1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
Direction Générale des Etudes Technologiques
Institut Supérieur des Etudes Technologiques de Bizerte
Département Technologies de l'Informatique
Référence Dép. TI
AN 2013
N° RSI 16.13
Rapport de
PROJET DE FIN D’ETUDES
En vue de l’obtention de :
Licence Appliquée en [Réseau et System Informatique]
Mise en place d’un firewall open source PfSense
Elaboré par :
Marwen Ben Cheikh Ali
&
Khlifa Hammami
Encadré par :
Mme Afef Gafsi (ISET)
Mme Manoubia GAABAB (ISET)
Mr Soufien Abiidi (ENTREPRISE)
Effectué à :
Entreprise : Tunisie Trade Net (TTN)
Adresse : (Rue de lac d’Annecy, Immeuble STRAMICA 1053, Les Bergees du lac)
Tel : (71 861 712)
Mail : ( sofien.abidi@tradnet.com.tn)
Année universitaire : 2012/2013
2. Dédicace
J’ai le grand plaisir de dédier ce travail en témoignage d’affectation et de reconnaissance à
tous ceux qui m’ont aidé à le réaliser.
A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance
ainsi que mon binôme dans ce travail Hammami Khifa qui m’accompagnée durant toutes mes
études universitaires, à tous mes collègues de travail qui m’ont donné du courage pour
continuer les études et pour préparer ce diplôme et enfin aux Enseignant et Encadreur de
l’ISET qui nous ont donné confiance et espoir et qui nous ont soutenus durant tout le cursus
universitaire de cette année.
Marwen Ben Cheikh Ali
Je dédie ce travail à tous ceux qui m’ont aidé de près ou de loin à la réalisation de mon projet
fin d’étude. Mes vifs et sincères remerciements s’adressent aux âmes de mes chers parents,
sans oublier mon binôme dans ce travail Marwen Ben Cheikh Ali et aussi à mes frères pour
leur soutien et ses biens faits qu’il m’apporté tout au long de ce stage et enfin à tous mes
professeurs et mes amis.
Hammami Khifa
3. Remerciement
C’est avec le plus grand honneur que nous avons réservé cette page en signe de gratitude et
de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation de ce
rapport de stage.
Nos remerciements s’adressent à Mr Khaled Marzouk, le directeur général de l’Entreprise
Tunisie TradNet(TTN) qui nous a accueillies dans son établissement.
Nos remerciements vont aussi à notre encadreur Mr Abidi Sofien qui assuré notre
encadrement tout au long de ce stage et par leurs conseils et leur aides précieux, nous a guidés
pendant notre projet.
Notre sincère gratitude s’adresse également à tous nos enseignants du département
informatique du l’Institut Supérieur des Etudes Technologies de Bizerte qui ont assuré notre
formation pendant ces trois années d’étude.
De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont fait en
acceptant de juger notre travail.
4. Sommaire
Introduction Général…………………………………………………………………………...1
Chapitre 1 : Présentation du cadre du stage……………………………………………………2
1. Présentation de la société……………………………………………………………….2
1.1. Historique……………………………………………………………………………2
1.2. Domaine d’activité…………………………………………………………………..2
1.3. Organigramme……………………………………………………………………….4
2. Etude de l’existant………………………………………………………………………5
3. Description de l’existant………………………………………………………………...5
4. Critique de l’existant……………………………………………………...……...……..7
5. Objectifs ………………………………………………………………………………..8
6. Solution proposée……………………………………………………………………….8
7. Planification du projet……………………………………………………...…...………9
Chapitre 2 : Etat de l'art……………………………………………………………………….11
1. Définition Free BSD……………...………………………………………………......11
2. Portail Captif de free BSD……...……………………………………………….........11
3. Etude des différents portails captifs free BSD……..........……………………………12
3.1. WifiDog……...……………………………………………….................................13
3.2. Talweg…...…………………………………………………..................................13
3.3. NoCatSplash……...………………………………………………..........................14
3.4. Tableau comparaison de Free BSD………………………………..........................15
4. Choix de la solution pfsense…………………………...............................................15
4.1. Présentation de pfsense ……………………………...............................................15
4.2. Objectifs…………………………….......................................................................16
4.3. Avantage ……………………………......................................................................16
5. VPN Client……………………………........................................................................17
5.1 Présentation………………………………………………………………...……...17
5.2 Open VPN...…………………….............................................................................18
5.3 Limitation d’open VPN…...…….............................................................................19
Chapitre 3 : Mise en place du pare feu……………………………….....................................20
1. Configuration de pfsense sous Vmware………………………………........................20
1.1. Partie WAN………………………….....................................................................20
5. 1.2. Partie des interfaces réseaux…………………………............................................21
1.3. Configuration du serveur PfSense……………………...........................................24
2. Portail Captif…………………….......................................................................................26
2.1. Description des différentes options de PFsense.......................................................27
2.2. Configuration à travers l’interface web....................................................................30
Chapitre 4 : Paramétrage et test des packages de PfSense.......................................................35
1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD.............................................................35
1.1. Bloquage des sites web ..........................................................................................35
1.2. Configuration de Squid ..........................................................................................36
1.3. Configuration de SquidGuard.................................................................................37
1.4. Spécification de la Common Access List ..............................................................37
1.5. Filtrage des sites web .............................................................................................38
2. Configuration du server Open VPN………........................................................................40
3. Détection et Prévention d’Intrusion Réseau « SNORT » ...................................................46
3.1. Maquette de test................................................................................................47
3.2. Installation et configuration de SNORT...........................................................47
3.3. Test de la solution.............................................................................................50
4. Partage de la Bande Passante « TRAFFIC SHAPER »…………......................................52
4.1. Maquette de test………....................................................................................52
4.2. Configuration de TRAFFIC SHAPER.............................................................53
5. Supervision de la Bande Passante «NTOP » .....................................................................56
5.1. Maquette de test............................................................. ..................................56
5.2. Installation et configuration .............................................................................57
5.3. Scénarios d’utilisation de NTOP .....................................................................59
Conclusion Générale………………………………………………………………………….61
Netographie…………………………………………………………………………………...62
6. Liste des Figures
Figure 1: Organigramme de la Société…………………………………………………………4
Figure 2: L’architecture informatique de la Tunisie Trade Net………………………………..6
Figure 3: Architecture proposée du réseau de Tunisie Trade Net…………….………………..9
Figure 4 : Portail Captif……………………………………………………………………….12
Figure 5: Principe du portail captif Talweg…………………………………………………...14
Figure 6: Architecture NoCat…………………………………........…………………………14
Figure 7: le réseau informatique avec notre application PfSense…………………….............17
Figure 8: Configuration de carte réseau WAN………………………………………………..20
Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor………………...21
Figure 10: Configuration de carte réseau Administrateur………………………………….....21
Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor……..22
Figure 12: Configuration de carte réseau DMZ………………………………………………22
Figure 13: Configuration de carte réseau DMZ sous Virtual Network Editor….……………23
Figure 14: Configuration de carte RéseauLAN………………………………………………23
Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor………...24
Figure 16: configuration des interfaces réseau Administrateur et interface WAN…………...25
Figure 17: configuration de l’interface DMZ ………………………………………………...25
Figure 18: configuration de l’interface RéseauLAN..........................................................…...26
Figure 19 : Schéma théorique d’un portail captif.....................................................................27
Figure 20: configuration des interfaces réseaux sur serveur PfSense ……………………….28
Figure 21 : Configuration de base de système………………………………………………..31
7. Figure 22 : paramétrage de base……………………………………………………………...32
Figure 23 : Activation de SSH……………………………………………………………......32
Figure 24 : Accées sécurisé du WebGUI……………………………………………………..32
Figure 30: création de certificat………………………………………………………………41
Figure 31: Vérification de clé de certification………………………………………………..41
Figure 32: Association de certificat aux client………………………………………………..42
Figure 33 :Utilisation d’OpenVPN Wizard…………………………………………………..42
Figure 34: choisir le certificat………………………………………………………………...43
Figure 35: Création de certificat serveur……………………………………………………...43
Figure 36 : choisir l’alogoritheme de cryptage……………………………………………….44
Figure 37: modifier l’adresse de TUNNEL…………………………………………………..44
Figure 38: Exportation d’archives de configuration………………………………………….45
Figure 39: Authentification d’OpenVPN……………………………………………………..46
Figure 40: Maquette de test de SNORT… …………………………………………………...47
Figure 41: Installation de package SNORT…………………………………………………..47
Figure 42: Activation et configuration du service……………………………………………48
Figure 43: Sépcification des catégories………………………………………………………49
Figure 44: Vérification des alertes……………………………………………………………50
Figure 45: Test de la solution…………………………………………………………………51
Figure 46 : vérification des Alerts ……………………………………………………………51
Figure 47: maquette de test bande passante…………………………………………………..52
Figure 48 : teste de débit initial……………………………………………………………….53
Figure 49: Ajoute un limite de download ‘‘down_limit’’…………………………………….54
8. Figure 50: Ajoute un limite de download ‘‘up_limit’’ ………………………………………54
Figure 51:Ajouter un Client…………………………………………………………………..55
Figure 52:Association des limiteurs au Client………………………………………………..55
Figure 54: test de Bande Passante sur un client de RéseauLAN……………………………..56
Figure 54: Maquette de test de ntop…………………………………………………………..57
Figure 55 : Installation de packge de ntop……………………………………………………57
Figure 56 :Configuration de compte d’administrateur………………………………………..58
Figure 57 : Interface d’écoute………………………………………………………………...58
Figure 58 : Le rapport de trafic……………………………………………………………….58
Figure 59 : La répartition totale du trafic par protocole………………………………………59
Figure 60 : diagramme de trafic par service…………………………………………………..59
Figure 61 : Interface des hôtes connectés…………………………………………………….60
10. Introduction Général
Vu l’importance et l’obligation de l’élaboration d’un pare-feu, chaque organisme doit établir
un pare-feu pour la sécurité informatique périodiquement afin d’identifier ses sources de
menace et ces dégâts informationnels.
