Rapport finiale

5 931 vues

Publié le

Sujet de Mise en place d'un firewall PfSense

Publié dans : Technologie
0 commentaire
11 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 931
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
578
Commentaires
0
J’aime
11
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Rapport finiale

  1. 1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Direction Générale des Etudes Technologiques Institut Supérieur des Etudes Technologiques de Bizerte Département Technologies de l'Informatique Référence Dép. TI AN 2013 N° RSI 16.13 Rapport de PROJET DE FIN D’ETUDES En vue de l’obtention de : Licence Appliquée en [Réseau et System Informatique] Mise en place d’un firewall open source PfSense Elaboré par : Marwen Ben Cheikh Ali & Khlifa Hammami Encadré par : Mme Afef Gafsi (ISET) Mme Manoubia GAABAB (ISET) Mr Soufien Abiidi (ENTREPRISE) Effectué à : Entreprise : Tunisie Trade Net (TTN)  Adresse : (Rue de lac d’Annecy, Immeuble STRAMICA 1053, Les Bergees du lac)  Tel : (71 861 712)  Mail : ( sofien.abidi@tradnet.com.tn) Année universitaire : 2012/2013
  2. 2. Dédicace J’ai le grand plaisir de dédier ce travail en témoignage d’affectation et de reconnaissance à tous ceux qui m’ont aidé à le réaliser. A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance ainsi que mon binôme dans ce travail Hammami Khifa qui m’accompagnée durant toutes mes études universitaires, à tous mes collègues de travail qui m’ont donné du courage pour continuer les études et pour préparer ce diplôme et enfin aux Enseignant et Encadreur de l’ISET qui nous ont donné confiance et espoir et qui nous ont soutenus durant tout le cursus universitaire de cette année. Marwen Ben Cheikh Ali Je dédie ce travail à tous ceux qui m’ont aidé de près ou de loin à la réalisation de mon projet fin d’étude. Mes vifs et sincères remerciements s’adressent aux âmes de mes chers parents, sans oublier mon binôme dans ce travail Marwen Ben Cheikh Ali et aussi à mes frères pour leur soutien et ses biens faits qu’il m’apporté tout au long de ce stage et enfin à tous mes professeurs et mes amis. Hammami Khifa
  3. 3. Remerciement C’est avec le plus grand honneur que nous avons réservé cette page en signe de gratitude et de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation de ce rapport de stage. Nos remerciements s’adressent à Mr Khaled Marzouk, le directeur général de l’Entreprise Tunisie TradNet(TTN) qui nous a accueillies dans son établissement. Nos remerciements vont aussi à notre encadreur Mr Abidi Sofien qui assuré notre encadrement tout au long de ce stage et par leurs conseils et leur aides précieux, nous a guidés pendant notre projet. Notre sincère gratitude s’adresse également à tous nos enseignants du département informatique du l’Institut Supérieur des Etudes Technologies de Bizerte qui ont assuré notre formation pendant ces trois années d’étude. De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont fait en acceptant de juger notre travail.
  4. 4. Sommaire Introduction Général…………………………………………………………………………...1 Chapitre 1 : Présentation du cadre du stage……………………………………………………2 1. Présentation de la société……………………………………………………………….2 1.1. Historique……………………………………………………………………………2 1.2. Domaine d’activité…………………………………………………………………..2 1.3. Organigramme……………………………………………………………………….4 2. Etude de l’existant………………………………………………………………………5 3. Description de l’existant………………………………………………………………...5 4. Critique de l’existant……………………………………………………...……...……..7 5. Objectifs ………………………………………………………………………………..8 6. Solution proposée……………………………………………………………………….8 7. Planification du projet……………………………………………………...…...………9 Chapitre 2 : Etat de l'art……………………………………………………………………….11 1. Définition Free BSD……………...………………………………………………......11 2. Portail Captif de free BSD……...……………………………………………….........11 3. Etude des différents portails captifs free BSD……..........……………………………12 3.1. WifiDog……...……………………………………………….................................13 3.2. Talweg…...…………………………………………………..................................13 3.3. NoCatSplash……...………………………………………………..........................14 3.4. Tableau comparaison de Free BSD………………………………..........................15 4. Choix de la solution pfsense…………………………...............................................15 4.1. Présentation de pfsense ……………………………...............................................15 4.2. Objectifs…………………………….......................................................................16 4.3. Avantage ……………………………......................................................................16 5. VPN Client……………………………........................................................................17 5.1 Présentation………………………………………………………………...……...17 5.2 Open VPN...…………………….............................................................................18 5.3 Limitation d’open VPN…...…….............................................................................19 Chapitre 3 : Mise en place du pare feu……………………………….....................................20 1. Configuration de pfsense sous Vmware………………………………........................20 1.1. Partie WAN………………………….....................................................................20
  5. 5. 1.2. Partie des interfaces réseaux…………………………............................................21 1.3. Configuration du serveur PfSense……………………...........................................24 2. Portail Captif…………………….......................................................................................26 2.1. Description des différentes options de PFsense.......................................................27 2.2. Configuration à travers l’interface web....................................................................30 Chapitre 4 : Paramétrage et test des packages de PfSense.......................................................35 1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD.............................................................35 1.1. Bloquage des sites web ..........................................................................................35 1.2. Configuration de Squid ..........................................................................................36 1.3. Configuration de SquidGuard.................................................................................37 1.4. Spécification de la Common Access List ..............................................................37 1.5. Filtrage des sites web .............................................................................................38 2. Configuration du server Open VPN………........................................................................40 3. Détection et Prévention d’Intrusion Réseau « SNORT » ...................................................46 3.1. Maquette de test................................................................................................47 3.2. Installation et configuration de SNORT...........................................................47 3.3. Test de la solution.............................................................................................50 4. Partage de la Bande Passante « TRAFFIC SHAPER »…………......................................52 4.1. Maquette de test………....................................................................................52 4.2. Configuration de TRAFFIC SHAPER.............................................................53 5. Supervision de la Bande Passante «NTOP » .....................................................................56 5.1. Maquette de test............................................................. ..................................56 5.2. Installation et configuration .............................................................................57 5.3. Scénarios d’utilisation de NTOP .....................................................................59 Conclusion Générale………………………………………………………………………….61 Netographie…………………………………………………………………………………...62
  6. 6. Liste des Figures Figure 1: Organigramme de la Société…………………………………………………………4 Figure 2: L’architecture informatique de la Tunisie Trade Net………………………………..6 Figure 3: Architecture proposée du réseau de Tunisie Trade Net…………….………………..9 Figure 4 : Portail Captif……………………………………………………………………….12 Figure 5: Principe du portail captif Talweg…………………………………………………...14 Figure 6: Architecture NoCat…………………………………........…………………………14 Figure 7: le réseau informatique avec notre application PfSense…………………….............17 Figure 8: Configuration de carte réseau WAN………………………………………………..20 Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor………………...21 Figure 10: Configuration de carte réseau Administrateur………………………………….....21 Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor……..22 Figure 12: Configuration de carte réseau DMZ………………………………………………22 Figure 13: Configuration de carte réseau DMZ sous Virtual Network Editor….……………23 Figure 14: Configuration de carte RéseauLAN………………………………………………23 Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor………...24 Figure 16: configuration des interfaces réseau Administrateur et interface WAN…………...25 Figure 17: configuration de l’interface DMZ ………………………………………………...25 Figure 18: configuration de l’interface RéseauLAN..........................................................…...26 Figure 19 : Schéma théorique d’un portail captif.....................................................................27 Figure 20: configuration des interfaces réseaux sur serveur PfSense ……………………….28 Figure 21 : Configuration de base de système………………………………………………..31
