Guide mise en oeuvre-pfsensev2

Ce document a été rédigé dans le cadre du déploiement de serveurs « pfSense » dans les réseaux de lycées et CFA de l’enseignement agricole intégrés à une architecture régionale commune aux systèmes éducatifs afin de répondre à des usages spécifiques.

Merci à Grégory Bernard de la société ToDoo qui nous a assisté.

Avant-proposAvant-propos

Les choix techniques, dont la mise en œuvre est détaillée dans ce document, sont le résultat d'une politique

régionale propre au réseau des lycées et CFA de l'enseignement agricole. Ces choix ne conviennent pas

nécessairement à tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse

préalable. Il en est de même pour la pertinence à déployer plusieurs modules et fonctionnalités sur pfSense

lui-même.

Ce document se veut le plus transférable possible d’un site à l’autre : on parlera indifféremment de LAN ou

VLAN, avec le terme (V)LAN, pour ne pas préjuger de la technologie utilisée pour les sous-réseaux de

l'établissement. On considère ici que les interfaces Ethernet du serveur support de l'application pfSense sont

brassées physiquement sur des (V)LAN différents (quand bien même elles supportent la norme 802.1q, elles

n'appartiennent pas à plus d'un (V)LAN à la fois).

En annexe 1 vous trouverez un extrait du dossier de montage du projet de déploiement des serveurs dits

« pfSense » en Lorraine avec notamment une description de l'architecture réseau pour modéliser les liens et

visualiser les flux.

L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas à celle des serveurs

mandataires déjà en place dans l'architecture régionale. L'utilisation de ces serveurs répond à la mise en

place de services spécifiques à l'enseignement agricole (voir annexe 1).

Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt - 06/03/12 1

Guide de mise en œuvre de pfSense v2(dans un cadre de déploiement spécifique)

D'une manière générale, nous appliquons le principe suivant :

�� sur les postes des (V)LANs ADMIN ou PEDA , les rôles de passerelle et serveur mandataire sont assurés par un autre serveur mandataire,

�� les flux associés aux services spécifiques pour l'interconnexion des SI de l'EA seront routés et gérés par le serveur pfSense (route

persistante à écrire « en dur » sur les postes ou via serveur dhcp en option étendue 033).

Au préalable de l’installationAu préalable de l’installation

Avant de se lancer dans l’installation, certains éléments du projet doivent être bien préparés, comme la

configuration matérielle nécessaire et les services à mettre en œuvre par l'application. La connaissance de

l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi

la rédaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la

dernière version stable de pfSense et s'assurer de la compatibilité matérielle du serveur avec la distribution

FreeBSD (en particulier de celle des cartes réseaux).

Services

Les optiques d’utilisation de pfSense sont nativement les suivantes :

�� Pare-feu filtrant entre l’Internet et les (V)LAN d'une part, avec gestion de QoS, et, d'autre part, entre les (V)LAN

�� Routeur (V)LAN ou WAN, avec gestion de la norme 802.1Q

�� Point d’accès avec portail captif

�� Usages spécifiques : serveur mandataire, Serveur VPN, DNS, DHCP, snifer, NDIS, etc.

Architecture et adressage

Il est nécessaire de connaître parfaitement la topologie de son réseau :

�� l’architecture dans laquelle s’intègre le serveur support de pfSense,

�� l’adressage des (V)LAN auxquels il sera brassé,

�� l'adresse IP publique (adresse IP WAN) du serveur.

Documentation et aide

�� Sites de référence

o le forum français pour pfSense : http://forum.pfSense.org/index.php?board=7.0

o le site de OSNET : http://www.osnet.eu (en français)

o Le site officiel PfSense : http://www.pfsense.org/

o Les tutoriels officiels : http://doc.pfsense.org/index.php/Tutorials

o Le Wiki de la PfSense : http://doc.pfsense.org/

o Les forums PfSense : http://forum.pfsense.org/

Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 2

Rappels et recommandations

Les différentes interfaces d'un Firewall ne doivent pas être connectées au même réseau physique (ou alors, si

les interfaces réseaux du serveur gèrent la norme 802.1q, uniquement sur des ports Ethernet appartenant à

des VLAN 802.1q différents ; mais ce n'est pas notre cas).

La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait à l'aide d'un routeur (routeur e-lorraine).

Les serveurs applicatifs pfSense ont leur interface WAN reliée à ce routeur : cette interface se « retrouve donc

directement sur Internet » ; elle a une adresse IP WAN publique.

Une analyse préalable du contexte de mise en œuvre est indispensable, notamment en termes de PSSI1.

Application pfSense et compatibilité

Les différentes versions de l'application pfSense sont téléchargeables dans la rubrique « download » du site

http://www.pfSense.org/ ainsi que sur le site miroir français à l'adresse

http://pfSense.bol2riz.com/downloads/

Vous trouverez des éléments indicatifs sur la compatibilité à l'adresse : http://www.pfsense.org/index.php?

view&id=46&Itemid=51.

1 Politique de sécurité des systèmes d'information.Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 3

Schéma deSchéma de principeprincipe


Installation Installation

Brassage des ports RJ45 pour identification des interfaces

Afin d'activer les interfaces réseau et faciliter leur identification, il est indispensable de brasser tous les ports

« réseau » qui vont être utilisés en les reliant par exemple à des switches . Sinon, vous devez connaître les

noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour

identifier les interfaces sur votre serveur).

Boot et lancement de l'installation

Insérez le CD et « boutez » dessus.

A l'écran de bienvenue, tapez 1 pour choisir le boot

pfSense ou laissez démarrer avec l'option par défaut.

Welcome to pfSense !

1. Boot pfSense [default]

2. Boot pfSense with ACPI disable

[...]

8. Reboot

Select option, [Enter] for default

or [Space] to pause timer 10

Pour lancer l'installation pressez « I » à l'invite. [ Press R to enter recovery mode or ]

[ press I to launch the installer ]

(R) ecovery …

(I) nstaller...

(C) continues ...

Paramétrage de la console

Vous êtes invités à configurer la console.

Arrivé à l'écran ci-contre ne cherchez pas à configurer le clavier ,

le résultat est négatif ; si vous souhaitez le faire il faudra suivre

les instructions que vous trouverez sur l'Internet, mais après

l'installation et en mode console.

Acceptez les choix en descendant sur < Accepte these Settings > puis en validant.


Type d'installation

Optez pour une installation facile puis confirmez à l'écran

suivant.

Le choix suivant se

porte sur le type de

processeur : laissez le

choix par défaut puis

validez.

« Rebootez » lorsque vous y êtes invité.

Configuration des interfaces réseau

Identification des interfaces

Après avoir choisi le boot pfSense par défaut, soyez très attentif à toutes les informations qui défilent au

démarrage, en particulier à la liste des interfaces réseau. Les informations les concernant sont affichées

dans une couleur différente du reste du texte après la ligne « Network interface mismatch – Running interface

assignment option. », suivi d'une liste des interfaces valides avec adresse MAC et contrôleurs.

Network interface mismatch – Running interface assignment option.

em0 : link state changed tu UP

em1 : link state changed tu UP

igb0 : link state changed tu UP

En annexe 1 vous trouverez les données propres à notre déploiement.

Pas de mise en place de VLAN

On ne configure pas de VLAN : répondez par la négative à la question (rappel : chaque interface de pfSense

est connecté à un (V)LAN distinct ; mais si besoin, vous pourrez le faire plus tard via l'interface web de

configuration).

Do you want to set up VLANs now [y¦n] ? n


Assignation des interfaces

Vous êtes invité maintenant à affecter les interfaces de pfSense aux différents sous-réseaux de

l'établissement : WAN, LAN, OPT1, OPT2... OPTn où n représente n interfaces réseaux disponibles ou que vous

souhaitez utiliser, autres que WAN et LAN. Sachez que, pour le moment, il importe seulement de configurer

l'interface nommée LAN (réseau natif utilisé pour la prise en main de l'application via l'interface web) : les

autres interfaces pourront être configurées plus tard via l'interface web.

L'identification des interfaces opérée précédemment va nous servir ici : charge à vous de savoir quelle

interface (quel port Ethernet physique) brasser sur quel (V)LAN.

L'application pfSense nomme WAN le (sous-)réseau donnant l'accès à l'Internet, LAN le sous-réseau natif qui

correspond dans la plupart des cas au (V)LAN administratif (interface que l'on nommera ADMIN) et OPT1 à

OPTn les autres (V)LANs (PEDA, INVITE, etc.).

La liste des interfaces à configurer complète (em0, em1, igb0, igb1, igb2 et igb3), validez à la prochaine

invitation pour arrêter le processus d'assignation.