Portant de cette idée, nous avons décidé d’établir un rapport d’un Pare-feu de sécurité
informatique.
Un pare-feu (appelé aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais), est un
système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions
provenant d’un réseau tiers (notamment internet).
Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le
réseau, il s’agit ainsi d’une passerelle filtrante comportant ou minimum les interfaces réseau
suivante :
Une interface pour le réseau à protéger (réseau interne) ;
Une interface pour le réseau externe.
Ainsi ce rapport est scindé sur trois parties primordiales :
La première partie est axée sur les différentes phases ou bien les types de pare-feu réparti sur
l’analyse.
La deuxième partie présente une étude pratique qui définie la mise en place d’un pare-feu.
La troisième partie comporte une étude théorique qui définie le thème d’un pare-feu de la
sécurité informatique.
11. Chapitre 1 : Présentation du cadre du stage
Chapitre 1 : Présentation du cadre du stage
2
1. Présentation de la société
1.1. Historique
La société Tunisie Trade Net gère, depuis sa création en février 2000, un réseau informatique
qui relie les différents intervenants dans les procédures du commerce extérieur en Tunisie
(Banques, Administrations, Douanes,…).
Sous la tutelle du ministère des finances tunisien depuis 2002, TTN s’intègre dans le projet de
l’administration en ligne. Le Projet a pour but de faciliter les procédures du commerce
extérieur, d’en assurer la traçabilité, et de réduire les délais de séjour des marchandises aux
ports.
Ainsi, La solution apportée par Tunisie TradeNet permet aux différents opérateurs: Entreprises,
Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les
différentes formalités d’importation et d’exportation en mode électronique.
Outre son rôle en tant qu’intermédiaire dans les échanges de documents relatifs aux procédures
de commerce extérieur en mode électronique, Tunisie TradeNet se distingue en tant que
société de services et d'ingénierie informatique SSII.
1.2. Domaine d’activité
Références dans le transport : Développement interfaçage Laisse Transport,
application manifeste.
Connaissances des systèmes d’exploitation : UNIX (SOLARIS), Windows 9x, NT,
2000, LINUX et XP
Compétences en SGBD: ORACLE – SQL SERVER
Compétence en architecture de systèmes :
Mise en place de plates-formes équivalentes à celle de TradeNet
Mise en place de la plate forme d’échange de données du GUCE au port de
Douala Cameroun
Compétences en outils de développement de systèmes : (JSP, JAVA, C++, VISUAL
C++)
Compétences en développement de sites WEB : Site TTN, Site GUCE Douala
12. Chapitre 1 : Présentation du cadre du stage
Compétences en développement de portail Internet : Portail TTN, Portail GUCE
3
Douala
Compétences en développement d'applications dans le domaine de la gestion
informatisée : Application transitaire, agent maritime, organisme de contrôle
technique à l’importation, interfaçage
Réseaux et Sécurité des systèmes : Définition et amélioration de la solution de
sécurité de la PLATE- FORME TradeNet.
Connaissances des réseaux de télécommunication nationaux et internationaux : (X25,
Frame Relay, LS, RTC)
Compétences en développement d'applications sécurisées : (solution
d'authentification forte)
Procédures du transport international et rôle des partenaires du transport : Etude et
analyse fonctionnelle des procédures et des circuits des flux documentaires entre les
intervenants de la communauté portuaire Tunisienne.
Procédures douanières : Analyse fonctionnelle des procédures douanières et
développement des procédures électroniques équivalente dans le cadre du
projet Liasse Unique Et Liasse Transport (dédouanement à l’importation, admission
temporaire, régime suspensif, transit, dédouanement à l’exportation, déclaration du
manifeste douanier….)
13. Chapitre 1 : Présentation du cadre du stage
4
1.3. Organigramme
Figure 1: Organigramme de la Société
14. Chapitre 1 : Présentation du cadre du stage
5
2. Etude de l’existant
2.1. Description de l’existant
Le réseau de l'entreprise met en oeuvre des données sensibles, les stocke, les partage en
interne et les communique parfois à d'autres entreprises ou personnes.
Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité.
Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de
l'extérieur ou de risquer la confidentialité des données de l’entreprise.
Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes
malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes.
Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient
l'entreprise à l'extérieur.
La société travaille dans un environnement basé sur le système d’exploitation Unix. Elle est
caractérisée par un très grand nombre de serveurs à gérer :
Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requêtes
respectant le protocole de communication client-serveur, qui a été développé pour le
World Wide Web. Un serveur HTTP utilise alors par défaut le port 80.
Serveur FTP : (File Transfer Protocol) est un serveur utilisant un protocole de
communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP.
Cette communication va permettre le partage de fichiers entre machines distantes, et
utilise le port 21 par défaut.
serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages
texte ASCII vers des hôtes disposant de services de courrier, Il utilise le port TCP 25.
15. Chapitre 1 : Présentation du cadre du stage
L’architecture du réseau de l’entreprise se présente comme suit :
Figure 2: L’architecture informatique de la Tunisie Trade Net
L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier ni la
disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la détection des
défaillance des équipements (charge CPU, Etat mémoire, surcharge des disque...). Il ne
peut contrôler non plus les surcharges et pénurie temporaire des ressources. Le seul moyen
de détecter ces anomalies ne peut se faire que par la réception des différentes plaintes et
réclamations des différents utilisateurs.
6
Les moyens de la sécurité adoptée :
Portail captif (mécanisme d’authentification) : cette interface va jouer le rôle d’une
passerelle sécurisée dans le but d’authentification avant l’accès Internet.
16. Chapitre 1 : Présentation du cadre du stage
VPN c’est un tunnel sécurisé.
Système de détection et prévention d’intrusion réseau (SNORT) : pour protéger le
système d’information de la Société contre les attaques.
Partage de bande passante (TRAFFIC SHAPER) et supervision de bande passante
7
(NTOP).
Filtrage URL (SquidGuard) : va permettre à la société d’appliquer la politique de
sécurité pour l’autorisation de l’accès aux sites web.
Mise en place d’un serveur proxy (proxy cache)
Personnalisation du thème (on peut change le thème de page Web de PfSense)
Backup (pour sauvegarder la configuration du serveur PfSense) : Ce module va
permettre à la TTN d’appliquer une solution de backup pour le serveur PfSense pour
avoir une solution de secours en cas de panne du serveur PfSense afin d’éviter de
répéter toute la configuration.
2.2. Critique de l’existant
Se souciant de sa réputation et concerné par la satisfaction et le confort de ses clients, la
société veut à tout prix éviter la confrontation des clients mécontents afin éviter le risque
de les perdre, et ce en veillant à offrir une meilleure qualité de services à sa clientèle et
en anticipant les pannes et en évitant les arrêts de longue durée pouvant avoir de mauvaises
conséquences aussi bien financières qu’organisationnelles.
Le système existant présente de nombreux problèmes qui se résument aux points suivants :
L’architecture de réseau TTN possède un très grand nombre de postes et de serveurs
qui rend la gestion de ce réseau une tâche délicate.