  7. 7. Figure 22 : paramétrage de base……………………………………………………………...32 Figure 23 : Activation de SSH……………………………………………………………......32 Figure 24 : Accées sécurisé du WebGUI……………………………………………………..32 Figure 30: création de certificat………………………………………………………………41 Figure 31: Vérification de clé de certification………………………………………………..41 Figure 32: Association de certificat aux client………………………………………………..42 Figure 33 :Utilisation d’OpenVPN Wizard…………………………………………………..42 Figure 34: choisir le certificat………………………………………………………………...43 Figure 35: Création de certificat serveur……………………………………………………...43 Figure 36 : choisir l’alogoritheme de cryptage……………………………………………….44 Figure 37: modifier l’adresse de TUNNEL…………………………………………………..44 Figure 38: Exportation d’archives de configuration………………………………………….45 Figure 39: Authentification d’OpenVPN……………………………………………………..46 Figure 40: Maquette de test de SNORT… …………………………………………………...47 Figure 41: Installation de package SNORT…………………………………………………..47 Figure 42: Activation et configuration du service……………………………………………48 Figure 43: Sépcification des catégories………………………………………………………49 Figure 44: Vérification des alertes……………………………………………………………50 Figure 45: Test de la solution…………………………………………………………………51 Figure 46 : vérification des Alerts ……………………………………………………………51 Figure 47: maquette de test bande passante…………………………………………………..52 Figure 48 : teste de débit initial……………………………………………………………….53 Figure 49: Ajoute un limite de download ‘‘down_limit’’…………………………………….54
  8. 8. Figure 50: Ajoute un limite de download ‘‘up_limit’’ ………………………………………54 Figure 51:Ajouter un Client…………………………………………………………………..55 Figure 52:Association des limiteurs au Client………………………………………………..55 Figure 54: test de Bande Passante sur un client de RéseauLAN……………………………..56 Figure 54: Maquette de test de ntop…………………………………………………………..57 Figure 55 : Installation de packge de ntop……………………………………………………57 Figure 56 :Configuration de compte d’administrateur………………………………………..58 Figure 57 : Interface d’écoute………………………………………………………………...58 Figure 58 : Le rapport de trafic……………………………………………………………….58 Figure 59 : La répartition totale du trafic par protocole………………………………………59 Figure 60 : diagramme de trafic par service…………………………………………………..59 Figure 61 : Interface des hôtes connectés…………………………………………………….60
  9. 9. Introduction Général Vu l’importance et l’obligation de l’élaboration d’un pare-feu, chaque organisme doit établir un pare-feu pour la sécurité informatique périodiquement afin d’identifier ses sources de menace et ces dégâts informationnels. Portant de cette idée, nous avons décidé d’établir un rapport d’un Pare-feu de sécurité informatique. Un pare-feu (appelé aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais), est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant ou minimum les interfaces réseau suivante :  Une interface pour le réseau à protéger (réseau interne) ;  Une interface pour le réseau externe. Ainsi ce rapport est scindé sur trois parties primordiales : La première partie est axée sur les différentes phases ou bien les types de pare-feu réparti sur l’analyse. La deuxième partie présente une étude pratique qui définie la mise en place d’un pare-feu. La troisième partie comporte une étude théorique qui définie le thème d’un pare-feu de la sécurité informatique.
  10. 10. Chapitre 1 : Présentation du cadre du stage Chapitre 1 : Présentation du cadre du stage 2 1. Présentation de la société 1.1. Historique La société Tunisie Trade Net gère, depuis sa création en février 2000, un réseau informatique qui relie les différents intervenants dans les procédures du commerce extérieur en Tunisie (Banques, Administrations, Douanes,…). Sous la tutelle du ministère des finances tunisien depuis 2002, TTN s’intègre dans le projet de l’administration en ligne. Le Projet a pour but de faciliter les procédures du commerce extérieur, d’en assurer la traçabilité, et de réduire les délais de séjour des marchandises aux ports. Ainsi, La solution apportée par Tunisie TradeNet permet aux différents opérateurs: Entreprises, Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les différentes formalités d’importation et d’exportation en mode électronique. Outre son rôle en tant qu’intermédiaire dans les échanges de documents relatifs aux procédures de commerce extérieur en mode électronique, Tunisie TradeNet se distingue en tant que société de services et d'ingénierie informatique SSII. 1.2. Domaine d’activité  Références dans le transport : Développement interfaçage Laisse Transport, application manifeste.  Connaissances des systèmes d’exploitation : UNIX (SOLARIS), Windows 9x, NT, 2000, LINUX et XP  Compétences en SGBD: ORACLE – SQL SERVER  Compétence en architecture de systèmes :  Mise en place de plates-formes équivalentes à celle de TradeNet  Mise en place de la plate forme d’échange de données du GUCE au port de Douala Cameroun  Compétences en outils de développement de systèmes : (JSP, JAVA, C++, VISUAL C++)  Compétences en développement de sites WEB : Site TTN, Site GUCE Douala
  11. 11. Chapitre 1 : Présentation du cadre du stage  Compétences en développement de portail Internet : Portail TTN, Portail GUCE 3 Douala  Compétences en développement d'applications dans le domaine de la gestion informatisée : Application transitaire, agent maritime, organisme de contrôle technique à l’importation, interfaçage  Réseaux et Sécurité des systèmes : Définition et amélioration de la solution de sécurité de la PLATE- FORME TradeNet.  Connaissances des réseaux de télécommunication nationaux et internationaux : (X25, Frame Relay, LS, RTC)  Compétences en développement d'applications sécurisées : (solution d'authentification forte)  Procédures du transport international et rôle des partenaires du transport : Etude et analyse fonctionnelle des procédures et des circuits des flux documentaires entre les intervenants de la communauté portuaire Tunisienne.  Procédures douanières : Analyse fonctionnelle des procédures douanières et développement des procédures électroniques équivalente dans le cadre du projet Liasse Unique Et Liasse Transport (dédouanement à l’importation, admission temporaire, régime suspensif, transit, dédouanement à l’exportation, déclaration du manifeste douanier….)
  12. 12. Chapitre 1 : Présentation du cadre du stage 4 1.3. Organigramme Figure 1: Organigramme de la Société
  13. 13. Chapitre 1 : Présentation du cadre du stage 5 2. Etude de l’existant 2.1. Description de l’existant Le réseau de l'entreprise met en oeuvre des données sensibles, les stocke, les partage en interne et les communique parfois à d'autres entreprises ou personnes. Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur ou de risquer la confidentialité des données de l’entreprise. Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes. Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur. La société travaille dans un environnement basé sur le système d’exploitation Unix. Elle est caractérisée par un très grand nombre de serveurs à gérer :  Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requêtes respectant le protocole de communication client-serveur, qui a été développé pour le World Wide Web. Un serveur HTTP utilise alors par défaut le port 80.  Serveur FTP : (File Transfer Protocol) est un serveur utilisant un protocole de communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Cette communication va permettre le partage de fichiers entre machines distantes, et utilise le port 21 par défaut.  serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages texte ASCII vers des hôtes disposant de services de courrier, Il utilise le port TCP 25.
  14. 14. Chapitre 1 : Présentation du cadre du stage L’architecture du réseau de l’entreprise se présente comme suit : Figure 2: L’architecture informatique de la Tunisie Trade Net L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier ni la disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la détection des défaillance des équipements (charge CPU, Etat mémoire, surcharge des disque...). Il ne peut contrôler non plus les surcharges et pénurie temporaire des ressources. Le seul moyen de détecter ces anomalies ne peut se faire que par la réception des différentes plaintes et réclamations des différents utilisateurs. 6 Les moyens de la sécurité adoptée :  Portail captif (mécanisme d’authentification) : cette interface va jouer le rôle d’une passerelle sécurisée dans le but d’authentification avant l’accès Internet.
