Ce documenta été rédigé dans le cadre du déploiement de serveurs « pfSense » dans les réseaux de
lycées et CFA de l’enseig...
D'une manière générale, nous appliquons le principe suivant :
sur lespostesdes (V)LANsADMINouPEDA ,les rôlesde passerelle ...
Rappels et recommandations
Les différentes interfaces d'un Firewall ne doivent pas être connectées au même réseau physique...
Schéma deSchéma de
principeprincipe
Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 4
InstallationInstallation
Brassage desports RJ45 pour identification desinterfaces
Afin d'activer les interfaces réseau et ...
Type d'installation
Optez pour une installation facile puis confirmez à l'écran
suivant.
Le choix suivant se
porte sur le ...
Assignation des interfaces
Vous êtes invité maintenant à affecter les interfaces de pfSense aux différents sous-réseaux de...
Configuration en ligne de commande de l'adressage des premières interfaces
Entrez « 2 » pour lancerla
configuration IPd'un...
Utilisation de l'assistant de configuration
Nous allons profiter de cet assistant pour initier le paramétrage : System > S...
En annexe 1 vous trouverez les données propres à notre déploiement.
Onglet 'Interface Groups'
Sur cette page vous pouvez r...
Exemple de configuration avancée (seules les options modifiées et/ou évoquéesci-dessus sont présentes).
Notifications
Syst...
Mise à jour de pfSenseMise à jour de pfSense
System > firmware
Vous avez la possibilité de mettre à jour votre application...
Installation de paquetsInstallation de paquets ou packagesou packages supplémentairessupplémentaires
Certains services, ou...
Définition desDéfinition des aliasalias : un préalable à l'écriture des règles: un préalable à l'écriture des règles
Nous ...
lesadressesIP publiquesdes serveurs du CNERTA :CnertaIpsPubliques
lesportspour le montage dutunnel demaintenanceduCNERTA :...
any tout
Single host or alias Adresse IP ou alias
Network Réseau à définir dans le champ suivant (Address)
Wan subnet Rése...
générez du trafic pour le serviceétudiéet observez cequisepassedans'Status:SystemLogs' onglet'Firewall'
créez larègleautom...
Mise en place d'une liaison site à site via un tunnel OpenVPN pourMise en place d'une liaison site à site via un tunnel Op...
Configuration côté client
Nous devons configurer le serveur pfSense du site distant comme client OpenVPN.
VPN > OpenVPN > ...
Règles pourautoriser le trafic dansle tunnel OpenVPN site à site
Ensuite, il faut autoriser le trafic des services nécessa...
Mise en place d'une liaison nomade au serveurMise en place d'une liaison nomade au serveur
Il se peut qu'un centre ne soit...
Création et configuration du tunnel nomade
Nous allons utiliser l'assistant de pfSense.
VPN > OpenVPN > onglet 'Wizards'
C...
Complétion des paramètres dutunnel nomade
Choixde création automatique desrègles.
Attention : les règles écrites automatiq...
Écriture des règles
Il nous reste donc à modifier/écrire ces/les règles pour autoriser le montage de ce tunnel OpenVPN nom...
Export du client Windows
PfSense permet, grâce au package installé « OpenVPN Client Export Utility », d'exporter un exécut...
Permettre un accès nominatif à l'Internet depuis le (V)LAN «Permettre un accès nominatif à l'Internet depuis le (V)LAN « I...
Services > Proxy filter > onglet 'Common ACL'
Vérifiez la présence descatégories de filtrage en cliquant sur
Mettez l'opti...
Activation et configuration du serveur mandataire (proxy)
Services > Proxy server > onglet 'General'
Cliquez sur l'interfa...
Activation et configuration du portail captif (attention : partie incomplète et probablement erronée)
Services > Captive P...
Écriture des règles sur l'interface INVITE
Dans l'état actuel des choses, les postes brassés sur le (V)LAN INVITE n'ont pa...
Activation de l'interface et du service DHCP sur le (V)LAN « INVITE »
Activer la redirection DNS
Avant toute chose, activo...
D'autre part, nous autoriserons les serveurs à accéder à l'Internet (services courants HTTP, HTTPS, FTP, ICMP
echo request...
Export du client OpenVPN pour Windows ou de la configurationExport du client OpenVPN pour Windows ou de la configuration
v...
Analyser le traficAnalyser le trafic : utilisation de Snort: utilisation de Snort
A compléter.
Install-PfSense-V2-GP-v13-0...
Annexe 1Annexe 1 : extraits du dossier de montage du projet de déploiement: extraits du dossier de montage du projet de dé...
Architecture cible
Adressage (V)LANs et VPNs
WAN xxx.xxx.xxx.xxx /29 passerelle : IP routeur
ADMIN 10.xxx.xxx.0 /24 passer...
Annexe 2 – les alias (Annexe 2 – les alias (AliasesAliases))
Focussur certains alias Firewall : Aliases: Edit
Détail de l'...
Annexe 3 – configuration des tunnels OpenVPNAnnexe 3 – configuration des tunnels OpenVPN
Côté serveurdu tunnel OpenVPN sit...
Côté client du tunnel OpenVPN site à site (pfSense du site secondaire)
Liste des tunnels OpenVPN « clients» côté site ante...
Annexe 4 – Règles d'autorisation du trafic des servicesAnnexe 4 – Règles d'autorisation du trafic des services
Tableau réc...
Règles surle serveur pfSense du site principal pour le tunnel OpenVPN
• règle pour établir le tunnel, à écrire pour l'inte...
AnnexeAnnexe 55 – Les «– Les « bogon »bogon » ou adresses IP «ou adresses IP « invalidesinvalides »»
Les adresses IP inval...
Annexe 7Annexe 7 : nommage des interfaces sous FreeBSD: nommage des interfaces sous FreeBSD
Vous trouverez des indications...
Annexe 9Annexe 9 : erreurs: erreurs
Voici un résumédes erreurs rencontrées oucommises.
« acd0: FAILURE - READ_BIG MEDIUM E...
Table des matières
Avant-propos..............................................................................................
Notifications................................................................................................................
Entre un serveur applicatif pfSense et un serveur IPCOP......................................................................
Annexe 4 – Règles d'autorisation du trafic des services......................................................................
Guide mise en oeuvre-pfsensev2
Prochain SlideShare
Chargement dans…5
×

Guide mise en oeuvre-pfsensev2

610 vues

Publié le

mise en oeuvre pfsense 2

Publié dans : Internet
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
610
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
70
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Guide mise en oeuvre-pfsensev2

  1. 1. Ce documenta été rédigé dans le cadre du déploiement de serveurs « pfSense » dans les réseaux de lycées et CFA de l’enseignement agricole intégrés à une architecture régionale commune aux systèmes éducatifs afin de répondre à des usages spécifiques. Merci à Grégory Bernard de la société ToDoo qui nous a assisté. Avant-proposAvant-propos Les choix techniques, dont la mise en œuvre est détaillée dans ce document, sont le résultat d'une politique régionale propre au réseau des lycées et CFA de l'enseignement agricole. Ces choix ne conviennent pas nécessairement à tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse préalable. Il en est de même pour la pertinence à déployer plusieurs modules et fonctionnalités sur pfSense lui-même. Ce document se veut le plus transférable possible d’un site à l’autre : on parlera indifféremment de LAN ou VLAN, avec le terme (V)LAN, pour ne pas préjuger de la technologie utilisée pour les sous-réseaux de l'établissement. On considère ici que les interfaces Ethernet du serveur support de l'application pfSense sont brassées physiquement sur des (V)LAN différents (quand bien même elles supportent la norme 802.1q, elles n'appartiennent pas à plus d'un (V)LAN à la fois). En annexe 1 vous trouverez un extrait du dossier de montage du projet de déploiement des serveurs dits « pfSense » en Lorraine avec notamment une description de l'architecture réseau pour modéliser les liens et visualiserles flux. L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas à celle des serveurs mandataires déjà en place dans l'architecture régionale. L'utilisation de ces serveurs répond à la mise en place de services spécifiques à l'enseignement agricole (voir annexe 1). Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt- 06/03/12 1 Guide de mise en œuvrede pfSensev2 (dans uncadrede déploiementspécifique)
  2. 2. D'une manière générale, nous appliquons le principe suivant : sur lespostesdes (V)LANsADMINouPEDA ,les rôlesde passerelle etserveur mandatairesontassurés par unautreserveur mandataire, lesfluxassociés auxservices spécifiquespour l'interconnexiondes SIde l'EA serontroutés etgérés par leserveur pfSense (route persistante àécrire« en dur » sur lespostes ouvia serveur dhcpenoptionétendue 033). Au préalable de l’installationAu préalable de l’installation Avant de se lancer dans l’installation, certains éléments du projet doivent être bien préparés, comme la configuration matérielle nécessaire et les services à mettre en œuvre par l'application. La connaissance de l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi la rédaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la dernière version stable de pfSense et s'assurer de la compatibilité matérielle du serveur avec la distribution FreeBSD (en particulier de celle des cartes réseaux). Services Les optiques d’utilisation de pfSense sont nativement les suivantes : Pare-feufiltrant entre l’Internet etles (V)LAN d'unepart,avec gestionde QoS,et,d'autre part,entreles(V)LAN Routeur (V)LAN ouWAN,avec gestiondelanorme 802.1Q Pointd’accèsavec portail captif Usagesspécifiques :serveur mandataire,ServeurVPN,DNS,DHCP,snifer,NDIS,etc. Architecture et adressage Il est nécessaire de connaître parfaitement la topologie de son réseau : l’architecture danslaquelle s’intègreleserveur supportde pfSense, l’adressage des(V)LANauxquels ilserabrassé, l'adresse IPpublique(adresseIPWAN)duserveur. Documentation et aide Sitesde référence o leforumfrançaispour pfSense :http://forum.pfSense.org/index.php?board=7.0 o lesite deOSNET :http://www.osnet.eu (enfrançais) o Le site officielPfSense :http://www.pfsense.org/ o Les tutoriels officiels :http://doc.pfsense.org/index.php/Tutorials o LeWikide laPfSense :http://doc.pfsense.org/ o Les forums PfSense: http://forum.pfsense.org/ Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 2