L’ouverture de la société vers l'extérieur est indispensable et dangereuse en même
temps et peut laisser place aux étrangers pour pénétrer au réseau local de l'entreprise,
et notamment accomplir des actions douteuses de destruction ou de vol
d'informations.
L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et
externe.
Le but de notre projet est de trouver une solution pour remédier à tous ces problèmes et ce
en permettant de :
17. Chapitre 1 : Présentation du cadre du stage
Réaliser une meilleure gestion des serveurs pour améliorer la communication et
assurer une stabilité des équipements et un bon monitoring de leurs états et offrir
ainsi la possibilité de faire face aux problèmes rencontrés.
Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de
les traiter le plus rapidement possible.
Sécuriser et contrôler les accès externes aux données ainsi que le partage et transfert
interne des données, vu le nombre important des utilisateurs internes et externes de
système réseaux.
Mettre à niveau le réseau local de la société puisque l’infrastructure existante ne
répond plus aux besoins croissant en bande passante (nombres d’accès externes en
croissance).
Apporter la sécurité essentielle afin de bloquer les virus.
Interdire l’accès à certains sites et filtrer les pages Web.
8
2.3. Objectifs
L’objectif de notre stage est d’implémenter une architecture réseau sécurisée, dans un
environnement Linux, comprendre les problématiques liées aux attaques réseau intégrer des
outils de sécurité et de surveillance réseau, déployer des solutions sous Linux :
Mise en place d’un serveur firewall open source vu la multiplicité et la vitesse de
mutation des attaques, en plus des dispositifs spécialisés pour la protection des accès
internet.
Sécuriser un système informatique : à travers le package SNORT est un système
open source de prévention et détection d'intrusions (IDS/IPS) sur les réseaux,
2.4. Solution proposée
La gestion des serveurs distants et le monitoring de ses équipements étant le plus grand
souci de l’administrateur. Nous avons jugé nécessaire de mettre en évidence un outil
pour contrôler le fonctionnement du réseau, d’étudier les données collectées et de
définir des seuils d’alertes qui peuvent servir pour le déclenchement des alertes lors de
détection des problèmes.
Il s’agit donc et sans doute d’une mise en place d’un composant firewall. Notre choix porte
sur le logiciel PfSense Open Source qui pourra, grâce à ses différentes fonctionnalités,
18. Chapitre 1 : Présentation du cadre du stage
d’apporter la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives
d'intrusion.
Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il
permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi convenablement le
réseau de la société. Ceci doit se réaliser sans encombrer le réseau avec des activités non
essentielles.
La nouvelle architecture proposée pour réseau de la société Trade Net est la suivante :
Figure 3: Architecture proposée du réseau de Tunisie Trade Net
9
3. Planification du projet
Pendant ces quatre mois de travail nous avons fait de notre mieux pour s’enchaîner au plan
suivant :
19. Chapitre 1 : Présentation du cadre du stage
Premier Mois : C’est la période que nous avons consacré à la préparation des outils
de travails et à la documentation et la formation sur le logiciel PfSense.
Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise
en place de PfSense et créer le démarche de sécurité.
Troisième mois : Nous avons pu enfin entamer la configuration de serveur proxy
sous PfSense et faire les étapes de sécurité proposée.
Quatrième mois : la réalisation de l’application : la mise en place de la solution
PfSense au niveau du réseau local de l’entreprise TTN.
10
Conclusion
Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que les
défaillances de l’architecture réseau actuelle, et nous avons fini par proposer une nouvelle
architecture qui mettra fin aux failles de sécurité du réseau de Tunisie Trade Net.
Suite à l’étude et à la critique de l’existant, les problèmes que rencontre la société ont été
soulevés ce qui nous a permis de cerner la problématique de notre projet. Nous avons par la
suite proposé des solutions : c’est une seule solution que vous avez proposé et finalement
nous avons fixé notre choix des outils que nous avons jugé convenables pour la société.
Le chapitre suivant sera consacré à une étude de l’état de l’art qui comprend une étude
comparative de différents produits du marché afin de justifier nos choix et de clarifier les
aspects techniques de notre solution.
20. Chapitre 2 : Etat de l’art
Chapitre 2 : Etat de l'art
11
Introduction
Suite à l’étude de l’existant de la société TTN, nous avons présenté les problèmes et la
solution proposée pour aider l’administrateur à contrôler le fonctionnement du serveur proxy
et lui permettre d’expliquer certaines situations de surcharge ou encore de mauvaise
utilisation.
Cependant, La solution proposée de mise en place d’un firewall, nous ramène à étudier les
différents produits disponibles sur le marché et faire notre choix. Ceci ne peut être fait
indépendamment de l’environnement de travail du réseau de la société TTN.
La société TTN travaille sur l'étude de solutions de filtrage de flux Internet basées sur des
logiciels Open Source basé sur le système d’exploitation Free BSD.
1. Définition Free BSD [1]
Le système d’exploitation UNIX développé à l'université de Berkeley, elle contient quatre
BSD Open Source : Net BSD (fonctionne sur des ordinateurs de poche que sur des gros
serveurs, et a été utilisé par la NASA dans le cadre de missions spatiales), Open BSD (vise la
sécurité et la pureté du code: utiliser dans les banques, les bourses) et Dragon Fly BSD, mais
dans notre projet on utiliser le système d’exploitation FreeBSD est un système
d'exploitation UNIX libre.
L'objectif du projet FreeBSD est de fournir un système qui peut servir à tout, avec le moins
de restrictions possibles.
FreeBSD vise les hautes performances et la simplicité d'utilisation pour l'utilisateur final. Il
est l'un des systèmes d'exploitation favoris des fournisseurs de contenu sur le Web. Il
fonctionne sur de nombreuses plates-formes.
2. Portail Captif de FreeBSD [2] :
Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un
utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de
connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son
accès. Cette demande d'authentification se fait via une page web stockée localement sur le
portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web
browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. La
21. Chapitre 2 : Etat de l’art
connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui garantit
l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe) sont
stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une
fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce
voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de
la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session.
Figure 4 : Portail Captif [3]
Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou à travers un
point d'accès wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les
paramètres de configuration du réseau. A ce moment là, le client a juste accès au réseau via la
passerelle. Cette dernière lui interdit momentanément l'accès au reste du réseau. Lorsque le
client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le
redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login
et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert
du login et du mot de passe. Le système d'authentification va alors contacter une base de
données contenant la liste des utilisateurs autorisés à accéder au réseau.
3. Etude des différents portails captifs free BSD : [3]
Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les
principaux :
12
22. Chapitre 2 : Etat de l’art
13
3.1. WifiDog [5]
Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce
à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée
permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds
installés au minimum.
Fonctionne sur des plateformes embarquées ou autres
Se compose de deux parties:
WifiDog Authentification Server : serveur d'authentification
WifiDog Gateway: passerelle filtrante du système de portail captif
dépendances (un serveur web Apache mode SSL, un serveur DHCP, un
serveur DNS, un pare-feu netfilter).
Les inconvénients de WifiDog sont :
La consommation en ressource réseau est extrêmement faible.
Elle utilise seul le port 80 passe.
la bande passante demandée est très faible.
3.2. Talweg[4]
Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un
serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*.
Talweg présente de nombreux points intéressants :
Une authentification sécurisée.
Du multifenêtrage.
Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ;
La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par
copier/coller.
En revanche, il y a des points négatifs :
Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du
tout avec les pages ASP.
Il est impossible d’enregistrer des liens issus de la réécriture des URLs.
23. Chapitre 2 : Etat de l’art
Il n’y a pas de gestion de la durée de connexion des utilisateurs.
Figure 5: Principe du portail captif Talweg [5]
14
3.3. NoCatSplash
Le logiciel NoCatSplash est un portail web captif destiné à sécuriser le partage d’une
connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent
s’authentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement
les règles Iptables* du firewall pour ouvrir certains ports pour l’utilisateur (uniquement TCP
avec NoCatAuth-0.82). NoCatAuth nécessite les droits root pour manipuler les règles
Iptables*.
NoCatSplash est une solution idéale pour les petites structures ou personnes souhaitant
partager facilement une partie de leur bande passante en offrant notamment un contrôle sur les
ports autorisés.
