Upload
moncef-elbouazzaoui
View
4
Download
0
Embed Size (px)
Citation preview
Gnie Rseaux et Tlcommunications ENSA Marrakech
Pfsense FreeBSD
2013
- Un Travail de: ISMAIL RACHDAOUI GRT5
- Propos Par: MR.ANAS ABOU EL KALAM - ENSAM
Pour Toute question contactez moi sur :
[email protected] ou via Facebook
FB.com/ismael.rachdaoui
1
ISMAIL RACHDAOUI GRT5 2013
Plan :
I. Introduction Gnrale P.3
II. Installation de Pfsense P.4
III. Configuration basique P.11
IV. Pfsense Firewall P.15
a. Dcouvrir linterface de Gestion.
b. Ajouter un rule
c. Les Alias
d. Time Based Rules
e. Firewall rules Best Practices
V. OpenVPN sous Pfsense P.22
VI. Hotspot Portail captif P.25
2
ISMAIL RACHDAOUI GRT5 2013
I. Introduction Gnrale:
PfSense est un routeur / pare-feu opensource bas sur FreeBSD. PfSense peut tre install sur un simple ordinateur personnel comme sur un serveur. Bas sur PF (packet filter), comme iptables sur GNU/Linux, il est rput pour sa fiabilit. Aprs une installation en mode console, il s'administre ensuite simplement depuis une interface web et gre nativement les VLAN (802.1q).
Les avnatges de PFSense que :
Il est adapt pour une utilisation en tant que pare-feu et routeur
Il comprend toutes les fonctionnalits de pare-feu coteux commerciales, et plus encore
dans de nombreux cas ;
il peut tre install sur un simple ordinateur personnel comme sur un serveur ;
il est bas sur P0F (Packet Filter), comme iptables sur GNU/Linux gnralemet
Il permet dintgrer de nouveaux services tels que linstallation dun portail captif, la mise
en place dun VPN, DHCP et bien dautres.
Il offre des option de firewalling /routage plus volue quIPCop
Il permet en autre de raliser :
un portail captif (Lorsquun utilisateur ouvre son navigateur internet il est redirig
vers une page lui proposant de sidentifier pour se connecter) : solution propose
par les hotspot.
Un serveur VPN
De raliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2
FAI diffrents pour avoir une redondance et ainsi viter les pannes ADSL).
La configuration se fait dans l'interface web, sans rien toucher la ligne de commande.
cela implique une intervention minimum sur les machines sauf pour des maintenances
matriels ou de grosse mise jour qu'il est prfrable de faire sur les machines.
Pour plus dinformations sur les fonctionnalits de Pfsence visitez
http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html
3
ISMAIL RACHDAOUI GRT5 2013
II. Installation de pfSense :
Version de Pfsence Pfsence 2.0.3
Platforme dinstalaltion Vmware Workstation 9
Si vous tes habitu linstallation des OS, cette partie nest pas faites pour vous. Bien videment
il faut disposer dune image ISO pour procder linstalaltion, les images sont en libre
tlchargement depuis
http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de
mme cette section de tlchargement offre des images VMware prtes.
Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera install sur une machine virtuel
VMware Workstation 9.
Les pr-requis materiels pour linstallation sont :
RAM : 512M (256 min).
HDD : 1Gb
Processor : 100Mhz min.
2 cartes rseaux.
4
ISMAIL RACHDAOUI GRT5 2013
Larchitecture de base dune installation Pfsence est la suivante :
Avant de commencer linstallation, votre PC doit tre quip en minimum de deux cartes rseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour quon puisse communiquer localement avec le serveur Pfsence et la deuxime votre choix. Voil les tapes suivre pour crer une interface de loopback :
Poste de Travail > Proprit > gstionnaire de prphriques puis Ajouter un Matriel dancienne gnration .
5
ISMAIL RACHDAOUI GRT5 2013
6
ISMAIL RACHDAOUI GRT5 2013
Suivant
Puis le deuxime choix
7
ISMAIL RACHDAOUI GRT5 2013
Vous choisissez Microsoft > Carte de Bouclage Microsoft
Vous attendez la fin de linstalaltion
Et voil ! votre carte rseau de bouclage (loopback) est prt tre utiliser.