Enter the WAN interface name or 'a' for auto-detection : em0

Enter the LAN interface name or 'a' for auto-detection : em1

Enter the OPT1 interface name or 'a' for auto-detection : igb0




Enter the OPT2 interface name or 'a' for auto-detection : [Enter]

Un récapitulatif de cette première étape de configuration vous sera proposé et vous serez invité à confirmer

pour poursuivre l'installation.

The interfaces will be assigned as follows:

WAN → em0

LAN → em1

OPT1 → igb0

OPT1 → igb1

OPT1 → igb2

OPT1 → igb3

Do you want to proceed [y¦n] ? y


Configuration en ligne de commande de l'adressage des premières interfaces

Entrez « 2 » pour lancer la

configuration IP d'une

interface.

Puis choisissez le numéro de l'interface à

configurer et répondez aux questions pour

la configurer : adresse IP via DHCP ou

adresse IP, nombre de bits de sous-réseau (notation CIDR, voir en annexe 8), etc.


La configuration IP d'une interface se termine par une question vous demandant si vous souhaitez autoriser

l'accès en http à l'interface web via cette interface :

Do you want to revert to http as the webconfigurator protocol [y/n] ? -> n

Par précaution, répondre « n » pour garder l'accès sécurisé (https).

Renouvelez les opérations autant de fois que d'interfaces à configurer (rappel : seule la configuration de

l'interface native LAN est nécessaire via la console pour une prise en main ultérieure via l'interface web, les

autres pouvant être configurées ultérieurement via cette interface web).

Poursuite de l'installation via l'interface web Poursuite de l'installation via l'interface web

Préalable

Configurez un poste pour le connecter au réseau natif LAN du serveur applicatif pfSense.

Ne perdez pas de vue que toute modification ou erreur de paramétrage sur l'interface LAN (ou de celle de

votre poste de travail) peut vous faire perdre l'accès à l'interface web de configuration de l'application !

Avec le navigateur de votre choix, rendez-vous à l'adresse https://[ip_pfSense], où [ip_pfSense] est l'adresse

IP sur le réseau LAN du serveur hébergeant l'application pfSense : Le couple natif d'identifiants est :

admin/pfsense.


Utilisation de l'assistant de configuration

Nous allons profiter de cet assistant pour initier le paramétrage : System > Setup Wizard

�� Vérifiez, modifiez ou complétez si nécessaire les informations nécessaires au paramétrage de l'interface WAN (réseau public Internet). Les informations sont disponibles auprès du fournisseur d'accès ou de la maîtrise d'œuvre, E-Lorraine en ce qui nous

concerne : IP publique, masque, passerelle (adresse IP WAN du routeur e-lorraine), serveurs DNS externes, etc.

�� Vérifiez, modifiez ou complétez si nécessaire les informations nécessaires au paramétrage de l'interface LAN (attention à ne pas perdre l'accès !).

�� Renseignez/changez le mot de passe d'administration via l'interface web (par défaut = pfSense).

Vérification, modification et complétion du paramétrage des interfaces

Ceci est accessible par le menu Interfaces . Vous retrouvez ici toutes les interfaces assignées via la console au

cours de l'installation (en principe deux : LAN et OPT1).

Interfaces > (assign)

Onglet 'Interface assignments'

vous pouvez vérifier les assignations des interfaces faites à l'installation. Les interfaces disponibles et non

assignées peuvent être ajoutées en cliquant sur l'icône à partir des ports réseaux non utilisés.

Onglet 'VLANs'

C'est ici que vous pouvez configurer les VLANs (cette question n'est pas abordée dans ce document).

Vérification, complétion et modification de la configuration, interface par interface

�� Configuration générale de l'interface

o activation ou non

o nom (description) : pour une meilleure lisibilité le nom de chaque inter face sera modifié, voir annexe 1

o type : Static, DHCP, etc.

�� Complément de la configuration en fonction du type : prenons le cas d'une configuration en IP fixe (Static)

o IP et nombre CIDR (voir en annexe 8)

o passerelle – Gateway ; n'indiquer une passerelle que si le (V)LAN associé à cette interface utilise une passerelle

autre que pfSense pour se connecter à l'Internet ; dans notre cas ne rien indiquer

�� Options réseaux privés : pour des raisons de sécurités, il vaut mieux cocher ces deux options pour l'inter face WAN uniquement

o bloquer les réseaux privés

L'option Block private networks permet de bloquer les adresses ip de types locales : 192.168....., etc. C'est une

sécurité. Quand elle est cochée, cette option bloque le trafic provenant des adresses IP réservées pour les réseaux privés selon la norme RFC 1918 (10/8, 172.16/12, 192.168/16) ainsi que des adresses de bouclage (127/8). Vous

ʼ ʼdevez généralement laisser cette option activée, sauf si l inter face WAN fait parti d une adresse réseau privée.

o bloquer les réseaux « bogons » (les « faux réseaux privés », voir annexe 5)

L'option Block bogon networks permets de bloquer ces adresses IP. C'est encore une sécurité.



Onglet 'Interface Groups'

Sur cette page vous pouvez regrouper plusieurs interfaces afin de définir une politique commune à celles-ci.

Ainsi les règles créées pour le groupe s'appliqueront aux interfaces du groupe sans avoir à les dupliquer. Une

fois un groupe créé, une nouvelle interface sera visible (nouvel onglet) dans la page Firewall : Rules.

Nous n'avons pas avantage à regrouper les interfaces dans notre cas.

Sécurité – configuration avancée

System > Advanced > onglet 'Admin Access'

�� Toujours sélectionner un accès par HTTPS

�� Se créer éventuellement un certificat HTML sur mesure spécifique à cet accès

�� Désactiver la règle de redirection (WebGUI Redirect), pour contraindre à une connexion HTTPS

�� L'option « Anti-lockout » pourra être désactivée lorsque toutes les règles de pare-feu seront écrites (on observe la présence de

cette règle sur la page 'Firewall : Rules' dans l'onglet LAN (ADMIN dans notre cas puisque nous avons renommé les inter faces). Cette règle évite de perdre l'accès à l'interface web de configuration via l'interface ADMIN pendant le paramétrage.

�� Conserver la règle « DNS Rebinding Checks » ainsi que « HTTP_REFERER enforcement check », sauf si souhait d'accès au pare-feu en utilisant ssh et le port-forward par exemple. Il se peut que vous soyez contraint de désactiver « HTTP_REFERER enforcement

check » en cas d'impossibilité d'accès à l'interface web de configuration depuis un poste nomade (voir annexe 9 ).

�� Si souhaité, possibilité d'activer l'accès par SSH en préférant un accès via une clé RSA (plus rapide et plus sécurisé)

�� Si le serveur en est pourvu, l'activation du port série (Serial Terminal) vous offre une porte de secours en cas de perte d'accès à l'interface Web.

�� Il est risqué de sécuriser l'accès à la console par mot de passe de protection en cochant l'option « Password protect the console

menu » : en effet, en cas de crash du mot de passe admin, plus aucun accès à pfSense ne sera possible ; d'autre part, l'accès à la console nécessite un accès physique au serveur qui normalement est sécurisé. Donc, un conseil : ne pas verrouiller l'accès via la

console par un mot de passe.

�� Sauvegarder la configuration !


Exemple de configuration avancée (seules les options modifiées et/ou évoquées ci-dessus sont présentes).

Notifications

System > Advanced > onglet 'Notifications'

C'est sur cette page que vous pouvez configurer les options pour l'envoi des notifications.


Mise à jour de pfSenseMise à jour de pfSense

System > firmware

Vous avez la possibilité de mettre à jour votre application (firmware) automatiquement (valable à partir de la

version 2). Cela vous dispense de surveiller les mises à jours disponibles notamment celles apportant des

corrections (bugs, failles de sécurité).

Si vous optez pour la mise à jour automatique, en cas

d'absence de message « You are on the latest version. » sur le

tableau de bord (dashboard), il peut être nécessaire de forcer

les paramètres de l'URL de mise à jour en choisissant l'option

correspondante à votre pfSense pour le champ 'Firmware Auto

Update URL' :

Sauvegarde de la configurationSauvegarde de la configuration

La sauvegarde de toute ou partie de la configuration se fait à partir de cette page : Diagnostics >

Backup/Restore

Une fois les alias définis (voir $ éponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un

serveur pfSense vers un autre :

Serveur « modèle »

�� Diagnostics : Backup/restore > 'Backup configuration'

�� sélectionner Aliases dans Backup area

�� cliquer sur Download configuration

serveur « cible »

�� Diagnostics : Backup/restore > 'Restore configuration'

�� sélectionner Aliases dans Restore area

�� cliquer sur Parcourir, sélectionner le fichier

�� cliquer sur Restore configuration


Installation de paquets Installation de paquets ou packagesou packages supplémentaires supplémentaires

Certains services, outils ou fonctionnalités de pfSense ne sont pas nativement installées. C'est le cas par

exemple de l'outil d'exportation des clients OpenVPN, du module proxy (serveur mandataire) ou encore de

SNORT. Nous verrons plus tard comment utiliser ces services puisqu'ils sont dans le cahier des charges du

déploiement.