Figure 6: Architecture NoCat
24. Chapitre 2 : Etat de l’art
3.4. Tableau comparaison de Free BSD
NoCatSplash Talweg Wifidog PfSense
15
Simplicité
d'installation
Plus important Nom
Disponible
Important Important
Infrastructure
nécessaire
Plus important Nom
Disponible
important Important
Performances
réseau
Plus important Plus important Plus important Plus important
Gestion utilisateurs Nom
Disponible
Plus important important Important
Sécurité
authentification
Nom
Disponible
Plus important Plus important Plus important
Sécurité
communications
Nom
Disponible
Plus important Nom
Disponible
Plus important
Etude comparative des différents portails captifs
4. Choix de la solution « pfSense » [5]
Au vu de ce comparatif des différentes solutions de portail captif, PfSense apparaît
comme la plus performante et évolutive s'adaptant aux attentes de One Voice Line. Elle
répond également aux critères de sécurité dont nous avons besoin :
Disponibilité (Base Free BSD, load balancing, etc...)
Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)
Adaptabilité (Statistique très nombreuses avec ntop, etc...)
Mise à jour du système sans réinstallation, packages téléchargeables directement
depuis le Web GUI, etc...).
Simplicité d'installation et d'administration.
4.1. Présentation de pfSense
PfSense à été crée en 2004 comme un fork du projet mOnOwall, pour viser une
installation sur un PC plutôt que sur du matériel embarqué. PfSense est basée sur Free BSD,
en visant les fonctions de firewall et routeur.
25. Chapitre 2 : Etat de l’art
PfSense est puissante, en bonne partie car elle est basée sur Free BSD, mais aussi assez
simple d'accès, car elle fournit une interface web pour la configuration, (en plus de l'interface
console). Je recommande quand même de connaitre les commandes basiques de Free BSD en
mode console, au moins pour pouvoir récupérer la configuration en cas d'erreur (par exemple
une mauvaise route qui vous empêche de joindre le firewall...). Cette interface web n'est
accessible par défaut qu'à partir du LAN.
PfSense est une distribution Free BSD dédié firewall / routeur.
Le firewall est basé sur Paquet Filter. Toute la configuration du système est stockée
dans un fichier xml (/cf/conf/config.xml).
Performances sont liées au matériel.
L’installation ainsi que la configuration PfSense va se réaliser sur un système
d’exploitation de type Free BSD. Il est possible d’émuler le système d’exploitation
Free BSD grâce à VMware.
16
4.2. Objectifs
Passer en revue les principales fonctionnalités de pfSense à travers une analyse détaillée de
son interface.
Apprendre à dimensionner son hardware en fonction de ses besoins.
Installer et mettre à jour son système sur différents supports.
S’initier à la pratique de l’outil en présentant les différents modes d’accès
envisageables (Web, port série, SSH).
Procéder aux réglages de base de pfSense (hôte, domaine, serveurs DNS, NTP).
Manipuler et assigner les interfaces du firewall pfSense.
Présentation du fichier XML de configuration /cf/conf/config.xml
Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles
opérationnelles.
Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique.
Incidence sur le système du déploiement des paquets.
4.3. Avantage
Simplicité de l’activation / désactivation des modules de filtrage.
Solution riche et performante à moindre coût (basé sur des logiciels libres).
26. Chapitre 2 : Etat de l’art
Solution légère pouvant être déployé sur des configurations minimales.
Interface web sensible et efficace
Figure 7 : le réseau informatique avec notre application PfSense
Sous PfSense il existe plusieurs packages disponibles permettent de mettre en place un réseau
virtuel privé : un VPN client.
17
5. VPN Client [6]
5.1. Présentation
Le VPN client consiste à connecter un nomade informatique a son entreprise via un tunnel
sécurise. Ce tunnel est vu comme un tuyau hermétique de bout en bout ferme a ses extrémités
par deux portes verrouillées avec une même clef. A l’intérieur de ce tunnel, il y a de
l’information qui transite de façon sécurisée puisque personne ne peut accéder à ce qu’il y a
dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a l’extrémité
de ce dernier et possèdent tous deux la même clef.
27. Chapitre 2 : Etat de l’art
Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client
suivant différentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) :
1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL
supportant une large gamme de systèmes d’exploitation client. Elle peut être mise en
oeuvre en PfSense à partir du package http://openvpn.net/
2. IPSec: permet la connectivité avec tout dispositif de support standard IPsec. Ceci est le
plus généralement utilisé pour la connectivité du site aux installations PfSense. IPSEc
peut être mise en oeuvre en PfSense à partir du package
http://tools.ietf.org/html/rfc4301
3. L2TP: Cette option va gérer le Layer 2 Tunneling Protocol (L2TP) qui signifie
protocole de tunnellisation de niveau 2. Il s’agit d’un protocole réseau utilisé pour
créer des réseaux privés virtuels (VPN). Cette technologie peut être mise en place à
partir du package http://tools.ietf.org/html/rfc7546
4. PPTP: est une option populaire VPN, car presque tous les OS sont dotés d’un client
PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le
serveur Pfsense PPTP peut utiliser une base de données d’utilisateur local, ou d’un
serveur RADIUS pour l’authentification. PPTP peut être utilisé en pfSense à partir du
package : http://www.ietf.org/rfc/rfc2637.txt
18
5.2. OpenVPN
OpenVPN est un logiciel libre permettant de créer un réseau privé (VPN).
Ce logiciel, disponible dans PfSense, permet à des paires de s’authentifier entre eux à l’aide
d’une clé privée partagée à l’avance ou à l’aide de certificats. Pour chiffrer ses données,
OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi présente dans PfSense.
28. Chapitre 2 : Etat de l’art
19
5.3. Limitations d’OpenVPN :
OpenVPN IPSec PPTP
Clients mobiles Oui Ne support pas NAT-T
ce qui empêche
l’utilisation de client
mobiles derrière du
NAT
Oui
Utiliser IP statiques ou
dynamiques
Static IP : Oui
Dynamic IP :
V2.0
Static IP : Oui
Dynamic IP : Un seul
point final autorisé
Static IP : Oui
Dynamic IP : Oui
Filtrage de traffic VPN Prévu dans la
V2.0
Oui Oui
Type d’authentification Shared Key,
Certificat
Pre Shared Key,
Certificat
Local user database,
RADIUS server
(Authentification,
Accounting)
Fonctionnalités du
mécanisme non encore
implémentées dans
PfSense
Celles
manquantes dans
la V2.0
DPD, XAuth, NAT-T
et autres
Tableau : Limitation d’OpenVPN
Conclusion
Les différents modèles présentés dans ce chapitre expliquent bien le fonctionnement
global du projet. Cette définition nous donne une idée claire sur les principes et les objectifs
de l’application¸ et on peut facilement par la suite atteindre la phase de réalisation.
Nos travaux nous ont conduits à étudier plus particulièrement le projet pfSense. Cette solution
offre des avantages important en termes de filtrage des flux Internet et peut permettre de
répondre efficacement à la plupart des problèmes de sécurité et de filtrage des flux Internet.
29. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Chapitre 3 : Installation de PFsense et configuration des réseaux
1. Configuration de pfsense sous VMware
20
1.1. Partie WAN
Une carte réseau contient deux interfaces réseau :interne et externe
1.1.1. Interface du carte réseau WAN interne :
Pour réseau WAN on coche tous les services activés,par exemple :
VMware br idge protocol
Protocole internet version 6 (TCP IPv6)
Protocole internet version 4 (TCP IPv4)… etc.
Figure 8: Configuration de carte réseau WAN
30. Chapitre 3 : Installation de PFSense et Configuration des réseaux
1.1.2. Interface du carte réseau WAN externe:
On configure l’adresse IP en mode bridge pour détecter l’adresse automatiquement.
Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor
1.2. Partie des interfaces réseaux :
1.2.1. Configuration carte réseau Administrateur :
Pour le réseau Administrateur, nous activons tous les services sauf le service WAN
(Vmware Bridge Protocol) afin de pouvoir le configurer manuellement.
Figure 10: Configuration de carte réseau Administrateur
21
31. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Ensuite On passe à l’écran suivant,afin de configurer l’adresse IP : L’administrateur saisit
l’adresse : 192.168.1.0, adresse de la carte réseau externe de l’administrateur.
Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor
1.2.2. Configuration carte réseau DMZ :
Pour réseau DMZ , Nous activons tous les services sauf le service WAN (Vmware Bridge
Protocol).
Figure 12: Configuration de carte réseau DMZ
22
32. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Figure 6: Configuration de carte réseau DMZ sous Virtual Network Editor
1.2.3. Configuration RéseauLAN :
Pour RéseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge
Protocol).
