SlideShare une entreprise Scribd logo
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique 
Direction Générale des Etudes Technologiques 
Institut Supérieur des Etudes Technologiques de Bizerte 
Département Technologies de l'Informatique 
Référence Dép. TI 
AN 2013 
N° RSI 16.13 
Rapport de 
PROJET DE FIN D’ETUDES 
En vue de l’obtention de : 
Licence Appliquée en [Réseau et System Informatique] 
Mise en place d’un firewall open source PfSense 
Elaboré par : 
Marwen Ben Cheikh Ali 
& 
Khlifa Hammami 
Encadré par : 
Mme Afef Gafsi (ISET) 
Mme Manoubia GAABAB (ISET) 
Mr Soufien Abiidi (ENTREPRISE) 
Effectué à : 
Entreprise : Tunisie Trade Net (TTN) 
 Adresse : (Rue de lac d’Annecy, Immeuble STRAMICA 1053, Les Bergees du lac) 
 Tel : (71 861 712) 
 Mail : ( sofien.abidi@tradnet.com.tn) 
Année universitaire : 2012/2013
Dédicace 
J’ai le grand plaisir de dédier ce travail en témoignage d’affectation et de reconnaissance à 
tous ceux qui m’ont aidé à le réaliser. 
A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance 
ainsi que mon binôme dans ce travail Hammami Khifa qui m’accompagnée durant toutes mes 
études universitaires, à tous mes collègues de travail qui m’ont donné du courage pour 
continuer les études et pour préparer ce diplôme et enfin aux Enseignant et Encadreur de 
l’ISET qui nous ont donné confiance et espoir et qui nous ont soutenus durant tout le cursus 
universitaire de cette année. 
Marwen Ben Cheikh Ali 
Je dédie ce travail à tous ceux qui m’ont aidé de près ou de loin à la réalisation de mon projet 
fin d’étude. Mes vifs et sincères remerciements s’adressent aux âmes de mes chers parents, 
sans oublier mon binôme dans ce travail Marwen Ben Cheikh Ali et aussi à mes frères pour 
leur soutien et ses biens faits qu’il m’apporté tout au long de ce stage et enfin à tous mes 
professeurs et mes amis. 
Hammami Khifa
Remerciement 
C’est avec le plus grand honneur que nous avons réservé cette page en signe de gratitude et 
de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation de ce 
rapport de stage. 
Nos remerciements s’adressent à Mr Khaled Marzouk, le directeur général de l’Entreprise 
Tunisie TradNet(TTN) qui nous a accueillies dans son établissement. 
Nos remerciements vont aussi à notre encadreur Mr Abidi Sofien qui assuré notre 
encadrement tout au long de ce stage et par leurs conseils et leur aides précieux, nous a guidés 
pendant notre projet. 
Notre sincère gratitude s’adresse également à tous nos enseignants du département 
informatique du l’Institut Supérieur des Etudes Technologies de Bizerte qui ont assuré notre 
formation pendant ces trois années d’étude. 
De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont fait en 
acceptant de juger notre travail.
Sommaire 
Introduction Général…………………………………………………………………………...1 
Chapitre 1 : Présentation du cadre du stage……………………………………………………2 
1. Présentation de la société……………………………………………………………….2 
1.1. Historique……………………………………………………………………………2 
1.2. Domaine d’activité…………………………………………………………………..2 
1.3. Organigramme……………………………………………………………………….4 
2. Etude de l’existant………………………………………………………………………5 
3. Description de l’existant………………………………………………………………...5 
4. Critique de l’existant……………………………………………………...……...……..7 
5. Objectifs ………………………………………………………………………………..8 
6. Solution proposée……………………………………………………………………….8 
7. Planification du projet……………………………………………………...…...………9 
Chapitre 2 : Etat de l'art……………………………………………………………………….11 
1. Définition Free BSD……………...………………………………………………......11 
2. Portail Captif de free BSD……...……………………………………………….........11 
3. Etude des différents portails captifs free BSD……..........……………………………12 
3.1. WifiDog……...……………………………………………….................................13 
3.2. Talweg…...…………………………………………………..................................13 
3.3. NoCatSplash……...………………………………………………..........................14 
3.4. Tableau comparaison de Free BSD………………………………..........................15 
4. Choix de la solution pfsense…………………………...............................................15 
4.1. Présentation de pfsense ……………………………...............................................15 
4.2. Objectifs…………………………….......................................................................16 
4.3. Avantage ……………………………......................................................................16 
5. VPN Client……………………………........................................................................17 
5.1 Présentation………………………………………………………………...……...17 
5.2 Open VPN...…………………….............................................................................18 
5.3 Limitation d’open VPN…...…….............................................................................19 
Chapitre 3 : Mise en place du pare feu……………………………….....................................20 
1. Configuration de pfsense sous Vmware………………………………........................20 
1.1. Partie WAN………………………….....................................................................20
1.2. Partie des interfaces réseaux…………………………............................................21 
1.3. Configuration du serveur PfSense……………………...........................................24 
2. Portail Captif…………………….......................................................................................26 
2.1. Description des différentes options de PFsense.......................................................27 
2.2. Configuration à travers l’interface web....................................................................30 
Chapitre 4 : Paramétrage et test des packages de PfSense.......................................................35 
1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD.............................................................35 
1.1. Bloquage des sites web ..........................................................................................35 
1.2. Configuration de Squid ..........................................................................................36 
1.3. Configuration de SquidGuard.................................................................................37 
1.4. Spécification de la Common Access List ..............................................................37 
1.5. Filtrage des sites web .............................................................................................38 
2. Configuration du server Open VPN………........................................................................40 
3. Détection et Prévention d’Intrusion Réseau « SNORT » ...................................................46 
3.1. Maquette de test................................................................................................47 
3.2. Installation et configuration de SNORT...........................................................47 
3.3. Test de la solution.............................................................................................50 
4. Partage de la Bande Passante « TRAFFIC SHAPER »…………......................................52 
4.1. Maquette de test………....................................................................................52 
4.2. Configuration de TRAFFIC SHAPER.............................................................53 
5. Supervision de la Bande Passante «NTOP » .....................................................................56 
5.1. Maquette de test............................................................. ..................................56 
5.2. Installation et configuration .............................................................................57 
5.3. Scénarios d’utilisation de NTOP .....................................................................59 
Conclusion Générale………………………………………………………………………….61 
Netographie…………………………………………………………………………………...62
Liste des Figures 
Figure 1: Organigramme de la Société…………………………………………………………4 
Figure 2: L’architecture informatique de la Tunisie Trade Net………………………………..6 
Figure 3: Architecture proposée du réseau de Tunisie Trade Net…………….………………..9 
Figure 4 : Portail Captif……………………………………………………………………….12 
Figure 5: Principe du portail captif Talweg…………………………………………………...14 
Figure 6: Architecture NoCat…………………………………........…………………………14 
Figure 7: le réseau informatique avec notre application PfSense…………………….............17 
Figure 8: Configuration de carte réseau WAN………………………………………………..20 
Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor………………...21 
Figure 10: Configuration de carte réseau Administrateur………………………………….....21 
Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor……..22 
Figure 12: Configuration de carte réseau DMZ………………………………………………22 
Figure 13: Configuration de carte réseau DMZ sous Virtual Network Editor….……………23 
Figure 14: Configuration de carte RéseauLAN………………………………………………23 
Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor………...24 
Figure 16: configuration des interfaces réseau Administrateur et interface WAN…………...25 
Figure 17: configuration de l’interface DMZ ………………………………………………...25 
Figure 18: configuration de l’interface RéseauLAN..........................................................…...26 
Figure 19 : Schéma théorique d’un portail captif.....................................................................27 
Figure 20: configuration des interfaces réseaux sur serveur PfSense ……………………….28 
Figure 21 : Configuration de base de système………………………………………………..31
Figure 22 : paramétrage de base……………………………………………………………...32 
Figure 23 : Activation de SSH……………………………………………………………......32 
Figure 24 : Accées sécurisé du WebGUI……………………………………………………..32 
Figure 30: création de certificat………………………………………………………………41 
Figure 31: Vérification de clé de certification………………………………………………..41 
Figure 32: Association de certificat aux client………………………………………………..42 
Figure 33 :Utilisation d’OpenVPN Wizard…………………………………………………..42 
Figure 34: choisir le certificat………………………………………………………………...43 
Figure 35: Création de certificat serveur……………………………………………………...43 
Figure 36 : choisir l’alogoritheme de cryptage……………………………………………….44 
Figure 37: modifier l’adresse de TUNNEL…………………………………………………..44 
Figure 38: Exportation d’archives de configuration………………………………………….45 
Figure 39: Authentification d’OpenVPN……………………………………………………..46 
Figure 40: Maquette de test de SNORT… …………………………………………………...47 
Figure 41: Installation de package SNORT…………………………………………………..47 
Figure 42: Activation et configuration du service……………………………………………48 
Figure 43: Sépcification des catégories………………………………………………………49 
Figure 44: Vérification des alertes……………………………………………………………50 
Figure 45: Test de la solution…………………………………………………………………51 
Figure 46 : vérification des Alerts ……………………………………………………………51 
Figure 47: maquette de test bande passante…………………………………………………..52 
Figure 48 : teste de débit initial……………………………………………………………….53 
Figure 49: Ajoute un limite de download ‘‘down_limit’’…………………………………….54
Figure 50: Ajoute un limite de download ‘‘up_limit’’ ………………………………………54 
Figure 51:Ajouter un Client…………………………………………………………………..55 
Figure 52:Association des limiteurs au Client………………………………………………..55 
Figure 54: test de Bande Passante sur un client de RéseauLAN……………………………..56 
Figure 54: Maquette de test de ntop…………………………………………………………..57 
Figure 55 : Installation de packge de ntop……………………………………………………57 
Figure 56 :Configuration de compte d’administrateur………………………………………..58 
Figure 57 : Interface d’écoute………………………………………………………………...58 
Figure 58 : Le rapport de trafic……………………………………………………………….58 
Figure 59 : La répartition totale du trafic par protocole………………………………………59 
Figure 60 : diagramme de trafic par service…………………………………………………..59 
Figure 61 : Interface des hôtes connectés…………………………………………………….60
Introduction Général 
Vu l’importance et l’obligation de l’élaboration d’un pare-feu, chaque organisme doit établir 
un pare-feu pour la sécurité informatique périodiquement afin d’identifier ses sources de 
menace et ces dégâts informationnels. 
Portant de cette idée, nous avons décidé d’établir un rapport d’un Pare-feu de sécurité 
informatique. 
Un pare-feu (appelé aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais), est un 
système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions 
provenant d’un réseau tiers (notamment internet). 
Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le 
réseau, il s’agit ainsi d’une passerelle filtrante comportant ou minimum les interfaces réseau 
suivante : 
 Une interface pour le réseau à protéger (réseau interne) ; 
 Une interface pour le réseau externe. 
Ainsi ce rapport est scindé sur trois parties primordiales : 
La première partie est axée sur les différentes phases ou bien les types de pare-feu réparti sur 
l’analyse. 
La deuxième partie présente une étude pratique qui définie la mise en place d’un pare-feu. 
La troisième partie comporte une étude théorique qui définie le thème d’un pare-feu de la 
sécurité informatique.
Chapitre 1 : Présentation du cadre du stage 
Chapitre 1 : Présentation du cadre du stage 
2 
1. Présentation de la société 
1.1. Historique 
La société Tunisie Trade Net gère, depuis sa création en février 2000, un réseau informatique 
qui relie les différents intervenants dans les procédures du commerce extérieur en Tunisie 
(Banques, Administrations, Douanes,…). 
Sous la tutelle du ministère des finances tunisien depuis 2002, TTN s’intègre dans le projet de 
l’administration en ligne. Le Projet a pour but de faciliter les procédures du commerce 
extérieur, d’en assurer la traçabilité, et de réduire les délais de séjour des marchandises aux 
ports. 
Ainsi, La solution apportée par Tunisie TradeNet permet aux différents opérateurs: Entreprises, 
Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les 
différentes formalités d’importation et d’exportation en mode électronique. 
Outre son rôle en tant qu’intermédiaire dans les échanges de documents relatifs aux procédures 
de commerce extérieur en mode électronique, Tunisie TradeNet se distingue en tant que 
société de services et d'ingénierie informatique SSII. 
1.2. Domaine d’activité 
 Références dans le transport : Développement interfaçage Laisse Transport, 
application manifeste. 
 Connaissances des systèmes d’exploitation : UNIX (SOLARIS), Windows 9x, NT, 
2000, LINUX et XP 
 Compétences en SGBD: ORACLE – SQL SERVER 
 Compétence en architecture de systèmes : 
 Mise en place de plates-formes équivalentes à celle de TradeNet 
 Mise en place de la plate forme d’échange de données du GUCE au port de 
Douala Cameroun 
 Compétences en outils de développement de systèmes : (JSP, JAVA, C++, VISUAL 
C++) 
 Compétences en développement de sites WEB : Site TTN, Site GUCE Douala
Chapitre 1 : Présentation du cadre du stage 
 Compétences en développement de portail Internet : Portail TTN, Portail GUCE 
3 
Douala 
 Compétences en développement d'applications dans le domaine de la gestion 
informatisée : Application transitaire, agent maritime, organisme de contrôle 
technique à l’importation, interfaçage 
 Réseaux et Sécurité des systèmes : Définition et amélioration de la solution de 
sécurité de la PLATE- FORME TradeNet. 
 Connaissances des réseaux de télécommunication nationaux et internationaux : (X25, 
Frame Relay, LS, RTC) 
 Compétences en développement d'applications sécurisées : (solution 
d'authentification forte) 
 Procédures du transport international et rôle des partenaires du transport : Etude et 
analyse fonctionnelle des procédures et des circuits des flux documentaires entre les 
intervenants de la communauté portuaire Tunisienne. 
 Procédures douanières : Analyse fonctionnelle des procédures douanières et 
développement des procédures électroniques équivalente dans le cadre du 
projet Liasse Unique Et Liasse Transport (dédouanement à l’importation, admission 
temporaire, régime suspensif, transit, dédouanement à l’exportation, déclaration du 
manifeste douanier….)
Chapitre 1 : Présentation du cadre du stage 
4 
1.3. Organigramme 
Figure 1: Organigramme de la Société
Chapitre 1 : Présentation du cadre du stage 
5 
2. Etude de l’existant 
2.1. Description de l’existant 
Le réseau de l'entreprise met en oeuvre des données sensibles, les stocke, les partage en 
interne et les communique parfois à d'autres entreprises ou personnes. 
Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. 
Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de 
l'extérieur ou de risquer la confidentialité des données de l’entreprise. 
Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes 
malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes. 
Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient 
l'entreprise à l'extérieur. 
La société travaille dans un environnement basé sur le système d’exploitation Unix. Elle est 
caractérisée par un très grand nombre de serveurs à gérer : 
 Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requêtes 
respectant le protocole de communication client-serveur, qui a été développé pour le 
World Wide Web. Un serveur HTTP utilise alors par défaut le port 80. 
 Serveur FTP : (File Transfer Protocol) est un serveur utilisant un protocole de 
communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. 
Cette communication va permettre le partage de fichiers entre machines distantes, et 
utilise le port 21 par défaut. 
 serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages 
texte ASCII vers des hôtes disposant de services de courrier, Il utilise le port TCP 25.
Chapitre 1 : Présentation du cadre du stage 
L’architecture du réseau de l’entreprise se présente comme suit : 
Figure 2: L’architecture informatique de la Tunisie Trade Net 
L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier ni la 
disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la détection des 
défaillance des équipements (charge CPU, Etat mémoire, surcharge des disque...). Il ne 
peut contrôler non plus les surcharges et pénurie temporaire des ressources. Le seul moyen 
de détecter ces anomalies ne peut se faire que par la réception des différentes plaintes et 
réclamations des différents utilisateurs. 
6 
Les moyens de la sécurité adoptée : 
 Portail captif (mécanisme d’authentification) : cette interface va jouer le rôle d’une 
passerelle sécurisée dans le but d’authentification avant l’accès Internet.
Chapitre 1 : Présentation du cadre du stage 
 VPN c’est un tunnel sécurisé. 
 Système de détection et prévention d’intrusion réseau (SNORT) : pour protéger le 
système d’information de la Société contre les attaques. 
 Partage de bande passante (TRAFFIC SHAPER) et supervision de bande passante 
7 
(NTOP). 
 Filtrage URL (SquidGuard) : va permettre à la société d’appliquer la politique de 