  15. 15. Chapitre 1 : Présentation du cadre du stage  VPN c’est un tunnel sécurisé.  Système de détection et prévention d’intrusion réseau (SNORT) : pour protéger le système d’information de la Société contre les attaques.  Partage de bande passante (TRAFFIC SHAPER) et supervision de bande passante 7 (NTOP).  Filtrage URL (SquidGuard) : va permettre à la société d’appliquer la politique de sécurité pour l’autorisation de l’accès aux sites web.  Mise en place d’un serveur proxy (proxy cache)  Personnalisation du thème (on peut change le thème de page Web de PfSense)  Backup (pour sauvegarder la configuration du serveur PfSense) : Ce module va permettre à la TTN d’appliquer une solution de backup pour le serveur PfSense pour avoir une solution de secours en cas de panne du serveur PfSense afin d’éviter de répéter toute la configuration. 2.2. Critique de l’existant Se souciant de sa réputation et concerné par la satisfaction et le confort de ses clients, la société veut à tout prix éviter la confrontation des clients mécontents afin éviter le risque de les perdre, et ce en veillant à offrir une meilleure qualité de services à sa clientèle et en anticipant les pannes et en évitant les arrêts de longue durée pouvant avoir de mauvaises conséquences aussi bien financières qu’organisationnelles. Le système existant présente de nombreux problèmes qui se résument aux points suivants :  L’architecture de réseau TTN possède un très grand nombre de postes et de serveurs qui rend la gestion de ce réseau une tâche délicate.  L’ouverture de la société vers l'extérieur est indispensable et dangereuse en même temps et peut laisser place aux étrangers pour pénétrer au réseau local de l'entreprise, et notamment accomplir des actions douteuses de destruction ou de vol d'informations.  L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et externe. Le but de notre projet est de trouver une solution pour remédier à tous ces problèmes et ce en permettant de :
  16. 16. Chapitre 1 : Présentation du cadre du stage  Réaliser une meilleure gestion des serveurs pour améliorer la communication et assurer une stabilité des équipements et un bon monitoring de leurs états et offrir ainsi la possibilité de faire face aux problèmes rencontrés.  Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de les traiter le plus rapidement possible.  Sécuriser et contrôler les accès externes aux données ainsi que le partage et transfert interne des données, vu le nombre important des utilisateurs internes et externes de système réseaux.  Mettre à niveau le réseau local de la société puisque l’infrastructure existante ne répond plus aux besoins croissant en bande passante (nombres d’accès externes en croissance).  Apporter la sécurité essentielle afin de bloquer les virus.  Interdire l’accès à certains sites et filtrer les pages Web. 8 2.3. Objectifs L’objectif de notre stage est d’implémenter une architecture réseau sécurisée, dans un environnement Linux, comprendre les problématiques liées aux attaques réseau intégrer des outils de sécurité et de surveillance réseau, déployer des solutions sous Linux :  Mise en place d’un serveur firewall open source vu la multiplicité et la vitesse de mutation des attaques, en plus des dispositifs spécialisés pour la protection des accès internet.  Sécuriser un système informatique : à travers le package SNORT est un système open source de prévention et détection d'intrusions (IDS/IPS) sur les réseaux, 2.4. Solution proposée La gestion des serveurs distants et le monitoring de ses équipements étant le plus grand souci de l’administrateur. Nous avons jugé nécessaire de mettre en évidence un outil pour contrôler le fonctionnement du réseau, d’étudier les données collectées et de définir des seuils d’alertes qui peuvent servir pour le déclenchement des alertes lors de détection des problèmes. Il s’agit donc et sans doute d’une mise en place d’un composant firewall. Notre choix porte sur le logiciel PfSense Open Source qui pourra, grâce à ses différentes fonctionnalités,
  17. 17. Chapitre 1 : Présentation du cadre du stage d’apporter la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives d'intrusion. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi convenablement le réseau de la société. Ceci doit se réaliser sans encombrer le réseau avec des activités non essentielles. La nouvelle architecture proposée pour réseau de la société Trade Net est la suivante : Figure 3: Architecture proposée du réseau de Tunisie Trade Net 9 3. Planification du projet Pendant ces quatre mois de travail nous avons fait de notre mieux pour s’enchaîner au plan suivant :
  18. 18. Chapitre 1 : Présentation du cadre du stage  Premier Mois : C’est la période que nous avons consacré à la préparation des outils de travails et à la documentation et la formation sur le logiciel PfSense.  Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise en place de PfSense et créer le démarche de sécurité.  Troisième mois : Nous avons pu enfin entamer la configuration de serveur proxy sous PfSense et faire les étapes de sécurité proposée.  Quatrième mois : la réalisation de l’application : la mise en place de la solution PfSense au niveau du réseau local de l’entreprise TTN. 10 Conclusion Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que les défaillances de l’architecture réseau actuelle, et nous avons fini par proposer une nouvelle architecture qui mettra fin aux failles de sécurité du réseau de Tunisie Trade Net. Suite à l’étude et à la critique de l’existant, les problèmes que rencontre la société ont été soulevés ce qui nous a permis de cerner la problématique de notre projet. Nous avons par la suite proposé des solutions : c’est une seule solution que vous avez proposé et finalement nous avons fixé notre choix des outils que nous avons jugé convenables pour la société. Le chapitre suivant sera consacré à une étude de l’état de l’art qui comprend une étude comparative de différents produits du marché afin de justifier nos choix et de clarifier les aspects techniques de notre solution.
  19. 19. Chapitre 2 : Etat de l’art Chapitre 2 : Etat de l'art 11 Introduction Suite à l’étude de l’existant de la société TTN, nous avons présenté les problèmes et la solution proposée pour aider l’administrateur à contrôler le fonctionnement du serveur proxy et lui permettre d’expliquer certaines situations de surcharge ou encore de mauvaise utilisation. Cependant, La solution proposée de mise en place d’un firewall, nous ramène à étudier les différents produits disponibles sur le marché et faire notre choix. Ceci ne peut être fait indépendamment de l’environnement de travail du réseau de la société TTN. La société TTN travaille sur l'étude de solutions de filtrage de flux Internet basées sur des logiciels Open Source basé sur le système d’exploitation Free BSD. 1. Définition Free BSD [1] Le système d’exploitation UNIX développé à l'université de Berkeley, elle contient quatre BSD Open Source : Net BSD (fonctionne sur des ordinateurs de poche que sur des gros serveurs, et a été utilisé par la NASA dans le cadre de missions spatiales), Open BSD (vise la sécurité et la pureté du code: utiliser dans les banques, les bourses) et Dragon Fly BSD, mais dans notre projet on utiliser le système d’exploitation FreeBSD est un système d'exploitation UNIX libre. L'objectif du projet FreeBSD est de fournir un système qui peut servir à tout, avec le moins de restrictions possibles. FreeBSD vise les hautes performances et la simplicité d'utilisation pour l'utilisateur final. Il est l'un des systèmes d'exploitation favoris des fournisseurs de contenu sur le Web. Il fonctionne sur de nombreuses plates-formes. 2. Portail Captif de FreeBSD [2] : Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via une page web stockée localement sur le portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. La
  20. 20. Chapitre 2 : Etat de l’art connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui garantit l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe) sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une nouvelle session. Figure 4 : Portail Captif [3] Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou à travers un point d'accès wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de configuration du réseau. A ce moment là, le client a juste accès au réseau via la passerelle. Cette dernière lui interdit momentanément l'accès au reste du réseau. Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau. 3. Etude des différents portails captifs free BSD : [3] Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les principaux : 12
  21. 21. Chapitre 2 : Etat de l’art 13 3.1. WifiDog [5] Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds installés au minimum.  Fonctionne sur des plateformes embarquées ou autres  Se compose de deux parties:  WifiDog Authentification Server : serveur d'authentification  WifiDog Gateway: passerelle filtrante du système de portail captif dépendances (un serveur web Apache mode SSL, un serveur DHCP, un serveur DNS, un pare-feu netfilter). Les inconvénients de WifiDog sont :  La consommation en ressource réseau est extrêmement faible.  Elle utilise seul le port 80 passe.  la bande passante demandée est très faible. 3.2. Talweg[4] Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*. Talweg présente de nombreux points intéressants :  Une authentification sécurisée.  Du multifenêtrage.  Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ;  La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par copier/coller. En revanche, il y a des points négatifs :  Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du tout avec les pages ASP.  Il est impossible d’enregistrer des liens issus de la réécriture des URLs.