System > Packages

Dans l'onglet « Available Packages » vous trouverez la liste des paquets disponibles (à condition que le

serveur pfSense soit connecté à l'Internet). Dans l'onglet « Installed Packages » vous trouverez la liste des

paquets installés. Il est fortement recommandé de n'installer que des paquets en version stable, surtout

dans un environnement de production, voire de les installer au préalable dans un environnement de test.

Sage précaution : sauvegarder complètement la configuration avant l'installation d'un paquet.

Outil d'exportation des clients OpenVPN

Le paquet correspondant se nomme « OpenVPN Client Export Utility ». Cet outil permet l'export directement

à partir de pfSense d'un client pré-configuré OpenVPN pour Windows ou d'un fichier de configuration pour

Mac OSX viscosité.

Outil de prévention et détection d'intrusion

Snort est un système open source de prévention et détection (IDS/IPS) d'intrusions sur les réseaux,

combinant les avantages de signature, de protocole et d'inspection axée sur l'anomalie. Le paquet

correspondant se nomme « snort ».

Serveur mandataire (proxy / cache web)

C'est un outil de proxy/cache web (de hautes performances, est-il précisé dans la description du paquet). Le

paquet correspondant se nomme « squid ».

Filtre URL proxy cache web

C'est un outil de filtrage URL pour proxy web (de hautes performances, est-il précisé dans la description du

paquet). Le paquet correspondant se nomme « squidGuard ». L'installation de ce paquet nécessite

l'installation au préalable du paquet de proxy « squid ».


Définition des Définition des aliasalias : un préalable à l'écriture des règles: un préalable à l'écriture des règles

Nous allons utiliser les alias pour créer des objets qui seront plus faciles à manipuler dans l'écriture des

règles : ils améliorent la lecture des règles et permettent de regrouper des adresses IP (comme celles des

serveurs), des ports (comme ceux à ouvrir pour le protocole TCP pour le montage du tunnel d'assistance du

CNERTA), des réseaux ou encore des URL. L'utilisation des alias nous évitera, par exemple, pour un protocole

donné, d'avoir à écrire une règle pour chaque port dans le cas de ports non consécutifs.

Ainsi, d'une part si modifications ultérieures il y a et, d'autre part, comme ces paramètres peuvent être

utilisés pour plusieurs règles, nous n'aurons qu'à apporter une seule modification au niveau de la définition

de l'alias correspondant, et cette modification sera répercutée automatiquement sur l'ensemble des règles

faisant appel à l'alias.

Pour en faciliter l'usage les alias devront respecter quelques règles de nommage explicite : par exemple

commencer par Cnerta pour tous les alias concernant Eduter-CNERTA qui ne changent pas d'un site à l'autre,

puis par exemple par le numéro du département pour les alias associés à l'EPL d'un département. Attention

les caractères spéciaux tels que espace, – ou _ ne sont pas permis ! En revanche on peut jouer sur la casse

pour apporter de la lisibilité.

La définition des alias est accessible dans le menu Firewall : Firewall > Aliases

Pour ajouter un alias cliquez sur puis renseignez les champs nom (Name) et description. Choisir le type

d'alias parmi hôte(s) – Host(s) - , réseau(x) – Network(s) -, port(s), URL et table d'URL - URL TABLE, puis

compléter les champs associés.

On peut créer des « alias d'alias ». Ainsi, par exemple, une fois les alias crées pour les LAN des tunnels

OpenVPN on crée un alias les reprenant tous pour l'écriture de règles communes. La seule condition à la

création d' « alias d'alias » est que tous soient du même type (ports, host, réseau, etc.).

Les alias configurés pour le serveur pfSense du site principal d'un EPL seront exportés puis importés dans la

configuration des serveurs pfSense des sites « antenne » pour nous éviter d'avoir à les réécrire (s'ils ne seront

pas tous utilisés dans toutes les configurations, on pourra éventuellement supprimer ceux qui s’avéreront

inutiles).

Nous allons avoir besoin de créer des alias pour les données suivantes (prenons l'exemple d'un EPL) :

�� l'adresse IP des serveurs sur le réseau ADMIN : [dép]IPsServeur1, [dép]IpServeur2, etc.

�� l'adresse IP WAN du serveur pfSense de chaque site : [dép]IPWanPfsenseSitePrinc, [dép]IPWanPfsenseSiteAnt1 et

[dép]IPWanPfsenseSiteAnt2

�� la plage d'adresses IP du réseau ADMIN et du réseau PEDA de chaque site : [dép]LanADMINnetSiteAnt2d, [dép]LanPEDAnetSiteAnt2, [dép]LanADMINnetSiteAnt1, [dép]LanPEDAnetSiteAnt1, [dép]LanPEDAnetSitePrinc

�� la plage d'adresses IP du VPN dans chaque tunnel nomade à monter pour la télé-assistance : [dép]IpPfsLanOvpnAssistSitePrinc, [dép]IpPfsLanOvpnAssistSiteAnt2 et [dép]IpPfsLanOvpnAssistSiteAnt1


�� les adresses IP publiques des serveurs du CNERTA : CnertaIpsPubliques

�� les ports pour le montage du tunnel de maintenance du CNERTA : CnertaTcpPortsVpn et CnertaTcpPortsVpn

�� les ports d'accès à l'interface web de configuration de pfSense : PortsAccesInterfaceWebPfSense

�� tous les réseaux sources de trafic pour la connexion à distance sur les serveurs du réseau ADMIN (alias d'alias) : [dép]TsLANsSourcesCnxServ

�� etc.

Enfin, n'oubliez pas de sauvegarder (Save).

Écriture des règlesÉcriture des règles

Le pare-feu ou firewall est la fonction principale de pfSense. Les

règles de filtrage sont évaluées sur la base de la première

correspondance. Dès qu'un paquet correspond à une règle celui-

ci est filtré. Les règles les plus permissives doivent donc être en

bas de liste. L'application pfSense est un pare-feu à gestion

d'état : elle autorise le trafic depuis l'interface sur laquelle le

trafic est généré. Lorsqu'une connexion est initiée, à la suite

d'une correspondance réussie avec une règle autorisant ce trafic,

une entrée est ajoutée dans la table d'état (state table). Le trafic

retour est automatiquement autorisé par le pare-feu quelque soit le type de trafic (TCP, ICMP, etc.).

Par défaut tout le trafic arrivant de l'internet à destination de votre réseau est bloqué. Mais par défaut tout le

trafic initié sur le (V)LAN de l'interface 'ADMIN' (initialement 'LAN') et à destination de l'Internet est autorisé,

ce qui se traduit par la présence de la règle suivante dans l'onglet 'LAN' (ou ADMIN dans notre cas) sur la

page Firewall :Rules :

Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systèmes compromis, de restreindre

les capacités à infecter le réseau, de limiter l'utilisation d'application non autorisées sur le réseau, de limiter

l'usurpation d'adresse IP (l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant.

Commençons par supprimer cette règle en cliquant sur , en validant puis en cliquant sur .

Comme déjà mentionné au § « Au préalable de l'installation », il est nécessaire de faire l’inventaire exhaustif

de tous les services nécessaires. On pourra établir un tableau avec les protocoles et ports utilisés par le trafic

à autoriser. Vous trouverez en annexe 4 un exemple de tableau élaboré à partir de la liste des services que

nous souhaitons autoriser.

Dans les pages de configuration des règles vous serez amené à configurer le champ 'type' en choisissant

dans une liste déroulante. Le tableau suivant vous donne les significations des intitulés disponibles :


any tout

Single host or alias Adresse IP ou alias

Network Réseau à définir dans le champ suivant (Address)

Wan subnet Réseau sur lequel est brassée l'interface WAN

Wan address Adresse allouée à l' interface WAN de pfSense

OPTn subnet Réseau sur lequel est brassée l'interface OPTn

OPTn addressAdresse allouée à l' interface OPTn de pfSense sur le réseau sur lequel est brassée cette interface

Pour saisir un alias, dans un champ, il faut sélectionner 'Single host

or alias' dans la liste du champ 'Type' et commencer à taper les

premières de celui-ci dans la zone rouge : une liste contextuelle

apparaît avec les correspondances disponibles ; vous n'aurez plus

qu'à choisir l'alias.