  3. 3. Rappels et recommandations Les différentes interfaces d'un Firewall ne doivent pas être connectées au même réseau physique (ou alors, si les interfaces réseaux du serveur gèrent la norme 802.1q, uniquement sur des ports Ethernet appartenant à desVLAN 802.1q différents ; maisce n'est pas notre cas). La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait à l'aide d'un routeur (routeur e-lorraine). Les serveurs applicatifs pfSense ont leur interface WAN reliée à ce routeur : cette interface se « retrouve donc directement sur Internet » ; elle a une adresse IPWAN publique. Une analyse préalable du contexte de mise en œuvre est indispensable, notamment en termes de PSSI1 . Application pfSense et compatibilité Les différentes versions de l'application pfSense sont téléchargeables dans la rubrique « download » du site http://www.pfSense.org/ ainsi que sur le site miroir français à l'adresse http://pfSense.bol2riz.com/downloads/ Vous trouverez des éléments indicatifs sur la compatibilité à l'adresse : http://www.pfsense.org/index.php? view&id=46&Itemid=51. 1 Politique de sécurité des systèmes d'information. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 3
  4. 4. Schéma deSchéma de principeprincipe Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 4
  5. 5. InstallationInstallation Brassage desports RJ45 pour identification desinterfaces Afin d'activer les interfaces réseau et faciliter leur identification, il est indispensable de brasser tous les ports « réseau » qui vont être utilisés en les reliant par exemple à des switches. Sinon, vous devez connaître les noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour identifierles interfaces sur votre serveur). Boot et lancement de l'installation Insérez le CD et « boutez » dessus. A l'écran de bienvenue, tapez 1 pour choisir le boot pfSense ou laissez démarrer avec l'option par défaut. Welcome to pfSense ! 1. Boot pfSense [default] 2. Boot pfSense with ACPI disable [...] 8. Reboot Select option, [Enter] for default or [Space] to pause timer 10 Pour lancer l'installation pressez « I » à l'invite. [ Press R to enter recovery mode or ] [ press I to launch the installer ] (R) ecovery … (I) nstaller... (C) continues ... Paramétrage de la console Vous êtes invités à configurer la console. Arrivé à l'écran ci-contre ne cherchez pas à configurer le clavier , le résultat est négatif ; si vous souhaitez le faire il faudra suivre les instructions que vous trouverez sur l'Internet, mais après l'installation eten mode console. Acceptez les choix en descendant sur <Acceptethese Settings >puis en validant. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 5
  6. 6. Type d'installation Optez pour une installation facile puis confirmez à l'écran suivant. Le choix suivant se porte sur le type de processeur : laissez le choix par défaut puis validez. « Rebootez » lorsque vous y êtes invité. Configuration des interfaces réseau Identification des interfaces Après avoir choisi le boot pfSense par défaut, soyez très attentif à toutes les informations qui défilent au démarrage, en particulier à la liste des interfaces réseau. Les informations les concernant sont affichées dans une couleur différente du reste du texte après la ligne « Networkinterface mismatch – Running interface assignment option. », suivi d'une liste des interfaces valides avec adresse MAC et contrôleurs. Network interface mismatch – Running interface assignment option. em0 : link state changed tu UP em1 : link state changed tu UP igb0 : link state changed tu UP En annexe 1 vous trouverez les données propres à notre déploiement. Pas de mise en place deVLAN On ne configure pas de VLAN : répondez par la négative à la question (rappel : chaque interface de pfSense est connecté à un (V)LAN distinct ; mais si besoin, vous pourrez le faire plus tard via l'interface web de configuration). Do you want to set up VLANs now [y¦n] ? n Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 6
  7. 7. Assignation des interfaces Vous êtes invité maintenant à affecter les interfaces de pfSense aux différents sous-réseaux de l'établissement : WAN, LAN, OPT1, OPT2... OPTn où n représente n interfaces réseaux disponibles ou que vous souhaitez utiliser, autres que WAN et LAN. Sachez que, pour le moment, il importe seulement de configurer l'interface nommée LAN (réseau natif utilisé pour la prise en main de l'application via l'interface web) : les autres interfaces pourront être configurées plus tard via l'interface web. L'identification des interfaces opérée précédemment va nous servir ici : charge à vous de savoir quelle interface (quel port Ethernet physique) brasser sur quel (V)LAN. L'application pfSense nomme WAN le (sous-)réseau donnant l'accès à l'Internet, LAN le sous-réseau natif qui correspond dans la plupart des cas au (V)LAN administratif (interface que l'on nommera ADMIN) et OPT1 à OPTn lesautres(V)LANs (PEDA, INVITE, etc.). La liste des interfaces à configurer complète (em0, em1, igb0, igb1, igb2 et igb3), validez à la prochaine invitation pour arrêter le processus d'assignation. Enter the WAN interface name or 'a' for auto-detection : em0 Enter the LAN interface name or 'a' for auto-detection : em1 Enter the OPT1 interface name or 'a' for auto-detection : igb0 Enter the OPT2 interface name or 'a' for auto-detection : igb1 Enter the OPT2 interface name or 'a' for auto-detection : igb2 Enter the OPT2 interface name or 'a' for auto-detection : igb3 Enter the OPT2 interface name or 'a' for auto-detection : [Enter] Un récapitulatif de cette première étape de configuration vous sera proposé et vous serez invité à confirmer pour poursuivre l'installation. The interfaces will be assigned as follows: WAN → em0 LAN → em1 OPT1 → igb0 OPT1 → igb1 OPT1 → igb2 OPT1 → igb3 Do you want to proceed [y¦n] ? y Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 7
  8. 8. Configuration en ligne de commande de l'adressage des premières interfaces Entrez « 2 » pour lancerla configuration IPd'une interface. Puis choisissez le numéro de l'interface à configurer et répondez aux questions pour la configurer : adresse IP via DHCP ou adresse IP, nombre de bits de sous-réseau (notation CIDR, voir en annexe 8), etc. En annexe 1 vous trouverez les données propres à notre déploiement. La configuration IPd'une interface se termine par une question vous demandant si vous souhaitez autoriser l'accèsen http à l'interface web via cette interface : Do you want to revert to http as the webconfigurator protocol [y/n] ? -> n Par précaution, répondre « n » pour garder l'accès sécurisé (https). Renouvelez les opérations autant de fois que d'interfaces à configurer(rappel : seule la configuration de l'interface native LAN est nécessaire via la console pour une prise en main ultérieure via l'interface web,les autres pouvant être configurées ultérieurement via cette interface web). Poursuite de l'installation via l'interface webPoursuite de l'installation via l'interface web Préalable Configurez un poste pour le connecter au réseau natif LAN du serveur applicatif pfSense. Ne perdez pas de vue que toute modification ou erreur de paramétrage sur l'interface LAN (ou de celle de votre poste de travail) peut vous faire perdre l'accès à l'interface web de configuration de l'application ! Avec le navigateur de votre choix, rendez-vous à l'adresse https://[ip_pfSense], où [ip_pfSense] est l'adresse IP sur le réseau LAN du serveur hébergeant l'application pfSense : Le couple natif d'identifiants est : admin/pfsense. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 8