  22. 22. Chapitre 2 : Etat de l’art  Il n’y a pas de gestion de la durée de connexion des utilisateurs. Figure 5: Principe du portail captif Talweg [5] 14 3.3. NoCatSplash Le logiciel NoCatSplash est un portail web captif destiné à sécuriser le partage d’une connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent s’authentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement les règles Iptables* du firewall pour ouvrir certains ports pour l’utilisateur (uniquement TCP avec NoCatAuth-0.82). NoCatAuth nécessite les droits root pour manipuler les règles Iptables*. NoCatSplash est une solution idéale pour les petites structures ou personnes souhaitant partager facilement une partie de leur bande passante en offrant notamment un contrôle sur les ports autorisés. Figure 6: Architecture NoCat
  23. 23. Chapitre 2 : Etat de l’art 3.4. Tableau comparaison de Free BSD NoCatSplash Talweg Wifidog PfSense 15 Simplicité d'installation Plus important Nom Disponible Important Important Infrastructure nécessaire Plus important Nom Disponible important Important Performances réseau Plus important Plus important Plus important Plus important Gestion utilisateurs Nom Disponible Plus important important Important Sécurité authentification Nom Disponible Plus important Plus important Plus important Sécurité communications Nom Disponible Plus important Nom Disponible Plus important Etude comparative des différents portails captifs 4. Choix de la solution « pfSense » [5] Au vu de ce comparatif des différentes solutions de portail captif, PfSense apparaît comme la plus performante et évolutive s'adaptant aux attentes de One Voice Line. Elle répond également aux critères de sécurité dont nous avons besoin :  Disponibilité (Base Free BSD, load balancing, etc...)  Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)  Adaptabilité (Statistique très nombreuses avec ntop, etc...)  Mise à jour du système sans réinstallation, packages téléchargeables directement depuis le Web GUI, etc...).  Simplicité d'installation et d'administration. 4.1. Présentation de pfSense PfSense à été crée en 2004 comme un fork du projet mOnOwall, pour viser une installation sur un PC plutôt que sur du matériel embarqué. PfSense est basée sur Free BSD, en visant les fonctions de firewall et routeur.
  24. 24. Chapitre 2 : Etat de l’art PfSense est puissante, en bonne partie car elle est basée sur Free BSD, mais aussi assez simple d'accès, car elle fournit une interface web pour la configuration, (en plus de l'interface console). Je recommande quand même de connaitre les commandes basiques de Free BSD en mode console, au moins pour pouvoir récupérer la configuration en cas d'erreur (par exemple une mauvaise route qui vous empêche de joindre le firewall...). Cette interface web n'est accessible par défaut qu'à partir du LAN. PfSense est une distribution Free BSD dédié firewall / routeur.  Le firewall est basé sur Paquet Filter. Toute la configuration du système est stockée dans un fichier xml (/cf/conf/config.xml).  Performances sont liées au matériel.  L’installation ainsi que la configuration PfSense va se réaliser sur un système d’exploitation de type Free BSD. Il est possible d’émuler le système d’exploitation Free BSD grâce à VMware. 16 4.2. Objectifs Passer en revue les principales fonctionnalités de pfSense à travers une analyse détaillée de son interface.  Apprendre à dimensionner son hardware en fonction de ses besoins.  Installer et mettre à jour son système sur différents supports.  S’initier à la pratique de l’outil en présentant les différents modes d’accès envisageables (Web, port série, SSH).  Procéder aux réglages de base de pfSense (hôte, domaine, serveurs DNS, NTP).  Manipuler et assigner les interfaces du firewall pfSense.  Présentation du fichier XML de configuration /cf/conf/config.xml  Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles opérationnelles.  Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique.  Incidence sur le système du déploiement des paquets. 4.3. Avantage  Simplicité de l’activation / désactivation des modules de filtrage.  Solution riche et performante à moindre coût (basé sur des logiciels libres).
  25. 25. Chapitre 2 : Etat de l’art  Solution légère pouvant être déployé sur des configurations minimales.  Interface web sensible et efficace Figure 7 : le réseau informatique avec notre application PfSense Sous PfSense il existe plusieurs packages disponibles permettent de mettre en place un réseau virtuel privé : un VPN client. 17 5. VPN Client [6] 5.1. Présentation Le VPN client consiste à connecter un nomade informatique a son entreprise via un tunnel sécurise. Ce tunnel est vu comme un tuyau hermétique de bout en bout ferme a ses extrémités par deux portes verrouillées avec une même clef. A l’intérieur de ce tunnel, il y a de l’information qui transite de façon sécurisée puisque personne ne peut accéder à ce qu’il y a dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a l’extrémité de ce dernier et possèdent tous deux la même clef.
  26. 26. Chapitre 2 : Etat de l’art Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client suivant différentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) : 1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL supportant une large gamme de systèmes d’exploitation client. Elle peut être mise en oeuvre en PfSense à partir du package http://openvpn.net/ 2. IPSec: permet la connectivité avec tout dispositif de support standard IPsec. Ceci est le plus généralement utilisé pour la connectivité du site aux installations PfSense. IPSEc peut être mise en oeuvre en PfSense à partir du package http://tools.ietf.org/html/rfc4301 3. L2TP: Cette option va gérer le Layer 2 Tunneling Protocol (L2TP) qui signifie protocole de tunnellisation de niveau 2. Il s’agit d’un protocole réseau utilisé pour créer des réseaux privés virtuels (VPN). Cette technologie peut être mise en place à partir du package http://tools.ietf.org/html/rfc7546 4. PPTP: est une option populaire VPN, car presque tous les OS sont dotés d’un client PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le serveur Pfsense PPTP peut utiliser une base de données d’utilisateur local, ou d’un serveur RADIUS pour l’authentification. PPTP peut être utilisé en pfSense à partir du package : http://www.ietf.org/rfc/rfc2637.txt 18 5.2. OpenVPN OpenVPN est un logiciel libre permettant de créer un réseau privé (VPN). Ce logiciel, disponible dans PfSense, permet à des paires de s’authentifier entre eux à l’aide d’une clé privée partagée à l’avance ou à l’aide de certificats. Pour chiffrer ses données, OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi présente dans PfSense.
  27. 27. Chapitre 2 : Etat de l’art 19 5.3. Limitations d’OpenVPN : OpenVPN IPSec PPTP Clients mobiles Oui Ne support pas NAT-T ce qui empêche l’utilisation de client mobiles derrière du NAT Oui Utiliser IP statiques ou dynamiques Static IP : Oui Dynamic IP : V2.0 Static IP : Oui Dynamic IP : Un seul point final autorisé Static IP : Oui Dynamic IP : Oui Filtrage de traffic VPN Prévu dans la V2.0 Oui Oui Type d’authentification Shared Key, Certificat Pre Shared Key, Certificat Local user database, RADIUS server (Authentification, Accounting) Fonctionnalités du mécanisme non encore implémentées dans PfSense Celles manquantes dans la V2.0 DPD, XAuth, NAT-T et autres Tableau : Limitation d’OpenVPN Conclusion Les différents modèles présentés dans ce chapitre expliquent bien le fonctionnement global du projet. Cette définition nous donne une idée claire sur les principes et les objectifs de l’application¸ et on peut facilement par la suite atteindre la phase de réalisation. Nos travaux nous ont conduits à étudier plus particulièrement le projet pfSense. Cette solution offre des avantages important en termes de filtrage des flux Internet et peut permettre de répondre efficacement à la plupart des problèmes de sécurité et de filtrage des flux Internet.
  28. 28. Chapitre 3 : Installation de PFSense et Configuration des réseaux Chapitre 3 : Installation de PFsense et configuration des réseaux 1. Configuration de pfsense sous VMware 20 1.1. Partie WAN Une carte réseau contient deux interfaces réseau :interne et externe 1.1.1. Interface du carte réseau WAN interne : Pour réseau WAN on coche tous les services activés,par exemple :  VMware br idge protocol  Protocole internet version 6 (TCP IPv6)  Protocole internet version 4 (TCP IPv4)… etc. Figure 8: Configuration de carte réseau WAN
  29. 29. Chapitre 3 : Installation de PFSense et Configuration des réseaux 1.1.2. Interface du carte réseau WAN externe: On configure l’adresse IP en mode bridge pour détecter l’adresse automatiquement. Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor 1.2. Partie des interfaces réseaux : 1.2.1. Configuration carte réseau Administrateur : Pour le réseau Administrateur, nous activons tous les services sauf le service WAN (Vmware Bridge Protocol) afin de pouvoir le configurer manuellement. Figure 10: Configuration de carte réseau Administrateur 21
  30. 30. Chapitre 3 : Installation de PFSense et Configuration des réseaux Ensuite On passe à l’écran suivant,afin de configurer l’adresse IP : L’administrateur saisit l’adresse : 192.168.1.0, adresse de la carte réseau externe de l’administrateur. Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor 1.2.2. Configuration carte réseau DMZ : Pour réseau DMZ , Nous activons tous les services sauf le service WAN (Vmware Bridge Protocol). Figure 12: Configuration de carte réseau DMZ 22
  31. 31. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 6: Configuration de carte réseau DMZ sous Virtual Network Editor 1.2.3. Configuration RéseauLAN : Pour RéseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge Protocol). Figure 14: Configuration de carte réseauLAN 23
  32. 32. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor 1.3. Configuration du serveur PfSense : 1.3.1 Configuration du réseau Administrateur : Après l'installation du logiciel Free BSD pfSense nous avons commencé par configurer l’interface réseau Administrateur. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons changé l’adresse IP Administrateur par l’adresse 192.168.1.1 et donc cette adresse IP va nous permettre l’accès à pfSense via son interface WEB. 24 1.3.2 Configuration du réseau WAN : Après Configuration du réseau Administrateur nous avons commencé par configurer l’interface réseau WAN. Nous avons activé l’adressage dynamique (DHCP) et change l’adresse IP par l’adresse 192.168.137.1 et donc cette adresse IP va nous permettre l’accès à pfSense via son Internet.