En pratique

�� Interdire par défaut : configurez les règles pour autoriser le strict minimum de trafic ; en l'absence de règle sur une inter face,

celle-ci bloque tout trafic se présentant

�� Question à se poser : « qu'est-ce-que je dois autoriser ? » et non « qu'est-ce-que je dois bloquer ? »

�� Règles lisibles, courtes et documentées

�� Règles à écrire sur la première interface de pfSense qui reçoit le paquet : les données de la règle sont celles contenues

dans le paquet qui se présente (je viens de, je vais vers, via tel port, tel protocole)

�� Pour une meilleure sécurité, limiter autant que possible les connexions aux adresses IP des source(s) et destination(s)

�� Ne rien inscrire pour le(s) port(s) « source » (choisir « any ») ; en effet, la plupart du temps , ce(s) port(s) est(sont) définis de

façon aléatoire par la source.

Une astuce

En cas de difficultés d'écriture des règles, vous pouvez procéder comme suit :

�� utilisez temporairement une règle selon laquelle tout passe, par exemple ADMIN net vers tout (any) sans spécifier de port

Firewall :Rules > onglet 'LAN' > clic sur et activer les logs.


�� générez du trafic pour le service étudié et observez ce qui se passe dans 'Status : System Logs' onglet 'Firewall'

�� créez la règle automatiquement en cliquant sur (Easy Rule : pass this traffic) sur la ligne correspondant au service à autoriser

puis, éventuellement, éditez la règle pour, par exemple, la limiter aux adresses IP source et/ou destination

�� n'oubliez pas de supprimer la règle temporaire qui autorise tout !

Écriture/édition des règles

Firewall > Rules > 'onglet' de l'interface concernée.

Deux options s'offrent à nous pour l'écriture d'une règle :

�� soit la règle est rajoutée sur le modèle d'une règle existante, en cliquant sur à droite dans le prolongement de la ligne

correspondant à la règle modèle, puis en apportant les modifications

�� soit elle est ajoutée librement en cliquant sur en haut ou en bas de la liste.

On peut éditer une règle à tout moment en cliquant sur .

Accès à l'interface web de configuration de pfSense et désactivation de la règle de protection « anti-lockout »

Écrivons une règle sur l'interface ADMIN autorisant les postes du (V)LAN ADMIN à se connecter à l'interface

web de configuration de pfSense.

Règle autorisant tout poste du réseau ADMIN à se connecter à l'interface de configuration web de pfSense : ainsi tout le trafic provenant du réseau ADMIN à destination de l'adresse IP sur ADMINnet de pfSense est permis via les ports TCP 80, 443 et 22 (alias PortsAccesInterfaceWebPfSense).

On peut maintenant supprimer la règle « anti-lockout » en cliquant sur en face de la règle puis en cochant

l'option correspondante sur la page

System : Advanced : Admin Access.

Changement de l'ordre des règles

L'ordre est important comme nous l'avons vu précédemment. Il peut être nécessaire de modifier l'ordre des

règles après une écriture non ordonnée.

Le changement d'ordre des règles se fait en cochant la ou les règles à déplacer puis en cliquant sur à

droite dans le prolongement de la ligne correspondant à la règle immédiatement plus permissive, c'est-à-

dire celle qui se trouvera immédiatement en dessous de celle(s) déplacée(s).


Mise en place d'une liaison site à site via un tunnel OpenVPN pour Mise en place d'une liaison site à site via un tunnel OpenVPN pour accès à serveuraccès à serveur

Simple à mettre en œuvre (un site client, un site serveur), basé sur une clé secrète partagée et beaucoup plus

léger que les tunnels IPSec mais tout aussi sécurisé, nous allons configurer le montage d'un tunnel OpenVPN

entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va créer une nouvelle interface sur les

deux serveurs, appelée OpenVPN (interface virtuelle) : elle n'apparaît pas dans la liste des interfaces

physiques mais un onglet sera rajouté dans la page 'Firewall : Rules' de configuration de l'interface web.

Configuration côté serveur du tunnel OpenVPN

Nous choisissons de configurer le serveur pfSense du site principal comme serveur OpenVPN.

VPN > OpenVPN > onglet Serveur > Add Serveur

�� Serveur Mode : Peer to Peer (clé partagée - Shared key)

�� Protocole : préférez UDP à TCP qui est plus « lourd » (chaque paquet perdu est retransmis) ; cependant UDP est connu comme étant mal filtré par certain routeurs ; utiliser TCP est plus peut-être plus sûr mais plus lent (faire des tests ou autoriser les deux)

�� Device Mode : tun (le module TAP n'est nécessaire que si on veut faire tourner OpenVPN en mode BRIDGE)

�� Interface : choisir l'inter face WAN pour les liaisons entrantes

�� Local Port : le port sur lequel le serveur OpenVPN écoute est le port par défaut 1194 ; attention, chaque tunnel requiert un

port différent (un pour le tunnel site à site, un pour le tunnel nomade, etc.) ; vérifier que le port n'est pas déjà utilisé par un autre service.

�� Description : nom du VPN, par exemple VPN site à site EPL[n° département]

�� Share key : Automatically generate a share key, la clé sera ainsi générés automatiquement et il suffira ensuite de copier-coller la clé dans la configuration VPN du serveur client (distant)

�� Encryption algorithm : par exemple AES-128-CBC (128 bits) ; doit être identique des deux côtés ; CAS, DES et RC2 sont un peu moins sécurisés mais plus rapides ; certains types de cryptages peuvent poser problème en fonction de la configuration

matérielle.

�� Hardware Crypto : si utilisation d'une carte de compression VPN, possibilité de la sélectionner dans la liste.

�� Tunnel Network : c'est la plage d'adresse qui sera utilisée pour adresser les postes dans le tunnel ; il est préconisé d'utiliser un

adressage au hasard dans la norme RFC19182 ; attention à ne pas utiliser des plages déjà utilisées par les (V)LAN ; pour

un tunnel de site à site un /30 est suffisant.

�� Local Network : à laisser vide pour une configuration par défaut

�� Remote Network : saisir ici le réseau distant, côté client (en principe le (V)LAN administratif ou pédagogique du site distant)

�� Compression : à cocher si vous souhaitez compresser les données dans le tunnel

�� Type-of-service : utile si vous souhaitez faire du Trafic Shapping sur le trafic OpenVPN lui-même (marquage entête IP), mais peut présenter un risque potentiel de sécurité.

Vous trouverez en annexe 3 les données propres à notre déploiement.

2 La RFC 1918 déf init un espace d'adressage privé permettant à toute organisation d'attribuer des adresses IP aux machines de son réseau interne. Il s’agit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16.


Configuration côté client

Nous devons configurer le serveur pfSense du site distant comme client OpenVPN.

VPN > OpenVPN > onglet Client > Add serveur

�� Serveur Mode : Peer to Peer

�� Protocole : idem côté serveur

�� Device Mode : idem côté serveur

�� Interface : WAN

�� Local Port : à laisser vide pour le choix d'un port aléatoirement

�� Server host or adress : adresse IP WAN du serveur (IP WAN du serveur pfSense du site principal)

�� Server port : idem côté serveur

�� Description : nom du VPN, par exemple VPN site à site

�� Share key : copier ici la clé générée côté serveur

�� Encryption algorithm : idem côté serveur

�� Hardware Crypto : idem côté serveur

�� Tunnel Network : idem côté serveur

�� Remote Network : saisir ici le réseau distant, côté serveur (en principe le (V)LAN administrati f du site principal)

�� Compression : idem côté serveur

�� Type-of-service : pour marquer la valeur de l'entête IP), mais peut présenter un risque potentiel de sécurité.

Vous trouverez en annexe 3 les données propres à notre déploiement.

Il nous reste une étape : écrire les règles pour autoriser le montage du tunnel et le trafic dans le tunnel.

Règle pour autoriser le montage du tunnel OpenVPN site à site

Tout d'abord, il est nécessaire d'autoriser, sur l'interface WAN du serveur OpenVPN (site principal dans notre

exemple), le trafic nécessaire à l'établissement du tunnel avec le serveur client OpenVPN (site distant) via les

protocole et port choisis à la création du tunnel OpenVPN « site à site ». Pour écrire la règle il faut se dire que

le paquet arrive sur l'interface WAN du serveur du tunnel (site principal) en provenant de l'adresse IP

WAN du client du tunnel (site distant) à destination de l'adresse IP WAN du serveur du tunnel, désignée

par WAN address, par exemple via le port 1195 du protocole UDP. On a donc la règle suivante dans l'onglet

'WAN' sur la page 'Firewall : Rules' du p fSense maître :

La règle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfSense « clientOpenVPN » du site di stant (alias [dép]IPWanPfsenseSiteAnt1) à destination de l'adresse IP du serveur pfSense « serveur OpenVPN » du site principal (WAN address) sur le port UDP 1195.