8
ISMAIL RACHDAOUI GRT5 2013
On commnce linstalaltion de Pfsence sous Vmware 9
On cre une Machine Virtuelle sous VMware avec les spcifications suivantes :
On click sur finish, puis linstalaltion va commencer
9
ISMAIL RACHDAOUI GRT5 2013
La fentre suivante va saficher et choisit le 1re choix.
Durant linstallation Pfsence va detecter automatiquement les listes des cartes rseaux
disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien quil
necessite au moins deux cartes pour quil fonctionne correctement.
La premire question que nous rencontrons durant linstallation est la suivante :
On va rpondre tout simplement par n (No) car on aura pas besoin des Vlan.
Si tout passe trs bien, Pfsence va nous demander daffecter chaque interface ( ici le0,le1
ou le2) une interface WAN ou bien LAN (revoir larchitecture de base de Pfsence fig1).
10
ISMAIL RACHDAOUI GRT5 2013
La figure ci-dessus montre quon a affecter le0 au LAN, le1 au WLAN et le2 linterface OPT1.
Astuce ! utiliser la lettre a pour lauto affectation des interfaces.
Et voil ! linstallation se termine ici, vous avez devant vous plein doptions exploerPar
la suite toutes les configurations se font par lintermediare dune intuitive interface web.
Pour se conncter linterface de configuration on utilisera ladresse ip de linterface LAN
http://192.168.2.1, le couple login/pass par dfaut est admin/pfsence.
11
ISMAIL RACHDAOUI GRT5 2013
III. Configuration Basique de Pfsence :
A ce stade l, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup
Wizard du menu System, puis on tape Next.
12
ISMAIL RACHDAOUI GRT5 2013
Eclaircicement des champs demands :
Hostname : le nom du Host
Domain : le domaine si cest dj tablis si non on laisse le choix par dfaut.
Primary (Secondary) DNS Server : ladresse primaire (secondaire) du serveur DNS
utiliser.
NB : vous pouvez trs bien utiliser des serveurs DNS distant.
Next
Ici on dclare le serveur dhorloge avec lequel on doit se sychroniser, par dfaut cest
0.pfsence.pool.ntp.org
Puis Next
L, on arrive une tape trs importante, on doit configurer notre interface WAN.
13
ISMAIL RACHDAOUI GRT5 2013
Ici il est demand de choisir le type de configuration de linterface WAN, diffrent choix
sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est bas sur la manire avec
laquelle notre interface va tre utiliser.
Le champs MAC Address cest pour dfinir une adresse MAC pour linterface, Pfsence lui
affecte une adresse par dfaut si on le laisse vide.
MTU cest pour la taille du fragement qui doit traverser le rseau.
La suite de configuration est bas sur le type de linterface WAN (Static,DHCP,PPoE ou PPTP).
Si le WAN est en Static on doit dfinir dans les champs IP Address et Gateway ladresse IP
choisit et la passerelle respectivement.
Si cest DHCP on doit identifier notre serveur Pfsence par un nom pour quil puissance
sidentifier auprs du serveur DHCP (optionel).
Block RFC1918 Private Networks : si cette case est coche, le parfeu va bloquer tous le
trafic issue des adresses privs ou de loopback.
14
ISMAIL RACHDAOUI GRT5 2013
Block bogon Networks : Pour bloquer les paquets dont ladresse source est non dfinie
par lIANA.
Next
Maintenant cest le temps pour configurer linterface LAN.
Cest simple ici, on affecte une adresse IP de notre sous rseau linterface LAN.
Next
Pour changer le login et le pass delinterface Web.
Puis Reload pour que Pfsence prend en charge la nouvelle configuration.
15
ISMAIL RACHDAOUI GRT5 2013
IV. Firewall rules :
a. Dcouvrir Linterface De Gestion :
Linterface de gestion des rules est joignable de Firewall > rules,
Comme vous voyez, il est possible de dfinir des rules pour linterface LAN ainsi que
linterface WLAN.
Pour ajouter un rule
Pour modifier un rule
Pour suprimer un rule
16
ISMAIL RACHDAOUI GRT5 2013
b. Ajouter un Rule :
Action : Choisir une Action Block,Reject ou Pass.