  33. 33. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 16: configuration des interfaces réseau Administrateur et interface WAN 25 1.3.3 Configuration du réseau DMZ Nous avons configuré l’interface réseau DMZ et désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168.2.1 et donc cette adresse IP va nous permettre l’accès au réseau DMZ par pfSense. Figure 17: configuration de l’interface DMZ
  34. 34. Chapitre 3 : Installation de PFSense et Configuration des réseaux 26 1.3.4 Configuration du réseauLAN : Configuration d’interface RéseauLAN. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168. 3.1 Figure 18: configuration de l’interface réseauLAN 2. Portail Captif : La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif ne refuse pas une connexion, il la redirige vers une page d’authentification. Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une nouvelle session.
  35. 35. Chapitre 3 : Installation de PFSense et Configuration des réseaux 27 Fonction type d’un portail captif : Si le Client : http://www.google.fr (en passant par le portail…) Portail : redirection vers la page d’authentification locale Client : Login+Mot de Passe SI OK : le client à accès à la page http://www.google.fr Les mêmes paramètres d’authentification du client doivent fonctionner avec tous les protocoles applicatifs (FTP, HTTP,….). Figure 19 : Schéma théorique d’un portail captif [7] 2.1. Description des différentes options de PFsense:
  36. 36. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 20: configuration des interfaces réseaux sur serveur PfSense 28 1) Assign Interfaces : Cela va redémarrer le serveur en réaffectant les interfaces existantes, ou en créant de nouvelles. En choisissant cette option, nous avons ajouté les interfaces : DMZ, Administrateur et réseau LAN 2) Set interface(s) IP address Cette option nous permet d’abord d’ajouter ou de modifier une adresse IP, ensuite soit :  Activer le DHCP sur l’interface : Dans ce cas, nous avons la main pour régler la plage d’adresses IP.  Désactiver le DHCP sur l’interface. Au niveau de cette option, nous avons ajouté les adresses suivantes :  WAN : 192.168.137.5 en activant le DHCP pour les plages : 192.168.137.1 à 192.168.137.100.  Administrateur : l’adresse IP est 192.168.1.1 /24 et en désactivant le DHCP.  DMZ : l’adresse IP est 192.168.2.1 /24 et en désactivant le DHCP  Réseau LAN : l’adresse IP est 192.168.3.1 /24 et en désactivant le DHCP
  37. 37. Chapitre 3 : Installation de PFSense et Configuration des réseaux 29 3) Reset web configurator password Cette option permet de réinitialiser le nom d’utilisateur et le mot de passe Web GUI, respectivement à « admin » et « pfsense ». 4) Reset to factory default Cela permet de restaurer la configuration du système aux paramètres d’usine. Cela n’apporte cependant pas de modifications au système de fichier ou aux paquets installés sur le système d’exploitation. Si les fichiers système ont été endommagés ou modifiés, le meilleur moyen consiste à faire une sauvegarde, et réinstaller PfSense à partir du CD ou autre support d’installation ou également à partir du WebGUI, onglet Diagnostic puis Factory defaults). 5) Reboot system Arrête PfSense et redémarre le système d’exploitation. Cette opération est également possible à partir du WebGUI, onglet Diagnostic puis Reboot. 6) Halt system Arrête proprement PfSense et met la machine hors tension. Cette opération est également possible à partir du WebGUI, onglet Diagnostic puis Halt system). 7) Ping host Ajuste une adresse IP, à qui seront envoyées trois demandes d’écho ICMP. Le résultat du Ping montre le nombre de paquets reçus, les numéros de séquence, les temps de réponse et le pourcentage de perte paquets. Au niveau de cette option, nous avons effectué des tests de Ping vers les différentes interfaces. 8) Shell Démarre une ligne de commande Shell. Cette option est très utile, et puissante. Certaines tâches de configuration complexes peuvent nécessiter de travailler avec les commandes Shell, et certaines tâches de dépannage sont plus faciles à accomplir avec Shell. Cependant, il y a toujours une chance de provoquer des erreurs de manipulation irréparables au système s’il n’est pas manipulé avec soin. La majorité des utilisateurs PfSense ne toucheront peut-être jamais au Shell, ou même ignoreront qu’il existe. Les utilisateurs de Free BSD pourront se auront la majorité des commandes certaines ne sont pas présentes sur le système pfSense, puisque les parties inutiles de l’OS ont été supprimées pour des contraintes de sécurité ou de taille. 9) Pftop Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la bande passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.
  38. 38. Chapitre 3 : Installation de PFSense et Configuration des réseaux 30 10) Filter Logs En utilisant cette option vous verrez toutes les entrées du journal de filtrage apparaissant en temps réel, dans leur sous forme brute. Il est possible de voir ces informations dans le WebGUI (onglet Status Puis System Logs et enfin onglet Firewall), avec cependant mois de renseignements par lignes. 11) Restart webConfigurator Redémarrer le processus du système qui exécute le WebGUI. Dans de rares occasions, un changement sur ce dernier pourrait avoir besoins de cela pour prendre effet, ou dans des conditions extrêmement rares, le processus peut avoir été arrêté pour une raison quelconque. Le redémarrer permettrait d’y rétablir l’accès. 12) PfSense Développer Shell Le Shell du développeur est un utilitaire très puissant qui permet d’exécuter du code PHP dans le contexte du système en cours d’exécution. Comme avec le Shell normal, il peut aussi être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell est principalement utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers au code PHP et au code de base de pfSense. 13) Upgrade from console En utilisant cette option, il est possible de mettre à niveau le VMware de pfSense, et ce en entrant l’URL de l’image pfSense à mettre à niveau, ou grâce à un chemin d’accès locale vers une image téléchargée d’une autre manière. Nous avons travaillé avec la version PfSense 2.0.1, caractérisée par sa stabilité. Cependant grâce à cette option, il nous est possible de mettre à jour facilement notre version. 14) Enable Secure Shell (sshd) Cette option nous permet de changer le statut du démon Secure Shell, sshd. Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit, nous allons détailler les tâches réalisées pour le faire. 2.2. Configuration à travers l’interface web Pour effectuer la mise en place des différents services objets de notre architecture réseau avec le serveur pfSense, nous allons utiliser son interface WEBGUI. L’URL d’accès à l’administration de pfSense est : 192.168.1.1 Cette adresse présente l’interface d’authentification pour configurer Pfsense.
  39. 39. Chapitre 3 : Installation de PFSense et Configuration des réseaux Les paramètres de sécurité d’accès sont offerts par défaut comme suit : 31 - utilisateur: admin - Mot de passe: pfsense. Ainsi, une page d’accueil est affichée. En choisissant le menu System General Setup, on accède à l’interface de configuration générale suivante : Figure 21 : Configuration de base de système Dans cette page, nous avons introduit les données suivantes :  Le nom de la machine : pfSense  Le domaine : localdomain  l’IP DNS : 196.203.80.4 et 196.203.82.4 Nous avons décoché l’option se trouvent dessous (Allow DNS server liste to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le LAN. Ensuite, nous avons modifié le nom et le mot de passe du compte permettent de se connecter sur PfSense. Nous pouvons ensuite activer l’accès à ses pages, via une connexion sécurisée SSL. Pour cela, nous avons activé le protocole HTTPS pour plus de sécurité.
