Upload
dinhhanh
View
220
Download
0
Embed Size (px)
Citation preview
Session 2014/2016
Epreuve E4 Mise en place d’un serveur PfSense
Quentin NICOLAS PROMEO
1
NICOLAS Quentin
Sommaire Introduction ........................................................................................ 2
pfSense en quelques lignes .............................................................. 2
configuration recommandée ............................................................ 3
Installation de PfSense ........................................................................ 4
Installation du portail captif ................................................................ 5
Qu’est ce qu’un portail Captif ? ........................................................ 5
Gerer les utilisateurs sous PfSense ...................................................... 7
La Fonction DHCP ................................................................................ 8
Mise en place ................................................................................... 8
La fonction Firewall ............................................................................. 9
Qu’est-ce qu’un firewall ? ................................................................. 9
Mise en place sous Pfsense .............................................................. 9
Conclusion ......................................................................................... 10
2
NICOLAS Quentin
Introduction
PfSense est une appliance basé sur FreeBSD, il agit comme un firewall/routeur. Il peut être installé sur
un ordinateur classique ou un serveur, le minimum étant d’avoir au moins 2 cartes réseaux. PfSense
est reputé pour sa fiabilité et sa simplicité car s’il s’installe en ligne de commande, il peut ensuite
s’administrer via une interface reseau disponible en se connectant à son adresse IP via un navigateur
WEB.
PfSense en quelques lignes
- Propose des fonctions de pare feu tres avancés pouvant etre couteuse
o Filtrage de paquet
o Limitation de bande passante
o Enregistrer le traffic suite a une regle
- S’installe sur differents support
- Peu gourmand en ressources
- Gere nativement les VLAN (802.1q)
- Intervention sur PfSense via l’interface WEB
- Les fonctionnalités :
o Firewall
o routing
o Portail captif
o Serveur DHCP
o Serveur VPN
o Load balancing multiWAN
o NAT
o DNS
Obtenir PfSense est très simple puisqu’il est libre, il suffit de télécharger l’ISO sur le site officiel
https://www.pfsense.org/download/
L’installation se fait ensuite de facon classique comme la plupart des versions serveur de distribution
linux, avec des lignes de commandes.
PfSense propose la particularité de pouvoir « s’essayer », l’iso d’instalation contenant une version Live
qui permet de le faire tourner sur une machine sans avoir à l’installer.
3
NICOLAS Quentin
configuration recommandée
Configuration minimal Configuration recommandée
Processeur 500 Mhz 1 Ghz
Mémoire vive 256 Mo 1 Go
Stockage � 1 Go
Sans oublié qu’il est nécessaire d’avoir 2 cartes réseau minimum qui seront dédié chacune a une zone ;
WAN ou LAN de façon primaire.
La machine faisant tourné PfSense sera en bout de sortie réseau et devra être un point de convergence
afin d’être le passage obligatoire pour tout paquet réseau souhaitant sortir.
Serveur pfSense en
position Firewall
Premiere carte reseau (LAN)
Deuxieme carte reseau (WAN)
4
NICOLAS Quentin
Installation de PfSense
L’installation de PfSense est tres simple, il suffit de lancer l’image ISO, il y a ensuite la possibilité de le
tester avec une version Live et ensuite de l’installer via cette version live
Lors de l’installation PfSense demande qu’elles sont les carte reseau présente et ensuite de définir la
carte correspondant au WAN et celle pour le LAN.
On choisira l’option 99 afin d’installer PfSense
Une fois l’installation terminé on accèdera à PfSense via une interface Web en utilisant un PC et son
navigateur qui se situe du côté LAN de PfSense
Vous avez maintenant accès à toutes les fonctionnalités de PfSense
5
NICOLAS Quentin
Installation du portail captif
Qu’est-ce qu’un portail Captif ?
Le portail captif permet de contrôler avec des utilisateurs leur accès au réseau, le portail va « attraper »
toute personne souhaitant aller sur le net en affichant une page sur le navigateur obligeant l’utilisateur
à s’authentifier.
Ceci permet à l’admin de contrôler le débit entre chaque utilisateur en définissant des limites ou des
quotas.
Dans le cas d’un réseau publique cela peut permettre de mieux partager une bande passante par
exemple ou obliger certaine personne à aller s’enregistrer auprès de l’administrateur pour obtenir son
propre login, cela évite de partager un mot de passe wifi par exemple.