  9. 9. Utilisation de l'assistant de configuration Nous allons profiter de cet assistant pour initier le paramétrage : System > Setup Wizard Vérifiez,modifiez oucomplétez sinécessairelesinformationsnécessaires auparamétrage del'interfaceWAN(réseaupublic Internet).Lesinformationssontdisponibles auprès dufournisseur d'accès ou delamaîtrised'œuvre,E-Lorraine encequinous concerne: IP publique, masque,passerelle(adresse IPWANdurouteur e-lorraine),serveurs DNS externes,etc. Vérifiez,modifiez oucomplétez sinécessairelesinformationsnécessaires auparamétrage del'interface LAN (attention àne pas perdrel'accès!). Renseignez/changez le mot depassed'administrationvia l'interfaceweb (par défaut=pfSense). Vérification, modification et complétion du paramétrage des interfaces Ceci est accessible par le menu Interfaces . Vous retrouvez ici toutesles interfaces assignées via laconsole au cours de l'installation (en principe deux : LAN et OPT1). Interfaces > (assign) Onglet 'Interface assignments' vous pouvez vérifier les assignations des interfaces faites à l'installation. Les interfaces disponibles et non assignées peuvent être ajoutéesen cliquant sur l'icône à partir des ports réseaux non utilisés. Onglet 'VLANs' C'est ici que vous pouvez configurer les VLANs (cette question n'est pas abordée dans ce document). Vérification, complétion et modification de la configuration, interface par interface Configurationgénérale del'interface o activation ounon o nom (description):pour unemeilleurelisibilitélenomde chaque interfacesera modifié,voir annexe 1 o type:Static,DHCP,etc. Complémentdela configurationen fonctiondutype:prenonslecas d'une configurationen IPfixe(Static) o IPetnombre CIDR(voir en annexe8) o passerelle –Gateway;n'indiquer unepasserellequesi le(V)LANassociéà cetteinterface utiliseune passerelle autre quepfSense pour se connecter àl'Internet;dansnotrecas nerienindiquer Options réseauxprivés:pour desraisonsde sécurités,ilvautmieuxcocher cesdeuxoptionspour l'interfaceWANuniquement o bloquer les réseauxprivés L'optionBlockprivatenetworks permetde bloquer lesadresses ip detypes locales :192.168.....,etc.C'est une sécurité. Quandelle estcochée,cetteoptionbloquele trafic provenantdesadressesIPréservées pour les réseaux privés selonlanormeRFC 1918(10/8,172.16/12,192.168/16)ainsiquedes adressesde bouclage (127/8).Vous ʼ ʼdevez généralement laisser cetteoptionactivée, sauf sil interfaceWANfait partid uneadresse réseau privée. o bloquer les réseaux «bogons » (les«faux réseauxprivés», voir annexe 5) L'optionBlockbogonnetworkspermets debloquer cesadresses IP.C'estencoreune sécurité. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 9
  10. 10. En annexe 1 vous trouverez les données propres à notre déploiement. Onglet 'Interface Groups' Sur cette page vous pouvez regrouper plusieurs interfaces afin de définir une politique commune à celles-ci. Ainsi les règles créées pour le groupe s'appliqueront aux interfaces du groupe sans avoir à les dupliquer. Une foisun groupe créé,une nouvelle interface sera visible (nouvel onglet) dans la page Firewall : Rules. Nous n'avons pas avantage à regrouper les interfaces dans notre cas. Sécurité – configuration avancée System > Advanced > onglet 'Admin Access' Toujours sélectionner un accèspar HTTPS Se créer éventuellement un certificatHTML sur mesurespécifiqueà cetaccès Désactiver la règle deredirection(WebGUIRedirect),pour contraindreà uneconnexionHTTPS L'option« Anti-lockout» pourra être désactivéelorsquetoutes lesrègles depare-feuserontécrites(onobservela présence de cetterèglesur la page'Firewall :Rules' dansl'ongletLAN (ADMINdansnotre caspuisquenousavonsrenomméles interfaces). Cetterègleévitedeperdrel'accès àl'interface webde configuration vial'interface ADMINpendant leparamétrage. Conserver larègle« DNSRebindingChecks» ainsique« HTTP_REFERERenforcementcheck »,sauf sisouhaitd'accèsau pare-feu enutilisantsshetle port-forwardpar exemple. Ilse peut que vous soyez contraint dedésactiver « HTTP_REFERERenforcement check» encas d'impossibilité d'accèsà l'interfaceweb deconfigurationdepuis unpostenomade(voir annexe9). Sisouhaité,possibilitéd'activer l'accès par SSHen préférantunaccès viaune clé RSA (plusrapideet plus sécurisé) Sileserveur enestpourvu,l'activation duportsérie (SerialTerminal)vousoffre uneporte desecours encas deperted'accès à l'interfaceWeb. Il estrisquéde sécuriser l'accèsà laconsole par mot depassede protection encochantl'option« Passwordprotecttheconsole menu» :eneffet,en casde crashdumotde passe admin,plusaucunaccès àpfSense ne serapossible;d'autre part, l'accès àla console nécessiteunaccèsphysiqueauserveur quinormalementestsécurisé.Donc,unconseil:ne pas verrouiller l'accèsvia la console par unmotdepasse. Sauvegarder la configuration! Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 10
  11. 11. Exemple de configuration avancée (seules les options modifiées et/ou évoquéesci-dessus sont présentes). Notifications System > Advanced > onglet 'Notifications' C'est sur cette page que vous pouvez configurerles options pour l'envoi des notifications. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 11
  12. 12. Mise à jour de pfSenseMise à jour de pfSense System > firmware Vous avez la possibilité de mettre à jour votre application (firmware) automatiquement (valable à partir de la version 2). Cela vous dispense de surveiller les mises à jours disponibles notamment celles apportant des corrections (bugs, failles de sécurité). Si vous optez pour la mise à jour automatique, en cas d'absence de message « You are on the latest version. » sur le tableau de bord (dashboard), il peut être nécessaire de forcer les paramètres de l'URL de mise à jour en choisissant l'option correspondante à votre pfSense pour le champ 'Firmware Auto UpdateURL' : Sauvegarde de la configurationSauvegarde de la configuration La sauvegarde de toute ou partie de la configuration se fait à partir de cette page : Diagnostics > Backup/Restore Une fois les alias définis (voir $ éponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un serveur pfSense vers un autre : Serveur « modèle » Diagnostics:Backup/restore >'Backup configuration' sélectionner Aliases dansBackuparea cliquer sur Downloadconfiguration serveur « cible » Diagnostics:Backup/restore >'Restoreconfiguration' sélectionner Aliases dansRestorearea cliquer sur Parcourir, sélectionner lefichier cliquer sur Restoreconfiguration Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 12
  13. 13. Installation de paquetsInstallation de paquets ou packagesou packages supplémentairessupplémentaires Certains services, outils ou fonctionnalités de pfSense ne sont pas nativement installées. C'est le cas par exemple de l'outil d'exportation des clients OpenVPN, du module proxy (serveur mandataire) ou encore de SNORT. Nous verrons plus tard comment utiliser ces services puisqu'ils sont dans le cahier des charges du déploiement. System > Packages Dans l'onglet « Available Packages » vous trouverez la liste des paquets disponibles (à condition que le serveur pfSense soit connecté à l'Internet). Dans l'onglet « Installed Packages » vous trouverez la liste des paquets installés. Il est fortement recommandé de n'installer que des paquets en version stable, surtout dans un environnement de production, voire de les installer au préalable dans un environnement de test. Sage précaution : sauvegarder complètement la configuration avant l'installation d'un paquet. Outil d'exportation desclients OpenVPN Le paquet correspondant se nomme « OpenVPN Client Export Utility ». Cet outil permet l'export directement à partir de pfSense d'un client pré-configuré OpenVPN pourWindows ou d'un fichier de configuration pour Mac OSX viscosité. Outil de prévention et détection d'intrusion Snort est un système open source de prévention et détection (IDS/IPS) d'intrusions sur les réseaux, combinant lesavantages de signature, de protocole etd'inspection axée sur l'anomalie. Le paquet correspondant se nomme « snort ». Serveur mandataire (proxy / cache web) C'est un outil de proxy/cache web (de hautes performances, est-il précisé dans la description du paquet). Le paquet correspondant se nomme « squid ». Filtre URL proxy cache web C'est un outil de filtrage URL pour proxy web (de hautes performances, est-il précisé dans la description du paquet). Le paquetcorrespondant se nomme « squidGuard ». L'installation de ce paquet nécessite l'installation au préalable du paquet de proxy « squid ». Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 13
  14. 14. Définition desDéfinition des aliasalias : un préalable à l'écriture des règles: un préalable à l'écriture des règles Nous allons utiliser les alias pour créer des objets qui seront plus faciles à manipuler dans l'écriture des règles : ils améliorent la lecture des règles et permettent de regrouper des adresses IP (comme celles des serveurs), des ports (comme ceux à ouvrir pour le protocole TCP pour le montage du tunnel d'assistance du CNERTA), des réseaux ou encore des URL. L'utilisation des alias nous évitera, par exemple, pour un protocole donné, d'avoir à écrire une règle pour chaque port dans le cas de ports non consécutifs. Ainsi, d'une part si modifications ultérieures il y a et, d'autre part, comme ces paramètres peuvent être utilisés pour plusieurs règles, nous n'aurons qu'à apporter une seule modification au niveau de la définition de l'alias correspondant, et cette modification sera répercutée automatiquement sur l'ensemble des règles faisant appel à l'alias. Pour en faciliter l'usage les alias devront respecter quelques règles de nommage explicite : par exemple commencer par Cnerta pour tous les alias concernant Eduter-CNERTA qui ne changent pas d'un site à l'autre, puis par exemple par le numéro du département pour les alias associés à l'EPL d'un département. Attention les caractères spéciaux tels que espace, – ou _ ne sont pas permis ! En revanche on peut jouer sur la casse pour apporter de la lisibilité. La définition des alias est accessible dans le menu Firewall : Firewall > Aliases Pour ajouter un alias cliquez sur puis renseignez les champs nom (Name) et description. Choisir le type d'alias parmi hôte(s) – Host(s) - , réseau(x) – Network(s) -, port(s), URL et table d'URL - URL TABLE, puis compléter les champs associés. On peut créer des « alias d'alias ». Ainsi, par exemple, une fois les alias crées pour les LAN des tunnels OpenVPN on crée un alias les reprenant tous pour l'écriture de règles communes. La seule condition à la création d' « aliasd'alias » est que tous soient du même type (ports, host, réseau, etc.). Les alias configurés pour le serveur pfSense du site principal d'un EPL seront exportés puis importés dans la configuration des serveurs pfSense des sites « antenne » pour nous éviter d'avoir à les réécrire (s'ils ne seront pas tous utilisés dans toutes les configurations, on pourra éventuellement supprimer ceux qui s’avéreront inutiles). Nous allons avoir besoin de créer des alias pour lesdonnées suivantes (prenons l'exemple d'un EPL) : l'adresseIPdesserveurssur leréseauADMIN:[dép]IPsServeur1, [dép]IpServeur2,etc. l'adresseIPWANduserveur pfSense dechaquesite: [dép]IPWanPfsenseSitePrinc,[dép]IPWanPfsenseSiteAnt1et [dép]IPWanPfsenseSiteAnt2 la plage d'adresses IP du réseauADMINet du réseauPEDA de chaque site:[dép]LanADMINnetSiteAnt2d,[dép]LanPEDAnetSiteAnt2, [dép]LanADMINnetSiteAnt1,[dép]LanPEDAnetSiteAnt1,[dép]LanPEDAnetSitePrinc la plage d'adresses IP duVPNdans chaquetunnelnomadeà monter pour latélé-assistance:[dép]IpPfsLanOvpnAssistSitePrinc, [dép]IpPfsLanOvpnAssistSiteAnt2et[dép]IpPfsLanOvpnAssistSiteAnt1 Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 14