  40. 40. Chapitre 3 : Installation de PFSense et Configuration des réseaux Nous avons entré le port 443 dans Web GUI, port correspondant à SSl. Nous avons ensuite modifié le serveur NTP (Network Time Protocol : qui permet de synchroniser les horloges des systèmes informatiques à travers un réseau) et le fuseau horaire pour régler votre horloge. Enfin, il est conseillé de changer le thème d’affichage de pfSense. En effet, le thème par défaut (metallic), comporte quelques bugs (problème d’affichage, lien disparaissant). Nous avons choisi le thème “ code-red “. Nous obtenons l’interface suivante : Figure 22 : paramétrage de base Ensuite, nous avons choisi le menu « System  Advanced » pour activer la connexion SSH afin d’administrer le réseau à distance sans passer par l’interface graphique. Nous avons introduit le numéro de port SSH : 22 32
  41. 41. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 23 : Activation de SSH En activant le SSH, nous avons obtenu les pages web https. Comme le montre la figure 17. Figure 24 :Accées sécurisé du WebGUI 33
  42. 42. Chapitre 3 : Installation de PFSense et Configuration des réseaux 34 Conclusion : Dans ce chapitre nous avons décrit la mise en place de firewall PfSense dans notre environnement de travail. Nous avons configuré les interfaces réseaux existantes dans le firewall. Dans le chapitre suivant, nous allons implémenter et réaliser notre application et présenter une description complète de l’application.
  43. 43. Chapitre 4 : Paramétrage et test des packages de PFSense Chapitre 4 : Paramétrage et test des packages de PFsense 35 Introduction : Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de continuer la mise en place de PfSense dans son environnement d’exécution. Nous allons procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre réseau. Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus importantes de l’application et les résultats des tests effectués. 1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD: 1.1. Bloquage des sites web Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et « SquidGuard » puis configurer les blacklist, les différentes restrictions et éventuellement des règles d’accès supplémentaires ACL (Access Control List). 1.1.1 Squid : « Squid » est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est très complet et propose une mulitude d’options et de services qui lui ont permis d’être très largement adopté par les professionnels, mais aussi dans un grand nombre d’école ou administrations travailliant avec les systèmes de type Unix Squid est capable de manipuler les protocoles HTTP,FTP,SSL... 1.1.2 SquidGuard : « SquidGuard » est un redirecteur URL utilisé pour utiliser les listes noires avec le logiciel proxy « Squid ». SquidGuard possède deux grands avantages: Il est rapide et il est aussi gratuit. SquidGuard est publié sous GNU Public License, licence gratuite. SquidGuard peut etre utilisé pour :  Limiter l’accés Internet pour certains utilisateurs à une liste de serveurs Web et /ou des URLs qui sont acceptés et bien connus.  Bloquer l’accés à des URL correspondant à une liste d’expressions régulières ou des mots pour certains utilisateurs.
  44. 44. Chapitre 4 : Paramétrage et test des packages de PFSense  Imposer l’utilisation de mons de domaine et interdire l’utilisation de l’adresse IP 36 dans les URL .  Rediriger les URLbloquées à une page d’informations relative à Pfsence.  Rdiriger certaines bannières à un vide.  Avoir des régles d’accés différents selon le moment de la journée, le jour de la semaine, date, etc. Figure 25 : Instalation des pakages :Squid et SquidGuard 1.2. Configuration de Squid Nous avons choisi le menu « Services → Proxy server ». Dans l’onglet Général, nous vons configuré les options suivantes :  Proxy interface : Nous a permi de choisir d’affecter Squid au interfaces réseau.  Allow user on interface :Nous avons choisi de valider cette option pour l’interface choisie.  Log store directory : /var/log :dossier contenant les autres logs.  Proxy port : 3128 : port de proxy.  Language : French. Au niveau du menu l’onglet « Access Control → Blacklist », Il est possible d’indiquer des sites non autorisé en compléement des Blacklist de SquidGuard.
  45. 45. Chapitre 4 : Paramétrage et test des packages de PFSense 1.3. Configuration de SquidGuard Nous avons choisi le menu « Services →Proxy filter ». 37 nous vons configuré les options suivantes :  Enable : valider pour activer SquidGuard  Blacklist : valider pour activer blacklist  Blacklist URL : ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz, Url de la blacklist Ensuite nous sauvegardons et nous téléchargeons la blacklist. 1.4. Spécification de la Common Access List Lorsque le téléchargement est terminé, Il faut ensuite cliquer sur l’ongle « Default » puis sur le triangle vert pour afficher la blacklist dans la page Common ACL . Sur chaque élément quenous voulons autoriser, nous choisissons « allow », et » pour ceux que vous voulez interdire, nous choisissons « deny . Au niveau de l’’onglet Common ACL, nous configuron les options suivantes:  Not to allow IP adresses in URL :nous cochons cette option si nous voulons interdire les adresses IP tapées directement dans l’URL.  Redirect mode : laisser l’option par défaut int error page : Pour garder les messages d’erreur par défaut  Redirect info : pour entrer un message d’erreur personnalisé, par exemple « Accés interdit,cantacter votre administrateur »  Enable log : nous cochons cette case pour enregistrer l’activité du service  Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de l’onglet General settings pour visualiser les options paramétrés. Après avoir installé les packages au niveau de l’onglet « Services  proxy filtre », on active le paquet SquidGuard comme il se trouve dans la figure
  46. 46. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 26: Activation de proxy filter 38 1.5. Filtrage des sites web Nous avons activé le paquet SquidGuard, nous allons ensuite ajouter les autres sites à filtrer. Nous alonns tester par exemple les sites: www.facebook.com  www.gmail.fr  www.tunisa sat.com Pour cela, nous nous sommes dirigés à l’onglet Target catégories (nous travaillons encore sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le log et enfin, nous pouvons ajouter une description.
  47. 47. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 27: journalisation des filtrage Lorsque nous avons terminé, nous cliququons sur le bouton « Save » et nous avançons au dernier onglet « Common ACL » et nous mettons uniquement les sites choisis en mode « deny ». Nous avons testé l’accès au site filtré : www.facebook.com. Nous avons obtenu le résultat du filtrage s’affiche dans la figure 28: Le message suivant s’affiche : « Request denied by pfsense proxy » Figure 28: Résultat du test d’interdiction d’accès 39
  48. 48. Chapitre 4 : Paramétrage et test des packages de PFSense 2. Configuration du server OpenVPN [8] Dans un premier temps, nous allons installer le paquet « client OpenVPN Export Utility », à partir du « System  Packages ». Figure 29: Installation d’openVPNclient export Puis, à partir de « System  Cert Management », au niveau de l’onglet CA (Certificate Authority), nous allons crée un nouveau certificat. Nous notons les noms descriptifs et communs (Descriptive and Common names) que nous lui donnons puisque nous en aurons besoin plus tard. Ensuite nous entrons le reste des détails pour le CA, voir figures 30 et 31. 40
  49. 49. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 30: création de certificat Figure 31: Vérification de clé de certification 41