Disable This rule : cocher pour dsactiver le rule.
Interface : linterface concrn par le filtrage de packet.
Protocole : spcification du protocole concrn par le rule en question.
Source : IP source
Destination : IP destination
Log : si on veut que Pfsence sauvgarde les log de cette rule.
Description : descrption du rule.
Dans cette exemple on va empcher tout packet ICMP (ping) au sein du rseau local.
17
ISMAIL RACHDAOUI GRT5 2013
Cette fentre montre que notre rule est bien ajout.
Preuve
NB : par dfaut le trafic du WAN vers le LAN est bloqu.
Pour modier/suprimer le rule on click sur //fr/
Toutefois, Pfsence offre des fonctionnalits de filtrage avanc, telsque le filtrage par systme
dexploitation, TCP flags etc.
Voir figure ci-dessous :
18
ISMAIL RACHDAOUI GRT5 2013
c. Les Alias :
Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rle du conteneurs, ils peuvent
grouper un ensemble de htes, de rseaux, ou de port afin de les daffecter un traitement
group.
On va commencer tout dabord par la cration dun Alias, pour se faire, on click sur Alias du menu
Firewall.
Puis sur licone ajouter
19
ISMAIL RACHDAOUI GRT5 2013
On a les champs suivants :
Name : le nom de lAlias
Description : une dscription
Type : on distingue entre 5 types dAlias, Host, Network, Port et URL.
Network(s) (a dpend du type dalias): par exemple ici on dois spcifier ladresse du
rseau sous format CIDR.
Save lexemple montr ci-dessus va crer un Alias portant le nom Alias1, qui va regrouper tous
les adresses du sous rseau 192.1682.0/24, par la suite on peut utiliser juste le nom de lAlias pour
lui appliquer une politique de filtrage (voir dmo).
d. Time Based rules :
Parfois on a intert ativer une politique de filtrage durant une priode spcifique, par exemple
on souhaite dsactiver tous flux sortant de type HTTP durant les priodes de repos, pour faire
cela on fait appel aux Time Based rules (TBR).
Pour crer une TBR on doit commencer par la cration du Schedule, pour se faire on click sur
Schedules du menu Firewall.
20
ISMAIL RACHDAOUI GRT5 2013
On nomme notre Schedule et on dfinis la priode de validit, aprs on sauvgarde.
Pour pouvoir lutiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN
vers le WAN, on peut se base sur lalias crer auparavant), puis Advanced Settings et Schedules.
21
ISMAIL RACHDAOUI GRT5 2013
On sauvgarde les nouveaux changements, dsormais le parfeu va interdir tout accs internet du
rseau LAN durant la periode du repos.
e. Firewall Rules Best Practices :
Default Deny
Keep it Short
Document Your Configuration
Reducing Log Noise
Logging Practices
22
ISMAIL RACHDAOUI GRT5 2013
V. OpenVPN sous Pfsence :
il est possible de configurer facilement Pfsence pour quil fonctionne comme un serveur
VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN.
Lobjectif tant de crer un tunnel client-to-site avec une cl secret partag.
Par le menu principale on choisis VPN > OpenVPN.
On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device
Mode > tun et linterface LAN,donc cest les utilisateurs locaux qui vont pouvoir tablir le
tunnel VPN avec le serveur Pfsence.
Pour la cl partag on peut la gnrer par OpenVPN par la commande
Openvpn genkey secret /tmp/shared.key et on la copie dans lemplacement Shared Key.
23
ISMAIL RACHDAOUI GRT5 2013
Maintenant on doit spcifier ladresse du tunnel, ici cest 10.0.8.0/24, par dfaut la
premire adresse sera affect au serveur VPN et le reste pour les client.
NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195
dOpenVPN.
Ct client, il est primordial que le client OpenVPN est install, on va simplement
placer le fichier de configuration et la cl partag dans le mme rpertoire.
24
ISMAIL RACHDAOUI GRT5 2013
Fichier de configuration static.key :
remote 192.168.2.1
proto udp
dev tun
ifconfig 10.0.8.2 10.0.8.1
secret static.key
cipher none
verb 2
on lance OpenVPN
Voil ! le tunnel est tablis, il est aussi possible dtablir une architecture PKI.