  15. 15. lesadressesIP publiquesdes serveurs du CNERTA :CnertaIpsPubliques lesportspour le montage dutunnel demaintenanceduCNERTA :CnertaTcpPortsVpnet CnertaTcpPortsVpn lesportsd'accèsà l'interfaceweb deconfigurationdepfSense: PortsAccesInterfaceWebPfSense tousles réseaux sources detrafic pour laconnexionà distancesur lesserveursduréseau ADMIN(alias d'alias) : [dép]TsLANsSourcesCnxServ etc. Enfin, n'oubliez pasde sauvegarder (Save). Écriture des règlesÉcriture des règles Le pare-feu ou firewall est la fonction principale de pfSense. Les règles de filtrage sont évaluées sur la base de la première correspondance. Dès qu'un paquet correspond à une règle celui- ci est filtré. Les règles les plus permissives doivent donc être en bas de liste. L'application pfSense est un pare-feu à gestion d'état : elle autorise le trafic depuis l'interface sur laquelle le trafic est généré. Lorsqu'une connexion est initiée, à la suite d'une correspondance réussie avec une règle autorisant ce trafic, une entrée est ajoutée dans la table d'état (state table). Le trafic retour est automatiquement autorisé par le pare-feu quelque soit le type de trafic (TCP, ICMP, etc.). Par défaut tout le trafic arrivant de l'internet à destination de votre réseau est bloqué. Mais par défaut tout le trafic initié sur le (V)LAN de l'interface 'ADMIN' (initialement 'LAN') et à destination de l'Internet est autorisé, ce qui se traduit par la présence de la règle suivante dans l'onglet 'LAN' (ou ADMIN dans notre cas) sur la page Firewall :Rules : Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systèmes compromis, de restreindre les capacités à infecter le réseau, de limiter l'utilisation d'application non autorisées sur le réseau, de limiter l'usurpation d'adresse IP (l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant. Commençons par supprimer cette règle en cliquant sur , en validant puis encliquant sur . Comme déjà mentionné au § « Au préalable de l'installation », il est nécessaire de faire l’inventaire exhaustif de tous les services nécessaires. On pourra établir un tableau avec les protocoles et ports utilisés par le trafic à autoriser. Vous trouverez en annexe 4 un exemple de tableau élaboré à partir de la liste des services que nous souhaitons autoriser. Dans les pages de configuration des règles vous serez amené à configurer le champ 'type' en choisissant dans une liste déroulante. Le tableau suivant vous donne les significations des intitulésdisponibles : Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 15
  16. 16. any tout Single host or alias Adresse IP ou alias Network Réseau à définir dans le champ suivant (Address) Wan subnet Réseau sur lequelest brassée l'interface WAN Wan address Adresse allouée à l'interface WAN de pfSense OPTn subnet Réseau sur lequelest brassée l'interface OPTn OPTn address Adresse allouée à l'interface OPTn de pfSense sur le réseau sur lequel est brassée cette interface Pour saisir un alias, dans un champ, il faut sélectionner 'Single host or alias' dans la liste du champ 'Type' et commencer à taper les premières de celui-ci dans la zone rouge : une liste contextuelle apparaît avec les correspondances disponibles ; vous n'aurez plus qu'à choisir l'alias. En pratique Interdirepar défaut :configurez lesrègles pour autoriser lestrictminimumde trafic ; enl'absencederègle sur uneinterface, celle-cibloque touttrafic seprésentant Questionà seposer : «qu'est-ce-que jedois autoriser? »etnon« qu'est-ce-que jedoisbloquer ? » Règleslisibles,courteset documentées Règlesà écriresur la première interface de pfSensequireçoit le paquet :lesdonnées dela règle sont celles contenues dansle paquet qui seprésente (je viens de, jevais vers, viatelport,telprotocole) Pour une meilleure sécurité,limiter autantquepossibleles connexions auxadresses IPdessource(s) et destination(s) Nerieninscrire pour le(s)port(s)« source »(choisir « any ») ;eneffet,la plupartdutemps ,ce(s) port(s)est(sont)définis de façonaléatoirepar la source. Une astuce En cas de difficultés d'écriture des règles, vous pouvez procédercomme suit : utilisez temporairement unerègleselon laquelletoutpasse,par exempleADMINnetverstout (any)sans spécifier de port Firewall:Rules >onglet'LAN' >clic sur etactiver les logs. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 16
  17. 17. générez du trafic pour le serviceétudiéet observez cequisepassedans'Status:SystemLogs' onglet'Firewall' créez larègleautomatiquement encliquantsur (Easy Rule:pass thistraffic)sur la ligne correspondantauservice àautoriser puis,éventuellement,éditez larèglepour,par exemple,la limiter auxadresses IP source et/ou destination n'oubliez pasde supprimer la règle temporairequi autorisetout! Écriture/édition des règles Firewall > Rules > 'onglet' de l'interface concernée. Deux options s'offrent à nous pour l'écriture d'une règle : soitla règle estrajoutée sur lemodèle d'unerègleexistante,en cliquantsur à droite dansle prolongementdelaligne correspondant àla règle modèle, puis enapportantles modifications soitelle estajoutéelibrementencliquantsur enhautouen basde laliste. On peut éditer une règle à tout moment encliquant sur . Accèsà l'interface web de configuration de pfSense et désactivation de la règle de protection « anti-lockout » Écrivons une règle sur l'interface ADMIN autorisant les postes du (V)LAN ADMIN à se connecter à l'interface web de configuration de pfSense. Règle autorisanttoutposte du réseau ADMIN à se connecterà l'interface de configuration webde pfSense : ainsi toutle trafic provenantdu réseau ADMIN à destinationde l'adresse IP surADMINnetdepfSenseest permisvialesports TCP 80, 443et22 (alias PortsAccesInterfaceWebPfSense). On peut maintenant supprimer la règle « anti-lockout » en cliquant sur en face de la règle puis en cochant l'option correspondante sur la page System: Advanced : AdminAccess. Changement de l'ordre des règles L'ordre est important comme nous l'avons vu précédemment. Il peut être nécessaire de modifier l'ordre des règles après une écriture non ordonnée. Le changement d'ordre des règles se fait en cochant la ou les règles à déplacer puis en cliquant sur à droite dans le prolongement de la ligne correspondant à la règle immédiatement plus permissive, c'est-à- dire celle qui se trouvera immédiatement en dessous de celle(s) déplacée(s). Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 17
  18. 18. Mise en place d'une liaison site à site via un tunnel OpenVPN pourMise en place d'une liaison site à site via un tunnel OpenVPN pour accès à serveuraccès à serveur Simple à mettre en œuvre (un site client, un site serveur), basé sur une clé secrète partagée et beaucoup plus léger que les tunnels IPSec mais tout aussi sécurisé, nous allons configurer le montage d'un tunnel OpenVPN entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va créer une nouvelle interface sur les deux serveurs, appelée OpenVPN (interface virtuelle) : elle n'apparaît pas dans la liste des interfaces physiques mais un onglet sera rajouté dans la page 'Firewall : Rules'de configuration de l'interface web. Configuration côté serveur du tunnel OpenVPN Nous choisissons de configurer le serveur pfSense du site principal comme serveur OpenVPN. VPN > OpenVPN > onglet Serveur > Add Serveur Serveur Mode:Peer toPeer(clé partagée -Sharedkey) Protocole:préférez UDPà TCPqui estplus« lourd»(chaque paquetperdu estretransmis) ;cependantUDPest connucomme étantmalfiltrépar certainrouteurs ;utiliser TCPest plus peut-être plus sûr mais plus lent (faire destests ouautoriser lesdeux) DeviceMode:tun(le moduleTAPn'estnécessaireque sionveutfairetourner OpenVPNen mode BRIDGE) Interface:choisir l'interfaceWAN pour les liaisons entrantes LocalPort:le portsur lequelle serveur OpenVPNécoute estle portpar défaut1194; attention,chaquetunnel requiert un port différent (un pour letunnel siteà site,un pour letunnelnomade,etc.) ; vérifier que leportn'estpasdéjà utilisépar un autre service. Description:nomduVPN,par exempleVPN siteà siteEPL[n°département] Share key: Automaticallygeneratea sharekey,laclé sera ainsi générésautomatiquementetilsuffira ensuitedecopier- coller laclédans laconfigurationVPN duserveur client(distant) Encryptionalgorithm:par exemple AES-128-CBC(128 bits);doitêtre identiquedes deuxcôtés; CAS,DESet RC2sontunpeu moinssécurisésmaisplusrapides;certainstypes decryptages peuvent poser problèmeen fonction dela configuration matérielle. HardwareCrypto :siutilisationd'une carte decompressionVPN,possibilitéde lasélectionner danslaliste. Tunnel Network :c'estlaplage d'adressequisera utilisée pour adresser lespostesdansle tunnel ; ilestpréconiséd'utiliser un adressageau hasarddans lanormeRFC19182 ;attentionà nepasutiliserdesplagesdéjà utilisées parles (V)LAN ;pour un tunnelde siteà site un/30estsuffisant. LocalNetwork:à laisser videpour une configurationpar défaut RemoteNetwork:saisir icileréseau distant, côté client (enprincipe le(V)LANadministratifoupédagogique dusitedistant) Compression :àcocher sivoussouhaitez compresser les donnéesdans letunnel Type-of-service :utile sivous souhaitez faire duTrafic Shappingsur le trafic OpenVPNlui-même (marquage entêteIP),mais peutprésenter unrisquepotentielde sécurité. Vous trouverez en annexe 3 les données propres à notre déploiement. 2 La RFC 1918 définitun espace d'adressage privé permettantà toute organisation d'attribuer des adresses IP aux machines de son réseau interne. Il s’agit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et192.168.0.0/16. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 18