Figure 14: Configuration de carte réseauLAN
23
33. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor
1.3. Configuration du serveur PfSense :
1.3.1 Configuration du réseau Administrateur :
Après l'installation du logiciel Free BSD pfSense nous avons commencé par
configurer l’interface réseau Administrateur. Nous avons désactivé l’adressage dynamique
(DHCP) et nous avons changé l’adresse IP Administrateur par l’adresse 192.168.1.1 et
donc cette adresse IP va nous permettre l’accès à pfSense via son interface WEB.
24
1.3.2 Configuration du réseau WAN :
Après Configuration du réseau Administrateur nous avons commencé par configurer
l’interface réseau WAN. Nous avons activé l’adressage dynamique (DHCP) et change
l’adresse IP par l’adresse 192.168.137.1 et donc cette adresse IP va nous permettre l’accès
à pfSense via son Internet.
34. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Figure 16: configuration des interfaces réseau Administrateur et interface WAN
25
1.3.3 Configuration du réseau DMZ
Nous avons configuré l’interface réseau DMZ et désactivé l’adressage dynamique
(DHCP) et nous avons ajouté l’adresse IP 192.168.2.1 et donc cette adresse IP va nous
permettre l’accès au réseau DMZ par pfSense.
Figure 17: configuration de l’interface DMZ
35. Chapitre 3 : Installation de PFSense et Configuration des réseaux
26
1.3.4 Configuration du réseauLAN :
Configuration d’interface RéseauLAN. Nous avons désactivé l’adressage
dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168. 3.1
Figure 18: configuration de l’interface réseauLAN
2. Portail Captif :
La différence entre un simple Firewall et un portail captif réside dans le fait que le portail
captif ne refuse pas une connexion, il la redirige vers une page d’authentification.
Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans
une base de données qui est hébergée localement ou sur un serveur distant. Une fois
l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir
autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la
durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session.
36. Chapitre 3 : Installation de PFSense et Configuration des réseaux
27
Fonction type d’un portail captif :
Si le Client : http://www.google.fr (en passant par le portail…)
Portail : redirection vers la page d’authentification locale
Client : Login+Mot de Passe
SI OK : le client à accès à la page
http://www.google.fr
Les mêmes paramètres d’authentification du client doivent fonctionner avec tous les
protocoles applicatifs (FTP, HTTP,….).
Figure 19 : Schéma théorique d’un portail captif [7]
2.1. Description des différentes options de PFsense:
37. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Figure 20: configuration des interfaces réseaux sur serveur PfSense
28
1) Assign Interfaces :
Cela va redémarrer le serveur en réaffectant les interfaces existantes, ou en créant de
nouvelles.
En choisissant cette option, nous avons ajouté les interfaces :
DMZ, Administrateur et réseau LAN
2) Set interface(s) IP address
Cette option nous permet d’abord d’ajouter ou de modifier une adresse IP, ensuite soit :
Activer le DHCP sur l’interface : Dans ce cas, nous avons la main pour régler la plage
d’adresses IP.
Désactiver le DHCP sur l’interface.
Au niveau de cette option, nous avons ajouté les adresses suivantes :
WAN : 192.168.137.5 en activant le DHCP pour les plages : 192.168.137.1 à
192.168.137.100.
Administrateur : l’adresse IP est 192.168.1.1 /24 et en désactivant le DHCP.
DMZ : l’adresse IP est 192.168.2.1 /24 et en désactivant le DHCP
Réseau LAN : l’adresse IP est 192.168.3.1 /24 et en désactivant le DHCP
38. Chapitre 3 : Installation de PFSense et Configuration des réseaux
29
3) Reset web configurator password
Cette option permet de réinitialiser le nom d’utilisateur et le mot de passe Web GUI,
respectivement à « admin » et « pfsense ».
4) Reset to factory default
Cela permet de restaurer la configuration du système aux paramètres d’usine. Cela n’apporte
cependant pas de modifications au système de fichier ou aux paquets installés sur le système
d’exploitation. Si les fichiers système ont été endommagés ou modifiés, le meilleur moyen
consiste à faire une sauvegarde, et réinstaller PfSense à partir du CD ou autre support
d’installation ou également à partir du WebGUI, onglet Diagnostic puis Factory defaults).
5) Reboot system
Arrête PfSense et redémarre le système d’exploitation. Cette opération est également possible
à partir du WebGUI, onglet Diagnostic puis Reboot.
6) Halt system
Arrête proprement PfSense et met la machine hors tension. Cette opération est également
possible à partir du WebGUI, onglet Diagnostic puis Halt system).
7) Ping host
Ajuste une adresse IP, à qui seront envoyées trois demandes d’écho ICMP. Le résultat du Ping
montre le nombre de paquets reçus, les numéros de séquence, les temps de réponse et le
pourcentage de perte paquets.
Au niveau de cette option, nous avons effectué des tests de Ping vers les différentes interfaces.
8) Shell
Démarre une ligne de commande Shell. Cette option est très utile, et puissante. Certaines
tâches de configuration complexes peuvent nécessiter de travailler avec les commandes Shell,
et certaines tâches de dépannage sont plus faciles à accomplir avec Shell. Cependant, il y a
toujours une chance de provoquer des erreurs de manipulation irréparables au système s’il
n’est pas manipulé avec soin. La majorité des utilisateurs PfSense ne toucheront peut-être
jamais au Shell, ou même ignoreront qu’il existe. Les utilisateurs de Free BSD pourront se
auront la majorité des commandes certaines ne sont pas présentes sur le système pfSense,
puisque les parties inutiles de l’OS ont été supprimées pour des contraintes de sécurité ou de
taille.
9) Pftop
Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données
envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la
bande passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.
39. Chapitre 3 : Installation de PFSense et Configuration des réseaux
30
10) Filter Logs
En utilisant cette option vous verrez toutes les entrées du journal de filtrage apparaissant en
temps réel, dans leur sous forme brute. Il est possible de voir ces informations dans le
WebGUI (onglet Status Puis System Logs et enfin onglet Firewall), avec cependant mois de
renseignements par lignes.
11) Restart webConfigurator
Redémarrer le processus du système qui exécute le WebGUI. Dans de rares occasions, un
changement sur ce dernier pourrait avoir besoins de cela pour prendre effet, ou dans des
conditions extrêmement rares, le processus peut avoir été arrêté pour une raison quelconque.
Le redémarrer permettrait d’y rétablir l’accès.
12) PfSense Développer Shell
Le Shell du développeur est un utilitaire très puissant qui permet d’exécuter du code PHP
dans le contexte du système en cours d’exécution. Comme avec le Shell normal, il peut aussi
être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell est principalement
utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers au code PHP et
au code de base de pfSense.
13) Upgrade from console
En utilisant cette option, il est possible de mettre à niveau le VMware de pfSense, et ce en
entrant l’URL de l’image pfSense à mettre à niveau, ou grâce à un chemin d’accès locale vers
une image téléchargée d’une autre manière.
Nous avons travaillé avec la version PfSense 2.0.1, caractérisée par sa stabilité. Cependant
grâce à cette option, il nous est possible de mettre à jour facilement notre version.
14) Enable Secure Shell (sshd)
Cette option nous permet de changer le statut du démon Secure Shell, sshd.
Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit, nous
allons détailler les tâches réalisées pour le faire.
2.2. Configuration à travers l’interface web
Pour effectuer la mise en place des différents services objets de notre architecture réseau avec
le serveur pfSense, nous allons utiliser son interface WEBGUI.
L’URL d’accès à l’administration de pfSense est : 192.168.1.1
Cette adresse présente l’interface d’authentification pour configurer Pfsense.
40. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Les paramètres de sécurité d’accès sont offerts par défaut comme suit :
31
- utilisateur: admin
- Mot de passe: pfsense.
Ainsi, une page d’accueil est affichée. En choisissant le menu System General Setup, on
accède à l’interface de configuration générale suivante :
Figure 21 : Configuration de base de système
Dans cette page, nous avons introduit les données suivantes :
Le nom de la machine : pfSense
Le domaine : localdomain
l’IP DNS : 196.203.80.4 et 196.203.82.4
Nous avons décoché l’option se trouvent dessous (Allow DNS server liste to be overridden by
DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des
clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le
LAN.
Ensuite, nous avons modifié le nom et le mot de passe du compte permettent de se connecter
sur PfSense.
Nous pouvons ensuite activer l’accès à ses pages, via une connexion sécurisée SSL. Pour cela,
nous avons activé le protocole HTTPS pour plus de sécurité.
41. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Nous avons entré le port 443 dans Web GUI, port correspondant à SSl.