[dép ]IPWanPfsenseSiteAnt1

Règles pour autoriser le trafic dans le tunnel OpenVPN site à site

Ensuite, il faut autoriser le trafic des services nécessaires à l'accès aux serveurs du site principal : ces services

sont TSE (3389 MS RDP) et partage de fichiers (445 MS DS). L’accès au ping (ICMP echoreg) est également

une bonne précaution en cas de doute sur l’accès. Pour autoriser ces 3 services, il est nécessaire de les

autoriser d'une part au niveau de l’interface concernée du serveur Pfsense du site distant (appelé LAN en

général sur le serveur pfSense esclave, mais ADMIN dans notre cas) et d'autre part dans le tunnel, c'est-à-dire

au niveau de l’interface OpenVPN du serveur Pfsense du site principal. Pour des raisons de sécurité, il est

préférable de n’autoriser que ce qui est strictement nécessaire, donc ces services seront configurés

uniquement des (V)LAN du(es) site(s) distant(s) (ADMIN, PEDA) et nomade(s) vers l’adresse IP du serveur de

traitement du site principal. Nous utiliserons les alias définis au paragraphe éponyme, notamment l'alias

d'alias qui désigne tous les réseaux sources. Cela donne, sur le serveur OpenVPN du tunnel, les règles

suivantes pour l'interface OpenVPN :

Les règles autorisent, sur l'interface OpenVPN, le trafic provenant de tous les tunnels (alias [dép]TsLANsSourcesCnxServ1) à destination de l'adresse IP du serveur 1 (alias [dép]IpServ1) pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'ICMP echoreq.

et sur le client OpnVPN, pour l'interface ADMIN (génériquement LAN) :

Les règles autorisent, sur l'interface ADMIN, le trafic provenant de tout le réseau ADMIN (ADMIN net) à destination de l'adresse IP du serveur 1 (alias [dép]IpServ1) pour les services MS RDP (port TCP3389) et MS DS (ports TCP/UDP 445), ainsi que pour le service d'ICMP echorequest.

En annexe 4 vous trouverez les données propres à nos règles.

Remarque : la présence de flèches vertes dans

le tableau de bord de l'application pfSense

d'un des deux sites (Status > dashboard)

signifie que les tunnels se montent bien ; des

flèches rouges manifesteraient un problème.


[dép]TsLANsSourcesCnxServ1



[dép]IpServ1

[dép]IpServ1

[dép]IpServ1

[dép]IpServ1

[dép]IpServ1

[dép]IpServ1

Tunnel site principal-admin <=> site antenne-admin UDP

Tunnel site principal-admin <=> site antenne-admin UDP

Tunnel site principal-admin <=> site antenne-peda UDP

Mise en place d'une liaison nomade au serveurMise en place d'une liaison nomade au serveur

Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais que pour des obligations de service un

agent « nomade » doive se connecter à un serveur. Il va donc falloir monter un tunnel OpenVPN entre le

poste de l'agent et le serveur pfSense du site principal, puis autoriser les services nécessaires ; on parlera

alors d'un tunnel nomade ou de tunnel pour un utilisateur distant (vous trouverez souvent l'expression

« Open VPN pour les guerriers de la route »)..

Création du certificat d'autorité

L'utilisateur nomade devra utiliser un certificat utilisateur intégré à son client OpenVPN qui sera présenté au

serveur OpenVPN. Utilisons l'outil de management de certificats intégré à pfSense depuis la version 2 pour

créer le certificat de l'autorité reconnue par le certificat utilisateur.

System > CertManager > onglet 'CAs'

�� Cliquer sur Add or import CA pour ajouter un certificat d'autorité, par exemple nommé CA-EPL[dép]

�� En face de Method choisir dans la liste Create an internal Certificate Authority

�� Renseigner tous les champs puis cliquer sur Save

A titre d'exemple, voir en annexe 6 les données pour la construction du certificat d'autorité du serveur

pfSense du site principal d'un EPLEFPA.

Création de l'utilisateur

L'utilisation d'un tunnel nomade est subordonnée à la celle d'un compte utilisateur reconnu par pfSense.

L'utilisateur peut faire partie de la base locale de pfSense, peut être dans un annuaire ou distribué par un

serveur RADIUS. Dans notre cas nous allons créer des utilisateurs dans la base locale.

System > Users manager puis clic sur

�� Renseignez les champs Username et Password (deux champs, pour confirmation)

�� Cochez 'Click to create a user certificate. ' puis renseignez les champs (par exemple CU-NOMADE pour le nom descriptif) et sélectionnez les options adéquates (l'autorité de certification précédemment créée, la longueur de la clé et la durée de

validité) ; on peut tout laisser par défaut.

�� Cliquez sur 'Save'.

Voir exemple annexe 6.


Création et configuration du tunnel nomade

Nous allons utiliser l'assistant de pfSense.

VPN > OpenVPN > onglet 'Wizards'

Choix du type d'utilisateur : dans la base locale

Choix de l'autorité de certification : celle créée précédemment

Choix du certificat de l'utilisateur : celui créé précédemment


CA-EPL[dép]

Complétion des paramètres du tunnel nomade

Choix de création automatique des règles.

Attention : les règles écrites automatiquement sont « larges » ! Mieux vaut les écrire soi-même, ne serait-ce

que pour comprendre ce que l'on fait. On peut aussi décider de leur création automatique puis les modifier

par la suite.


Bien écrire la même

chose que ce qui a été

écrit pour l'alias

correspondant au réseau

de ce tunnel.

Tunnel nomade

Écriture des règles

Il nous reste donc à modifier/écrire ces/les règles pour autoriser le montage de ce tunnel OpenVPN nomade

et le trafic dans le tunnel.

La première règle est à écrire sur l'interface WAN pour autoriser le montage du tunnel nomade :

Ce qui donne :

Le deuxième lot de règles est à écrire sur l'interface OpenVPN pour autoriser le trafic associé aux services MS

DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons déjà écrit la règle pour la liaison

inter-site en utilisant un alias ([dép]TsLANsSourcesCnxServ1) pour désigner l'ensemble des réseaux sources

de trafic (voir page 18), il n'y a rien à rajouter ou à modifier.


Il est préférable de restreindre

la source à l'adresse IP WAN du site nomade et de ne pas

laisser 'any' (*).

Export du client Windows

PfSense permet, grâce au package installé « OpenVPN Client Export Utility », d'exporter un exécutable pour

l'installation et la configuration du client sous windows.

VPN > OpenVPN > onglet 'Client Export'

Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.

Création d'un tunnel IPsecCréation d'un tunnel IPsec

Entre deux serveurs applicatifs pfSense

A compléter

Entre un serveur applicatif pfSense et un serveur IPCOP

Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais d'un autre type de serveur qui ne gère

pas l'OpenVPN : prenons le cas d'un serveur IPCOP. Il va donc falloir monter un tunnel IPsec entre les deux

serveurs, puis autoriser les services nécessaires.

A compléterInstall-PfSense-V2-GP-v13-02-07.odt - 07/02/13 25

Permettre un accès nominatif à l'Internet depuis le (V)LAN «Permettre un accès nominatif à l'Internet depuis le (V)LAN « INVITEINVITE »»

Le serveur pfSense n'est pas utilisé ici pour filtrer, contrôler et sécuriser le trafic entre l'Internet et les (V)LAN

pédagogique et administratif : c'est un autre serveur qui joue le rôle de serveur mandataire (EPL dans une

architecture régionale). Néanmoins, nous allons configurer pfSense en serveur mandataire pour le (V)LAN

INVITE. Les paquets squid et squidGuard doivent être installés (voir « Installation de paquets ou packages

supplémentaires »). Nous utiliserons le portail captif de pfSense et les comptes du LDAP de l'AD e-lorraine du

(V)LAN pédagogique pour donner l'accès à des utilisateurs « connus » de l'EPL, présents dans un annuaire.

Configuration des filtres du serveur mandataire (proxy)

Services > Proxy filter > onglet 'Blacklist'

La liste noire (ou Blacklist) « shalla » se télécharge ici : http://www.shallalist.de/Downloads/shallalist.tar.gz

(ou bien celle de l'université de Toulouse téléchargeable ici : http://cri.univ-

tlse1.fr/blacklists/download/blacklists_for_pfsense.tar.gz)

Renseignez le champ et cliquez sur 'Download'.

Patientez jusqu’à l’obtention de « Blacklist update complete. »

Services > Proxy filter > onglet 'General settings'

Activez le filtrage en cochant 'Enable' et l'enregistrement des logs en cochant 'Enable GUI log' et 'Enable log'.