  19. 19. Configuration côté client Nous devons configurer le serveur pfSense du site distant comme client OpenVPN. VPN > OpenVPN > onglet Client > Add serveur Serveur Mode :PeertoPeer Protocole :idemcôtéserveur DeviceMode :idemcôtéserveur Interface :WAN LocalPort:à laisser videpour lechoixd'unportaléatoirement Server hostor adress:adresseIPWANduserveur (IPWANduserveur pfSense dusiteprincipal) Server port :idemcôtéserveur Description:nomduVPN,par exempleVPN siteà site Share key: copierici la clégénérée côté serveur Encryptionalgorithm:idemcôté serveur HardwareCrypto :idem côté serveur Tunnel Network :idemcôtéserveur RemoteNetwork:saisir icileréseau distant, côté serveur(enprincipele (V)LANadministratifdusiteprincipal) Compression :idemcôtéserveur Type-of-service :pour marquer lavaleur del'entêteIP),mais peut présenter un risque potentiel desécurité. Vous trouverez en annexe 3 les données propres à notre déploiement. Il nous reste une étape : écrire lesrègles pour autoriser le montage du tunnel et le trafic dans le tunnel. Règle pour autoriser le montage du tunnel OpenVPN site à site Tout d'abord, il est nécessaire d'autoriser, sur l'interface WAN du serveur OpenVPN (site principal dans notre exemple), le trafic nécessaire à l'établissement du tunnel avec le serveur client OpenVPN (site distant) via les protocole et port choisis à la création du tunnel OpenVPN « site à site ». Pour écrire la règle il faut se dire que le paquet arrive sur l'interface WAN du serveur du tunnel (site principal) en provenant de l'adresse IP WAN du client du tunnel (site distant) à destination de l'adresse IP WAN du serveur du tunnel, désignée par WAN address, par exemple via le port 1195 du protocole UDP. On a donc la règle suivante dans l'onglet 'WAN' sur lapage 'Firewall : Rules' du pfSense maître : La règle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfSense « clientOpenVPN » du site distant (alias [dép]IPWanPfsenseSiteAnt1) à destination de l'adresse IP du serveur pfSense « serveur OpenVPN » du site principal (WAN address) sur le port UDP 1195. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 19 [dép]IPWanPfsenseSiteAnt1
  20. 20. Règles pourautoriser le trafic dansle tunnel OpenVPN site à site Ensuite, il faut autoriser le trafic des services nécessaires à l'accès aux serveurs du site principal : ces services sont TSE (3389 MS RDP) et partage de fichiers (445 MS DS). L’accès au ping (ICMP echoreg) est également une bonne précaution en cas de doute sur l’accès. Pour autoriser ces 3 services, il est nécessaire de les autoriser d'une part au niveau de l’interface concernée du serveur Pfsense du site distant (appelé LAN en général sur le serveur pfSense esclave, mais ADMIN dans notre cas) etd'autre part dans le tunnel, c'est-à-dire au niveau de l’interface OpenVPN du serveur Pfsense du site principal. Pour des raisons de sécurité, il est préférable de n’autoriser que ce qui est strictement nécessaire, donc ces services seront configurés uniquement des (V)LAN du(es) site(s) distant(s) (ADMIN, PEDA) et nomade(s) vers l’adresse IP du serveur de traitement du site principal. Nous utiliserons les alias définis au paragraphe éponyme, notamment l'alias d'alias qui désigne tous les réseaux sources. Cela donne, sur le serveur OpenVPN du tunnel, les règles suivantespour l'interface OpenVPN : Les règles autorisent, sur l'interface OpenVPN, le trafic provenantde tous les tunnels (alias [dép]TsLANsSourcesCnxServ1) à destination de l'adresse IP du serveur1 (alias [dép]IpServ1) pourle service MS RDP (portTCP3389), leserviceMS DS (ports TCP/UDP445) ainsi que pourleservice d'ICMP echoreq. etsur le client OpnVPN, pour l'interface ADMIN (génériquement LAN) : Les règles autorisent, sur l'interface ADMIN, le trafic provenant de tout le réseau ADMIN (ADMIN net) à destination de l'adresse IP du serveur 1 (alias [dép]IpServ1) pourlesservicesMS RDP(port TCP3389) etMSDS (ports TCP/UDP 445), ainsi que pourle service d'ICMP echorequest. En annexe 4 vous trouverez les données propres à nos règles. Remarque : la présence de flèches vertes dans le tableau de bord de l'application pfSense d'un des deux sites (Status > dashboard) signifie que les tunnels se montent bien ; des flèches rouges manifesteraient un problème. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 20 [dép]TsLANsSourcesCnxServ1 [dép]TsLANsSourcesCnxServ1 [dép]TsLANsSourcesCnxServ1 [dép]IpServ1 [dép]IpServ1 [dép]IpServ1 [dép]IpServ1 [dép]IpServ1 [dép]IpServ1 Tunnel site principal-admin <=> site antenne-admin UDP Tunnel site principal-admin <=> site antenne-admin UDP Tunnel site principal-admin <=> site antenne-peda UDP
  21. 21. Mise en place d'une liaison nomade au serveurMise en place d'une liaison nomade au serveur Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais que pour des obligations de service un agent « nomade » doive se connecter à un serveur. Il va donc falloir monter un tunnel OpenVPN entre le poste de l'agent et le serveur pfSense du site principal, puis autoriser les services nécessaires ; on parlera alors d'un tunnel nomade ou de tunnel pour un utilisateur distant (vous trouverez souvent l'expression « Open VPNpour les guerriersde la route »).. Création du certificat d'autorité L'utilisateur nomade devra utiliser un certificat utilisateur intégré à son client OpenVPN qui sera présenté au serveur OpenVPN. Utilisons l'outil de management de certificats intégré à pfSense depuis la version 2 pour créer le certificat de l'autorité reconnue par le certificat utilisateur. System > CertManager > onglet 'CAs' Cliquer sur Add or import CA pour ajouter uncertificatd'autorité,par exemple nommé CA-EPL[dép] Enface deMethod choisir dans lalisteCreateaninternalCertificateAuthority Renseigner tous leschamps puiscliquer sur Save A titre d'exemple, voir en annexe 6 les données pour la construction du certificat d'autorité du serveur pfSense du site principal d'un EPLEFPA. Création de l'utilisateur L'utilisation d'un tunnel nomade est subordonnée à la celle d'un compte utilisateur reconnu par pfSense. L'utilisateur peut faire partie de la base locale de pfSense, peut être dans un annuaire ou distribué par un serveur RADIUS. Dans notre cas nous allons créerdes utilisateurs dans la base locale. System > Users manager puis clic sur Renseignez les champs Username etPassword (deuxchamps,pour confirmation) Cochez 'Clickto createa user certificate.' puis renseignez leschamps(par exempleCU-NOMADEpour lenomdescriptif)et sélectionnez les options adéquates(l'autoritédecertificationprécédemmentcréée, lalongueur de lacléetladuréede validité);onpeuttoutlaisser par défaut. Cliquez sur 'Save'. Voir exemple annexe 6. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 21
  22. 22. Création et configuration du tunnel nomade Nous allons utiliser l'assistant de pfSense. VPN > OpenVPN > onglet 'Wizards' Choix du type d'utilisateur: dans la base locale Choix del'autorité de certification : celle crééeprécédemment Choix ducertificatde l'utilisateur: celui crééprécédemment Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 22 CA-EPL[dép]
  23. 23. Complétion des paramètres dutunnel nomade Choixde création automatique desrègles. Attention : les règles écrites automatiquement sont « larges » ! Mieux vaut les écrire soi-même, ne serait-ce que pour comprendre ce que l'on fait. On peut aussi décider de leur création automatique puis les modifier par la suite. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 23 Bien écrire la même chose que ce qui a été écrit pour l'alias correspondant au réseau de ce tunnel. Tunnel nomade
  24. 24. Écriture des règles Il nous reste donc à modifier/écrire ces/les règles pour autoriser le montage de ce tunnel OpenVPN nomade etle trafic dans le tunnel. La première règle est à écrire sur l'interface WAN pour autoriser le montage du tunnel nomade : Ce qui donne : Le deuxième lot de règles est à écrire sur l'interface OpenVPN pour autoriser le trafic associé aux services MS DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons déjà écrit la règle pour la liaison inter-site en utilisant un alias ([dép]TsLANsSourcesCnxServ1) pour désigner l'ensemble des réseaux sources de trafic (voir page 18), il n'y a rien à rajouter ou à modifier. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 24 Il est préférable de restreindre la source à l'adresse IP WAN du site nomade et de ne pas laisser 'any' (*).