sécurité pour l’autorisation de l’accès aux sites web. 
 Mise en place d’un serveur proxy (proxy cache) 
 Personnalisation du thème (on peut change le thème de page Web de PfSense) 
 Backup (pour sauvegarder la configuration du serveur PfSense) : Ce module va 
permettre à la TTN d’appliquer une solution de backup pour le serveur PfSense pour 
avoir une solution de secours en cas de panne du serveur PfSense afin d’éviter de 
répéter toute la configuration. 
2.2. Critique de l’existant 
Se souciant de sa réputation et concerné par la satisfaction et le confort de ses clients, la 
société veut à tout prix éviter la confrontation des clients mécontents afin éviter le risque 
de les perdre, et ce en veillant à offrir une meilleure qualité de services à sa clientèle et 
en anticipant les pannes et en évitant les arrêts de longue durée pouvant avoir de mauvaises 
conséquences aussi bien financières qu’organisationnelles. 
Le système existant présente de nombreux problèmes qui se résument aux points suivants : 
 L’architecture de réseau TTN possède un très grand nombre de postes et de serveurs 
qui rend la gestion de ce réseau une tâche délicate. 
 L’ouverture de la société vers l'extérieur est indispensable et dangereuse en même 
temps et peut laisser place aux étrangers pour pénétrer au réseau local de l'entreprise, 
et notamment accomplir des actions douteuses de destruction ou de vol 
d'informations. 
 L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et 
externe. 
Le but de notre projet est de trouver une solution pour remédier à tous ces problèmes et ce 
en permettant de :
Chapitre 1 : Présentation du cadre du stage 
 Réaliser une meilleure gestion des serveurs pour améliorer la communication et 
assurer une stabilité des équipements et un bon monitoring de leurs états et offrir 
ainsi la possibilité de faire face aux problèmes rencontrés. 
 Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de 
les traiter le plus rapidement possible. 
 Sécuriser et contrôler les accès externes aux données ainsi que le partage et transfert 
interne des données, vu le nombre important des utilisateurs internes et externes de 
système réseaux. 
 Mettre à niveau le réseau local de la société puisque l’infrastructure existante ne 
répond plus aux besoins croissant en bande passante (nombres d’accès externes en 
croissance). 
 Apporter la sécurité essentielle afin de bloquer les virus. 
 Interdire l’accès à certains sites et filtrer les pages Web. 
8 
2.3. Objectifs 
L’objectif de notre stage est d’implémenter une architecture réseau sécurisée, dans un 
environnement Linux, comprendre les problématiques liées aux attaques réseau intégrer des 
outils de sécurité et de surveillance réseau, déployer des solutions sous Linux : 
 Mise en place d’un serveur firewall open source vu la multiplicité et la vitesse de 
mutation des attaques, en plus des dispositifs spécialisés pour la protection des accès 
internet. 
 Sécuriser un système informatique : à travers le package SNORT est un système 
open source de prévention et détection d'intrusions (IDS/IPS) sur les réseaux, 
2.4. Solution proposée 
La gestion des serveurs distants et le monitoring de ses équipements étant le plus grand 
souci de l’administrateur. Nous avons jugé nécessaire de mettre en évidence un outil 
pour contrôler le fonctionnement du réseau, d’étudier les données collectées et de 
définir des seuils d’alertes qui peuvent servir pour le déclenchement des alertes lors de 
détection des problèmes. 
Il s’agit donc et sans doute d’une mise en place d’un composant firewall. Notre choix porte 
sur le logiciel PfSense Open Source qui pourra, grâce à ses différentes fonctionnalités,
Chapitre 1 : Présentation du cadre du stage 
d’apporter la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives 
d'intrusion. 
Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il 
permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi convenablement le 
réseau de la société. Ceci doit se réaliser sans encombrer le réseau avec des activités non 
essentielles. 
La nouvelle architecture proposée pour réseau de la société Trade Net est la suivante : 
Figure 3: Architecture proposée du réseau de Tunisie Trade Net 
9 
3. Planification du projet 
Pendant ces quatre mois de travail nous avons fait de notre mieux pour s’enchaîner au plan 
suivant :
Chapitre 1 : Présentation du cadre du stage 
 Premier Mois : C’est la période que nous avons consacré à la préparation des outils 
de travails et à la documentation et la formation sur le logiciel PfSense. 
 Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise 
en place de PfSense et créer le démarche de sécurité. 
 Troisième mois : Nous avons pu enfin entamer la configuration de serveur proxy 
sous PfSense et faire les étapes de sécurité proposée. 
 Quatrième mois : la réalisation de l’application : la mise en place de la solution 
PfSense au niveau du réseau local de l’entreprise TTN. 
10 
Conclusion 
Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que les 
défaillances de l’architecture réseau actuelle, et nous avons fini par proposer une nouvelle 
architecture qui mettra fin aux failles de sécurité du réseau de Tunisie Trade Net. 
Suite à l’étude et à la critique de l’existant, les problèmes que rencontre la société ont été 
soulevés ce qui nous a permis de cerner la problématique de notre projet. Nous avons par la 
suite proposé des solutions : c’est une seule solution que vous avez proposé et finalement 
nous avons fixé notre choix des outils que nous avons jugé convenables pour la société. 
Le chapitre suivant sera consacré à une étude de l’état de l’art qui comprend une étude 
comparative de différents produits du marché afin de justifier nos choix et de clarifier les 
aspects techniques de notre solution.
Chapitre 2 : Etat de l’art 
Chapitre 2 : Etat de l'art 
11 
Introduction 
Suite à l’étude de l’existant de la société TTN, nous avons présenté les problèmes et la 
solution proposée pour aider l’administrateur à contrôler le fonctionnement du serveur proxy 
et lui permettre d’expliquer certaines situations de surcharge ou encore de mauvaise 
utilisation. 
Cependant, La solution proposée de mise en place d’un firewall, nous ramène à étudier les 
différents produits disponibles sur le marché et faire notre choix. Ceci ne peut être fait 
indépendamment de l’environnement de travail du réseau de la société TTN. 
La société TTN travaille sur l'étude de solutions de filtrage de flux Internet basées sur des 
logiciels Open Source basé sur le système d’exploitation Free BSD. 
1. Définition Free BSD [1] 
Le système d’exploitation UNIX développé à l'université de Berkeley, elle contient quatre 
BSD Open Source : Net BSD (fonctionne sur des ordinateurs de poche que sur des gros 
serveurs, et a été utilisé par la NASA dans le cadre de missions spatiales), Open BSD (vise la 
sécurité et la pureté du code: utiliser dans les banques, les bourses) et Dragon Fly BSD, mais 
dans notre projet on utiliser le système d’exploitation FreeBSD est un système 
d'exploitation UNIX libre. 
L'objectif du projet FreeBSD est de fournir un système qui peut servir à tout, avec le moins 
de restrictions possibles. 
FreeBSD vise les hautes performances et la simplicité d'utilisation pour l'utilisateur final. Il 
est l'un des systèmes d'exploitation favoris des fournisseurs de contenu sur le Web. Il 
fonctionne sur de nombreuses plates-formes. 
2. Portail Captif de FreeBSD [2] : 
Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un 
utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de 
connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son 
accès. Cette demande d'authentification se fait via une page web stockée localement sur le 
portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web 
browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. La
Chapitre 2 : Etat de l’art 
connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui garantit 
l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe) sont 
stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une 
fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce 
voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de 
la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une 
nouvelle session. 
Figure 4 : Portail Captif [3] 
Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou à travers un 
point d'accès wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les 
paramètres de configuration du réseau. A ce moment là, le client a juste accès au réseau via la 
passerelle. Cette dernière lui interdit momentanément l'accès au reste du réseau. Lorsque le 
client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le 
redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login 
et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert 
du login et du mot de passe. Le système d'authentification va alors contacter une base de 
données contenant la liste des utilisateurs autorisés à accéder au réseau. 
3. Etude des différents portails captifs free BSD : [3] 
Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les 
principaux : 
12
Chapitre 2 : Etat de l’art 
13 
3.1. WifiDog [5] 
Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce 
à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée 
permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds 
installés au minimum. 
 Fonctionne sur des plateformes embarquées ou autres 
 Se compose de deux parties: 
 WifiDog Authentification Server : serveur d'authentification 
 WifiDog Gateway: passerelle filtrante du système de portail captif 
dépendances (un serveur web Apache mode SSL, un serveur DHCP, un 
serveur DNS, un pare-feu netfilter). 
Les inconvénients de WifiDog sont : 
 La consommation en ressource réseau est extrêmement faible. 
 Elle utilise seul le port 80 passe. 
 la bande passante demandée est très faible. 
3.2. Talweg[4] 
Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un 
serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*. 
Talweg présente de nombreux points intéressants : 
 Une authentification sécurisée. 
 Du multifenêtrage. 
 Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ; 
 La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par 
copier/coller. 
En revanche, il y a des points négatifs : 
 Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du 
tout avec les pages ASP. 
 Il est impossible d’enregistrer des liens issus de la réécriture des URLs.
Chapitre 2 : Etat de l’art 
 Il n’y a pas de gestion de la durée de connexion des utilisateurs. 
Figure 5: Principe du portail captif Talweg [5] 
14 
3.3. NoCatSplash 
Le logiciel NoCatSplash est un portail web captif destiné à sécuriser le partage d’une 
connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent 
s’authentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement 
les règles Iptables* du firewall pour ouvrir certains ports pour l’utilisateur (uniquement TCP 
avec NoCatAuth-0.82). NoCatAuth nécessite les droits root pour manipuler les règles 
Iptables*. 
NoCatSplash est une solution idéale pour les petites structures ou personnes souhaitant 
partager facilement une partie de leur bande passante en offrant notamment un contrôle sur les 
ports autorisés. 
Figure 6: Architecture NoCat
Chapitre 2 : Etat de l’art 
3.4. Tableau comparaison de Free BSD 
NoCatSplash Talweg Wifidog PfSense 
15 
Simplicité 
d'installation 
Plus important Nom 
Disponible 
Important Important 
Infrastructure 
nécessaire 
Plus important Nom 
Disponible 
important Important 
Performances 
réseau 
Plus important Plus important Plus important Plus important 
Gestion utilisateurs Nom 
Disponible 
Plus important important Important 
Sécurité 
authentification 
Nom 
Disponible 
Plus important Plus important Plus important 
Sécurité 
communications 
Nom 
Disponible 
Plus important Nom 
Disponible 
Plus important 
Etude comparative des différents portails captifs 
4. Choix de la solution « pfSense » [5] 
Au vu de ce comparatif des différentes solutions de portail captif, PfSense apparaît 
comme la plus performante et évolutive s'adaptant aux attentes de One Voice Line. Elle 
répond également aux critères de sécurité dont nous avons besoin : 
 Disponibilité (Base Free BSD, load balancing, etc...) 
 Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...) 
 Adaptabilité (Statistique très nombreuses avec ntop, etc...) 
 Mise à jour du système sans réinstallation, packages téléchargeables directement 
depuis le Web GUI, etc...). 
 Simplicité d'installation et d'administration. 
4.1. Présentation de pfSense 
PfSense à été crée en 2004 comme un fork du projet mOnOwall, pour viser une 
installation sur un PC plutôt que sur du matériel embarqué. PfSense est basée sur Free BSD, 
en visant les fonctions de firewall et routeur.
Chapitre 2 : Etat de l’art 
PfSense est puissante, en bonne partie car elle est basée sur Free BSD, mais aussi assez 
simple d'accès, car elle fournit une interface web pour la configuration, (en plus de l'interface 
console). Je recommande quand même de connaitre les commandes basiques de Free BSD en 
mode console, au moins pour pouvoir récupérer la configuration en cas d'erreur (par exemple 
une mauvaise route qui vous empêche de joindre le firewall...). Cette interface web n'est 
accessible par défaut qu'à partir du LAN. 
PfSense est une distribution Free BSD dédié firewall / routeur. 
 Le firewall est basé sur Paquet Filter. Toute la configuration du système est stockée 
dans un fichier xml (/cf/conf/config.xml). 
 Performances sont liées au matériel. 
 L’installation ainsi que la configuration PfSense va se réaliser sur un système 
d’exploitation de type Free BSD. Il est possible d’émuler le système d’exploitation 
Free BSD grâce à VMware. 
16 
4.2. Objectifs 
Passer en revue les principales fonctionnalités de pfSense à travers une analyse détaillée de 
son interface. 
 Apprendre à dimensionner son hardware en fonction de ses besoins. 
 Installer et mettre à jour son système sur différents supports. 
 S’initier à la pratique de l’outil en présentant les différents modes d’accès 
envisageables (Web, port série, SSH). 
 Procéder aux réglages de base de pfSense (hôte, domaine, serveurs DNS, NTP). 
 Manipuler et assigner les interfaces du firewall pfSense. 
 Présentation du fichier XML de configuration /cf/conf/config.xml 
 Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles 
opérationnelles. 
 Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique. 
 Incidence sur le système du déploiement des paquets. 
4.3. Avantage 
 Simplicité de l’activation / désactivation des modules de filtrage. 
 Solution riche et performante à moindre coût (basé sur des logiciels libres).
Chapitre 2 : Etat de l’art 
 Solution légère pouvant être déployé sur des configurations minimales. 
 Interface web sensible et efficace 
Figure 7 : le réseau informatique avec notre application PfSense 
Sous PfSense il existe plusieurs packages disponibles permettent de mettre en place un réseau 
virtuel privé : un VPN client. 
17 
5. VPN Client [6] 
5.1. Présentation 
Le VPN client consiste à connecter un nomade informatique a son entreprise via un tunnel 
sécurise. Ce tunnel est vu comme un tuyau hermétique de bout en bout ferme a ses extrémités 
par deux portes verrouillées avec une même clef. A l’intérieur de ce tunnel, il y a de 
l’information qui transite de façon sécurisée puisque personne ne peut accéder à ce qu’il y a 
dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a l’extrémité 
de ce dernier et possèdent tous deux la même clef.
Chapitre 2 : Etat de l’art 
Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client 
suivant différentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) : 
1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL 
supportant une large gamme de systèmes d’exploitation client. Elle peut être mise en 
oeuvre en PfSense à partir du package http://openvpn.net/ 
2. IPSec: permet la connectivité avec tout dispositif de support standard IPsec. Ceci est le 
plus généralement utilisé pour la connectivité du site aux installations PfSense. IPSEc 
peut être mise en oeuvre en PfSense à partir du package 
http://tools.ietf.org/html/rfc4301 
3. L2TP: Cette option va gérer le Layer 2 Tunneling Protocol (L2TP) qui signifie 
protocole de tunnellisation de niveau 2. Il s’agit d’un protocole réseau utilisé pour 
créer des réseaux privés virtuels (VPN). Cette technologie peut être mise en place à 
partir du package http://tools.ietf.org/html/rfc7546 
4. PPTP: est une option populaire VPN, car presque tous les OS sont dotés d’un client 
PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le 
serveur Pfsense PPTP peut utiliser une base de données d’utilisateur local, ou d’un 
serveur RADIUS pour l’authentification. PPTP peut être utilisé en pfSense à partir du 
package : http://www.ietf.org/rfc/rfc2637.txt 
18 
5.2. OpenVPN 
OpenVPN est un logiciel libre permettant de créer un réseau privé (VPN). 
Ce logiciel, disponible dans PfSense, permet à des paires de s’authentifier entre eux à l’aide 
d’une clé privée partagée à l’avance ou à l’aide de certificats. Pour chiffrer ses données, 
OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi présente dans PfSense.
Chapitre 2 : Etat de l’art 
19 
5.3. Limitations d’OpenVPN : 
OpenVPN IPSec PPTP 
Clients mobiles Oui Ne support pas NAT-T 
ce qui empêche 
l’utilisation de client 
mobiles derrière du 
NAT 
Oui 
Utiliser IP statiques ou 
dynamiques 
Static IP : Oui 
Dynamic IP : 
V2.0 
Static IP : Oui 
Dynamic IP : Un seul 
point final autorisé 
Static IP : Oui 
Dynamic IP : Oui 
Filtrage de traffic VPN Prévu dans la 
V2.0 
Oui Oui 
Type d’authentification Shared Key, 
Certificat 
Pre Shared Key, 
Certificat 
Local user database, 
RADIUS server 
(Authentification, 
Accounting) 
Fonctionnalités du 
mécanisme non encore 
implémentées dans 
PfSense 
Celles 
manquantes dans 
la V2.0 
DPD, XAuth, NAT-T 
et autres 
Tableau : Limitation d’OpenVPN 
Conclusion 
Les différents modèles présentés dans ce chapitre expliquent bien le fonctionnement 
global du projet. Cette définition nous donne une idée claire sur les principes et les objectifs 
de l’application¸ et on peut facilement par la suite atteindre la phase de réalisation. 
Nos travaux nous ont conduits à étudier plus particulièrement le projet pfSense. Cette solution 
offre des avantages important en termes de filtrage des flux Internet et peut permettre de 
répondre efficacement à la plupart des problèmes de sécurité et de filtrage des flux Internet.
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Chapitre 3 : Installation de PFsense et configuration des réseaux 
1. Configuration de pfsense sous VMware 