Si vous disposez de peu de place (disque dur de petite taille), vous pouvez activer la rotation de

l'enregistrement des logs en cochant 'Enable log rotation' afin de limiter la quantité de logs à enregistrer.

Activez l'utilisation de la liste noire (Blacklist) en cochant l'option correspondante et en indiquant l'URL de

téléchargement de la liste.

Ne pas oublier de sauvegarder la

configuration.

Attention : après toute modification ultérieure de la configuration, ne pas

oublier de cliquer sur le bouton 'Apply' qui apparaît désormais en haut.


Services > Proxy filter > onglet 'Common ACL'

Vérifiez la présence des catégories de filtrage en cliquant sur

Mettez l'option d'accès de la dernière ligne 'Defaut access [all] à 'allow' pour tout autoriser faute de

quoi le filtre aura pour effet d'interdire tout accès à l'Internet.

Ensuite, mettez à 'deny'

l'accès aux contenus que

vous voulez filtrer (porn,

warez, etc.).

Renseignez les champs

d'avertissement comme

ci-contre par exemple :

attention, il ne faut

utiliser aucun caractère

accentué.

Validez la configuration

en cliquant sur 'Save'.


A NOTER

Activation et configuration du serveur mandataire (proxy)

Services > Proxy server > onglet 'General'

Cliquez sur l'interface pour laquelle vous souhaitez activer le serveur mandataire : dans notre

cas INVITE (pour l'activer sur plusieurs interfaces, utilisez la touche CTRL).

Cochez comme ci-contre. L'option active de 'proxy transparent' vous

évitera d'avoir à configurer tous les postes connectés du (V)LAN « INVITE ».

Poursuivez la configuration comme suit :

La durée légale de conservation des logs est d'un an (365 jours).

Renseignez l'adresse mail de l'administrateur du serveur

mandataire et sélectionnez la langue d'affichage des

informations.

Enfin, sauvegardez la configuration.

Services > Proxy server > onglet 'Cache Mgmt'

Configurez les options du cache comme ci-contre par exemple.

Sauvegardez la configuration.


Activation et configuration du portail captif (attention : partie incomplète et probablement erronée)

Services > Captive Portal > onglet 'Captive portal'

Voici les options modifiées pour la configuration du portail captif.

Activez le portail captif en cochant 'Enable captive portal'.

Choisissez l'interface : dans notre cas, INVITE.

Nous avons choisi de rediriger les utilisateurs vers la page

de l'ENT.

Surtout, n'oubliez pas d'indiquer à l'application pfSense de chercher

les utilisateurs en local (le serveur LDAP rajouté précédemment est

considéré comme une extension de l'annuaire local).

Enfin, cliquez sur 'Save' tout en bas de la page.


Écriture des règles sur l'interface INVITE

Dans l'état actuel des choses, les postes brassés sur le (V)LAN INVITE n'ont pas accès à l'Internet : des

ouvertures sont nécessaires sur l'interface INVITE de pfSense. Nous allons écrire les règles correspondantes. Il

se peut aussi que vous ayez besoin de configurer des services supplémentaires. Par contre, les utilisateurs du

(V)LAN INVITE ne doivent pas pouvoir accéder aux (V)LAN tiers (pédagogique et administratif ).

Autoriser l'utilisation d'une application utilisant des ports spécifiques

On doit autoriser le trafic depuis le (V)LAN INVITE vers le serveur le serveur de cette application via le(s)

port(s) correspondants. Ces ouvertures peuvent être prises en compte dans l'écriture de la règle au

paragraphe suivant.

Autoriser l'utilisation des services du web

Il s'agit de permettre (ou non) aux utilisateurs d'utiliser les services courants de l'Internet : messagerie (pop,

smtp), web (http et https), transfert de fichiers (ftp), résolution de noms (DNS), etc., sans oublier d'ajouter à la

liste le service lié à une application spécifique. Au préalable, on crée les alias nécessaires pour regrouper les

ports et les (V)LAN.

Isoler le (V)LAN « INVITE » (vérifier si nécessaire)

Nous ne pouvons pas limiter les destinations au WAN. Donc, pour des raisons de sécurité évidentes, une fois

n'est pas coutume, nous devons bloquer le trafic provenant du (V)LAN « INVITE » à destination des (V)LANs

tiers (notamment « ADMIN » et « PEDA »).

Les deux premières règles autorisent, su r l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE à destination d'Internet pour les services courants et FirstClass (où l'alias PortTcpAccesInternetInvite définit les ports TCP 80, 443, 21 et 510). La troisième bloque tout trafic à destination des (V)LANs admin et pédago (alias « TsVlanSfInvite » d'alias).


Activation de l'interface et du service DHCP sur le (V)LAN « INVITE »

Activer la redirection DNS

Avant toute chose, activons la redirection DNS.

Services > DNS forwarder

Activer le DHCP sur l'interface INVITE

Pour simplifier davantage l'usage de ce (V )LAN l'adressage sera similaire à celui des réseaux domestiques.

Services > DHCP Server > onglet 'INVITE'

Nous activons le service DHCP sur

l'interface « INVITE ».

Vous devez spécifier une plage

d'adresses, par exemple pour

restreindre le nombre d'adresses ou

permettre la réservation d'adresses.

Nous remplissons les champs 'DNS

servers' et 'Gateway' avec l'adresse IP de

pfSense sur le (V)LAN INVITE.

Autoriser la maintenance, les mises à jour et les livraisons du CNERTAAutoriser la maintenance, les mises à jour et les livraisons du CNERTA

On rappelle que pour qu'un élément (serveur, station, etc.) réponde à une requête dont le trafic transite via

pfSense il faut indiquer une route « de réponse » passant par pfSense dans la configuration de l'élément

(voire mettre pfSense en tant que passerelle) ; a fortiori pour la connexion nomade au serveurs de nos sous-

réseaux. Les serveurs en questions ont donc soit pour passerelle le serveur pfSense soit une route

persistante forçant le trafic à destination des sources nomades à transiter par pfSense. Du coup, il faut

autoriser via pfSense la maintenance des serveurs par le CNERTA (montage de tunnel) ainsi que les mises à

jour et livraisons des serveurs. Toujours en utilisant les alias, nous allons écrire les règles correspondantes.


192.168.1.1

D'autre part, nous autoriserons les serveurs à accéder à l'Internet (services courants HTTP, HTTPS, FTP, ICMP

echo request et DNS).

Firewall > Rules puis choix de l'interface brassée sur le réseau administratif (ADMIN dans notre cas, LAN en

général).

Les règles autorisent, sur l'interface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dép]IPsServeurs) à destination des adresses IP publiques du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias CnertaLgaPortsAccInternet) pour l'accès à l'Internet, les mises à jour et livraisons ainsi que pour le service DNS.

Communication entre les interfaces (d'un (V)LAN à l'autre)Communication entre les interfaces (d'un (V)LAN à l'autre)

Par défaut tout trafic provenant des (V)LAN tiers à destination du (V )LAN ADMIN (nativement LAN) est

bloqué.

Si on souhaite par exemple utiliser se connecter aux serveurs du réseau ADMIN depuis le réseau

pédagogique sur le site principal, il faut autoriser le trafic généré par les adresses IP du (V)LAN pédagogique

vers le serveur en question pour, dan s le cas d'une connexion TSE, les services MS RDP, MS DP et ICMP echo

request. Ce qui donne les règles suivantes sur l'interface PEDA du serveur pfSense du site principal :

Les règles autorisent, sur l'interface PEDA, le trafic provenant du (V)LAN pédagogique (PEDA net) à destination du serveur 1 (alias [dép]IpServeur1 pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'ICMP echo request.


L'option « Anti-lockout » pourra être désactivée lorsque toutes les règles de pare-feu seront écrites

[dép]IPsServeurs

[dép]IPsServeurs

[dép]IPsServeurs

[dép]IPsServeurs

[dép]IPsServeurs

[dép]IPsServeur1

[dép]IPsServeur1

[dép]IPsServeur1

Export du client OpenVPN pour Windows ou de la configuration Export du client OpenVPN pour Windows ou de la configuration viscosité pour MACviscosité pour MAC

Nous allons utilisé l'outil installé précédemment.

VPN > OpenVPN > onglet '

A compléter.


Analyser le traficAnalyser le trafic : utilisation de Snort: utilisation de Snort

A compléter.


Annexe 1Annexe 1 : extraits du dossier de montage du projet de déploiement : extraits du dossier de montage du projet de déploiement des serveurs «des serveurs « pfSensepfSense » en Lorraine» en Lorraine

Spécificités du réseau informatique d'un site régional d'un EPL

L'architecture régionale est une architecture régionale commune à tous les lycées et CFA des systèmes

éducatifs. Le réseau d'un site est composé, entre autres, de deux « sous-réseaux » : LAN (ou VLAN)

pédagogique et LAN (ou VLAN) administratif, connectés à l'Internet via un serveur mandataire placé derrière

un routeur.