Nous avons ensuite modifié le serveur NTP (Network Time Protocol : qui permet de
synchroniser les horloges des systèmes informatiques à travers un réseau) et le fuseau horaire
pour régler votre horloge.
Enfin, il est conseillé de changer le thème d’affichage de pfSense. En effet, le thème par
défaut (metallic), comporte quelques bugs (problème d’affichage, lien disparaissant). Nous
avons choisi le thème “ code-red “.
Nous obtenons l’interface suivante :
Figure 22 : paramétrage de base
Ensuite, nous avons choisi le menu « System Advanced » pour activer la connexion SSH
afin d’administrer le réseau à distance sans passer par l’interface graphique. Nous avons
introduit le numéro de port SSH : 22
32
42. Chapitre 3 : Installation de PFSense et Configuration des réseaux
Figure 23 : Activation de SSH
En activant le SSH, nous avons obtenu les pages web https. Comme le montre la figure 17.
Figure 24 :Accées sécurisé du WebGUI
33
43. Chapitre 3 : Installation de PFSense et Configuration des réseaux
34
Conclusion :
Dans ce chapitre nous avons décrit la mise en place de firewall PfSense dans notre
environnement de travail. Nous avons configuré les interfaces réseaux existantes dans le
firewall.
Dans le chapitre suivant, nous allons implémenter et réaliser notre application et présenter une
description complète de l’application.
44. Chapitre 4 : Paramétrage et test des packages de PFSense
Chapitre 4 : Paramétrage et test des packages de PFsense
35
Introduction :
Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de
continuer la mise en place de PfSense dans son environnement d’exécution. Nous allons
procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers
tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre
réseau.
Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus importantes de
l’application et les résultats des tests effectués.
1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD:
1.1. Bloquage des sites web
Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et
« SquidGuard » puis configurer les blacklist, les différentes restrictions et éventuellement des
règles d’accès supplémentaires ACL (Access Control List).
1.1.1 Squid :
« Squid » est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est
très complet et propose une mulitude d’options et de services qui lui ont permis d’être très
largement adopté par les professionnels, mais aussi dans un grand nombre d’école ou
administrations travailliant avec les systèmes de type Unix
Squid est capable de manipuler les protocoles HTTP,FTP,SSL...
1.1.2 SquidGuard :
« SquidGuard » est un redirecteur URL utilisé pour utiliser les listes noires avec le logiciel
proxy « Squid ». SquidGuard possède deux grands avantages: Il est rapide et il est aussi
gratuit. SquidGuard est publié sous GNU Public License, licence gratuite.
SquidGuard peut etre utilisé pour :
Limiter l’accés Internet pour certains utilisateurs à une liste de serveurs Web et /ou
des URLs qui sont acceptés et bien connus.
Bloquer l’accés à des URL correspondant à une liste d’expressions régulières ou
des mots pour certains utilisateurs.
45. Chapitre 4 : Paramétrage et test des packages de PFSense
Imposer l’utilisation de mons de domaine et interdire l’utilisation de l’adresse IP
36
dans les URL .
Rediriger les URLbloquées à une page d’informations relative à Pfsence.
Rdiriger certaines bannières à un vide.
Avoir des régles d’accés différents selon le moment de la journée, le jour de la
semaine, date, etc.
Figure 25 : Instalation des pakages :Squid et SquidGuard
1.2. Configuration de Squid
Nous avons choisi le menu « Services → Proxy server ».
Dans l’onglet Général, nous vons configuré les options suivantes :
Proxy interface : Nous a permi de choisir d’affecter Squid au interfaces réseau.
Allow user on interface :Nous avons choisi de valider cette option pour l’interface
choisie.
Log store directory : /var/log :dossier contenant les autres logs.
Proxy port : 3128 : port de proxy.
Language : French.
Au niveau du menu l’onglet « Access Control → Blacklist », Il est possible d’indiquer des
sites non autorisé en compléement des Blacklist de SquidGuard.
46. Chapitre 4 : Paramétrage et test des packages de PFSense
1.3. Configuration de SquidGuard
Nous avons choisi le menu « Services →Proxy filter ».
37
nous vons configuré les options suivantes :
Enable : valider pour activer SquidGuard
Blacklist : valider pour activer blacklist
Blacklist URL : ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz, Url de
la blacklist
Ensuite nous sauvegardons et nous téléchargeons la blacklist.
1.4. Spécification de la Common Access List
Lorsque le téléchargement est terminé, Il faut ensuite cliquer sur l’ongle « Default » puis sur
le triangle vert pour afficher la blacklist dans la page Common ACL .
Sur chaque élément quenous voulons autoriser, nous choisissons « allow », et » pour ceux que
vous voulez interdire, nous choisissons « deny .
Au niveau de l’’onglet Common ACL, nous configuron les options suivantes:
Not to allow IP adresses in URL :nous cochons cette option si nous voulons
interdire les adresses IP tapées directement dans l’URL.
Redirect mode : laisser l’option par défaut int error page : Pour garder les messages
d’erreur par défaut
Redirect info : pour entrer un message d’erreur personnalisé, par exemple « Accés
interdit,cantacter votre administrateur »
Enable log : nous cochons cette case pour enregistrer l’activité du service
Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de
l’onglet General settings pour visualiser les options paramétrés.
Après avoir installé les packages au niveau de l’onglet « Services proxy filtre », on
active le paquet SquidGuard comme il se trouve dans la figure
47. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 26: Activation de proxy filter
38
1.5. Filtrage des sites web
Nous avons activé le paquet SquidGuard, nous allons ensuite ajouter les autres sites à filtrer.
Nous alonns tester par exemple les sites:
www.facebook.com
www.gmail.fr
www.tunisa sat.com
Pour cela, nous nous sommes dirigés à l’onglet Target catégories (nous travaillons encore
sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le
log et enfin, nous pouvons ajouter une description.
48. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 27: journalisation des filtrage
Lorsque nous avons terminé, nous cliququons sur le bouton « Save » et nous avançons au
dernier onglet « Common ACL » et nous mettons uniquement les sites choisis en mode
« deny ».
Nous avons testé l’accès au site filtré : www.facebook.com.
Nous avons obtenu le résultat du filtrage s’affiche dans la figure 28: Le message suivant
s’affiche : « Request denied by pfsense proxy »
Figure 28: Résultat du test d’interdiction d’accès
39
49. Chapitre 4 : Paramétrage et test des packages de PFSense
2. Configuration du server OpenVPN [8]
Dans un premier temps, nous allons installer le paquet « client OpenVPN Export Utility », à
partir du « System Packages ».
Figure 29: Installation d’openVPNclient export
Puis, à partir de « System Cert Management », au niveau de l’onglet CA (Certificate
Authority), nous allons crée un nouveau certificat. Nous notons les noms descriptifs et
communs (Descriptive and Common names) que nous lui donnons puisque nous en aurons
besoin plus tard. Ensuite nous entrons le reste des détails pour le CA, voir figures 30 et 31.
40
50. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 30: création de certificat
Figure 31: Vérification de clé de certification
41
51. Chapitre 4 : Paramétrage et test des packages de PFSense
Aprés, nous allons sous « Système User Management », afin de créer un nouveau compte
utilisateur.
Figure 32: Association de certificat aux client
Nous avons Coché dans la « section certificat » pour créer un certificat d’utilisateur, après
que l’utilisateur est créé, nous avons entré le compte d’utilisateur nouvellement créé et généré
un certificat pour l’utilisateur.
Nous avons choisi de sélectionner « Créer un certificat interne ».
Puis nous avons configuré le serveur OpenVPN « VPN OpenVPN ».
Pour le type de serveur, nous avons sélectionné « l’accès des utilisateurs locaux » voir figure
33.
Figure 33 :Utilisation d’OpenVPN Wizard
42
52. Chapitre 4 : Paramétrage et test des packages de PFSense
Pour l’autorité de certification nous avons entré le nom que nous avons créé plus tôt
(TTN_vpn).
Figure 34: choisir le certificat
Pour un certificat de serveur, nous avons sélectionné « ajouter un nouveau certificat ». Ensuite
nous avons renommé le nom descriptif « TTN_vpn Server Cert », pour l’utiliser au niveau
du serveur VPN.
Figure 35: Création de certificat serveur
Ensuite, nous éditons la configuration du serveur OpenVPN.
43
53. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 36 : choisir l’alogoritheme de cryptage
Nous sélectionnons l’algorithme de chiffrement.