ISMAIL RACHDAOUI GRT5 2013
VI. Hotspot Portail Captif
Les Hotspot sont parmi les
Pfsence fait bien laffaire, on va dcouvrir ensemble comment mettre en
captif pour un rseau Wifi.
Tout dabord on aura besoin de deux interfaces, une connecte internet et lautre
point daccs qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et
le rseau internet.
Voil notre architecture de base.
eth0
Pour dmarrer la configuration, on choisis
NB : On va faire ici une configuration basique.
Il faut tout dabord
portal.
Ainsi, on choisis linterface sur laquelle on va dmarrer le service, dans
notre cas cest le LAN.
Vous pouvez samuser explorer les autres options, ils sont simple comprendre
Maintenant on passe la phase dauthentification, Pfsense met entre nos mains trois
mthodes, savoir (voir figure ci desous)
No Auhentification : rediriction du client vers internet sans contrle daccs.
Local user Manager : dfinir des utilisateur Pf
RADIUS : un contrle daccs bas sur le serveur RADIUS.
NB : Pour installer le plugin qui intgre RADIUS Pfsense, allez
GRT5 2013
Portail Captif :
Les Hotspot sont parmi les solutions les plus solicits surtout chez les entreprises,
Pfsence fait bien laffaire, on va dcouvrir ensemble comment mettre en
Tout dabord on aura besoin de deux interfaces, une connecte internet et lautre
point daccs qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et
otre architecture de base.
eth0 : LAN eth1 : WAN
Pour dmarrer la configuration, on choisis Captive Portal du menu Services
On va faire ici une configuration basique.
Il faut tout dabord lactivation de service, pour cela cocher Enable captive
Ainsi, on choisis linterface sur laquelle on va dmarrer le service, dans
notre cas cest le LAN.
Vous pouvez samuser explorer les autres options, ils sont simple comprendre
Maintenant on passe la phase dauthentification, Pfsense met entre nos mains trois
(voir figure ci desous):
: rediriction du client vers internet sans contrle daccs.
: dfinir des utilisateur Pfsense.
: un contrle daccs bas sur le serveur RADIUS.
: Pour installer le plugin qui intgre RADIUS Pfsense, allez System > Packages
Serveur Pfsense
25
chez les entreprises,
Pfsence fait bien laffaire, on va dcouvrir ensemble comment mettre en place un portail
Tout dabord on aura besoin de deux interfaces, une connecte internet et lautre un
point daccs qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et
Services.
lactivation de service, pour cela cocher Enable captive
Ainsi, on choisis linterface sur laquelle on va dmarrer le service, dans
Vous pouvez samuser explorer les autres options, ils sont simple comprendre
Maintenant on passe la phase dauthentification, Pfsense met entre nos mains trois
: rediriction du client vers internet sans contrle daccs.
System > Packages
26
ISMAIL RACHDAOUI GRT5 2013
On va choisir loption Local user Manager.
NB : il faut dsactiver le srveur DHCP du point daccs utilis au niveau du LAN, car
laffectaton des adresses sera prise en charge par Pfsence.
Puis on sauvgarde la configuration.
Activation du DHCP linterface LAN :
o Sur la console de Pfsense chosir loption 1 Set Interface ip address.
o Puis vous choisissez linterface LAN, et vous continuer comme ci-dessous
Vous saisissez ladresse IP (ici cest 192.168.2.1) , le Mask (ici cest 24), y pour activer
DHCP et finalement le pool DHCP (ici cest 192.168.2.2 - 192.168.2.254).
Voil cest tout ! votre portail captif est prt tre utiliser.
Si un client tente de se connecter votre point daccs, il aura limpression quil est
connecter internet mais une fois il ouvre son navigateur il sera redriger vers une page
dauthentification comme celle-ci :
27
ISMAIL RACHDAOUI GRT5 2013
Noubliez pas que cest une configuration trs basique du portail captif, il ya plein
doptions dcouvrir
VII. Conclusion :
Pfsence permet plein dautres options comme le routage, IP sec, traffic shaping etc, mais on va
se limiter ce point l. Je vous invite lire le livre The Definitive Guide to the pfSense Open-Source
Firewall and Router de Christopher M. Buechler et Jim Pingle.