20 
1.1. Partie WAN 
Une carte réseau contient deux interfaces réseau :interne et externe 
1.1.1. Interface du carte réseau WAN interne : 
Pour réseau WAN on coche tous les services activés,par exemple : 
 VMware br idge protocol 
 Protocole internet version 6 (TCP IPv6) 
 Protocole internet version 4 (TCP IPv4)… etc. 
Figure 8: Configuration de carte réseau WAN
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
1.1.2. Interface du carte réseau WAN externe: 
On configure l’adresse IP en mode bridge pour détecter l’adresse automatiquement. 
Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor 
1.2. Partie des interfaces réseaux : 
1.2.1. Configuration carte réseau Administrateur : 
Pour le réseau Administrateur, nous activons tous les services sauf le service WAN 
(Vmware Bridge Protocol) afin de pouvoir le configurer manuellement. 
Figure 10: Configuration de carte réseau Administrateur 
21
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Ensuite On passe à l’écran suivant,afin de configurer l’adresse IP : L’administrateur saisit 
l’adresse : 192.168.1.0, adresse de la carte réseau externe de l’administrateur. 
Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor 
1.2.2. Configuration carte réseau DMZ : 
Pour réseau DMZ , Nous activons tous les services sauf le service WAN (Vmware Bridge 
Protocol). 
Figure 12: Configuration de carte réseau DMZ 
22
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Figure 6: Configuration de carte réseau DMZ sous Virtual Network Editor 
1.2.3. Configuration RéseauLAN : 
Pour RéseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge 
Protocol). 
Figure 14: Configuration de carte réseauLAN 
23
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor 
1.3. Configuration du serveur PfSense : 
1.3.1 Configuration du réseau Administrateur : 
Après l'installation du logiciel Free BSD pfSense nous avons commencé par 
configurer l’interface réseau Administrateur. Nous avons désactivé l’adressage dynamique 
(DHCP) et nous avons changé l’adresse IP Administrateur par l’adresse 192.168.1.1 et 
donc cette adresse IP va nous permettre l’accès à pfSense via son interface WEB. 
24 
1.3.2 Configuration du réseau WAN : 
Après Configuration du réseau Administrateur nous avons commencé par configurer 
l’interface réseau WAN. Nous avons activé l’adressage dynamique (DHCP) et change 
l’adresse IP par l’adresse 192.168.137.1 et donc cette adresse IP va nous permettre l’accès 
à pfSense via son Internet.
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Figure 16: configuration des interfaces réseau Administrateur et interface WAN 
25 
1.3.3 Configuration du réseau DMZ 
Nous avons configuré l’interface réseau DMZ et désactivé l’adressage dynamique 
(DHCP) et nous avons ajouté l’adresse IP 192.168.2.1 et donc cette adresse IP va nous 
permettre l’accès au réseau DMZ par pfSense. 
Figure 17: configuration de l’interface DMZ
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
26 
1.3.4 Configuration du réseauLAN : 
Configuration d’interface RéseauLAN. Nous avons désactivé l’adressage 
dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168. 3.1 
Figure 18: configuration de l’interface réseauLAN 
2. Portail Captif : 
La différence entre un simple Firewall et un portail captif réside dans le fait que le portail 
captif ne refuse pas une connexion, il la redirige vers une page d’authentification. 
Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans 
une base de données qui est hébergée localement ou sur un serveur distant. Une fois 
l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir 
autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la 
durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une 
nouvelle session.
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
27 
Fonction type d’un portail captif : 
Si le Client : http://www.google.fr (en passant par le portail…) 
Portail : redirection vers la page d’authentification locale 
Client : Login+Mot de Passe 
SI OK : le client à accès à la page 
http://www.google.fr 
Les mêmes paramètres d’authentification du client doivent fonctionner avec tous les 
protocoles applicatifs (FTP, HTTP,….). 
Figure 19 : Schéma théorique d’un portail captif [7] 
2.1. Description des différentes options de PFsense:
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Figure 20: configuration des interfaces réseaux sur serveur PfSense 
28 
1) Assign Interfaces : 
Cela va redémarrer le serveur en réaffectant les interfaces existantes, ou en créant de 
nouvelles. 
En choisissant cette option, nous avons ajouté les interfaces : 
DMZ, Administrateur et réseau LAN 
2) Set interface(s) IP address 
Cette option nous permet d’abord d’ajouter ou de modifier une adresse IP, ensuite soit : 
 Activer le DHCP sur l’interface : Dans ce cas, nous avons la main pour régler la plage 
d’adresses IP. 
 Désactiver le DHCP sur l’interface. 
Au niveau de cette option, nous avons ajouté les adresses suivantes : 
 WAN : 192.168.137.5 en activant le DHCP pour les plages : 192.168.137.1 à 
192.168.137.100. 
 Administrateur : l’adresse IP est 192.168.1.1 /24 et en désactivant le DHCP. 
 DMZ : l’adresse IP est 192.168.2.1 /24 et en désactivant le DHCP 
 Réseau LAN : l’adresse IP est 192.168.3.1 /24 et en désactivant le DHCP
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
29 
3) Reset web configurator password 
Cette option permet de réinitialiser le nom d’utilisateur et le mot de passe Web GUI, 
respectivement à « admin » et « pfsense ». 
4) Reset to factory default 
Cela permet de restaurer la configuration du système aux paramètres d’usine. Cela n’apporte 
cependant pas de modifications au système de fichier ou aux paquets installés sur le système 
d’exploitation. Si les fichiers système ont été endommagés ou modifiés, le meilleur moyen 
consiste à faire une sauvegarde, et réinstaller PfSense à partir du CD ou autre support 
d’installation ou également à partir du WebGUI, onglet Diagnostic puis Factory defaults). 
5) Reboot system 
Arrête PfSense et redémarre le système d’exploitation. Cette opération est également possible 
à partir du WebGUI, onglet Diagnostic puis Reboot. 
6) Halt system 
Arrête proprement PfSense et met la machine hors tension. Cette opération est également 
possible à partir du WebGUI, onglet Diagnostic puis Halt system). 
7) Ping host 
Ajuste une adresse IP, à qui seront envoyées trois demandes d’écho ICMP. Le résultat du Ping 
montre le nombre de paquets reçus, les numéros de séquence, les temps de réponse et le 
pourcentage de perte paquets. 
Au niveau de cette option, nous avons effectué des tests de Ping vers les différentes interfaces. 
8) Shell 
Démarre une ligne de commande Shell. Cette option est très utile, et puissante. Certaines 
tâches de configuration complexes peuvent nécessiter de travailler avec les commandes Shell, 
et certaines tâches de dépannage sont plus faciles à accomplir avec Shell. Cependant, il y a 
toujours une chance de provoquer des erreurs de manipulation irréparables au système s’il 
n’est pas manipulé avec soin. La majorité des utilisateurs PfSense ne toucheront peut-être 
jamais au Shell, ou même ignoreront qu’il existe. Les utilisateurs de Free BSD pourront se 
auront la majorité des commandes certaines ne sont pas présentes sur le système pfSense, 
puisque les parties inutiles de l’OS ont été supprimées pour des contraintes de sécurité ou de 
taille. 
9) Pftop 
Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données 
envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la 
bande passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
30 
10) Filter Logs 
En utilisant cette option vous verrez toutes les entrées du journal de filtrage apparaissant en 
temps réel, dans leur sous forme brute. Il est possible de voir ces informations dans le 
WebGUI (onglet Status Puis System Logs et enfin onglet Firewall), avec cependant mois de 
renseignements par lignes. 
11) Restart webConfigurator 
Redémarrer le processus du système qui exécute le WebGUI. Dans de rares occasions, un 
changement sur ce dernier pourrait avoir besoins de cela pour prendre effet, ou dans des 
conditions extrêmement rares, le processus peut avoir été arrêté pour une raison quelconque. 
Le redémarrer permettrait d’y rétablir l’accès. 
12) PfSense Développer Shell 
Le Shell du développeur est un utilitaire très puissant qui permet d’exécuter du code PHP 
dans le contexte du système en cours d’exécution. Comme avec le Shell normal, il peut aussi 
être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell est principalement 
utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers au code PHP et 
au code de base de pfSense. 
13) Upgrade from console 
En utilisant cette option, il est possible de mettre à niveau le VMware de pfSense, et ce en 
entrant l’URL de l’image pfSense à mettre à niveau, ou grâce à un chemin d’accès locale vers 
une image téléchargée d’une autre manière. 
Nous avons travaillé avec la version PfSense 2.0.1, caractérisée par sa stabilité. Cependant 
grâce à cette option, il nous est possible de mettre à jour facilement notre version. 
14) Enable Secure Shell (sshd) 
Cette option nous permet de changer le statut du démon Secure Shell, sshd. 
Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit, nous 
allons détailler les tâches réalisées pour le faire. 
2.2. Configuration à travers l’interface web 
Pour effectuer la mise en place des différents services objets de notre architecture réseau avec 
le serveur pfSense, nous allons utiliser son interface WEBGUI. 
L’URL d’accès à l’administration de pfSense est : 192.168.1.1 
Cette adresse présente l’interface d’authentification pour configurer Pfsense.
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Les paramètres de sécurité d’accès sont offerts par défaut comme suit : 
31 
- utilisateur: admin 
- Mot de passe: pfsense. 
Ainsi, une page d’accueil est affichée. En choisissant le menu System General Setup, on 
accède à l’interface de configuration générale suivante : 
Figure 21 : Configuration de base de système 
Dans cette page, nous avons introduit les données suivantes : 
 Le nom de la machine : pfSense 
 Le domaine : localdomain 
 l’IP DNS : 196.203.80.4 et 196.203.82.4 
Nous avons décoché l’option se trouvent dessous (Allow DNS server liste to be overridden by 
DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des 
clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le 
LAN. 
Ensuite, nous avons modifié le nom et le mot de passe du compte permettent de se connecter 
sur PfSense. 
Nous pouvons ensuite activer l’accès à ses pages, via une connexion sécurisée SSL. Pour cela, 
nous avons activé le protocole HTTPS pour plus de sécurité.
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Nous avons entré le port 443 dans Web GUI, port correspondant à SSl. 
Nous avons ensuite modifié le serveur NTP (Network Time Protocol : qui permet de 
synchroniser les horloges des systèmes informatiques à travers un réseau) et le fuseau horaire 
pour régler votre horloge. 
Enfin, il est conseillé de changer le thème d’affichage de pfSense. En effet, le thème par 
défaut (metallic), comporte quelques bugs (problème d’affichage, lien disparaissant). Nous 
avons choisi le thème “ code-red “. 
Nous obtenons l’interface suivante : 
Figure 22 : paramétrage de base 
Ensuite, nous avons choisi le menu « System  Advanced » pour activer la connexion SSH 
afin d’administrer le réseau à distance sans passer par l’interface graphique. Nous avons 
introduit le numéro de port SSH : 22 
32
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
Figure 23 : Activation de SSH 
En activant le SSH, nous avons obtenu les pages web https. Comme le montre la figure 17. 
Figure 24 :Accées sécurisé du WebGUI 
33
Chapitre 3 : Installation de PFSense et Configuration des réseaux 
34 
Conclusion : 
Dans ce chapitre nous avons décrit la mise en place de firewall PfSense dans notre 
environnement de travail. Nous avons configuré les interfaces réseaux existantes dans le 
firewall. 
Dans le chapitre suivant, nous allons implémenter et réaliser notre application et présenter une 
description complète de l’application.
Chapitre 4 : Paramétrage et test des packages de PFSense 
Chapitre 4 : Paramétrage et test des packages de PFsense 
35 
Introduction : 
Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de 
continuer la mise en place de PfSense dans son environnement d’exécution. Nous allons 
procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers 
tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre 
réseau. 
Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus importantes de 
l’application et les résultats des tests effectués. 
1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD: 
1.1. Bloquage des sites web 
Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et 
« SquidGuard » puis configurer les blacklist, les différentes restrictions et éventuellement des 
règles d’accès supplémentaires ACL (Access Control List). 
1.1.1 Squid : 
« Squid » est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est 
très complet et propose une mulitude d’options et de services qui lui ont permis d’être très 
largement adopté par les professionnels, mais aussi dans un grand nombre d’école ou 
administrations travailliant avec les systèmes de type Unix 
Squid est capable de manipuler les protocoles HTTP,FTP,SSL... 
1.1.2 SquidGuard : 
« SquidGuard » est un redirecteur URL utilisé pour utiliser les listes noires avec le logiciel 
proxy « Squid ». SquidGuard possède deux grands avantages: Il est rapide et il est aussi 
gratuit. SquidGuard est publié sous GNU Public License, licence gratuite. 
SquidGuard peut etre utilisé pour : 
 Limiter l’accés Internet pour certains utilisateurs à une liste de serveurs Web et /ou 
des URLs qui sont acceptés et bien connus. 
 Bloquer l’accés à des URL correspondant à une liste d’expressions régulières ou 
des mots pour certains utilisateurs.
Chapitre 4 : Paramétrage et test des packages de PFSense 
 Imposer l’utilisation de mons de domaine et interdire l’utilisation de l’adresse IP 
36 
dans les URL . 
 Rediriger les URLbloquées à une page d’informations relative à Pfsence. 
 Rdiriger certaines bannières à un vide. 
 Avoir des régles d’accés différents selon le moment de la journée, le jour de la 
semaine, date, etc. 
Figure 25 : Instalation des pakages :Squid et SquidGuard 
1.2. Configuration de Squid 
Nous avons choisi le menu « Services → Proxy server ». 
Dans l’onglet Général, nous vons configuré les options suivantes : 
 Proxy interface : Nous a permi de choisir d’affecter Squid au interfaces réseau. 
 Allow user on interface :Nous avons choisi de valider cette option pour l’interface 
choisie. 
 Log store directory : /var/log :dossier contenant les autres logs. 
 Proxy port : 3128 : port de proxy. 
 Language : French. 
Au niveau du menu l’onglet « Access Control → Blacklist », Il est possible d’indiquer des 
sites non autorisé en compléement des Blacklist de SquidGuard.
Chapitre 4 : Paramétrage et test des packages de PFSense 
1.3. Configuration de SquidGuard 
Nous avons choisi le menu « Services →Proxy filter ». 
37 
nous vons configuré les options suivantes : 
 Enable : valider pour activer SquidGuard 
 Blacklist : valider pour activer blacklist 
 Blacklist URL : ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz, Url de 
la blacklist 
Ensuite nous sauvegardons et nous téléchargeons la blacklist. 
1.4. Spécification de la Common Access List 
Lorsque le téléchargement est terminé, Il faut ensuite cliquer sur l’ongle « Default » puis sur 
le triangle vert pour afficher la blacklist dans la page Common ACL . 
Sur chaque élément quenous voulons autoriser, nous choisissons « allow », et » pour ceux que 
vous voulez interdire, nous choisissons « deny . 
Au niveau de l’’onglet Common ACL, nous configuron les options suivantes: 
 Not to allow IP adresses in URL :nous cochons cette option si nous voulons 
interdire les adresses IP tapées directement dans l’URL. 
 Redirect mode : laisser l’option par défaut int error page : Pour garder les messages 
d’erreur par défaut 
 Redirect info : pour entrer un message d’erreur personnalisé, par exemple « Accés 
interdit,cantacter votre administrateur » 
 Enable log : nous cochons cette case pour enregistrer l’activité du service 
 Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de 
l’onglet General settings pour visualiser les options paramétrés. 
Après avoir installé les packages au niveau de l’onglet « Services  proxy filtre », on 
active le paquet SquidGuard comme il se trouve dans la figure
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 26: Activation de proxy filter 
38 
1.5. Filtrage des sites web 
Nous avons activé le paquet SquidGuard, nous allons ensuite ajouter les autres sites à filtrer. 
Nous alonns tester par exemple les sites: 
www.facebook.com 
 www.gmail.fr 
 www.tunisa sat.com 
Pour cela, nous nous sommes dirigés à l’onglet Target catégories (nous travaillons encore 
sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le 
log et enfin, nous pouvons ajouter une description.
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 27: journalisation des filtrage 
Lorsque nous avons terminé, nous cliququons sur le bouton « Save » et nous avançons au 
dernier onglet « Common ACL » et nous mettons uniquement les sites choisis en mode 
« deny ». 
Nous avons testé l’accès au site filtré : www.facebook.com. 
Nous avons obtenu le résultat du filtrage s’affiche dans la figure 28: Le message suivant 
s’affiche : « Request denied by pfsense proxy » 
Figure 28: Résultat du test d’interdiction d’accès 
39
Chapitre 4 : Paramétrage et test des packages de PFSense 
2. Configuration du server OpenVPN [8] 
Dans un premier temps, nous allons installer le paquet « client OpenVPN Export Utility », à 
partir du « System  Packages ». 
Figure 29: Installation d’openVPNclient export 
Puis, à partir de « System  Cert Management », au niveau de l’onglet CA (Certificate 
Authority), nous allons crée un nouveau certificat. Nous notons les noms descriptifs et 
communs (Descriptive and Common names) que nous lui donnons puisque nous en aurons 
besoin plus tard. Ensuite nous entrons le reste des détails pour le CA, voir figures 30 et 31. 
40
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 30: création de certificat 
Figure 31: Vérification de clé de certification 
41
Chapitre 4 : Paramétrage et test des packages de PFSense 
Aprés, nous allons sous « Système User Management », afin de créer un nouveau compte 
utilisateur. 
Figure 32: Association de certificat aux client 