Pour le réseau Tunnel, nous avons choisi un sous-réseau qui est différent de notre sous-réseau
WAN.
Dans le réseau local, nous entrons notre sous-réseau CLIENT. Et nous Décidons du nombre
de connexions simultanées. Nous avons choisi : 10 clients externes.
Figure 37: modifier l’adresse de TUNNEL
44
54. Chapitre 4 : Paramétrage et test des packages de PFSense
Comme il s’agit d’une configuration très basique, nous n’enterons pas les serveurs DNS et de
domaine par défaut, mais nous devrions envisager ces options, en fonction de notre
environnement.
Puis nous allons à « VPN OpenVPN », sélectionnons la feuille « Client Export ». Le
paquet que nous avons installé dans le début nous donne la possibilité d’exporter
automatiquement l’archive en plus des fichiers de configuration utilisateur.
Nous Trouvons l’utilisateur pour lequel nous voulons exporter la configuration, et nous
cliquons sur le lien d’archive de configuration voir la figure 38.
Figure 38: Exportation d’archives de configuration
Après l’installation du OpenVPN GUI, nous ouvrons l’archive de configuration et y extraire
les fichiers à cet emplacement sur la machine avec laquelle nous allons établir la connexion
VPN.
Lorsque nous lançons OpenVPN GUI, nous obtenons une icône représentant un petit poste
de travail de couleur rouge qui nous indique que notre connexion au serveur VPN n’est pas
active.
Pour activer notre connexion VPN, nous faisons un clic droit sur l’icône de la barre de tâche
« OpenVPN ». Puis nous cliquons sur Connect.
Une fois que nous aurons cliqué sur Connect, nous obtenons la fenêtre suivante avec une
boîte de dialogue nous demandant d’enter le mot de passe. Voir la figure 39.
45
55. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 39: Authentification d’OpenVPN
Si la connexion VPN se déroule sans aucun problème, l’icône dans notre barre de tâche
change de couleur et devient verte. La connexion à notre serveur VPN est fonctionnelle.
3. Détection et Prévention d’Intrusion Réseau « SNORT » [9]
SNORT est outil open source de détection d’intrusion réseaux (NIDS). SNORT est capable
d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel, de logger les
paquets IP et de rechercher des correspondances de contenu ; le but étant de détecter une
grande variété d’attaques connues.
SNORT peut fonctionner en quatre modes différents :
SNIFFER:capture et affichage des paquets, pas de log.
PACKET LOGGER :capture et log des paquets.
NIDS(Network Intrusion Détection System): analyse le trafic, le compare à des
régles, et affiche des alertes et ainsi détecter des tentatives d’intrusion réseau d’aprés
des régles.
IPS (Système de prévention d'intrusion): détection et prévention d’attaques et donc
empécher les intrusions réseau détectées en suivant les mêmes régles.
46
56. Chapitre 4 : Paramétrage et test des packages de PFSense
Nous nous concentrerons sur les modes NIDS et IPS ,qui nous rendent deux services bien
différents.
47
3.1. Maquette de test :
Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de
NIDS et d’IPS :
Figure 40: Maquette de test de SNORT [10]
3.2. Installation et configuration de SNORT :
Le premiére étape est l’installaltion du package SNORT dans Pfsense
« Système package SNORT » :
Figure 41: Installation de package SNORT
La seconde étape importante est la création d’un compte sur http:/ /snort.org,afin de pouvoir
récupérer les régles prédéfinies en temps voulu, nous y revenons par la suite.
L’interface étant maintenant paramétrée, nous allons configurer SNORT « Service
SNORT » :
57. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 42: Activation et configuration du service
Les paramètres de SNORT sont resumés sous forme de tableau :
Interface Nous spécifions ici l’interface de pfSense sur laquelle SNORT
écoutera l’ensemble du trafic. conformément au schéma précédent :
réseauLAN
performance Nous indiquons ici la méthode de recherche utilisée par SNORT sur
les paquets analysés. «ac-sparse bands» est la méthode recommandée.
Oinkmastre code Code récupéré via notre compte sur SNORT.org qui nous permettrons
de télécharger les règles SNORT pré établies.
Snort.org subscriber Nous cochons cette case si nous utilisons un Oinkmaster code.
Block offenders Elément important de la configuration, puisque le fait de cocher cette
case bloquera automatiquement tout hôte déclenchant une alerte sur
l’interface d’écoute (fonction IPS de SNORT). Voir plus bas pour des
détails complémentaires.
48
Update rules
authomatically
Mise à jour automatique des règles SNORT.
Whitelists VPNs uris to
clickable links
Ajouter automatiquement les VPN pré configurés dans pfSense à la
whitelist, afin d’éviter tout refus de connexion ou blacklistage.
58. Chapitre 4 : Paramétrage et test des packages de PFSense
49
Convert Snort alerts
uris to clickable links
Les alertes apparaissent sous la forme de liens hypertextes.
Associate events on
Blocked tab
Lier la raison du blocage à l’hôte bloqué dans l’onglet « blocked ».
Sync Snort
configuration to
secondary cluster
members
Synchroniser la configuration de SNORT avec tous les membres du
cluster CARP s’il en existe un.
Tableau :définition de paramétres
Nous validons ensuite en cliquant sur le bouton «Save» en bas de page. SNORT va ensuite
automatiquement télécharger les régles (premium rules) depuis Snort.org grâce à notre
Olinkmastre code.
Toutes les régles ainsi téléchargées sont regroupées sous forme de catégories das l’onglet
«Categories». Nous séléctionnons celles qui correspondent aux attaques que nous désirons
détecter sur notre réseau. Afin de tester l’efficacité de la solution, nous nous contentons de la
régle «scan.rules» qui nous permettra de détecter et bloquer un attaquant effectuant un scan de
port sur hote distant.
L’étape suivante consiste à paramétrer les régles présentent dans la catégories que nous
venons de sélectionner.
Figure 43: Sépcification des catégories
59. Chapitre 4 : Paramétrage et test des packages de PFSense
Nous activons et paramétrons notamment la règle « SCAN nmap XMAS » afin de pouvoir
détecter un scan de port Nmap lancé depuis l’interface administrateur vers un hôte situé sur un
réseau distant (interface WAN). La figure suivante illustre l’interface avant le test au niveau
de nos réseaux.
Figure 44: Vérification des alertes
50
3.3. Test de la solution :
Un attaquant va effectuer un scan de port Nmap sur un hôte distant. Pendant toute la durée du
test, l’attaquant effectue, en parallèle du scan du port, un Ping vers la victime, afin de vérifier
en permanence la connectivité vers l’hôte et fixer le moment où il sera blacklisté par
SNORT : attaque détecté ET contrée.
60. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 45: Test de la solution
Une fois le scan de port lancé, la station de supervisons peut très rapidement lancer des alertes
ainsi, l’adresse IP 192.168.2.99, de notre attaquant, a été bloquée :
Figure 46 : vérification des Alerts
51
61. Chapitre 4 : Paramétrage et test des packages de PFSense
4. Partage de la Bande Passante « TRAFFIC SHAPER »
La fonction « traffic shaping » de pfSense permet initialement d’optimiser la bande passante
en attribuant des priorités aux différents flux du réseau. Par exemple, nous donnons une
meilleure priorité aux flux VOIP par rapport au reste du trafic afin d’optimiser les
communications VOIP.
Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, à
savoir comment la partager entre plusieurs hôtes/réseaux selon nos besoins
52
4.1. MAQUETTE DE TEST
Figure 47: maquette de test bande passante
62. Chapitre 4 : Paramétrage et test des packages de PFSense
L’objectif va être de démontrer comment, à partir d’une connexion ADSL (2500Kbps down,
463 Kbps up), nous pouvons offrir une portion de bande passante différente à chacun nos
deux clients, ou bien une bande passante limitée et partagée entre les deux clients.
4.2. Configuration de TRAFFIC SHAPER
Il y a deux étapes de base à la mise en place d’un limiteur de contrôle la bande passante.
Configurez les limiteurs que vous allez utliser.
Attribuer le trafic vers ces limiteurs.
A partir de ce moment, nous le vérifions la bande passante d’une maniére très simple,via le
speedtest.net qui nous permet de calculer le débit descendant depuis une station.
Figure 48 : teste de débit initial
Limitteur sont configurés en les créant sous « firewall Traffic Shaper »,sur l’onglet
limiter.
Nous pouvons utiliser un seul tuyau pour le traffic entrant , et sortant mais cela signifierait
que nous simulons une connexion half-duplex.