  50. 50. Chapitre 4 : Paramétrage et test des packages de PFSense Aprés, nous allons sous « Système User Management », afin de créer un nouveau compte utilisateur. Figure 32: Association de certificat aux client Nous avons Coché dans la « section certificat » pour créer un certificat d’utilisateur, après que l’utilisateur est créé, nous avons entré le compte d’utilisateur nouvellement créé et généré un certificat pour l’utilisateur. Nous avons choisi de sélectionner « Créer un certificat interne ». Puis nous avons configuré le serveur OpenVPN « VPN  OpenVPN ». Pour le type de serveur, nous avons sélectionné « l’accès des utilisateurs locaux » voir figure 33. Figure 33 :Utilisation d’OpenVPN Wizard 42
  51. 51. Chapitre 4 : Paramétrage et test des packages de PFSense Pour l’autorité de certification nous avons entré le nom que nous avons créé plus tôt (TTN_vpn). Figure 34: choisir le certificat Pour un certificat de serveur, nous avons sélectionné « ajouter un nouveau certificat ». Ensuite nous avons renommé le nom descriptif « TTN_vpn Server Cert », pour l’utiliser au niveau du serveur VPN. Figure 35: Création de certificat serveur Ensuite, nous éditons la configuration du serveur OpenVPN. 43
  52. 52. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 36 : choisir l’alogoritheme de cryptage Nous sélectionnons l’algorithme de chiffrement. Pour le réseau Tunnel, nous avons choisi un sous-réseau qui est différent de notre sous-réseau WAN. Dans le réseau local, nous entrons notre sous-réseau CLIENT. Et nous Décidons du nombre de connexions simultanées. Nous avons choisi : 10 clients externes. Figure 37: modifier l’adresse de TUNNEL 44
  53. 53. Chapitre 4 : Paramétrage et test des packages de PFSense Comme il s’agit d’une configuration très basique, nous n’enterons pas les serveurs DNS et de domaine par défaut, mais nous devrions envisager ces options, en fonction de notre environnement. Puis nous allons à « VPN OpenVPN », sélectionnons la feuille « Client Export ». Le paquet que nous avons installé dans le début nous donne la possibilité d’exporter automatiquement l’archive en plus des fichiers de configuration utilisateur. Nous Trouvons l’utilisateur pour lequel nous voulons exporter la configuration, et nous cliquons sur le lien d’archive de configuration voir la figure 38. Figure 38: Exportation d’archives de configuration Après l’installation du OpenVPN GUI, nous ouvrons l’archive de configuration et y extraire les fichiers à cet emplacement sur la machine avec laquelle nous allons établir la connexion VPN. Lorsque nous lançons OpenVPN GUI, nous obtenons une icône représentant un petit poste de travail de couleur rouge qui nous indique que notre connexion au serveur VPN n’est pas active. Pour activer notre connexion VPN, nous faisons un clic droit sur l’icône de la barre de tâche « OpenVPN ». Puis nous cliquons sur Connect. Une fois que nous aurons cliqué sur Connect, nous obtenons la fenêtre suivante avec une boîte de dialogue nous demandant d’enter le mot de passe. Voir la figure 39. 45
  54. 54. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 39: Authentification d’OpenVPN Si la connexion VPN se déroule sans aucun problème, l’icône dans notre barre de tâche change de couleur et devient verte. La connexion à notre serveur VPN est fonctionnelle. 3. Détection et Prévention d’Intrusion Réseau « SNORT » [9] SNORT est outil open source de détection d’intrusion réseaux (NIDS). SNORT est capable d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel, de logger les paquets IP et de rechercher des correspondances de contenu ; le but étant de détecter une grande variété d’attaques connues. SNORT peut fonctionner en quatre modes différents :  SNIFFER:capture et affichage des paquets, pas de log.  PACKET LOGGER :capture et log des paquets.  NIDS(Network Intrusion Détection System): analyse le trafic, le compare à des régles, et affiche des alertes et ainsi détecter des tentatives d’intrusion réseau d’aprés des régles.  IPS (Système de prévention d'intrusion): détection et prévention d’attaques et donc empécher les intrusions réseau détectées en suivant les mêmes régles. 46
  55. 55. Chapitre 4 : Paramétrage et test des packages de PFSense Nous nous concentrerons sur les modes NIDS et IPS ,qui nous rendent deux services bien différents. 47 3.1. Maquette de test : Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de NIDS et d’IPS : Figure 40: Maquette de test de SNORT [10] 3.2. Installation et configuration de SNORT : Le premiére étape est l’installaltion du package SNORT dans Pfsense « Système  package SNORT » : Figure 41: Installation de package SNORT La seconde étape importante est la création d’un compte sur http:/ /snort.org,afin de pouvoir récupérer les régles prédéfinies en temps voulu, nous y revenons par la suite. L’interface étant maintenant paramétrée, nous allons configurer SNORT « Service  SNORT » :
  56. 56. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 42: Activation et configuration du service Les paramètres de SNORT sont resumés sous forme de tableau : Interface Nous spécifions ici l’interface de pfSense sur laquelle SNORT écoutera l’ensemble du trafic. conformément au schéma précédent : réseauLAN performance Nous indiquons ici la méthode de recherche utilisée par SNORT sur les paquets analysés. «ac-sparse bands» est la méthode recommandée. Oinkmastre code Code récupéré via notre compte sur SNORT.org qui nous permettrons de télécharger les règles SNORT pré établies. Snort.org subscriber Nous cochons cette case si nous utilisons un Oinkmaster code. Block offenders Elément important de la configuration, puisque le fait de cocher cette case bloquera automatiquement tout hôte déclenchant une alerte sur l’interface d’écoute (fonction IPS de SNORT). Voir plus bas pour des détails complémentaires. 48 Update rules authomatically Mise à jour automatique des règles SNORT. Whitelists VPNs uris to clickable links Ajouter automatiquement les VPN pré configurés dans pfSense à la whitelist, afin d’éviter tout refus de connexion ou blacklistage.
  57. 57. Chapitre 4 : Paramétrage et test des packages de PFSense 49 Convert Snort alerts uris to clickable links Les alertes apparaissent sous la forme de liens hypertextes. Associate events on Blocked tab Lier la raison du blocage à l’hôte bloqué dans l’onglet « blocked ». Sync Snort configuration to secondary cluster members Synchroniser la configuration de SNORT avec tous les membres du cluster CARP s’il en existe un. Tableau :définition de paramétres Nous validons ensuite en cliquant sur le bouton «Save» en bas de page. SNORT va ensuite automatiquement télécharger les régles (premium rules) depuis Snort.org grâce à notre Olinkmastre code. Toutes les régles ainsi téléchargées sont regroupées sous forme de catégories das l’onglet «Categories». Nous séléctionnons celles qui correspondent aux attaques que nous désirons détecter sur notre réseau. Afin de tester l’efficacité de la solution, nous nous contentons de la régle «scan.rules» qui nous permettra de détecter et bloquer un attaquant effectuant un scan de port sur hote distant. L’étape suivante consiste à paramétrer les régles présentent dans la catégories que nous venons de sélectionner. Figure 43: Sépcification des catégories
  58. 58. Chapitre 4 : Paramétrage et test des packages de PFSense Nous activons et paramétrons notamment la règle « SCAN nmap XMAS » afin de pouvoir détecter un scan de port Nmap lancé depuis l’interface administrateur vers un hôte situé sur un réseau distant (interface WAN). La figure suivante illustre l’interface avant le test au niveau de nos réseaux. Figure 44: Vérification des alertes 50 3.3. Test de la solution : Un attaquant va effectuer un scan de port Nmap sur un hôte distant. Pendant toute la durée du test, l’attaquant effectue, en parallèle du scan du port, un Ping vers la victime, afin de vérifier en permanence la connectivité vers l’hôte et fixer le moment où il sera blacklisté par SNORT : attaque détecté ET contrée.