Nous avons Coché dans la « section certificat » pour créer un certificat d’utilisateur, après 
que l’utilisateur est créé, nous avons entré le compte d’utilisateur nouvellement créé et généré 
un certificat pour l’utilisateur. 
Nous avons choisi de sélectionner « Créer un certificat interne ». 
Puis nous avons configuré le serveur OpenVPN « VPN  OpenVPN ». 
Pour le type de serveur, nous avons sélectionné « l’accès des utilisateurs locaux » voir figure 
33. 
Figure 33 :Utilisation d’OpenVPN Wizard 
42
Chapitre 4 : Paramétrage et test des packages de PFSense 
Pour l’autorité de certification nous avons entré le nom que nous avons créé plus tôt 
(TTN_vpn). 
Figure 34: choisir le certificat 
Pour un certificat de serveur, nous avons sélectionné « ajouter un nouveau certificat ». Ensuite 
nous avons renommé le nom descriptif « TTN_vpn Server Cert », pour l’utiliser au niveau 
du serveur VPN. 
Figure 35: Création de certificat serveur 
Ensuite, nous éditons la configuration du serveur OpenVPN. 
43
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 36 : choisir l’alogoritheme de cryptage 
Nous sélectionnons l’algorithme de chiffrement. 
Pour le réseau Tunnel, nous avons choisi un sous-réseau qui est différent de notre sous-réseau 
WAN. 
Dans le réseau local, nous entrons notre sous-réseau CLIENT. Et nous Décidons du nombre 
de connexions simultanées. Nous avons choisi : 10 clients externes. 
Figure 37: modifier l’adresse de TUNNEL 
44
Chapitre 4 : Paramétrage et test des packages de PFSense 
Comme il s’agit d’une configuration très basique, nous n’enterons pas les serveurs DNS et de 
domaine par défaut, mais nous devrions envisager ces options, en fonction de notre 
environnement. 
Puis nous allons à « VPN OpenVPN », sélectionnons la feuille « Client Export ». Le 
paquet que nous avons installé dans le début nous donne la possibilité d’exporter 
automatiquement l’archive en plus des fichiers de configuration utilisateur. 
Nous Trouvons l’utilisateur pour lequel nous voulons exporter la configuration, et nous 
cliquons sur le lien d’archive de configuration voir la figure 38. 
Figure 38: Exportation d’archives de configuration 
Après l’installation du OpenVPN GUI, nous ouvrons l’archive de configuration et y extraire 
les fichiers à cet emplacement sur la machine avec laquelle nous allons établir la connexion 
VPN. 
Lorsque nous lançons OpenVPN GUI, nous obtenons une icône représentant un petit poste 
de travail de couleur rouge qui nous indique que notre connexion au serveur VPN n’est pas 
active. 
Pour activer notre connexion VPN, nous faisons un clic droit sur l’icône de la barre de tâche 
« OpenVPN ». Puis nous cliquons sur Connect. 
Une fois que nous aurons cliqué sur Connect, nous obtenons la fenêtre suivante avec une 
boîte de dialogue nous demandant d’enter le mot de passe. Voir la figure 39. 
45
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 39: Authentification d’OpenVPN 
Si la connexion VPN se déroule sans aucun problème, l’icône dans notre barre de tâche 
change de couleur et devient verte. La connexion à notre serveur VPN est fonctionnelle. 
3. Détection et Prévention d’Intrusion Réseau « SNORT » [9] 
SNORT est outil open source de détection d’intrusion réseaux (NIDS). SNORT est capable 
d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel, de logger les 
paquets IP et de rechercher des correspondances de contenu ; le but étant de détecter une 
grande variété d’attaques connues. 
SNORT peut fonctionner en quatre modes différents : 
 SNIFFER:capture et affichage des paquets, pas de log. 
 PACKET LOGGER :capture et log des paquets. 
 NIDS(Network Intrusion Détection System): analyse le trafic, le compare à des 
régles, et affiche des alertes et ainsi détecter des tentatives d’intrusion réseau d’aprés 
des régles. 
 IPS (Système de prévention d'intrusion): détection et prévention d’attaques et donc 
empécher les intrusions réseau détectées en suivant les mêmes régles. 
46
Chapitre 4 : Paramétrage et test des packages de PFSense 
Nous nous concentrerons sur les modes NIDS et IPS ,qui nous rendent deux services bien 
différents. 
47 
3.1. Maquette de test : 
Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de 
NIDS et d’IPS : 
Figure 40: Maquette de test de SNORT [10] 
3.2. Installation et configuration de SNORT : 
Le premiére étape est l’installaltion du package SNORT dans Pfsense 
« Système  package SNORT » : 
Figure 41: Installation de package SNORT 
La seconde étape importante est la création d’un compte sur http:/ /snort.org,afin de pouvoir 
récupérer les régles prédéfinies en temps voulu, nous y revenons par la suite. 
L’interface étant maintenant paramétrée, nous allons configurer SNORT « Service  
SNORT » :
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 42: Activation et configuration du service 
Les paramètres de SNORT sont resumés sous forme de tableau : 
Interface Nous spécifions ici l’interface de pfSense sur laquelle SNORT 
écoutera l’ensemble du trafic. conformément au schéma précédent : 
réseauLAN 
performance Nous indiquons ici la méthode de recherche utilisée par SNORT sur 
les paquets analysés. «ac-sparse bands» est la méthode recommandée. 
Oinkmastre code Code récupéré via notre compte sur SNORT.org qui nous permettrons 
de télécharger les règles SNORT pré établies. 
Snort.org subscriber Nous cochons cette case si nous utilisons un Oinkmaster code. 
Block offenders Elément important de la configuration, puisque le fait de cocher cette 
case bloquera automatiquement tout hôte déclenchant une alerte sur 
l’interface d’écoute (fonction IPS de SNORT). Voir plus bas pour des 
détails complémentaires. 
48 
Update rules 
authomatically 
Mise à jour automatique des règles SNORT. 
Whitelists VPNs uris to 
clickable links 
Ajouter automatiquement les VPN pré configurés dans pfSense à la 
whitelist, afin d’éviter tout refus de connexion ou blacklistage.
Chapitre 4 : Paramétrage et test des packages de PFSense 
49 
Convert Snort alerts 
uris to clickable links 
Les alertes apparaissent sous la forme de liens hypertextes. 
Associate events on 
Blocked tab 
Lier la raison du blocage à l’hôte bloqué dans l’onglet « blocked ». 
Sync Snort 
configuration to 
secondary cluster 
members 
Synchroniser la configuration de SNORT avec tous les membres du 
cluster CARP s’il en existe un. 
Tableau :définition de paramétres 
Nous validons ensuite en cliquant sur le bouton «Save» en bas de page. SNORT va ensuite 
automatiquement télécharger les régles (premium rules) depuis Snort.org grâce à notre 
Olinkmastre code. 
Toutes les régles ainsi téléchargées sont regroupées sous forme de catégories das l’onglet 
«Categories». Nous séléctionnons celles qui correspondent aux attaques que nous désirons 
détecter sur notre réseau. Afin de tester l’efficacité de la solution, nous nous contentons de la 
régle «scan.rules» qui nous permettra de détecter et bloquer un attaquant effectuant un scan de 
port sur hote distant. 
L’étape suivante consiste à paramétrer les régles présentent dans la catégories que nous 
venons de sélectionner. 
Figure 43: Sépcification des catégories
Chapitre 4 : Paramétrage et test des packages de PFSense 
Nous activons et paramétrons notamment la règle « SCAN nmap XMAS » afin de pouvoir 
détecter un scan de port Nmap lancé depuis l’interface administrateur vers un hôte situé sur un 
réseau distant (interface WAN). La figure suivante illustre l’interface avant le test au niveau 
de nos réseaux. 
Figure 44: Vérification des alertes 
50 
3.3. Test de la solution : 
Un attaquant va effectuer un scan de port Nmap sur un hôte distant. Pendant toute la durée du 
test, l’attaquant effectue, en parallèle du scan du port, un Ping vers la victime, afin de vérifier 
en permanence la connectivité vers l’hôte et fixer le moment où il sera blacklisté par 
SNORT : attaque détecté ET contrée.
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 45: Test de la solution 
Une fois le scan de port lancé, la station de supervisons peut très rapidement lancer des alertes 
ainsi, l’adresse IP 192.168.2.99, de notre attaquant, a été bloquée : 
Figure 46 : vérification des Alerts 
51
Chapitre 4 : Paramétrage et test des packages de PFSense 
4. Partage de la Bande Passante « TRAFFIC SHAPER » 
La fonction « traffic shaping » de pfSense permet initialement d’optimiser la bande passante 
en attribuant des priorités aux différents flux du réseau. Par exemple, nous donnons une 
meilleure priorité aux flux VOIP par rapport au reste du trafic afin d’optimiser les 
communications VOIP. 
Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, à 
savoir comment la partager entre plusieurs hôtes/réseaux selon nos besoins 
52 
4.1. MAQUETTE DE TEST 
Figure 47: maquette de test bande passante
Chapitre 4 : Paramétrage et test des packages de PFSense 
L’objectif va être de démontrer comment, à partir d’une connexion ADSL (2500Kbps down, 
463 Kbps up), nous pouvons offrir une portion de bande passante différente à chacun nos 
deux clients, ou bien une bande passante limitée et partagée entre les deux clients. 
4.2. Configuration de TRAFFIC SHAPER 
Il y a deux étapes de base à la mise en place d’un limiteur de contrôle la bande passante. 
 Configurez les limiteurs que vous allez utliser. 
 Attribuer le trafic vers ces limiteurs. 
A partir de ce moment, nous le vérifions la bande passante d’une maniére très simple,via le 
speedtest.net qui nous permet de calculer le débit descendant depuis une station. 
Figure 48 : teste de débit initial 
Limitteur sont configurés en les créant sous « firewall Traffic Shaper »,sur l’onglet 
limiter. 
Nous pouvons utiliser un seul tuyau pour le traffic entrant , et sortant mais cela signifierait 
que nous simulons une connexion half-duplex. 
La méthode recommandéé consiste à créer 2 tuyaux, lun pour le trafic entrant et un pour le 
trafic sortant. La méthode est à partir de la persective de l’interface.si nous utilisons des 
limteurs sur LAN ,la file d’attente entrante est notre upload et la file d’attente sortante est 
notre téléchargement. Nous devons nommer les tuyaux down_limit et up_limit. 
Pour le tuyau down_limit nous avons choisi la valeur exemple (300kbps) 
53
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 49: Ajoute un limite de download ‘‘down_limit’’ 
Pour le tuyau up_limit nous avons choisi la valeur exemple (200kbps) 
Figure 50: Ajoute un limite de download ‘‘up_limit’’ 
54
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 51:Ajouter un Client 
Une fois que nous avons installé un tuyau limiteur,l’étape suivante consiste à affecter le trafic 
à en définissant l’ « in /out’’ dans un firewall rule.Rapplons-nous que dans et hors du point de 
vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur l’interface 
RéseauLAN, ‘’out’’ est la vitesse de télechargement (le trafic du carte réseau LAN sur le 
réseau local) et « dans » est la vitesse de télechargement (le trafic du réseau local dans la carte 
réseau LAN). 
Il suffit de créer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour 
qu’ils soient utilisés. 
Figure 52:Association des limiteurs au Client 
55
Chapitre 4 : Paramétrage et test des packages de PFSense 
Le resultat s’affiche comme le montre le figure suivante : 
Figure 53: test de Bande Passante sur un client de RéseauLAN 
5. Supervision de la Bande Passante «NTOP » 
Ntop est une sonde d’analyse du trafic réseau et nous permet ainsi d’avoir un oeil sur 
l’utilisation qui est faite en temps réel de notre réseau. Nous pouvons également le qualifier 
de superviseur de bande passante, puisque nous pourrons afficher de manière détaillée un 
ensemble d’éléments tels que la bande passante moyenne utilisée par un hôte ou un réseau, les 
différents flux, leur type et leur sens (locallocal, localRemote…). 
Nous ne détaillerons pas ici l’ensemble des fonctions et éléments visualisables via Ntop 
(beaucoup trop nombreux), mais seulement les éléments qui nous montrent les plus 
intéressants pour superviser au mieux son réseau. De même, la fonction permettant à NTOP 
de recevoir des informations depuis une sonde NetFlow ne sera pas aborde. 
56 
5.1. Maquette de test : 
Ntop sera raccordé au coeur de notre réseau via un port miroir. Ce port miroir, aussi appelé 
port monitoring, effectue une réplication de l’ensemble du trafic transitant via l’élément actif 
sur lequel il est configuré (généralement un commutateur ou un châssis de coeur de réseau). 
Ainsi, l’ensemble des paquets entrants et sortants sera redirigé vers notre PfSense avec Ntop 
en écoute.
Chapitre 4 : Paramétrage et test des packages de PFSense 
Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas 
remaniés, ce qui nous permet de conserver les adresses, ports, etc.… d’origine. Voici ainsi la 
maquette déployée pour traiter ce chapitre : 
Figure 54: Maquette de test de ntop 
5.2. Installation et configuration : 
Nous avons commence par le téléchargement et l’installation du package Ntop : 
Figure 55 : Installation de packge de ntop 
Une fois l’installation terminée, nous allons au menu « Diagnostics  ntop settings » pour 
initialiser ntop et lancer le service correspondant. Nous avons configuré le mot de passe 
« admin » pour accéder à la configuration avancée de ntop, ainsi l’interface d’écoute : 
57
Chapitre 4 : Paramétrage et test des packages de PFSense 
Figure 56 :Configuration de compte d’administrateur 
Puis nous avons allée au « access ntop » ci-dessus, ou encore via le menu pfSense 
« Diagnostics  ntop »).pour accéder aux statistiques générales de réseauLAN 
 les informations concernant Ntop (interface d’écoute, uptime, etc.…) 
Figure 57 : Interface d’écoute 
 Un rapport concernant le trafic sur l’interface d’écoute (paquets, trafic, ou la 
58 
charge) 
Figure 58 : Le rapport de trafic
Chapitre 4 : Paramétrage et test des packages de PFSense 
 La répartition totale du trafic par protocole 
Figure 59 : La répartition totale du trafic par protocole 
 Ou encore un diagramme détaille du trafic par services 
Figure 60 : diagramme de trafic par service 
5.3. Scénarios d’utilisation de NTOP : 
NTOP est très fournit en termes de menus et de données affichables. Nous allons donc 
imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre 
réseau/bande passante. 
59 
Consomment de bande passante
Chapitre 4 : Paramétrage et test des packages de PFSense 
Des lenteurs ont été constatées pour tout accès à Internet, que ce soit pour du download ou de 
l’upload, et nous désirons contrôler l’utilisation que fait chaque hôte de notre connexion a 
Internet. 
Nous allons donc afficher un « top 10 » des hôtes les plus gourmands en bande passante 
Internet. 
Pour ce faire : 
1. Sélectionner all protocols  traffic 
2. Dans ‘hosts’ choisir ‘Local Only’ 
3. Dans ‘data’, choisir au choix ‘received’ ou ‘sent’ 
4. Et enfin le VLAN concerne ou la totalité du réseau 
Figure 61 : Interface des hôtes connectés 
Nous affichons ainsi l’ensemble des hôtes et les quantités de données reçues et/ou envoyées. 
Il ne reste plus qu’a cliquer sur « data » pour afficher les plus gros consommateurs en tête de 
liste. 
Dans chaque fenêtre NTOP de ce type, nous cliquant sur le nom ou l’adresse d’un hôte, nous 
pourrons accéder à toutes ses statistiques détaillées. 
60
Conclusion Générale 
L’administration réseau est un travail complique. Le métier veut que l’on doive souvent 
maîtriser différentes technologies et les faire travailler ensembles. La tâche se complique 
encore si l’administration et la configuration de tout cela se fait manuellement. 
En ce sens nous avons vérifie à travers ce rapport que PfSense répond à ces interrogations. 
Cet Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler 
ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque 
réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des 
« Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref 
nous pensons que PfSense est voue à exister et se développer. 
Nous avons mis en place et testé certains services (les principaux pour être précis) de 
PfSense.
Netographie 
[1] http://fr.wikipedia.org/wiki/FreeBSD: Système d’exploitation FreeBSD: le 2 mai 2013 
consulté le17 mai 2013 
[2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Décembre 2012 consulté le 17 
février 2013 
[3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-dacces- 
internet-portail-captif2.html : Définition et infrastructure portail captif le 03 février 2010 
consulté le28 mars 2013 
[4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consulté 
le 22 avril 2013 
[5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense: configuration PFSense: le 11 
septembre 2012 consulté le 20 février 2013 
[6]http://www.frameip.com/vpn/ Virtuel private network : le 27 septembre 2012 juin2011 
consulté le 29 mai 2013 
[7] http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/ : 
Schéma portail captif: le 16 mai 2010 consulté le 03 mai 2013 
[8] http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2 : open 
Virtuel private Network: le 18 juin 2013consulté le 30 mai 2013 
http://bzhmarmit.wordpress.com/2012/09/11/pfsense 
[9]http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html Intrusion Détection 
Systems: le juillet 2011 consulté le 2 juin 2013 
[10]http://www.snortattack.org/ schéma test de snort le 19 novembre 2005 consulté le 30 mai 
2013 
[11]http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial 
information sur Squid et SquidGuard le 22 janvier 2013 consulté le 30 février 2013 
WWW.pfsense.org 
http://doc.pfsense.org
Résumé : 
La sécurité permet la protection du réseau informatique c’est pour cela nous avons utilisés un 
Firewall PFSense qui peut servir à enregistré l’utilisation de l’accès à Internet et à bloquer 
l’accès à des sites web pour avoir une idée sur l’état du trafic et les menaces on provenance 
d’Internet pour offre à les utilisateurs un accès distant rapide et sécurisé à travers de package 
installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN. 
Abstract: 
Security enables the protection of computer network that is why we used a PFSense Firewall 
that can serve recorded using the Internet and block access to web sites to get an idea on the 
traffic conditions and threats from the Internet is to offer users fast and secure remote access 
through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and 
Open VPN. 
م لخص 
التي يمكن أن تخدم "esnPSFP" الأمن تمكن من حماية شبكة الكمبيوتر الذي هو السبب في أننا استخدام جدار حماية 
سجلت باستخدام شبكة الانترنت ومنع الوصول الى المواقع على شبكة الانترنت للحصول على فكرة عن ظروف حركة 
/ndiuq المرور وتهديدات من الإنترنت لتوفر للمستخدمين الوصول السريع والآمن عن بعد من خلال حزمة ألتثبيت 
. OPPS eeR وRSOe ,SNFssS nFFeRN ,nRONS ,ndiuq diuqq