La méthode recommandéé consiste à créer 2 tuyaux, lun pour le trafic entrant et un pour le
trafic sortant. La méthode est à partir de la persective de l’interface.si nous utilisons des
limteurs sur LAN ,la file d’attente entrante est notre upload et la file d’attente sortante est
notre téléchargement. Nous devons nommer les tuyaux down_limit et up_limit.
Pour le tuyau down_limit nous avons choisi la valeur exemple (300kbps)
53
63. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 49: Ajoute un limite de download ‘‘down_limit’’
Pour le tuyau up_limit nous avons choisi la valeur exemple (200kbps)
Figure 50: Ajoute un limite de download ‘‘up_limit’’
54
64. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 51:Ajouter un Client
Une fois que nous avons installé un tuyau limiteur,l’étape suivante consiste à affecter le trafic
à en définissant l’ « in /out’’ dans un firewall rule.Rapplons-nous que dans et hors du point de
vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur l’interface
RéseauLAN, ‘’out’’ est la vitesse de télechargement (le trafic du carte réseau LAN sur le
réseau local) et « dans » est la vitesse de télechargement (le trafic du réseau local dans la carte
réseau LAN).
Il suffit de créer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour
qu’ils soient utilisés.
Figure 52:Association des limiteurs au Client
55
65. Chapitre 4 : Paramétrage et test des packages de PFSense
Le resultat s’affiche comme le montre le figure suivante :
Figure 53: test de Bande Passante sur un client de RéseauLAN
5. Supervision de la Bande Passante «NTOP »
Ntop est une sonde d’analyse du trafic réseau et nous permet ainsi d’avoir un oeil sur
l’utilisation qui est faite en temps réel de notre réseau. Nous pouvons également le qualifier
de superviseur de bande passante, puisque nous pourrons afficher de manière détaillée un
ensemble d’éléments tels que la bande passante moyenne utilisée par un hôte ou un réseau, les
différents flux, leur type et leur sens (locallocal, localRemote…).
Nous ne détaillerons pas ici l’ensemble des fonctions et éléments visualisables via Ntop
(beaucoup trop nombreux), mais seulement les éléments qui nous montrent les plus
intéressants pour superviser au mieux son réseau. De même, la fonction permettant à NTOP
de recevoir des informations depuis une sonde NetFlow ne sera pas aborde.
56
5.1. Maquette de test :
Ntop sera raccordé au coeur de notre réseau via un port miroir. Ce port miroir, aussi appelé
port monitoring, effectue une réplication de l’ensemble du trafic transitant via l’élément actif
sur lequel il est configuré (généralement un commutateur ou un châssis de coeur de réseau).
Ainsi, l’ensemble des paquets entrants et sortants sera redirigé vers notre PfSense avec Ntop
en écoute.
66. Chapitre 4 : Paramétrage et test des packages de PFSense
Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas
remaniés, ce qui nous permet de conserver les adresses, ports, etc.… d’origine. Voici ainsi la
maquette déployée pour traiter ce chapitre :
Figure 54: Maquette de test de ntop
5.2. Installation et configuration :
Nous avons commence par le téléchargement et l’installation du package Ntop :
Figure 55 : Installation de packge de ntop
Une fois l’installation terminée, nous allons au menu « Diagnostics ntop settings » pour
initialiser ntop et lancer le service correspondant. Nous avons configuré le mot de passe
« admin » pour accéder à la configuration avancée de ntop, ainsi l’interface d’écoute :
57
67. Chapitre 4 : Paramétrage et test des packages de PFSense
Figure 56 :Configuration de compte d’administrateur
Puis nous avons allée au « access ntop » ci-dessus, ou encore via le menu pfSense
« Diagnostics ntop »).pour accéder aux statistiques générales de réseauLAN
les informations concernant Ntop (interface d’écoute, uptime, etc.…)
Figure 57 : Interface d’écoute
Un rapport concernant le trafic sur l’interface d’écoute (paquets, trafic, ou la
58
charge)
Figure 58 : Le rapport de trafic
68. Chapitre 4 : Paramétrage et test des packages de PFSense
La répartition totale du trafic par protocole
Figure 59 : La répartition totale du trafic par protocole
Ou encore un diagramme détaille du trafic par services
Figure 60 : diagramme de trafic par service
5.3. Scénarios d’utilisation de NTOP :
NTOP est très fournit en termes de menus et de données affichables. Nous allons donc
imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre
réseau/bande passante.
59
Consomment de bande passante
69. Chapitre 4 : Paramétrage et test des packages de PFSense
Des lenteurs ont été constatées pour tout accès à Internet, que ce soit pour du download ou de
l’upload, et nous désirons contrôler l’utilisation que fait chaque hôte de notre connexion a
Internet.
Nous allons donc afficher un « top 10 » des hôtes les plus gourmands en bande passante
Internet.
Pour ce faire :
1. Sélectionner all protocols traffic
2. Dans ‘hosts’ choisir ‘Local Only’
3. Dans ‘data’, choisir au choix ‘received’ ou ‘sent’
4. Et enfin le VLAN concerne ou la totalité du réseau
Figure 61 : Interface des hôtes connectés
Nous affichons ainsi l’ensemble des hôtes et les quantités de données reçues et/ou envoyées.
Il ne reste plus qu’a cliquer sur « data » pour afficher les plus gros consommateurs en tête de
liste.
Dans chaque fenêtre NTOP de ce type, nous cliquant sur le nom ou l’adresse d’un hôte, nous
pourrons accéder à toutes ses statistiques détaillées.
60
70. Conclusion Générale
L’administration réseau est un travail complique. Le métier veut que l’on doive souvent
maîtriser différentes technologies et les faire travailler ensembles. La tâche se complique
encore si l’administration et la configuration de tout cela se fait manuellement.
En ce sens nous avons vérifie à travers ce rapport que PfSense répond à ces interrogations.
Cet Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler
ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque
réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des
« Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref
nous pensons que PfSense est voue à exister et se développer.
Nous avons mis en place et testé certains services (les principaux pour être précis) de
PfSense.
71. Netographie
[1] http://fr.wikipedia.org/wiki/FreeBSD: Système d’exploitation FreeBSD: le 2 mai 2013
consulté le17 mai 2013
[2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Décembre 2012 consulté le 17
février 2013
[3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-dacces-
internet-portail-captif2.html : Définition et infrastructure portail captif le 03 février 2010
consulté le28 mars 2013
[4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consulté
le 22 avril 2013
[5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense: configuration PFSense: le 11
septembre 2012 consulté le 20 février 2013
[6]http://www.frameip.com/vpn/ Virtuel private network : le 27 septembre 2012 juin2011
consulté le 29 mai 2013
[7] http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/ :
Schéma portail captif: le 16 mai 2010 consulté le 03 mai 2013
[8] http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2 : open
Virtuel private Network: le 18 juin 2013consulté le 30 mai 2013
http://bzhmarmit.wordpress.com/2012/09/11/pfsense
[9]http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html Intrusion Détection
Systems: le juillet 2011 consulté le 2 juin 2013
[10]http://www.snortattack.org/ schéma test de snort le 19 novembre 2005 consulté le 30 mai
2013
[11]http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial
information sur Squid et SquidGuard le 22 janvier 2013 consulté le 30 février 2013
WWW.pfsense.org
http://doc.pfsense.org
72. Résumé :
La sécurité permet la protection du réseau informatique c’est pour cela nous avons utilisés un
Firewall PFSense qui peut servir à enregistré l’utilisation de l’accès à Internet et à bloquer
l’accès à des sites web pour avoir une idée sur l’état du trafic et les menaces on provenance
d’Internet pour offre à les utilisateurs un accès distant rapide et sécurisé à travers de package
installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN.
Abstract:
Security enables the protection of computer network that is why we used a PFSense Firewall
that can serve recorded using the Internet and block access to web sites to get an idea on the
traffic conditions and threats from the Internet is to offer users fast and secure remote access
through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and
Open VPN.
م لخص
التي يمكن أن تخدم "esnPSFP" الأمن تمكن من حماية شبكة الكمبيوتر الذي هو السبب في أننا استخدام جدار حماية
سجلت باستخدام شبكة الانترنت ومنع الوصول الى المواقع على شبكة الانترنت للحصول على فكرة عن ظروف حركة
/ndiuq المرور وتهديدات من الإنترنت لتوفر للمستخدمين الوصول السريع والآمن عن بعد من خلال حزمة ألتثبيت
. OPPS eeR وRSOe ,SNFssS nFFeRN ,nRONS ,ndiuq diuqq