Objectifs de déploiement des serveurs dits « pfSense »

Il s'agit de mettre en œuvre une solution pour répondre aux besoins de l'enseignement et de la formation

agricoles dans l'architecture régionale, à savoir :

�� autoriser une connexion sécurisée entre un poste du réseau d'un site antenne et un serveur du sous-réseau administratif du site principal ;

�� autoriser une connexion sécurisée entre un poste du réseau sous-pédagogique du site principal et un serveur du sous-réseau administratif de ce site ;

�� autoriser une connexion sécurisée entre un poste nomade identifié et un serveur du sous-réseau administratif du site principal d'un EPL ;

�� autoriser la liai son pour atteindre l'intranet du ministère depuis un poste sur les réseaux des EPL ;

�� autoriser la liai son pour permettre la télé-maintenance des serveurs par Eduter-CNERTA ;

�� autoriser les livraisons et mises à jour de ces serveurs ;

�� autoriser, via un portail captif, l'accès à l'Internet d'un poste informatique « invité » ; faciliter, contrôler, sécuriser et filtrer la connexion du sous-réseau INVITE à l'Internet ;

�� effectuer en temps réel des analyses de trafic et « logger » les paquets sur un réseau.


Architecture cible

Adressage (V)LANs et VPNs

WAN xxx.xxx.xxx.xxx /29 passerelle : IP routeur

ADMIN 10.xxx.xxx.0 /24 passerelle = serveur mandataire

PEDA 172.xxx.xxx.0 /16 passerelle = serveur mandataire

OVPN site à site 10.xxx.100.0/30

où 100 peut se décomposer comme suit : 10 pour reprendre le troisième octet du réseau ADMIN

et 0 pour le premier tunnel

OVPN nomade 10.xxx.[105, 106 … 109].0/24

où 105 se décompose comme suit : 10 pour reprendre le troisième octet du réseau ADMIN et 5

pour le premier tunnel

Serveur : interfaces, ports Ethernet et (V)LANs associés

→em0 WAN brassée sur le (V)LAN d'adressage IP public e-lorraine

→em1 ADMIN brassée sur le (V)LAN « administratif »

→igb0 PEDA brassée sur le (V)LAN « pédagogique »

→igb1 INVITE brassée sur le (V)LAN « invité »

→igb2 reste disponible, pour la vidéo surveillance par exemple

→igb3 reste disponible

vue arrière du serveur


Annexe 2 – les alias (Annexe 2 – les alias (AliasesAliases))

Focus sur certains alias �� Firewall : Aliases : Edit

Détail de l'al ias signifiant les ports TCP à ouvrir pour le montage du tunnel du CNERTA

Détail de l'alias signifiant les adresses IP des serveurs de l 'EPL

Détail de l 'alias signifiant l'adressage du sous-réseau pédagogique du site antenne de l'EPL


1

2

[dép ]

[dép ]

Annexe 3 – configuration des tunnels OpenVPNAnnexe 3 – configuration des tunnels OpenVPN

Côté serveur du tunnel OpenVPN site à site (pfSense du site principal)

Liste des tunnels OpenVPN « serveur » côté site principal de l'EPL

Édition du tunnel site à site, côté serveur, entre les réseaux admin des sites « antenne » de l'EPL


La clé doit être

identique à celle du client

doit être identique à

ce qui est écrit côté serveur

doit être identique à ce qui est écrit côté serveur

princprinc

princ

princ

princ

princ

ant1

ant1

ant2

ant2

ant2

Côté client du tunnel OpenVPN site à site (pfSense du site secondaire)

Liste des tunnels OpenVPN « clients» côté site antenne de l'EPL

Édition du tunnel site à site, côté client, entre les réseaux admin des sites « antenne » de l'EPL


La clé doit être identique à celle du

serveur





Annexe 4 – Règles d'autorisation du trafic des servicesAnnexe 4 – Règles d'autorisation du trafic des services

Tableau récapitulatif (exemples)

Description Source(s) Destination(s) Port destination

Connexion TSE sur serveur

• (V)LAN ADMIN et (V)LAN PEDA du site principal

• (V)LAN ADMIN et (V)LAN PEDA du site distant

• Poste nomade

Serveur du (V)LAN ADMIN du site

ICMP echo request, TCP 3389 (MS RDP) et TCP/UDP 445 (MS DS)

Tunnel O penVPN site à site PfSense du site distant (esclave)PfSense du site principal (maître)

UDP 1195

Tunnel O penVPN nomade (site ne disposant pas de serveur pfSense)

Adresse IP publique du site nomadePfSense du site principal (maître)

UDP 1194

Maintenance CNERTA Serveurs site principal Plage adr. IPs publiques CNERTA

UDP 500, 2746, 18233 et 18234TCP 500, 256, 264, 18231 et 18232

Mises à jour et livraisons Serveurs site principal TCP 443 (HTTPS), 80 (HTTP) et 21 (FTP)

Accès DNS Serveurs site principal IPs des serveurs DNS

UDP 53

Règles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN

À écrire pour l'interface ADMIN

Les règles autorisent, sur l'interface ADMIN, le trafic provenant du (V)LAN ADMIN (ADMIN net) à destination de l'adresse IP du serveur (alias [dép]IpServeur1) pour le service MS DS sur les ports TCP/UDP 445, le service MS RDP sur le port TCP 3389 et le service ICMP echo request, dans le but d'établir une connexion au serveur.


[dép]IpServeur1

[dép]IpServeur1

[dép]IpServeur1

Règles sur le serveur pfSense du site principal pour le tunnel OpenVPN

• règle pour établir le tunnel, à écrire pour l'interface WAN

La règle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dép]IPWanPfsenseAnt) à destination de l'adresse IP publique du serveur pfSense du site principal (WAN adress) pour le montage du tunnel OpenVPN sur le port TCP 1195.

• règles pour les services autorisés encapsulés dans le tunnel, à écrire pour l'interface OpenVPN

Les règles autorisent, sur l'interface OpenVPN, le trafic provenant des adresses IP de tous les réseaux sources (alias [dép]TsLANsSourcesCnxServ1) à destination de l'adresse IP du serveur 1 (alias [dép]IpServeur1) pour le service MS DS sur les ports TCP/UDP 445, le service MS RDP sur le port TCP 3389 et le service ICMP echo request, dans le but d'établir une connexion TSE au serveur 1.


[dép]IpWanPfsenseAnt1

[dép]TsLANsSourcesCnxServeur1



[dép]IpServeur1

[dép]IpServeur1

[dép]IpServeur1

Annexe Annexe 55 – Les « – Les « bogon » bogon » ou adresses IP «ou adresses IP « invalidesinvalides » »

Les adresses IP invalides ou « bogon » sont des adresses IP réservées par l’IANA (Internet Assigned Numbers

Authority) pour des usages spécifiques ; c’est le cas des adresses IP privées définies par le RFC 19183 ou

encore des classes d’adresses D et E4. Dans cette catégorie, nous trouvons également les adresses IP non

assignées par l’IANA à aucun Registre Internet Régional (RIR)5. Des listes détaillées et régulièrement

actualisées de ces adresses sont publiées sur les sites web de quelques groupes de travail. Il apparaît, ainsi,

que les adresses IP invalides représentent prés de 40% de l’espace d’adressage IP total. Bien que les adresses

invalides n’aient pas de raison d’être routées sur Internet, il arrive fréquemment à ces adresses d’être

routées sur certaines portions de l’Internet et d’être utilisées par des personnes ou des organisations

malveillantes afin de conduire, d’une façon anonyme, des attaques de déni de service, des envois massifs de

messages non sollicités et des activités de piratage. L’exploitation des blocs d’adresses invalides pour des

finalités malveillantes et le fait que la liste de ces adresses soit relativement stable, a poussé les

administrateurs de réseaux à mettre en place des règles de filtrage rejetant le trafic lié à ces adresses afin de

diminuer le risque de leur exploitation malveillante. Par ailleurs, les adresses « inutilisées » sont des adresses

IP allouées à organisme particulier qui ne les exploite pas ; ainsi la présence de trafic utilisant ces adresses est

par nature suspecte. Cependant, une différence essentielle existe entre les adresses IP invalides et celles

inutilisées : en effet, les premières sont publiées sur Internet, alors que les secondes sont inconnues sauf

pour les administrateurs du réseau concerné.

3 La RFC 1918 déf init un espace d'adressage privé permettant à toute organisation d'attribuer des adresses IP aux machines de son réseau interne. Il s’agit

des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16.