Contenu connexe

Tendances

Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
SamiMessaoudi4
 
Rapport de-stage-technecien
Rapport de-stage-technecienRapport de-stage-technecien
Rapport de-stage-technecien
ghazwanikhouloud
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
Med Amine El Abed
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
Borel NZOGANG
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
OlivierMawourkagosse
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
DENAGNON FRANCK ✔
 
Rapport Projet de fin d'etude sur le parc informatique
Rapport Projet  de fin d'etude sur le parc informatiqueRapport Projet  de fin d'etude sur le parc informatique
Rapport Projet de fin d'etude sur le parc informatique
Hicham Ben
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
Rabeb Boumaiza
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Charif Khrichfa
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
Dimitri LEMBOKOLO
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
ismailbou
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwok
Abdessamad IDRISSI
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
Laouali Ibrahim bassirou Been Makao
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Raoua Bennasr
 
Rapport de stage de fin d'études ISI 2015
Rapport de stage de fin d'études ISI 2015Rapport de stage de fin d'études ISI 2015
Rapport de stage de fin d'études ISI 2015
Anouar Kacem
 

Tendances (20)

Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Rapport de-stage-technecien
Rapport de-stage-technecienRapport de-stage-technecien
Rapport de-stage-technecien
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
 
Rapport Projet de fin d'etude sur le parc informatique
Rapport Projet  de fin d'etude sur le parc informatiqueRapport Projet  de fin d'etude sur le parc informatique
Rapport Projet de fin d'etude sur le parc informatique
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwok
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
Rapport de stage de fin d'études ISI 2015
Rapport de stage de fin d'études ISI 2015Rapport de stage de fin d'études ISI 2015
Rapport de stage de fin d'études ISI 2015
 

En vedette

Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
pfSense, OpenSource Firewall
pfSense, OpenSource FirewallpfSense, OpenSource Firewall
pfSense, OpenSource Firewall
Erik Kirschner
 
pfSense Installation Slide
pfSense Installation SlidepfSense Installation Slide
pfSense Installation Slide
Sopon Tumchota
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsenser_sadoun
 
Vpn
VpnVpn
Vpn
kwabo
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
Jeff Hermann Ela Aba
 
Rapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécomRapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécom
Siwar GUEMRI
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
yassine87
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
Jeff Hermann Ela Aba
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
Noël
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
Hicham Moujahid
 
IPTV
IPTVIPTV

En vedette (20)

Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsense
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
 
pfSense, OpenSource Firewall
pfSense, OpenSource FirewallpfSense, OpenSource Firewall
pfSense, OpenSource Firewall
 
pfSense Installation Slide
pfSense Installation SlidepfSense Installation Slide
pfSense Installation Slide
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
 
Vpn
VpnVpn
Vpn
 
P fsense
P fsenseP fsense
P fsense
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Rapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécomRapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécom
 
vpn
vpnvpn
vpn
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
IPTV
IPTVIPTV
IPTV
 

Similaire à Rapport finiale

RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
TombariAhmed
 
Rapport de projet de fin d’étude
Rapport  de projet de fin d’étudeRapport  de projet de fin d’étude
Rapport de projet de fin d’étude
OumaimaOuedherfi
 
Medical openerp
Medical openerpMedical openerp
Medical openerpHORIYASOFT
 
Étude et mise en place de ftp sécurisé
Étude et mise en place de ftp sécurisé Étude et mise en place de ftp sécurisé
Étude et mise en place de ftp sécurisé
iferis
 
Mise en place de ftp au sufop
Mise en place de ftp au sufopMise en place de ftp au sufop
Mise en place de ftp au sufop
ImnaTech
 
Étude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufopÉtude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufop
iferis
 
Plateforme d'enseignement à distance : efront
Plateforme d'enseignement à distance : efrontPlateforme d'enseignement à distance : efront
Plateforme d'enseignement à distance : efront
Khaled Fayala
 
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
Oussama ANDALOUSSI
 
Gestion d'erreurs et accès à distance
Gestion d'erreurs et accès à distanceGestion d'erreurs et accès à distance
Gestion d'erreurs et accès à distanceahmed oumezzine
 
Rapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFERapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFE
Mohamed Amine Mahmoudi
 
Stage de Perfectonnement Génie Electrique (1) mm 24
Stage de Perfectonnement Génie Electrique (1) mm 24Stage de Perfectonnement Génie Electrique (1) mm 24
Stage de Perfectonnement Génie Electrique (1) mm 24
DhaouiMastour
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insights
ahmed oumezzine
 
rapport fin d'etude
rapport fin d'etuderapport fin d'etude
rapport fin d'etude
sihem-med
 
GEmploi : Smart school timetable management software using RFID technology
GEmploi : Smart school timetable management software using RFID technologyGEmploi : Smart school timetable management software using RFID technology
GEmploi : Smart school timetable management software using RFID technology
Slimane Akaliâ , سليمان أقليع
 
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Karima Torkhani
 
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
karimatorkhani
 
orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...
orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...
orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...
Karima Torkhani
 
Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015
Ghali Rahma
 
Rapport de stage d'été
Rapport de stage d'étéRapport de stage d'été
Rapport de stage d'été
JinenAbdelhak
 
Rapport stage onee-be_2
Rapport stage onee-be_2Rapport stage onee-be_2
Rapport stage onee-be_2
Mounir Kaali
 

Similaire à Rapport finiale (20)

RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
 
Rapport de projet de fin d’étude
Rapport  de projet de fin d’étudeRapport  de projet de fin d’étude
Rapport de projet de fin d’étude
 
Medical openerp
Medical openerpMedical openerp
Medical openerp
 
Étude et mise en place de ftp sécurisé
Étude et mise en place de ftp sécurisé Étude et mise en place de ftp sécurisé
Étude et mise en place de ftp sécurisé
 
Mise en place de ftp au sufop
Mise en place de ftp au sufopMise en place de ftp au sufop
Mise en place de ftp au sufop
 
Étude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufopÉtude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufop
 
Plateforme d'enseignement à distance : efront
Plateforme d'enseignement à distance : efrontPlateforme d'enseignement à distance : efront
Plateforme d'enseignement à distance : efront
 
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
MISE EN PLACE D'UNE SOLUTION INFORMATIQUE ‘ ALSTOM _ ACCUEIL ’
 
Gestion d'erreurs et accès à distance
Gestion d'erreurs et accès à distanceGestion d'erreurs et accès à distance
Gestion d'erreurs et accès à distance
 
Rapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFERapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFE
 
Stage de Perfectonnement Génie Electrique (1) mm 24
Stage de Perfectonnement Génie Electrique (1) mm 24Stage de Perfectonnement Génie Electrique (1) mm 24
Stage de Perfectonnement Génie Electrique (1) mm 24
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insights
 
rapport fin d'etude
rapport fin d'etuderapport fin d'etude
rapport fin d'etude
 
GEmploi : Smart school timetable management software using RFID technology
GEmploi : Smart school timetable management software using RFID technologyGEmploi : Smart school timetable management software using RFID technology
GEmploi : Smart school timetable management software using RFID technology
 
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
 
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
 
orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...
orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...
orkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitoring...
 
Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015
 
Rapport de stage d'été
Rapport de stage d'étéRapport de stage d'été
Rapport de stage d'été
 
Rapport stage onee-be_2
Rapport stage onee-be_2Rapport stage onee-be_2
Rapport stage onee-be_2
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 