  25. 25. Export du client Windows PfSense permet, grâce au package installé « OpenVPN Client Export Utility », d'exporter un exécutable pour l'installation etla configuration du client sous windows. VPN > OpenVPN > onglet 'Client Export' Cliquez sur 'Windows Installer' en face de 'nomade' puissuivez les instructions. Création d'un tunnel IPsecCréation d'un tunnel IPsec Entre deux serveurs applicatifs pfSense A compléter Entre un serveurapplicatif pfSense et un serveur IPCOP Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais d'un autre type de serveur qui ne gère pas l'OpenVPN : prenons le cas d'un serveur IPCOP. Il va donc falloir monter un tunnel IPsec entre les deux serveurs, puis autoriser les services nécessaires. A compléter Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 25
  26. 26. Permettre un accès nominatif à l'Internet depuis le (V)LAN «Permettre un accès nominatif à l'Internet depuis le (V)LAN « INVITEINVITE »» Le serveur pfSense n'est pas utilisé ici pour filtrer, contrôler et sécuriser le trafic entre l'Internet et les (V)LAN pédagogique et administratif : c'est un autre serveur qui joue le rôle de serveur mandataire (EPL dans une architecture régionale). Néanmoins, nous allons configurer pfSense en serveur mandataire pour le (V)LAN INVITE. Les paquets squid et squidGuard doivent être installés (voir « Installation de paquets ou packages supplémentaires »). Nous utiliserons le portail captif de pfSense etles comptesdu LDAP de l'AD e-lorraine du (V)LAN pédagogique pour donner l'accès à des utilisateurs « connus » de l'EPL, présents dans un annuaire. Configuration des filtres du serveur mandataire (proxy) Services > Proxy filter > onglet 'Blacklist' La liste noire (ou Blacklist) « shalla » se télécharge ici : http://www.shallalist.de/Downloads/shallalist.tar.gz (ou bien celle de l'université de Toulouse téléchargeable ici : http://cri.univ- tlse1.fr/blacklists/download/blacklists_for_pfsense.tar.gz) Renseignez le champ et cliquez sur 'Download'. Patientez jusqu’à l’obtention de « Blacklist update complete. » Services > Proxy filter > onglet 'General settings' Activez le filtrage encochant 'Enable'et l'enregistrement des logs en cochant 'Enable GUI log'et 'Enablelog'. Si vous disposez de peu de place (disque dur de petite taille), vous pouvez activer la rotation de l'enregistrement des logs en cochant 'Enable logrotation' afin de limiter la quantité de logs à enregistrer. Activez l'utilisation de la liste noire (Blacklist) en cochant l'option correspondante et en indiquant l'URL de téléchargementde la liste. Ne pas oublier de sauvegarder la configuration. Attention : après toute modification ultérieure de la configuration, ne pas oublier de cliquer sur le bouton 'Apply' qui apparaît désormais enhaut. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 26
  27. 27. Services > Proxy filter > onglet 'Common ACL' Vérifiez la présence descatégories de filtrage en cliquant sur Mettez l'option d'accès de la dernière ligne 'Defaut access [all] à 'allow' pour tout autoriser faute de quoi le filtre aura pour effet d'interdire tout accès à l'Internet. Ensuite, mettez à 'deny' l'accès aux contenus que vous voulez filtrer (porn, warez, etc.). Renseignez les champs d'avertissement comme ci-contre par exemple : attention, il ne faut utiliser aucun caractère accentué. Validez la configuration en cliquant sur 'Save'. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 27 A NOTER
  28. 28. Activation et configuration du serveur mandataire (proxy) Services > Proxy server > onglet 'General' Cliquez sur l'interface pour laquelle vous souhaitez activer le serveur mandataire : dans notre casINVITE (pour l'activer sur plusieurs interfaces, utilisez la touche CTRL). Cochez comme ci-contre. L'option active de 'proxy transparent' vous évitera d'avoir à configurer tous lespostes connectés du (V)LAN « INVITE ». Poursuivez la configuration comme suit : Laduréelégaledeconservation des logs est d'unan(365 jours). Renseignez l'adresse mail de l'administrateur du serveur mandataire et sélectionnez la langue d'affichage des informations. Enfin, sauvegardez la configuration. Services > Proxy server > onglet 'Cache Mgmt' Configurez les options du cache comme ci-contre par exemple. Sauvegardez la configuration. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 28
  29. 29. Activation et configuration du portail captif (attention : partie incomplète et probablement erronée) Services > Captive Portal > onglet 'Captive portal' Voici les options modifiées pourla configuration du portail captif. Activez le portail captif en cochant 'Enable captive portal'. Choisissez l'interface : dans notre cas, INVITE. Nous avons choisi de rediriger les utilisateurs vers la page de l'ENT. Surtout, n'oubliez pas d'indiquer à l'application pfSense de chercher les utilisateurs en local (le serveur LDAP rajouté précédemment est considéré comme une extension de l'annuaire local). Enfin, cliquez sur 'Save' tout en bas de la page. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 29
  30. 30. Écriture des règles sur l'interface INVITE Dans l'état actuel des choses, les postes brassés sur le (V)LAN INVITE n'ont pas accès à l'Internet : des ouvertures sont nécessaires sur l'interface INVITE de pfSense. Nous allons écrire les règles correspondantes. Il se peut aussi que vous ayez besoin de configurer des services supplémentaires. Par contre, les utilisateurs du (V)LAN INVITE ne doivent pas pouvoir accéder aux (V)LAN tiers (pédagogique et administratif). Autoriser l'utilisation d'une application utilisant des ports spécifiques On doit autoriser le trafic depuis le (V)LAN INVITE vers le serveur le serveur de cette application via le(s) port(s) correspondants. Ces ouvertures peuvent être prises en compte dans l'écriture de la règle au paragraphe suivant. Autoriser l'utilisation des services du web Il s'agit de permettre (ou non) aux utilisateurs d'utiliser les services courants de l'Internet : messagerie (pop, smtp), web (http et https), transfert de fichiers (ftp), résolution de noms (DNS), etc., sans oublier d'ajouter à la liste le service lié à une application spécifique. Au préalable, on crée les alias nécessaires pour regrouper les ports et les(V)LAN. Isoler le (V)LAN « INVITE » (vérifier si nécessaire) Nous ne pouvons pas limiter les destinations au WAN. Donc, pour des raisons de sécurité évidentes, une fois n'est pas coutume, nous devons bloquer le trafic provenant du (V)LAN « INVITE » à destination des (V)LANs tiers (notamment« ADMIN » et « PEDA»). Les deux premières règles autorisent, sur l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE à destination d'Internet pour les services courants etFirstClass (oùl'alias PortTcpAccesInternetInvite définitles ports TCP 80, 443, 21et510). La troisième bloque touttrafic à destination des (V)LANs admin etpédago (alias «TsVlanSfInvite » d'alias). Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 30
  31. 31. Activation de l'interface et du service DHCP sur le (V)LAN « INVITE » Activer la redirection DNS Avant toute chose, activons la redirection DNS. Services > DNS forwarder Activer le DHCP sur l'interface INVITE Pour simplifier davantage l'usage de ce (V)LAN l'adressage sera similaire à celui des réseaux domestiques. Services > DHCP Server > onglet 'INVITE' Nous activons le service DHCP sur l'interface « INVITE ». Vous devez spécifier une plage d'adresses, par exemple pour restreindre le nombre d'adresses ou permettre la réservation d'adresses. Nous remplissons les champs 'DNS servers' et 'Gateway' avec l'adresse IP de pfSense sur le (V)LAN INVITE. Autoriser la maintenance, les mises à jour et les livraisons du CNERTAAutoriser la maintenance, les mises à jour et les livraisons du CNERTA On rappelle que pour qu'un élément (serveur, station, etc.) réponde à une requête dont le trafic transite via pfSense il faut indiquer une route « de réponse » passant par pfSense dans la configuration de l'élément (voire mettre pfSense en tant que passerelle) ; a fortiori pour la connexion nomade au serveurs de nos sous- réseaux. Les serveurs en questions ont donc soit pour passerelle le serveur pfSense soit une route persistante forçant le trafic à destination des sources nomades à transiter par pfSense. Du coup, il faut autoriser via pfSense la maintenance des serveurs par le CNERTA (montage de tunnel) ainsi que les mises à jour et livraisons des serveurs.Toujours en utilisant lesalias, nous allons écrire les règles correspondantes. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 31 192.168.1.1
  32. 32. D'autre part, nous autoriserons les serveurs à accéder à l'Internet (services courants HTTP, HTTPS, FTP, ICMP echo request et DNS). Firewall > Rules puis choix de l'interface brassée sur le réseau administratif (ADMIN dans notre cas, LAN en général). Les règles autorisent, surl'interface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dép]IPsServeurs) à destination des adresses IP publiques du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias CnertaLgaPortsAccInternet) pourl'accès àl'Internet, les misesà jouretlivraisons ainsique pourle serviceDNS. Communication entre les interfaces (d'un (V)LAN à l'autre)Communication entre les interfaces (d'un (V)LAN à l'autre) Par défaut tout trafic provenant des (V)LAN tiers à destination du (V)LAN ADMIN (nativement LAN) est bloqué. Si on souhaite par exemple utiliser se connecter aux serveurs du réseau ADMIN depuis le réseau pédagogique sur le site principal, il faut autoriser le trafic généré par les adresses IP du (V)LAN pédagogique vers le serveur en question pour, dan s le cas d'une connexion TSE, les services MS RDP, MS DP et ICMP echo request. Ce qui donne les règles suivantes sur l'interface PEDA du serveur pfSense du site principal : Les règles autorisent, sur l'interface PEDA, le trafic provenantdu (V)LAN pédagogique (PEDA net) à destination du serveur1 (alias [dép]IpServeur1pourle serviceMS RDP(port TCP3389), leservice MSDS (ports TCP/UDP 445) ainsi que pourle service d'ICMPecho request. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 32 L'option « Anti-lockout » pourra être désactivée lorsque toutes les règles de pare-feu seront écrites [dép]IPsServeurs [dép]IPsServeurs [dép]IPsServeurs [dép]IPsServeurs [dép]IPsServeurs [dép]IPsServeur1 [dép]IPsServeur1 [dép]IPsServeur1
  33. 33. Export du client OpenVPN pour Windows ou de la configurationExport du client OpenVPN pour Windows ou de la configuration viscosité pour MACviscosité pour MAC Nous allons utilisé l'outil installé précédemment. VPN > OpenVPN > onglet ' A compléter. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 33
  34. 34. Analyser le traficAnalyser le trafic : utilisation de Snort: utilisation de Snort A compléter. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 34
  35. 35. Annexe 1Annexe 1 : extraits du dossier de montage du projet de déploiement: extraits du dossier de montage du projet de déploiement des serveurs «des serveurs « pfSensepfSense » en Lorraine» en Lorraine Spécificités du réseau informatique d'un site régional d'un EPL L'architecture régionale est une architecture régionale commune à tous les lycées et CFA des systèmes éducatifs. Le réseau d'un site est composé, entre autres, de deux « sous-réseaux » : LAN (ou VLAN) pédagogique et LAN (ou VLAN) administratif, connectés à l'Internet via un serveur mandataire placé derrière un routeur. Objectifs de déploiement des serveurs dits « pfSense » Il s'agit de mettre en œuvre une solution pour répondre aux besoins de l'enseignement et de la formation agricoles dans l'architecture régionale, à savoir : autoriser une connexionsécurisée entre unposte duréseau d'unsiteantenne etunserveur dusous-réseau administratif dusiteprincipal; autoriser une connexionsécurisée entre unposte duréseau sous-pédagogiquedusiteprincipaletunserveur dusous- réseauadministratifde cesite; autoriser une connexionsécurisée entre unposte nomadeidentifiéetun serveur dusous-réseauadministratifdusite principal d'unEPL ; autoriser la liaisonpour atteindrel'intranetduministère depuis unposte sur lesréseauxdes EPL; autoriser la liaisonpour permettrelatélé-maintenancedesserveurspar Eduter-CNERTA ; autoriser leslivraisons etmises àjour decesserveurs; autoriser,via unportailcaptif,l'accès àl'Internetd'un posteinformatique «invité »;faciliter, contrôler,sécuriser etfiltrer la connexiondusous-réseau INVITEà l'Internet ; effectuer entemps réeldes analysesde trafic et «logger »les paquetssur unréseau. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 35
