoir tablir le

tunnel VPN avec le serveur Pfsence.

Pour la cl partag on peut la gnrer par OpenVPN par la commande

Openvpn genkey secret /tmp/shared.key et on la copie dans lemplacement Shared Key.

23


Maintenant on doit spcifier ladresse du tunnel, ici cest 10.0.8.0/24, par dfaut la

premire adresse sera affect au serveur VPN et le reste pour les client.

NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195

dOpenVPN.

Ct client, il est primordial que le client OpenVPN est install, on va simplement

placer le fichier de configuration et la cl partag dans le mme rpertoire.

24


Fichier de configuration static.key :

remote 192.168.2.1

proto udp

dev tun

ifconfig 10.0.8.2 10.0.8.1

secret static.key

cipher none

verb 2

on lance OpenVPN

Voil ! le tunnel est tablis, il est aussi possible dtablir une architecture PKI.


VI. Hotspot Portail Captif

Les Hotspot sont parmi les

Pfsence fait bien laffaire, on va dcouvrir ensemble comment mettre en

captif pour un rseau Wifi.

Tout dabord on aura besoin de deux interfaces, une connecte internet et lautre

point daccs qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et

le rseau internet.

Voil notre architecture de base.

eth0

Pour dmarrer la configuration, on choisis

NB : On va faire ici une configuration basique.

Il faut tout dabord

portal.

Ainsi, on choisis linterface sur laquelle on va dmarrer le service, dans

notre cas cest le LAN.

Vous pouvez samuser explorer les autres options, ils sont simple comprendre

Maintenant on passe la phase dauthentification, Pfsense met entre nos mains trois

mthodes, savoir (voir figure ci desous)

No Auhentification : rediriction du client vers internet sans contrle daccs.

Local user Manager : dfinir des utilisateur Pf

RADIUS : un contrle daccs bas sur le serveur RADIUS.

NB : Pour installer le plugin qui intgre RADIUS Pfsense, allez

GRT5 2013

Portail Captif :

Les Hotspot sont parmi les solutions les plus solicits surtout chez les entreprises,

Pfsence fait bien laffaire, on va dcouvrir ensemble comment mettre en

Tout dabord on aura besoin de deux interfaces, une connecte internet et lautre


otre architecture de base.

eth0 : LAN eth1 : WAN

Pour dmarrer la configuration, on choisis Captive Portal du menu Services

On va faire ici une configuration basique.

Il faut tout dabord lactivation de service, pour cela cocher Enable captive


notre cas cest le LAN.



(voir figure ci desous):

: rediriction du client vers internet sans contrle daccs.

: dfinir des utilisateur Pfsense.

: un contrle daccs bas sur le serveur RADIUS.

: Pour installer le plugin qui intgre RADIUS Pfsense, allez System > Packages

Serveur Pfsense

25

chez les entreprises,

Pfsence fait bien laffaire, on va dcouvrir ensemble comment mettre en place un portail

Tout dabord on aura besoin de deux interfaces, une connecte internet et lautre un


Services.

lactivation de service, pour cela cocher Enable captive




: rediriction du client vers internet sans contrle daccs.

System > Packages

26


On va choisir loption Local user Manager.

NB : il faut dsactiver le srveur DHCP du point daccs utilis au niveau du LAN, car

laffectaton des adresses sera prise en charge par Pfsence.

Puis on sauvgarde la configuration.

Activation du DHCP linterface LAN :

o Sur la console de Pfsense chosir loption 1 Set Interface ip address.

o Puis vous choisissez linterface LAN, et vous continuer comme ci-dessous

Vous saisissez ladresse IP (ici cest 192.168.2.1) , le Mask (ici cest 24), y pour activer

DHCP et finalement le pool DHCP (ici cest 192.168.2.2 - 192.168.2.254).

Voil cest tout ! votre portail captif est prt tre utiliser.

Si un client tente de se connecter votre point daccs, il aura limpression quil est

connecter internet mais une fois il ouvre son navigateur il sera redriger vers une page

dauthentification comme celle-ci :

27


Noubliez pas que cest une configuration trs basique du portail captif, il ya plein

doptions dcouvrir

VII. Conclusion :

Pfsence permet plein dautres options comme le routage, IP sec, traffic shaping etc, mais on va

se limiter ce point l. Je vous invite lire le livre The Definitive Guide to the pfSense Open-Source

Firewall and Router de Christopher M. Buechler et Jim Pingle.

Documents

prsentationpfsenseismailrachdaoui-131220113544-phpapp02.pdf