Dernier (6)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 

Rapport finiale

  • 1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Direction Générale des Etudes Technologiques Institut Supérieur des Etudes Technologiques de Bizerte Département Technologies de l'Informatique Référence Dép. TI AN 2013 N° RSI 16.13 Rapport de PROJET DE FIN D’ETUDES En vue de l’obtention de : Licence Appliquée en [Réseau et System Informatique] Mise en place d’un firewall open source PfSense Elaboré par : Marwen Ben Cheikh Ali & Khlifa Hammami Encadré par : Mme Afef Gafsi (ISET) Mme Manoubia GAABAB (ISET) Mr Soufien Abiidi (ENTREPRISE) Effectué à : Entreprise : Tunisie Trade Net (TTN)  Adresse : (Rue de lac d’Annecy, Immeuble STRAMICA 1053, Les Bergees du lac)  Tel : (71 861 712)  Mail : ( sofien.abidi@tradnet.com.tn) Année universitaire : 2012/2013
  • 2. Dédicace J’ai le grand plaisir de dédier ce travail en témoignage d’affectation et de reconnaissance à tous ceux qui m’ont aidé à le réaliser. A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance ainsi que mon binôme dans ce travail Hammami Khifa qui m’accompagnée durant toutes mes études universitaires, à tous mes collègues de travail qui m’ont donné du courage pour continuer les études et pour préparer ce diplôme et enfin aux Enseignant et Encadreur de l’ISET qui nous ont donné confiance et espoir et qui nous ont soutenus durant tout le cursus universitaire de cette année. Marwen Ben Cheikh Ali Je dédie ce travail à tous ceux qui m’ont aidé de près ou de loin à la réalisation de mon projet fin d’étude. Mes vifs et sincères remerciements s’adressent aux âmes de mes chers parents, sans oublier mon binôme dans ce travail Marwen Ben Cheikh Ali et aussi à mes frères pour leur soutien et ses biens faits qu’il m’apporté tout au long de ce stage et enfin à tous mes professeurs et mes amis. Hammami Khifa
  • 3. Remerciement C’est avec le plus grand honneur que nous avons réservé cette page en signe de gratitude et de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation de ce rapport de stage. Nos remerciements s’adressent à Mr Khaled Marzouk, le directeur général de l’Entreprise Tunisie TradNet(TTN) qui nous a accueillies dans son établissement. Nos remerciements vont aussi à notre encadreur Mr Abidi Sofien qui assuré notre encadrement tout au long de ce stage et par leurs conseils et leur aides précieux, nous a guidés pendant notre projet. Notre sincère gratitude s’adresse également à tous nos enseignants du département informatique du l’Institut Supérieur des Etudes Technologies de Bizerte qui ont assuré notre formation pendant ces trois années d’étude. De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont fait en acceptant de juger notre travail.
  • 4. Sommaire Introduction Général…………………………………………………………………………...1 Chapitre 1 : Présentation du cadre du stage……………………………………………………2 1. Présentation de la société……………………………………………………………….2 1.1. Historique……………………………………………………………………………2 1.2. Domaine d’activité…………………………………………………………………..2 1.3. Organigramme……………………………………………………………………….4 2. Etude de l’existant………………………………………………………………………5 3. Description de l’existant………………………………………………………………...5 4. Critique de l’existant……………………………………………………...……...……..7 5. Objectifs ………………………………………………………………………………..8 6. Solution proposée……………………………………………………………………….8 7. Planification du projet……………………………………………………...…...………9 Chapitre 2 : Etat de l'art……………………………………………………………………….11 1. Définition Free BSD……………...………………………………………………......11 2. Portail Captif de free BSD……...……………………………………………….........11 3. Etude des différents portails captifs free BSD……..........……………………………12 3.1. WifiDog……...……………………………………………….................................13 3.2. Talweg…...…………………………………………………..................................13 3.3. NoCatSplash……...………………………………………………..........................14 3.4. Tableau comparaison de Free BSD………………………………..........................15 4. Choix de la solution pfsense…………………………...............................................15 4.1. Présentation de pfsense ……………………………...............................................15 4.2. Objectifs…………………………….......................................................................16 4.3. Avantage ……………………………......................................................................16 5. VPN Client……………………………........................................................................17 5.1 Présentation………………………………………………………………...……...17 5.2 Open VPN...…………………….............................................................................18 5.3 Limitation d’open VPN…...…….............................................................................19 Chapitre 3 : Mise en place du pare feu……………………………….....................................20 1. Configuration de pfsense sous Vmware………………………………........................20 1.1. Partie WAN………………………….....................................................................20
  • 5. 1.2. Partie des interfaces réseaux…………………………............................................21 1.3. Configuration du serveur PfSense……………………...........................................24 2. Portail Captif…………………….......................................................................................26 2.1. Description des différentes options de PFsense.......................................................27 2.2. Configuration à travers l’interface web....................................................................30 Chapitre 4 : Paramétrage et test des packages de PfSense.......................................................35 1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD.............................................................35 1.1. Bloquage des sites web ..........................................................................................35 1.2. Configuration de Squid ..........................................................................................36 1.3. Configuration de SquidGuard.................................................................................37 1.4. Spécification de la Common Access List ..............................................................37 1.5. Filtrage des sites web .............................................................................................38 2. Configuration du server Open VPN………........................................................................40 3. Détection et Prévention d’Intrusion Réseau « SNORT » ...................................................46 3.1. Maquette de test................................................................................................47 3.2. Installation et configuration de SNORT...........................................................47 3.3. Test de la solution.............................................................................................50 4. Partage de la Bande Passante « TRAFFIC SHAPER »…………......................................52 4.1. Maquette de test………....................................................................................52 4.2. Configuration de TRAFFIC SHAPER.............................................................53 5. Supervision de la Bande Passante «NTOP » .....................................................................56 5.1. Maquette de test............................................................. ..................................56 5.2. Installation et configuration .............................................................................57 5.3. Scénarios d’utilisation de NTOP .....................................................................59 Conclusion Générale………………………………………………………………………….61 Netographie…………………………………………………………………………………...62
  • 6. Liste des Figures Figure 1: Organigramme de la Société…………………………………………………………4 Figure 2: L’architecture informatique de la Tunisie Trade Net………………………………..6 Figure 3: Architecture proposée du réseau de Tunisie Trade Net…………….………………..9 Figure 4 : Portail Captif……………………………………………………………………….12 Figure 5: Principe du portail captif Talweg…………………………………………………...14 Figure 6: Architecture NoCat…………………………………........…………………………14 Figure 7: le réseau informatique avec notre application PfSense…………………….............17 Figure 8: Configuration de carte réseau WAN………………………………………………..20 Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor………………...21 Figure 10: Configuration de carte réseau Administrateur………………………………….....21 Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor……..22 Figure 12: Configuration de carte réseau DMZ………………………………………………22 Figure 13: Configuration de carte réseau DMZ sous Virtual Network Editor….……………23 Figure 14: Configuration de carte RéseauLAN………………………………………………23 Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor………...24 Figure 16: configuration des interfaces réseau Administrateur et interface WAN…………...25 Figure 17: configuration de l’interface DMZ ………………………………………………...25 Figure 18: configuration de l’interface RéseauLAN..........................................................…...26 Figure 19 : Schéma théorique d’un portail captif.....................................................................27 Figure 20: configuration des interfaces réseaux sur serveur PfSense ……………………….28 Figure 21 : Configuration de base de système………………………………………………..31
  • 7. Figure 22 : paramétrage de base……………………………………………………………...32 Figure 23 : Activation de SSH……………………………………………………………......32 Figure 24 : Accées sécurisé du WebGUI……………………………………………………..32 Figure 30: création de certificat………………………………………………………………41 Figure 31: Vérification de clé de certification………………………………………………..41 Figure 32: Association de certificat aux client………………………………………………..42 Figure 33 :Utilisation d’OpenVPN Wizard…………………………………………………..42 Figure 34: choisir le certificat………………………………………………………………...43 Figure 35: Création de certificat serveur……………………………………………………...43 Figure 36 : choisir l’alogoritheme de cryptage……………………………………………….44 Figure 37: modifier l’adresse de TUNNEL…………………………………………………..44 Figure 38: Exportation d’archives de configuration………………………………………….45 Figure 39: Authentification d’OpenVPN……………………………………………………..46 Figure 40: Maquette de test de SNORT… …………………………………………………...47 Figure 41: Installation de package SNORT…………………………………………………..47 Figure 42: Activation et configuration du service……………………………………………48 Figure 43: Sépcification des catégories………………………………………………………49 Figure 44: Vérification des alertes……………………………………………………………50 Figure 45: Test de la solution…………………………………………………………………51 Figure 46 : vérification des Alerts ……………………………………………………………51 Figure 47: maquette de test bande passante…………………………………………………..52 Figure 48 : teste de débit initial……………………………………………………………….53 Figure 49: Ajoute un limite de download ‘‘down_limit’’…………………………………….54
  • 8. Figure 50: Ajoute un limite de download ‘‘up_limit’’ ………………………………………54 Figure 51:Ajouter un Client…………………………………………………………………..55 Figure 52:Association des limiteurs au Client………………………………………………..55 Figure 54: test de Bande Passante sur un client de RéseauLAN……………………………..56 Figure 54: Maquette de test de ntop…………………………………………………………..57 Figure 55 : Installation de packge de ntop……………………………………………………57 Figure 56 :Configuration de compte d’administrateur………………………………………..58 Figure 57 : Interface d’écoute………………………………………………………………...58 Figure 58 : Le rapport de trafic……………………………………………………………….58 Figure 59 : La répartition totale du trafic par protocole………………………………………59 Figure 60 : diagramme de trafic par service…………………………………………………..59 Figure 61 : Interface des hôtes connectés…………………………………………………….60
  • 9.
  • 10. Introduction Général Vu l’importance et l’obligation de l’élaboration d’un pare-feu, chaque organisme doit établir un pare-feu pour la sécurité informatique périodiquement afin d’identifier ses sources de menace et ces dégâts informationnels. Portant de cette idée, nous avons décidé d’établir un rapport d’un Pare-feu de sécurité informatique. Un pare-feu (appelé aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais), est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant ou minimum les interfaces réseau suivante :  Une interface pour le réseau à protéger (réseau interne) ;  Une interface pour le réseau externe. Ainsi ce rapport est scindé sur trois parties primordiales : La première partie est axée sur les différentes phases ou bien les types de pare-feu réparti sur l’analyse. La deuxième partie présente une étude pratique qui définie la mise en place d’un pare-feu. La troisième partie comporte une étude théorique qui définie le thème d’un pare-feu de la sécurité informatique.
  • 11. Chapitre 1 : Présentation du cadre du stage Chapitre 1 : Présentation du cadre du stage 2 1. Présentation de la société 1.1. Historique La société Tunisie Trade Net gère, depuis sa création en février 2000, un réseau informatique qui relie les différents intervenants dans les procédures du commerce extérieur en Tunisie (Banques, Administrations, Douanes,…). Sous la tutelle du ministère des finances tunisien depuis 2002, TTN s’intègre dans le projet de l’administration en ligne. Le Projet a pour but de faciliter les procédures du commerce extérieur, d’en assurer la traçabilité, et de réduire les délais de séjour des marchandises aux ports. Ainsi, La solution apportée par Tunisie TradeNet permet aux différents opérateurs: Entreprises, Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les différentes formalités d’importation et d’exportation en mode électronique. Outre son rôle en tant qu’intermédiaire dans les échanges de documents relatifs aux procédures de commerce extérieur en mode électronique, Tunisie TradeNet se distingue en tant que société de services et d'ingénierie informatique SSII. 1.2. Domaine d’activité  Références dans le transport : Développement interfaçage Laisse Transport, application manifeste.  Connaissances des systèmes d’exploitation : UNIX (SOLARIS), Windows 9x, NT, 2000, LINUX et XP  Compétences en SGBD: ORACLE – SQL SERVER  Compétence en architecture de systèmes :  Mise en place de plates-formes équivalentes à celle de TradeNet  Mise en place de la plate forme d’échange de données du GUCE au port de Douala Cameroun  Compétences en outils de développement de systèmes : (JSP, JAVA, C++, VISUAL C++)  Compétences en développement de sites WEB : Site TTN, Site GUCE Douala
  • 12. Chapitre 1 : Présentation du cadre du stage  Compétences en développement de portail Internet : Portail TTN, Portail GUCE 3 Douala  Compétences en développement d'applications dans le domaine de la gestion informatisée : Application transitaire, agent maritime, organisme de contrôle technique à l’importation, interfaçage  Réseaux et Sécurité des systèmes : Définition et amélioration de la solution de sécurité de la PLATE- FORME TradeNet.  Connaissances des réseaux de télécommunication nationaux et internationaux : (X25, Frame Relay, LS, RTC)  Compétences en développement d'applications sécurisées : (solution d'authentification forte)  Procédures du transport international et rôle des partenaires du transport : Etude et analyse fonctionnelle des procédures et des circuits des flux documentaires entre les intervenants de la communauté portuaire Tunisienne.  Procédures douanières : Analyse fonctionnelle des procédures douanières et développement des procédures électroniques équivalente dans le cadre du projet Liasse Unique Et Liasse Transport (dédouanement à l’importation, admission temporaire, régime suspensif, transit, dédouanement à l’exportation, déclaration du manifeste douanier….)
  • 13. Chapitre 1 : Présentation du cadre du stage 4 1.3. Organigramme Figure 1: Organigramme de la Société
  • 14. Chapitre 1 : Présentation du cadre du stage 5 2. Etude de l’existant 2.1. Description de l’existant Le réseau de l'entreprise met en oeuvre des données sensibles, les stocke, les partage en interne et les communique parfois à d'autres entreprises ou personnes. Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur ou de risquer la confidentialité des données de l’entreprise. Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes. Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur. La société travaille dans un environnement basé sur le système d’exploitation Unix. Elle est caractérisée par un très grand nombre de serveurs à gérer :  Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requêtes respectant le protocole de communication client-serveur, qui a été développé pour le World Wide Web. Un serveur HTTP utilise alors par défaut le port 80.  Serveur FTP : (File Transfer Protocol) est un serveur utilisant un protocole de communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Cette communication va permettre le partage de fichiers entre machines distantes, et utilise le port 21 par défaut.  serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages texte ASCII vers des hôtes disposant de services de courrier, Il utilise le port TCP 25.
  • 15. Chapitre 1 : Présentation du cadre du stage L’architecture du réseau de l’entreprise se présente comme suit : Figure 2: L’architecture informatique de la Tunisie Trade Net L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier ni la disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la détection des défaillance des équipements (charge CPU, Etat mémoire, surcharge des disque...). Il ne peut contrôler non plus les surcharges et pénurie temporaire des ressources. Le seul moyen de détecter ces anomalies ne peut se faire que par la réception des différentes plaintes et réclamations des différents utilisateurs. 6 Les moyens de la sécurité adoptée :  Portail captif (mécanisme d’authentification) : cette interface va jouer le rôle d’une passerelle sécurisée dans le but d’authentification avant l’accès Internet.
  • 16. Chapitre 1 : Présentation du cadre du stage  VPN c’est un tunnel sécurisé.  Système de détection et prévention d’intrusion réseau (SNORT) : pour protéger le système d’information de la Société contre les attaques.  Partage de bande passante (TRAFFIC SHAPER) et supervision de bande passante 7 (NTOP).  Filtrage URL (SquidGuard) : va permettre à la société d’appliquer la politique de sécurité pour l’autorisation de l’accès aux sites web.  Mise en place d’un serveur proxy (proxy cache)  Personnalisation du thème (on peut change le thème de page Web de PfSense)  Backup (pour sauvegarder la configuration du serveur PfSense) : Ce module va permettre à la TTN d’appliquer une solution de backup pour le serveur PfSense pour avoir une solution de secours en cas de panne du serveur PfSense afin d’éviter de répéter toute la configuration. 2.2. Critique de l’existant Se souciant de sa réputation et concerné par la satisfaction et le confort de ses clients, la société veut à tout prix éviter la confrontation des clients mécontents afin éviter le risque de les perdre, et ce en veillant à offrir une meilleure qualité de services à sa clientèle et en anticipant les pannes et en évitant les arrêts de longue durée pouvant avoir de mauvaises conséquences aussi bien financières qu’organisationnelles. Le système existant présente de nombreux problèmes qui se résument aux points suivants :  L’architecture de réseau TTN possède un très grand nombre de postes et de serveurs qui rend la gestion de ce réseau une tâche délicate.  L’ouverture de la société vers l'extérieur est indispensable et dangereuse en même temps et peut laisser place aux étrangers pour pénétrer au réseau local de l'entreprise, et notamment accomplir des actions douteuses de destruction ou de vol d'informations.  L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et externe. Le but de notre projet est de trouver une solution pour remédier à tous ces problèmes et ce en permettant de :
  • 17. Chapitre 1 : Présentation du cadre du stage  Réaliser une meilleure gestion des serveurs pour améliorer la communication et assurer une stabilité des équipements et un bon monitoring de leurs états et offrir ainsi la possibilité de faire face aux problèmes rencontrés.  Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de les traiter le plus rapidement possible.  Sécuriser et contrôler les accès externes aux données ainsi que le partage et transfert interne des données, vu le nombre important des utilisateurs internes et externes de système réseaux.  Mettre à niveau le réseau local de la société puisque l’infrastructure existante ne répond plus aux besoins croissant en bande passante (nombres d’accès externes en croissance).  Apporter la sécurité essentielle afin de bloquer les virus.  Interdire l’accès à certains sites et filtrer les pages Web. 8 2.3. Objectifs L’objectif de notre stage est d’implémenter une architecture réseau sécurisée, dans un environnement Linux, comprendre les problématiques liées aux attaques réseau intégrer des outils de sécurité et de surveillance réseau, déployer des solutions sous Linux :  Mise en place d’un serveur firewall open source vu la multiplicité et la vitesse de mutation des attaques, en plus des dispositifs spécialisés pour la protection des accès internet.  Sécuriser un système informatique : à travers le package SNORT est un système open source de prévention et détection d'intrusions (IDS/IPS) sur les réseaux, 2.4. Solution proposée La gestion des serveurs distants et le monitoring de ses équipements étant le plus grand souci de l’administrateur. Nous avons jugé nécessaire de mettre en évidence un outil pour contrôler le fonctionnement du réseau, d’étudier les données collectées et de définir des seuils d’alertes qui peuvent servir pour le déclenchement des alertes lors de détection des problèmes. Il s’agit donc et sans doute d’une mise en place d’un composant firewall. Notre choix porte sur le logiciel PfSense Open Source qui pourra, grâce à ses différentes fonctionnalités,