  36. 36. Architecture cible Adressage (V)LANs et VPNs WAN xxx.xxx.xxx.xxx /29 passerelle : IP routeur ADMIN 10.xxx.xxx.0 /24 passerelle = serveur mandataire PEDA 172.xxx.xxx.0 /16 passerelle = serveur mandataire OVPN site à site 10.xxx.100.0/30 où 100 peut se décomposer comme suit : 10 pour reprendre le troisième octet du réseau ADMIN et 0 pour le premier tunnel OVPN nomade 10.xxx.[105, 106 … 109].0/24 où 105 se décompose comme suit : 10 pour reprendre le troisième octet du réseau ADMIN et 5 pour le premier tunnel Serveur : interfaces, portsEthernet et (V)LANs associés →em0 WAN brassée sur le (V)LAN d'adressage IP public e-lorraine →em1 ADMIN brassée sur le (V)LAN « administratif » →igb0 PEDA brassée sur le (V)LAN « pédagogique » →igb1 INVITE brassée sur le (V)LAN « invité » →igb2 reste disponible, pour lavidéo surveillancepar exemple →igb3 reste disponible vue arrière du serveur Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 36
  37. 37. Annexe 2 – les alias (Annexe 2 – les alias (AliasesAliases)) Focussur certains alias Firewall : Aliases: Edit Détail de l'alias signifiant les ports TCP à ouvrirpourle montage du tunnel du CNERTA Détail de l'alias signifiant les adresses IP des serveurs de l'EPL Détail de l'alias signifiant l'adressage du sous-réseau pédagogique du site antenne de l'EPL Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 37 1 2 [dép] [dép]
  38. 38. Annexe 3 – configuration des tunnels OpenVPNAnnexe 3 – configuration des tunnels OpenVPN Côté serveurdu tunnel OpenVPN site à site (pfSense du site principal) Liste des tunnels OpenVPN« serveur» côté site principal de l'EPL Édition du tunnel site à site, côté serveur, entre les réseaux admin des sites « antenne »de l'EPL Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 38 La clé doit être identique à celle du client doit être identique à ce qui est écrit côté serveur doit être identique à ce qui est écrit côté serveur princprinc princ princ princ princ ant1 ant1 ant2 ant2 ant2
  39. 39. Côté client du tunnel OpenVPN site à site (pfSense du site secondaire) Liste des tunnels OpenVPN « clients» côté site antenne de l'EPL Édition du tunnel site à site, côté client, entre les réseaux admin des sites « antenne » de l'EPL Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 39 La clé doit être identique à celle du serveur doit être identique à ce qui est écrit côté serveur doit être identique à ce qui est écrit côté serveur
  40. 40. Annexe 4 – Règles d'autorisation du trafic des servicesAnnexe 4 – Règles d'autorisation du trafic des services Tableau récapitulatif (exemples) Description Source(s) Destination(s) Port destination Connexion TSE sur serveur • (V)LAN ADMIN et (V)LAN PEDA du site principal • (V)LAN ADMIN et (V)LAN PEDA du site distant • Poste nomade Serveur du (V)LAN ADMIN du site ICMP echo request, TCP 3389 (MS RDP) et TCP/UDP 445 (MS DS) Tunnel OpenVPN site à site PfSense du site distant (esclave) PfSense du site principal (maître) UDP 1195 Tunnel OpenVPN nomade (site ne disposant pas de serveur pfSense) Adresse IP publique du site nomade PfSense du site principal (maître) UDP 1194 Maintenance CNERTA Serveurs site principal Plage adr. IPs publiques CNERTA UDP 500, 2746, 18233 et 18234 TCP 500, 256, 264, 18231 et 18232 Mises à jour et livraisons Serveurs site principal TCP 443 (HTTPS), 80 (HTTP) et 21 (FTP) Accès DNS Serveurs site principal IPs des serveurs DNS UDP 53 Règles surle serveur pfSense du site distant (esclave) pour le tunnel OpenVPN À écrire pour l'interface ADMIN Les règles autorisent, sur l'interface ADMIN, le trafic provenant du (V)LAN ADMIN (ADMIN net) à destination de l'adresse IP du serveur (alias [dép]IpServeur1) pourleservice MSDS surlesports TCP/UDP 445, leservice MSRDPsurleportTCP 3389 etle service ICMP echorequest, dans lebutd'établir une connexionauserveur. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 40 [dép]IpServeur1 [dép]IpServeur1 [dép]IpServeur1
  41. 41. Règles surle serveur pfSense du site principal pour le tunnel OpenVPN • règle pour établir le tunnel, à écrire pour l'interface WAN La règle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dép]IPWanPfsenseAnt) à destination del'adresse IPpublique duserveurpfSense dusite principal(WAN adress) pourle montage du tunnel OpenVPN surle portTCP1195. • règles pour les services autorisés encapsulés dans le tunnel, à écrire pour l'interface OpenVPN Les règles autorisent, sur l'interface OpenVPN, le trafic provenant des adresses IP de tous les réseaux sources (alias [dép]TsLANsSourcesCnxServ1) à destination de l'adresse IP du serveur 1(alias [dép]IpServeur1) pour le service MS DS surles ports TCP/UDP 445, le service MS RDP surle portTCP 3389et le serviceICMP echo request, dans le butd'établiruneconnexion TSE auserveur1. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 41 [dép]IpWanPfsenseAnt1 [dép]TsLANsSourcesCnxServeur1 [dép]TsLANsSourcesCnxServeur1 [dép]TsLANsSourcesCnxServeur1 [dép]IpServeur1 [dép]IpServeur1 [dép]IpServeur1
  42. 42. AnnexeAnnexe 55 – Les «– Les « bogon »bogon » ou adresses IP «ou adresses IP « invalidesinvalides »» Les adresses IP invalides ou « bogon » sont des adresses IP réservées par l’IANA (Internet Assigned Numbers Authority) pour des usages spécifiques ; c’est le cas des adresses IP privées définies par le RFC 19183 ou encore des classes d’adresses D et E4 . Dans cette catégorie, nous trouvons également les adresses IP non assignées par l’IANA à aucun Registre Internet Régional (RIR)5 . Des listes détaillées et régulièrement actualisées de ces adresses sont publiées sur les sites web de quelques groupes de travail. Il apparaît, ainsi, que les adresses IP invalides représentent prés de 40% de l’espace d’adressage IP total. Bien que les adresses invalides n’aient pas de raison d’être routées sur Internet, il arrive fréquemment à ces adresses d’être routées sur certaines portions de l’Internet et d’être utilisées par des personnes ou des organisations malveillantes afin de conduire, d’une façon anonyme, des attaques de déni de service, des envois massifs de messages non sollicités et des activités de piratage. L’exploitation des blocs d’adresses invalides pour des finalités malveillantes et le fait que la liste de ces adresses soit relativement stable, a poussé les administrateurs de réseaux à mettre en place des règles de filtrage rejetant le trafic lié à ces adresses afin de diminuer le risque de leur exploitation malveillante. Par ailleurs, les adresses « inutilisées » sont des adresses IPallouées à organisme particulier qui ne les exploite pas ; ainsi la présence de trafic utilisant ces adressesest par nature suspecte. Cependant, une différence essentielle existe entre les adresses IP invalides et celles inutilisées : en effet, les premières sont publiées sur Internet, alors que les secondes sont inconnues sauf pour les administrateurs du réseau concerné. 3 La RFC 1918 définitun espace d'adressage privé permettantà toute organisation d'attribuer des adresses IP aux machines de son réseau interne. Il s’agit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et192.168.0.0/16. 4Les adresses de la classe D sontutilisées pour les communications multicast, alors que ceux de la classe E sont utilisées pour la recherche. 5 Un Registre InternetRégional (RIR), alloue les adresses IP dans sa zone géographique à des opérateurs réseau et des fournisseurs Internet. Il existe aujourd'hui cinq RIRs. Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 42
  43. 43. Annexe 7Annexe 7 : nommage des interfaces sous FreeBSD: nommage des interfaces sous FreeBSD Vous trouverez des indications de nommage des interfaces ici (http://doc.pfsense.org/index.php/ALTQ_drivers) et ici (http://www.gsp.com/support/man/section-4.html). En mode console sur le serveur (8 Shell), vous obtenez la liste des interfacesavec la commande ifconfig. Annexe 8Annexe 8 : notation CIDR: notation CIDR Vous trouverez des informations sur Comment ça marche (http://www.commentcamarche.net/contents/internet/le-cidr) et un calculateur CIDR ici (http://www.subnet-calculator.com/cidr.php) Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 44
  44. 44. Annexe 9Annexe 9 : erreurs: erreurs Voici un résumédes erreurs rencontrées oucommises. « acd0: FAILURE - READ_BIG MEDIUM ERRORasc=0x11 ascq=0x00» Causes/solutions Problèmeavec le lecteur optique : àpriori,neporte pasdepréjudice àl'installation Le trafic ne passe pas, malgré une écriture correcte des règles Définition incomplèted'unalias (par exemple,pour unalias réseau créé : pasde renseignementde plaged'adresse!) Montage tunnel impossible Causes/solutions Oublid'écriturede larèglesur l'interfaceWANpour autoriser le fluxliéau tunnel Erreur deportentre celuiconfiguré pour leserveur VPN etlarèglecorrespondante sur l'interfaceWAN Accès impossible à l'interface web de configuration via tunnel nomade Causes/solutions Siaffichage dumessage« AnHTTP_REFERERwas detectedother than whatisdefinedinSystem ->Advanced (https://10.54.102.1/index.php).YoucandisablethischeckifneededinSystem ->Advanced->Admin.», désactiver «HTTP_REFERER enforcementcheck »(lacase« Disable HTTP_REFERERenforcementcheck » dois être cochée) Oublid'écritured'unerègledans l'interfaceOpenVPNquiautorise àaccéder àl'interface (enHTTPS par exemple) Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 45
  45. 45. Table des matières Avant-propos..........................................................................................................................................................................................1 Au préalable de l’installation........................................................................................................................................................2 Services................................................................................................................................................................................................2 Architecture et adressage.........................................................................................................................................................2 Documentation et aide...............................................................................................................................................................2 Rappels et recommandations................................................................................................................................................3 Application pfSense et compatibilité.................................................................................................................................3 Schéma de principe............................................................................................................................................................................4 Installation ..............................................................................................................................................................................................5 Brassage des ports RJ45 pour identification des interfaces...............................................................................5 Boot et lancement de l'installation.....................................................................................................................................5 Paramétrage de la console.......................................................................................................................................................5 Type d'installation........................................................................................................................................................................6 Configuration des interfaces réseau..................................................................................................................................6 Identification des interfaces.............................................................................................................................................6 Pas de mise en place de VLAN.........................................................................................................................................6 Assignation des interfaces.................................................................................................................................................7 Configuration en ligne de commande de l'adressage des premières interfaces..............................8 Poursuite de l'installation via l'interface web ...................................................................................................................8 Préalable.............................................................................................................................................................................................8 Utilisation de l'assistant de configuration......................................................................................................................9 Vérification, modification et complétion du paramétrage des interfaces...................................................9 Onglet 'Interface assignments' .......................................................................................................................................9 Onglet 'VLANs'.........................................................................................................................................................................9 Vérification, complétion et modification de la configuration, interface par interface..................9 Onglet 'Interface Groups'.................................................................................................................................................10 Sécurité – configuration avancée......................................................................................................................................10 Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 46