Sur PfSense l’installation se fait via le menu dédié
Il faudra ajouter un portail captif en cliquant sur Puis il faut activer l’option et rentrer les
paramètres désiré
On se rend compte directement de la possibilité énormes des réglages (utilisateurs maximum, filtrage
IP, débit,)
6
NICOLAS Quentin
Il ne reste plus qu’à définir selon nos besoins et à enregistrer les paramètres
On arrivera ensuite devant cette page si on essaye de se connecter au net
A savoir que le portail captif peut se trouver du coté LAN ou du côté WAN
Pour les utilisateurs nous avons vu dans les paramétrages que l’on peut utiliser un serveur Radius, ou
bien utiliser des utilisateurs locaux.
7
NICOLAS Quentin
Gérer les utilisateurs sous PfSense
Il faut se diriger vers le menu correspondant et demander à ajouter un utilisateur en cliquant sur
On peut alors renseigner le nom d’utilisateur ainsi que le mot de passe que l’on souhaite, une fois
l’utilisateur crée on peut également le mettre dans un groupe ou bien régler ses privilèges comme
celui de pouvoir s’authentifier sur le portail captif par exemple ou des règles de filtrage en plus ou en
moins.
8
NICOLAS Quentin
La Fonction DHCP
Le serveur PfSense peut également fournir le service DHCP à la partie LAN.
Le serveur DHCP permet de distribuer sur la partie LAN, des paramètres IP automatiquement aux hôtes
présents sur le réseau, cela permet de gagner du temps, d’éviter certaine problématique et de
paramétrer directement les hôtes avec par exemple un DNS spécifique à utiliser.
Mise en place
Pour l’activer et le paramétrer il faut se rendre à ce menu
On peut alors choisir un ensemble de paramètre comme définir la plage IP, mais également crée des
Pools, qui permettront de distribuer par exemple des IP suivant des Vlan.
A partir du moment où les paramètres sont enregistrer le serveur DHCP sera en fonctionnement.
9
NICOLAS Quentin
La fonction Firewall
PfSense est avant tout connu pour cela, sa fonction firewall est très efficace et complète, permettant
de convenir à tout type d’infrastructure.
Qu’est-ce qu’un firewall ?
Le firewall va permettre de gérer les flux entrant et sortant sur un réseau, permettant par exemple
l’accès ou non à un site web ou bien à un service (vidéo en ligne, streaming, VOIP, téléchargement)
avec la possibilité de gérer des exceptions pour certains utilisateurs. Dans le cadre d’une entreprise,
où chaque service est divisé en Vlan nous pourrons configurer des règles de filtrages spécifique comme
autorisé l’accès à YouTube pour le service communication et supprimer cette accès aux autres services
en spécifiant simplement à PfSense que le Vlan X a accès à YouTube et les autres non.
Mise en place sous PfSense
Nous allons nous concentrer sur la partie « règles »
On peut donc ici ajouter une règle coté LAN ou WAN
Il suffit d’aller dans le coté correspondant (ici LAN) et de cliquer sur afin d’ajouter une règle
10
NICOLAS Quentin
Dans action on choisira « Block » afin de bloquer ce qui sera définie, dans notre cas, dans on choisira
l’interface LAN et le protocole ICMP correspondant au Ping.
Cette règle signifie donc que le protocole ICMP est bloqué dans le réseau Lan.
Il y a également la possibilité de choisir la source afin de définir une IP particulière ou un Vlan entier,
Mais également une destination vers une IP ou un Vlan aussi pour cibler la règle plus profondément.
Conclusion
PfSense est un OS complet et fiable qui sera apporter un service complet et simple de configuration,
les nombreuses années de développement ainsi que l’importante communauté autour de PfSense
apporte une confiance supplémentaire dans cette solution de sécurité.
Nous avons tout au long de ce PPE vu quelques fonctionnalités mais il est possible d’approfondir avec
l’association à un serveur AD Windows server et un Radius. Beaucoup de fonctionnalités sont
disponible est les passé chacune en revue prendrait certainement beaucoup de temps au vu de
l’important contenu de PfSense.
Mais il est certain que c’est un produit qui sera convenir a une petite entreprise comme à un plus
grosse avec une infrastructure plus importante. De par la gratuité de de PfSense et la seule nécessité
d’un serveur contenant un nombre suffisant de cartes réseaux<