  59. 59. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 45: Test de la solution Une fois le scan de port lancé, la station de supervisons peut très rapidement lancer des alertes ainsi, l’adresse IP 192.168.2.99, de notre attaquant, a été bloquée : Figure 46 : vérification des Alerts 51
  60. 60. Chapitre 4 : Paramétrage et test des packages de PFSense 4. Partage de la Bande Passante « TRAFFIC SHAPER » La fonction « traffic shaping » de pfSense permet initialement d’optimiser la bande passante en attribuant des priorités aux différents flux du réseau. Par exemple, nous donnons une meilleure priorité aux flux VOIP par rapport au reste du trafic afin d’optimiser les communications VOIP. Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, à savoir comment la partager entre plusieurs hôtes/réseaux selon nos besoins 52 4.1. MAQUETTE DE TEST Figure 47: maquette de test bande passante
  61. 61. Chapitre 4 : Paramétrage et test des packages de PFSense L’objectif va être de démontrer comment, à partir d’une connexion ADSL (2500Kbps down, 463 Kbps up), nous pouvons offrir une portion de bande passante différente à chacun nos deux clients, ou bien une bande passante limitée et partagée entre les deux clients. 4.2. Configuration de TRAFFIC SHAPER Il y a deux étapes de base à la mise en place d’un limiteur de contrôle la bande passante.  Configurez les limiteurs que vous allez utliser.  Attribuer le trafic vers ces limiteurs. A partir de ce moment, nous le vérifions la bande passante d’une maniére très simple,via le speedtest.net qui nous permet de calculer le débit descendant depuis une station. Figure 48 : teste de débit initial Limitteur sont configurés en les créant sous « firewall Traffic Shaper »,sur l’onglet limiter. Nous pouvons utiliser un seul tuyau pour le traffic entrant , et sortant mais cela signifierait que nous simulons une connexion half-duplex. La méthode recommandéé consiste à créer 2 tuyaux, lun pour le trafic entrant et un pour le trafic sortant. La méthode est à partir de la persective de l’interface.si nous utilisons des limteurs sur LAN ,la file d’attente entrante est notre upload et la file d’attente sortante est notre téléchargement. Nous devons nommer les tuyaux down_limit et up_limit. Pour le tuyau down_limit nous avons choisi la valeur exemple (300kbps) 53
  62. 62. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 49: Ajoute un limite de download ‘‘down_limit’’ Pour le tuyau up_limit nous avons choisi la valeur exemple (200kbps) Figure 50: Ajoute un limite de download ‘‘up_limit’’ 54
  63. 63. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 51:Ajouter un Client Une fois que nous avons installé un tuyau limiteur,l’étape suivante consiste à affecter le trafic à en définissant l’ « in /out’’ dans un firewall rule.Rapplons-nous que dans et hors du point de vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur l’interface RéseauLAN, ‘’out’’ est la vitesse de télechargement (le trafic du carte réseau LAN sur le réseau local) et « dans » est la vitesse de télechargement (le trafic du réseau local dans la carte réseau LAN). Il suffit de créer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour qu’ils soient utilisés. Figure 52:Association des limiteurs au Client 55
  64. 64. Chapitre 4 : Paramétrage et test des packages de PFSense Le resultat s’affiche comme le montre le figure suivante : Figure 53: test de Bande Passante sur un client de RéseauLAN 5. Supervision de la Bande Passante «NTOP » Ntop est une sonde d’analyse du trafic réseau et nous permet ainsi d’avoir un oeil sur l’utilisation qui est faite en temps réel de notre réseau. Nous pouvons également le qualifier de superviseur de bande passante, puisque nous pourrons afficher de manière détaillée un ensemble d’éléments tels que la bande passante moyenne utilisée par un hôte ou un réseau, les différents flux, leur type et leur sens (locallocal, localRemote…). Nous ne détaillerons pas ici l’ensemble des fonctions et éléments visualisables via Ntop (beaucoup trop nombreux), mais seulement les éléments qui nous montrent les plus intéressants pour superviser au mieux son réseau. De même, la fonction permettant à NTOP de recevoir des informations depuis une sonde NetFlow ne sera pas aborde. 56 5.1. Maquette de test : Ntop sera raccordé au coeur de notre réseau via un port miroir. Ce port miroir, aussi appelé port monitoring, effectue une réplication de l’ensemble du trafic transitant via l’élément actif sur lequel il est configuré (généralement un commutateur ou un châssis de coeur de réseau). Ainsi, l’ensemble des paquets entrants et sortants sera redirigé vers notre PfSense avec Ntop en écoute.
  65. 65. Chapitre 4 : Paramétrage et test des packages de PFSense Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas remaniés, ce qui nous permet de conserver les adresses, ports, etc.… d’origine. Voici ainsi la maquette déployée pour traiter ce chapitre : Figure 54: Maquette de test de ntop 5.2. Installation et configuration : Nous avons commence par le téléchargement et l’installation du package Ntop : Figure 55 : Installation de packge de ntop Une fois l’installation terminée, nous allons au menu « Diagnostics  ntop settings » pour initialiser ntop et lancer le service correspondant. Nous avons configuré le mot de passe « admin » pour accéder à la configuration avancée de ntop, ainsi l’interface d’écoute : 57
  66. 66. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 56 :Configuration de compte d’administrateur Puis nous avons allée au « access ntop » ci-dessus, ou encore via le menu pfSense « Diagnostics  ntop »).pour accéder aux statistiques générales de réseauLAN  les informations concernant Ntop (interface d’écoute, uptime, etc.…) Figure 57 : Interface d’écoute  Un rapport concernant le trafic sur l’interface d’écoute (paquets, trafic, ou la 58 charge) Figure 58 : Le rapport de trafic
  67. 67. Chapitre 4 : Paramétrage et test des packages de PFSense  La répartition totale du trafic par protocole Figure 59 : La répartition totale du trafic par protocole  Ou encore un diagramme détaille du trafic par services Figure 60 : diagramme de trafic par service 5.3. Scénarios d’utilisation de NTOP : NTOP est très fournit en termes de menus et de données affichables. Nous allons donc imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre réseau/bande passante. 59 Consomment de bande passante
  68. 68. Chapitre 4 : Paramétrage et test des packages de PFSense Des lenteurs ont été constatées pour tout accès à Internet, que ce soit pour du download ou de l’upload, et nous désirons contrôler l’utilisation que fait chaque hôte de notre connexion a Internet. Nous allons donc afficher un « top 10 » des hôtes les plus gourmands en bande passante Internet. Pour ce faire : 1. Sélectionner all protocols  traffic 2. Dans ‘hosts’ choisir ‘Local Only’ 3. Dans ‘data’, choisir au choix ‘received’ ou ‘sent’ 4. Et enfin le VLAN concerne ou la totalité du réseau Figure 61 : Interface des hôtes connectés Nous affichons ainsi l’ensemble des hôtes et les quantités de données reçues et/ou envoyées. Il ne reste plus qu’a cliquer sur « data » pour afficher les plus gros consommateurs en tête de liste. Dans chaque fenêtre NTOP de ce type, nous cliquant sur le nom ou l’adresse d’un hôte, nous pourrons accéder à toutes ses statistiques détaillées. 60
  69. 69. Conclusion Générale L’administration réseau est un travail complique. Le métier veut que l’on doive souvent maîtriser différentes technologies et les faire travailler ensembles. La tâche se complique encore si l’administration et la configuration de tout cela se fait manuellement. En ce sens nous avons vérifie à travers ce rapport que PfSense répond à ces interrogations. Cet Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des « Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref nous pensons que PfSense est voue à exister et se développer. Nous avons mis en place et testé certains services (les principaux pour être précis) de PfSense.
  70. 70. Netographie [1] http://fr.wikipedia.org/wiki/FreeBSD: Système d’exploitation FreeBSD: le 2 mai 2013 consulté le17 mai 2013 [2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Décembre 2012 consulté le 17 février 2013 [3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-dacces- internet-portail-captif2.html : Définition et infrastructure portail captif le 03 février 2010 consulté le28 mars 2013 [4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consulté le 22 avril 2013 [5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense: configuration PFSense: le 11 septembre 2012 consulté le 20 février 2013 [6]http://www.frameip.com/vpn/ Virtuel private network : le 27 septembre 2012 juin2011 consulté le 29 mai 2013 [7] http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/ : Schéma portail captif: le 16 mai 2010 consulté le 03 mai 2013 [8] http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2 : open Virtuel private Network: le 18 juin 2013consulté le 30 mai 2013 http://bzhmarmit.wordpress.com/2012/09/11/pfsense [9]http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html Intrusion Détection Systems: le juillet 2011 consulté le 2 juin 2013 [10]http://www.snortattack.org/ schéma test de snort le 19 novembre 2005 consulté le 30 mai 2013 [11]http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial information sur Squid et SquidGuard le 22 janvier 2013 consulté le 30 février 2013 WWW.pfsense.org http://doc.pfsense.org
  71. 71. Résumé : La sécurité permet la protection du réseau informatique c’est pour cela nous avons utilisés un Firewall PFSense qui peut servir à enregistré l’utilisation de l’accès à Internet et à bloquer l’accès à des sites web pour avoir une idée sur l’état du trafic et les menaces on provenance d’Internet pour offre à les utilisateurs un accès distant rapide et sécurisé à travers de package installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN. Abstract: Security enables the protection of computer network that is why we used a PFSense Firewall that can serve recorded using the Internet and block access to web sites to get an idea on the traffic conditions and threats from the Internet is to offer users fast and secure remote access through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and Open VPN. م لخص التي يمكن أن تخدم "esnPSFP" الأمن تمكن من حماية شبكة الكمبيوتر الذي هو السبب في أننا استخدام جدار حماية سجلت باستخدام شبكة الانترنت ومنع الوصول الى المواقع على شبكة الانترنت للحصول على فكرة عن ظروف حركة /ndiuq المرور وتهديدات من الإنترنت لتوفر للمستخدمين الوصول السريع والآمن عن بعد من خلال حزمة ألتثبيت . OPPS eeR وRSOe ,SNFssS nFFeRN ,nRONS ,ndiuq diuqq

×