  46. 46. Notifications..................................................................................................................................................................................11 Mise à jour de pfSense...................................................................................................................................................................12 Sauvegarde de la configuration................................................................................................................................................12 Installation de paquets ou packages supplémentaires............................................................................................13 Outil d'exportation des clients OpenVPN....................................................................................................................13 Outil de prévention et détection d'intrusion.............................................................................................................13 Serveur mandataire (proxy / cache web)...................................................................................................................13 Filtre URL proxy cache web.................................................................................................................................................13 Définition des alias : un préalable à l'écriture des règles.........................................................................................14 Écriture des règles...........................................................................................................................................................................15 En pratique.....................................................................................................................................................................................16 Une astuce.......................................................................................................................................................................................16 Écriture/édition des règles..................................................................................................................................................17 Accès à l'interface web de configuration de pfSense et désactivation de la règle de protection « anti-lockout »............................................................................................................................................................................17 Changement de l'ordre des règles....................................................................................................................................17 Mise en place d'une liaison site à site via un tunnel OpenVPN pour accès à serveur.............................18 Configuration côté serveur du tunnel OpenVPN.....................................................................................................18 Configuration côté client .......................................................................................................................................................19 Règle pour autoriser le montage du tunnel OpenVPN site à site..................................................................19 Règles pour autoriser le trafic dans le tunnel OpenVPN site à site..............................................................20 Mise en place d'une liaison nomade au serveur............................................................................................................21 Création du certificat d'autorité........................................................................................................................................21 Création de l'utilisateur..........................................................................................................................................................21 Création et configuration du tunnel nomade............................................................................................................22 Écriture des règles.....................................................................................................................................................................24 Export du client Windows.....................................................................................................................................................25 Création d'un tunnel IPsec..........................................................................................................................................................25 Entre deux serveurs applicatifs pfSense......................................................................................................................25 Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 47
  47. 47. Entre un serveur applicatif pfSense et un serveur IPCOP.................................................................................25 Permettre un accès nominatif à l'Internet depuis le (V)LAN « INVITE ».......................................................26 Configuration des filtres du serveur mandataire (proxy).................................................................................26 Activation et configuration du serveur mandataire (proxy)............................................................................28 Activation et configuration du portail captif (attention : partie incomplète et probablement erronée)............................................................................................................................................................................................29 Écriture des règles sur l'interface INVITE...................................................................................................................30 Autoriser l'utilisation d'une application utilisant des ports spécifiques...........................................30 Autoriser l'utilisation des services du web..........................................................................................................30 Isoler le (V)LAN « INVITE » (vérifier si nécessaire).......................................................................................30 Activation de l'interface et du service DHCP sur le (V)LAN « INVITE »....................................................31 Activer la redirection DNS..............................................................................................................................................31 Activer le DHCP sur l'interface INVITE...................................................................................................................31 Autoriser la maintenance, les mises à jour et les livraisons du CNERTA........................................................31 Communication entre les interfaces (d'un (V)LAN à l'autre)................................................................................32 Export du client OpenVPN pour Windows ou de la configuration viscosité pour MAC........................33 Analyser le trafic : utilisation de Snort................................................................................................................................34 Annexe 1 : extraits du dossier de montage du projet de déploiement des serveurs « pfSense» en Lorraine..................................................................................................................................................................................................35 Spécificités du réseau informatique d'un site régional d'un EPL..................................................................35 Objectifs de déploiement des serveurs dits « pfSense ».....................................................................................35 Architecture cible.......................................................................................................................................................................36 Adressage (V)LANs et VPNs..........................................................................................................................................36 Serveur : interfaces, ports Ethernet et (V)LANs associés..................................................................................36 Annexe 2 – les alias (Aliases).....................................................................................................................................................37 Focus sur certains alias Firewall : Aliases : Edit................................................................................................37 Annexe 3 – configuration des tunnels OpenVPN...........................................................................................................38 Côté serveur du tunnel OpenVPN site à site (pfSense du site principal).................................................38 Côté client du tunnel OpenVPN site à site (pfSense du site secondaire)..................................................39 Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 48
  48. 48. Annexe 4 – Règles d'autorisation du trafic des services...........................................................................................40 Tableau récapitulatif (exemples)......................................................................................................................................40 Règles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN..............................40 Règles sur le serveur pfSense du site principal pour le tunnel OpenVPN...............................................41 Annexe 5 – Les « bogon » ou adresses IP « invalides » ............................................................................................42 Annexe 6 – Certificats...................................................................................................................................................................43 D'autorité.........................................................................................................................................................................................43 D'utilisateur...................................................................................................................................................................................43 Annexe 7 : nommage des interfaces sous FreeBSD......................................................................................................44 Annexe 8 : notation CIDR.............................................................................................................................................................44 Annexe 9 : erreurs............................................................................................................................................................................45 « acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 »...................................................45 Le trafic ne passe pas, malgré une écriture correcte des règles....................................................................45 Montage tunnel impossible..................................................................................................................................................45 Accès impossible à l'interface web de configuration via tunnel nomade................................................45 Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 49

×