4 Les adresses de la classe D sont utilisées pour les communications multicast, alors que ceux de la classe E sont utilisées pour la recherche.

5 Un Registre Internet Régional (RIR), a lloue les adresses IP dans sa zone géographique à des opérateurs réseau et des fournisseurs Internet. Il existe aujourd'hui cinq RIRs.


Annexe 7Annexe 7 : nommage des interfaces sous FreeBSD: nommage des interfaces sous FreeBSD

Vous trouverez des indications de nommage des interfaces ici

(http://doc.pfsense.org/index.php/ALTQ_drivers) et ici (http://www.gsp.com/support/man/section-4.html).

En mode console sur le serveur (8 Shell), vous obtenez la liste des interfaces avec la commande ifconfig.

Annexe 8Annexe 8 : notation CIDR: notation CIDR

Vous trouverez des informations sur Comment ça marche

(http://www.commentcamarche.net/contents/internet/le-cidr) et un calculateur CIDR ici

(http://www.subnet-calculator.com/cidr.php)


Annexe 9Annexe 9 : erreurs: erreurs

Voici un résumé des erreurs rencontrées ou commises.

« acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 »

Causes/solutions

�� Problème avec le lecteur optique : à priori, ne porte pas de préjudice à l'installation

Le trafic ne passe pas, malgré une écriture correcte des règles

�� Définition incomplète d'un alias (par exemple, pour un alias réseau créé : pas de renseignement de plage d'adresse !)

Montage tunnel impossible

Causes/solutions

�� Oubli d'écriture de la règle sur l'interface WAN pour autoriser le flux lié au tunnel

�� Erreur de port entre celui configuré pour le serveur VPN et la règle correspondante sur l'interface WAN

Accès impossible à l'interface web de configuration via tunnel nomade

Causes/solutions

�� Si affichage du message « An HTTP_REFERER was detected other than what is defined in System -> Advanced

(https://10.54.102.1/index.php). You can disable this check if needed in System -> Advanced -> Admin. », désactiver « HTTP_REFERER enforcement check » (la case « Disable HTTP_REFERER enforcement check » dois être cochée)

�� Oubli d'écriture d'une règle dans l'interface OpenVPN qui autorise à accéder à l'interface (en HTTPS par exemple)


Table des matières

Avant-propos..........................................................................................................................................................................................1

Au préalable de l’installation........................................................................................................................................................2

Services................................................................................................................................................................................................2

Architecture et adressage.........................................................................................................................................................2

Documentation et aide...............................................................................................................................................................2

Rappels et recommandations................................................................................................................................................3

Application pfSense et compatibilité.................................................................................................................................3

Schéma de principe............................................................................................................................................................................4

Installation ..............................................................................................................................................................................................5

Brassage des ports RJ45 pour identification des interfaces...............................................................................5

Boot et lancement de l'installation.....................................................................................................................................5

Paramétrage de la console.......................................................................................................................................................5

Type d'installation........................................................................................................................................................................6

Configuration des interfaces réseau..................................................................................................................................6

Identification des interfaces.............................................................................................................................................6

Pas de mise en place de VLAN.........................................................................................................................................6

Assignation des interfaces.................................................................................................................................................7

Configuration en ligne de commande de l'adressage des premières interfaces..............................8

Poursuite de l'installation via l'interface web ...................................................................................................................8

Préalable.............................................................................................................................................................................................8

Utilisation de l'assistant de configuration......................................................................................................................9

Vérification, modification et complétion du paramétrage des interfaces...................................................9

Onglet 'Interface assignments' .......................................................................................................................................9

Onglet 'VLANs' .........................................................................................................................................................................9

Vérification, complétion et modification de la configuration, interface par interface..................9

Onglet 'Interface Groups'.................................................................................................................................................10

Sécurité – configuration avancée......................................................................................................................................10


Notifications..................................................................................................................................................................................11

Mise à jour de pfSense...................................................................................................................................................................12

Sauvegarde de la configuration................................................................................................................................................12

Installation de paquets ou packages supplémentaires ............................................................................................13

Outil d'exportation des clients OpenVPN....................................................................................................................13

Outil de prévention et détection d'intrusion.............................................................................................................13

Serveur mandataire (proxy / cache web)...................................................................................................................13

Filtre URL proxy cache web.................................................................................................................................................13

Définition des alias : un préalable à l'écriture des règles.........................................................................................14

Écriture des règles...........................................................................................................................................................................15

En pratique.....................................................................................................................................................................................16

Une astuce.......................................................................................................................................................................................16

Écriture/édition des règles..................................................................................................................................................17

Accès à l'interface web de configuration de pfSense et désactivation de la règle de protection « anti-lockout »............................................................................................................................................................................17

Changement de l'ordre des règles....................................................................................................................................17

Mise en place d'une liaison site à site via un tunnel OpenVPN pour accès à serveur.............................18

Configuration côté serveur du tunnel OpenVPN.....................................................................................................18

Configuration côté client .......................................................................................................................................................19

Règle pour autoriser le montage du tunnel OpenVPN site à site..................................................................19

Règles pour autoriser le trafic dans le tunnel OpenVPN site à site..............................................................20

Mise en place d'une liaison nomade au serveur............................................................................................................21

Création du certificat d'autorité........................................................................................................................................21

Création de l'utilisateur..........................................................................................................................................................21

Création et configuration du tunnel nomade............................................................................................................22

Écriture des règles.....................................................................................................................................................................24

Export du client Windows.....................................................................................................................................................25

Création d'un tunnel IPsec..........................................................................................................................................................25

Entre deux serveurs applicatifs pfSense......................................................................................................................25


Entre un serveur applicatif pfSense et un serveur IPCOP.................................................................................25

Permettre un accès nominatif à l'Internet depuis le (V)LAN « INVITE ».......................................................26

Configuration des filtres du serveur mandataire (proxy).................................................................................26

Activation et configuration du serveur mandataire (proxy)............................................................................28

Activation et configuration du portail captif (attention : partie incomplète et probablement erronée)............................................................................................................................................................................................29

Écriture des règles sur l'interface INVITE...................................................................................................................30

Autoriser l'utilisation d'une application utilisant des ports spécifiques...........................................30

Autoriser l'utilisation des services du web..........................................................................................................30

Isoler le (V)LAN « INVITE » (vérifier si nécessaire).......................................................................................30

Activation de l'interface et du service DHCP sur le (V)LAN « INVITE »....................................................31

Activer la redirection DNS..............................................................................................................................................31

Activer le DHCP sur l'interface INVITE...................................................................................................................31

Autoriser la maintenance, les mises à jour et les livraisons du CNERTA........................................................31

Communication entre les interfaces (d'un (V)LAN à l'autre)................................................................................32

Export du client OpenVPN pour Windows ou de la configuration viscosité pour MAC........................33

Analyser le trafic : utilisation de Snort................................................................................................................................34

Annexe 1 : extraits du dossier de montage du projet de déploiement des serveurs « pfSense » en Lorraine..................................................................................................................................................................................................35

Spécificités du réseau informatique d'un site régional d'un EPL..................................................................35

Objectifs de déploiement des serveurs dits « pfSense ».....................................................................................35

Architecture cible.......................................................................................................................................................................36

Adressage (V)LANs et VPNs..........................................................................................................................................36

Serveur : interfaces, ports Ethernet et (V)LANs associés..................................................................................36

Annexe 2 – les alias (Aliases).....................................................................................................................................................37

Focus sur certains alias � Firewall : Aliases : Edit................................................................................................37

Annexe 3 – configuration des tunnels OpenVPN...........................................................................................................38

Côté serveur du tunnel OpenVPN site à site (pfSense du site principal).................................................38

Côté client du tunnel OpenVPN site à site (pfSense du site secondaire)..................................................39


Annexe 4 – Règles d'autorisation du trafic des services...........................................................................................40

Tableau récapitulatif (exemples)......................................................................................................................................40

Règles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN..............................40

Règles sur le serveur pfSense du site principal pour le tunnel OpenVPN...............................................41

Annexe 5 – Les « bogon » ou adresses IP « invalides » ............................................................................................42

Annexe 6 – Certificats ...................................................................................................................................................................43

D'autorité.........................................................................................................................................................................................43

D'utilisateur...................................................................................................................................................................................43

Annexe 7 : nommage des interfaces sous FreeBSD......................................................................................................44

Annexe 8 : notation CIDR.............................................................................................................................................................44

Annexe 9 : erreurs............................................................................................................................................................................45

« acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 »...................................................45

Le trafic ne passe pas, malgré une écriture correcte des règles....................................................................45

Montage tunnel impossible..................................................................................................................................................45

Accès impossible à l'interface web de configuration via tunnel nomade................................................45