  • 18. Chapitre 1 : Présentation du cadre du stage d’apporter la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives d'intrusion. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi convenablement le réseau de la société. Ceci doit se réaliser sans encombrer le réseau avec des activités non essentielles. La nouvelle architecture proposée pour réseau de la société Trade Net est la suivante : Figure 3: Architecture proposée du réseau de Tunisie Trade Net 9 3. Planification du projet Pendant ces quatre mois de travail nous avons fait de notre mieux pour s’enchaîner au plan suivant :
  • 19. Chapitre 1 : Présentation du cadre du stage  Premier Mois : C’est la période que nous avons consacré à la préparation des outils de travails et à la documentation et la formation sur le logiciel PfSense.  Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise en place de PfSense et créer le démarche de sécurité.  Troisième mois : Nous avons pu enfin entamer la configuration de serveur proxy sous PfSense et faire les étapes de sécurité proposée.  Quatrième mois : la réalisation de l’application : la mise en place de la solution PfSense au niveau du réseau local de l’entreprise TTN. 10 Conclusion Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que les défaillances de l’architecture réseau actuelle, et nous avons fini par proposer une nouvelle architecture qui mettra fin aux failles de sécurité du réseau de Tunisie Trade Net. Suite à l’étude et à la critique de l’existant, les problèmes que rencontre la société ont été soulevés ce qui nous a permis de cerner la problématique de notre projet. Nous avons par la suite proposé des solutions : c’est une seule solution que vous avez proposé et finalement nous avons fixé notre choix des outils que nous avons jugé convenables pour la société. Le chapitre suivant sera consacré à une étude de l’état de l’art qui comprend une étude comparative de différents produits du marché afin de justifier nos choix et de clarifier les aspects techniques de notre solution.
  • 20. Chapitre 2 : Etat de l’art Chapitre 2 : Etat de l'art 11 Introduction Suite à l’étude de l’existant de la société TTN, nous avons présenté les problèmes et la solution proposée pour aider l’administrateur à contrôler le fonctionnement du serveur proxy et lui permettre d’expliquer certaines situations de surcharge ou encore de mauvaise utilisation. Cependant, La solution proposée de mise en place d’un firewall, nous ramène à étudier les différents produits disponibles sur le marché et faire notre choix. Ceci ne peut être fait indépendamment de l’environnement de travail du réseau de la société TTN. La société TTN travaille sur l'étude de solutions de filtrage de flux Internet basées sur des logiciels Open Source basé sur le système d’exploitation Free BSD. 1. Définition Free BSD [1] Le système d’exploitation UNIX développé à l'université de Berkeley, elle contient quatre BSD Open Source : Net BSD (fonctionne sur des ordinateurs de poche que sur des gros serveurs, et a été utilisé par la NASA dans le cadre de missions spatiales), Open BSD (vise la sécurité et la pureté du code: utiliser dans les banques, les bourses) et Dragon Fly BSD, mais dans notre projet on utiliser le système d’exploitation FreeBSD est un système d'exploitation UNIX libre. L'objectif du projet FreeBSD est de fournir un système qui peut servir à tout, avec le moins de restrictions possibles. FreeBSD vise les hautes performances et la simplicité d'utilisation pour l'utilisateur final. Il est l'un des systèmes d'exploitation favoris des fournisseurs de contenu sur le Web. Il fonctionne sur de nombreuses plates-formes. 2. Portail Captif de FreeBSD [2] : Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via une page web stockée localement sur le portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. La
  • 21. Chapitre 2 : Etat de l’art connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui garantit l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe) sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une nouvelle session. Figure 4 : Portail Captif [3] Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou à travers un point d'accès wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de configuration du réseau. A ce moment là, le client a juste accès au réseau via la passerelle. Cette dernière lui interdit momentanément l'accès au reste du réseau. Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau. 3. Etude des différents portails captifs free BSD : [3] Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les principaux : 12
  • 22. Chapitre 2 : Etat de l’art 13 3.1. WifiDog [5] Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds installés au minimum.  Fonctionne sur des plateformes embarquées ou autres  Se compose de deux parties:  WifiDog Authentification Server : serveur d'authentification  WifiDog Gateway: passerelle filtrante du système de portail captif dépendances (un serveur web Apache mode SSL, un serveur DHCP, un serveur DNS, un pare-feu netfilter). Les inconvénients de WifiDog sont :  La consommation en ressource réseau est extrêmement faible.  Elle utilise seul le port 80 passe.  la bande passante demandée est très faible. 3.2. Talweg[4] Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*. Talweg présente de nombreux points intéressants :  Une authentification sécurisée.  Du multifenêtrage.  Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ;  La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par copier/coller. En revanche, il y a des points négatifs :  Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du tout avec les pages ASP.  Il est impossible d’enregistrer des liens issus de la réécriture des URLs.
  • 23. Chapitre 2 : Etat de l’art  Il n’y a pas de gestion de la durée de connexion des utilisateurs. Figure 5: Principe du portail captif Talweg [5] 14 3.3. NoCatSplash Le logiciel NoCatSplash est un portail web captif destiné à sécuriser le partage d’une connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent s’authentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement les règles Iptables* du firewall pour ouvrir certains ports pour l’utilisateur (uniquement TCP avec NoCatAuth-0.82). NoCatAuth nécessite les droits root pour manipuler les règles Iptables*. NoCatSplash est une solution idéale pour les petites structures ou personnes souhaitant partager facilement une partie de leur bande passante en offrant notamment un contrôle sur les ports autorisés. Figure 6: Architecture NoCat
  • 24. Chapitre 2 : Etat de l’art 3.4. Tableau comparaison de Free BSD NoCatSplash Talweg Wifidog PfSense 15 Simplicité d'installation Plus important Nom Disponible Important Important Infrastructure nécessaire Plus important Nom Disponible important Important Performances réseau Plus important Plus important Plus important Plus important Gestion utilisateurs Nom Disponible Plus important important Important Sécurité authentification Nom Disponible Plus important Plus important Plus important Sécurité communications Nom Disponible Plus important Nom Disponible Plus important Etude comparative des différents portails captifs 4. Choix de la solution « pfSense » [5] Au vu de ce comparatif des différentes solutions de portail captif, PfSense apparaît comme la plus performante et évolutive s'adaptant aux attentes de One Voice Line. Elle répond également aux critères de sécurité dont nous avons besoin :  Disponibilité (Base Free BSD, load balancing, etc...)  Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)  Adaptabilité (Statistique très nombreuses avec ntop, etc...)  Mise à jour du système sans réinstallation, packages téléchargeables directement depuis le Web GUI, etc...).  Simplicité d'installation et d'administration. 4.1. Présentation de pfSense PfSense à été crée en 2004 comme un fork du projet mOnOwall, pour viser une installation sur un PC plutôt que sur du matériel embarqué. PfSense est basée sur Free BSD, en visant les fonctions de firewall et routeur.
  • 25. Chapitre 2 : Etat de l’art PfSense est puissante, en bonne partie car elle est basée sur Free BSD, mais aussi assez simple d'accès, car elle fournit une interface web pour la configuration, (en plus de l'interface console). Je recommande quand même de connaitre les commandes basiques de Free BSD en mode console, au moins pour pouvoir récupérer la configuration en cas d'erreur (par exemple une mauvaise route qui vous empêche de joindre le firewall...). Cette interface web n'est accessible par défaut qu'à partir du LAN. PfSense est une distribution Free BSD dédié firewall / routeur.  Le firewall est basé sur Paquet Filter. Toute la configuration du système est stockée dans un fichier xml (/cf/conf/config.xml).  Performances sont liées au matériel.  L’installation ainsi que la configuration PfSense va se réaliser sur un système d’exploitation de type Free BSD. Il est possible d’émuler le système d’exploitation Free BSD grâce à VMware. 16 4.2. Objectifs Passer en revue les principales fonctionnalités de pfSense à travers une analyse détaillée de son interface.  Apprendre à dimensionner son hardware en fonction de ses besoins.  Installer et mettre à jour son système sur différents supports.  S’initier à la pratique de l’outil en présentant les différents modes d’accès envisageables (Web, port série, SSH).  Procéder aux réglages de base de pfSense (hôte, domaine, serveurs DNS, NTP).  Manipuler et assigner les interfaces du firewall pfSense.  Présentation du fichier XML de configuration /cf/conf/config.xml  Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles opérationnelles.  Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique.  Incidence sur le système du déploiement des paquets. 4.3. Avantage  Simplicité de l’activation / désactivation des modules de filtrage.  Solution riche et performante à moindre coût (basé sur des logiciels libres).
  • 26. Chapitre 2 : Etat de l’art  Solution légère pouvant être déployé sur des configurations minimales.  Interface web sensible et efficace Figure 7 : le réseau informatique avec notre application PfSense Sous PfSense il existe plusieurs packages disponibles permettent de mettre en place un réseau virtuel privé : un VPN client. 17 5. VPN Client [6] 5.1. Présentation Le VPN client consiste à connecter un nomade informatique a son entreprise via un tunnel sécurise. Ce tunnel est vu comme un tuyau hermétique de bout en bout ferme a ses extrémités par deux portes verrouillées avec une même clef. A l’intérieur de ce tunnel, il y a de l’information qui transite de façon sécurisée puisque personne ne peut accéder à ce qu’il y a dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a l’extrémité de ce dernier et possèdent tous deux la même clef.
  • 27. Chapitre 2 : Etat de l’art Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client suivant différentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) : 1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL supportant une large gamme de systèmes d’exploitation client. Elle peut être mise en oeuvre en PfSense à partir du package http://openvpn.net/ 2. IPSec: permet la connectivité avec tout dispositif de support standard IPsec. Ceci est le plus généralement utilisé pour la connectivité du site aux installations PfSense. IPSEc peut être mise en oeuvre en PfSense à partir du package http://tools.ietf.org/html/rfc4301 3. L2TP: Cette option va gérer le Layer 2 Tunneling Protocol (L2TP) qui signifie protocole de tunnellisation de niveau 2. Il s’agit d’un protocole réseau utilisé pour créer des réseaux privés virtuels (VPN). Cette technologie peut être mise en place à partir du package http://tools.ietf.org/html/rfc7546 4. PPTP: est une option populaire VPN, car presque tous les OS sont dotés d’un client PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le serveur Pfsense PPTP peut utiliser une base de données d’utilisateur local, ou d’un serveur RADIUS pour l’authentification. PPTP peut être utilisé en pfSense à partir du package : http://www.ietf.org/rfc/rfc2637.txt 18 5.2. OpenVPN OpenVPN est un logiciel libre permettant de créer un réseau privé (VPN). Ce logiciel, disponible dans PfSense, permet à des paires de s’authentifier entre eux à l’aide d’une clé privée partagée à l’avance ou à l’aide de certificats. Pour chiffrer ses données, OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi présente dans PfSense.
  • 28. Chapitre 2 : Etat de l’art 19 5.3. Limitations d’OpenVPN : OpenVPN IPSec PPTP Clients mobiles Oui Ne support pas NAT-T ce qui empêche l’utilisation de client mobiles derrière du NAT Oui Utiliser IP statiques ou dynamiques Static IP : Oui Dynamic IP : V2.0 Static IP : Oui Dynamic IP : Un seul point final autorisé Static IP : Oui Dynamic IP : Oui Filtrage de traffic VPN Prévu dans la V2.0 Oui Oui Type d’authentification Shared Key, Certificat Pre Shared Key, Certificat Local user database, RADIUS server (Authentification, Accounting) Fonctionnalités du mécanisme non encore implémentées dans PfSense Celles manquantes dans la V2.0 DPD, XAuth, NAT-T et autres Tableau : Limitation d’OpenVPN Conclusion Les différents modèles présentés dans ce chapitre expliquent bien le fonctionnement global du projet. Cette définition nous donne une idée claire sur les principes et les objectifs de l’application¸ et on peut facilement par la suite atteindre la phase de réalisation. Nos travaux nous ont conduits à étudier plus particulièrement le projet pfSense. Cette solution offre des avantages important en termes de filtrage des flux Internet et peut permettre de répondre efficacement à la plupart des problèmes de sécurité et de filtrage des flux Internet.
  • 29. Chapitre 3 : Installation de PFSense et Configuration des réseaux Chapitre 3 : Installation de PFsense et configuration des réseaux 1. Configuration de pfsense sous VMware 20 1.1. Partie WAN Une carte réseau contient deux interfaces réseau :interne et externe 1.1.1. Interface du carte réseau WAN interne : Pour réseau WAN on coche tous les services activés,par exemple :  VMware br idge protocol  Protocole internet version 6 (TCP IPv6)  Protocole internet version 4 (TCP IPv4)… etc. Figure 8: Configuration de carte réseau WAN
  • 30. Chapitre 3 : Installation de PFSense et Configuration des réseaux 1.1.2. Interface du carte réseau WAN externe: On configure l’adresse IP en mode bridge pour détecter l’adresse automatiquement. Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor 1.2. Partie des interfaces réseaux : 1.2.1. Configuration carte réseau Administrateur : Pour le réseau Administrateur, nous activons tous les services sauf le service WAN (Vmware Bridge Protocol) afin de pouvoir le configurer manuellement. Figure 10: Configuration de carte réseau Administrateur 21
  • 31. Chapitre 3 : Installation de PFSense et Configuration des réseaux Ensuite On passe à l’écran suivant,afin de configurer l’adresse IP : L’administrateur saisit l’adresse : 192.168.1.0, adresse de la carte réseau externe de l’administrateur. Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor 1.2.2. Configuration carte réseau DMZ : Pour réseau DMZ , Nous activons tous les services sauf le service WAN (Vmware Bridge Protocol). Figure 12: Configuration de carte réseau DMZ 22
  • 32. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 6: Configuration de carte réseau DMZ sous Virtual Network Editor 1.2.3. Configuration RéseauLAN : Pour RéseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge Protocol). Figure 14: Configuration de carte réseauLAN 23
  • 33. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor 1.3. Configuration du serveur PfSense : 1.3.1 Configuration du réseau Administrateur : Après l'installation du logiciel Free BSD pfSense nous avons commencé par configurer l’interface réseau Administrateur. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons changé l’adresse IP Administrateur par l’adresse 192.168.1.1 et donc cette adresse IP va nous permettre l’accès à pfSense via son interface WEB. 24 1.3.2 Configuration du réseau WAN : Après Configuration du réseau Administrateur nous avons commencé par configurer l’interface réseau WAN. Nous avons activé l’adressage dynamique (DHCP) et change l’adresse IP par l’adresse 192.168.137.1 et donc cette adresse IP va nous permettre l’accès à pfSense via son Internet.
  • 34. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 16: configuration des interfaces réseau Administrateur et interface WAN 25 1.3.3 Configuration du réseau DMZ Nous avons configuré l’interface réseau DMZ et désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168.2.1 et donc cette adresse IP va nous permettre l’accès au réseau DMZ par pfSense. Figure 17: configuration de l’interface DMZ
  • 35. Chapitre 3 : Installation de PFSense et Configuration des réseaux 26 1.3.4 Configuration du réseauLAN : Configuration d’interface RéseauLAN. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168. 3.1 Figure 18: configuration de l’interface réseauLAN 2. Portail Captif : La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif ne refuse pas une connexion, il la redirige vers une page d’authentification. Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une nouvelle session.
  • 36. Chapitre 3 : Installation de PFSense et Configuration des réseaux 27 Fonction type d’un portail captif : Si le Client : http://www.google.fr (en passant par le portail…) Portail : redirection vers la page d’authentification locale Client : Login+Mot de Passe SI OK : le client à accès à la page http://www.google.fr Les mêmes paramètres d’authentification du client doivent fonctionner avec tous les protocoles applicatifs (FTP, HTTP,….). Figure 19 : Schéma théorique d’un portail captif [7] 2.1. Description des différentes options de PFsense:
  • 37. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 20: configuration des interfaces réseaux sur serveur PfSense 28 1) Assign Interfaces : Cela va redémarrer le serveur en réaffectant les interfaces existantes, ou en créant de nouvelles. En choisissant cette option, nous avons ajouté les interfaces : DMZ, Administrateur et réseau LAN 2) Set interface(s) IP address Cette option nous permet d’abord d’ajouter ou de modifier une adresse IP, ensuite soit :  Activer le DHCP sur l’interface : Dans ce cas, nous avons la main pour régler la plage d’adresses IP.  Désactiver le DHCP sur l’interface. Au niveau de cette option, nous avons ajouté les adresses suivantes :  WAN : 192.168.137.5 en activant le DHCP pour les plages : 192.168.137.1 à 192.168.137.100.  Administrateur : l’adresse IP est 192.168.1.1 /24 et en désactivant le DHCP.  DMZ : l’adresse IP est 192.168.2.1 /24 et en désactivant le DHCP  Réseau LAN : l’adresse IP est 192.168.3.1 /24 et en désactivant le DHCP
  • 38. Chapitre 3 : Installation de PFSense et Configuration des réseaux 29 3) Reset web configurator password Cette option permet de réinitialiser le nom d’utilisateur et le mot de passe Web GUI, respectivement à « admin » et « pfsense ». 4) Reset to factory default Cela permet de restaurer la configuration du système aux paramètres d’usine. Cela n’apporte cependant pas de modifications au système de fichier ou aux paquets installés sur le système d’exploitation. Si les fichiers système ont été endommagés ou modifiés, le meilleur moyen consiste à faire une sauvegarde, et réinstaller PfSense à partir du CD ou autre support d’installation ou également à partir du WebGUI, onglet Diagnostic puis Factory defaults). 5) Reboot system Arrête PfSense et redémarre le système d’exploitation. Cette opération est également possible à partir du WebGUI, onglet Diagnostic puis Reboot. 6) Halt system Arrête proprement PfSense et met la machine hors tension. Cette opération est également possible à partir du WebGUI, onglet Diagnostic puis Halt system). 7) Ping host Ajuste une adresse IP, à qui seront envoyées trois demandes d’écho ICMP. Le résultat du Ping montre le nombre de paquets reçus, les numéros de séquence, les temps de réponse et le pourcentage de perte paquets. Au niveau de cette option, nous avons effectué des tests de Ping vers les différentes interfaces. 8) Shell Démarre une ligne de commande Shell. Cette option est très utile, et puissante. Certaines tâches de configuration complexes peuvent nécessiter de travailler avec les commandes Shell, et certaines tâches de dépannage sont plus faciles à accomplir avec Shell. Cependant, il y a toujours une chance de provoquer des erreurs de manipulation irréparables au système s’il n’est pas manipulé avec soin. La majorité des utilisateurs PfSense ne toucheront peut-être jamais au Shell, ou même ignoreront qu’il existe. Les utilisateurs de Free BSD pourront se auront la majorité des commandes certaines ne sont pas présentes sur le système pfSense, puisque les parties inutiles de l’OS ont été supprimées pour des contraintes de sécurité ou de taille. 9) Pftop Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la bande passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.
  • 39. Chapitre 3 : Installation de PFSense et Configuration des réseaux 30 10) Filter Logs En utilisant cette option vous verrez toutes les entrées du journal de filtrage apparaissant en temps réel, dans leur sous forme brute. Il est possible de voir ces informations dans le WebGUI (onglet Status Puis System Logs et enfin onglet Firewall), avec cependant mois de renseignements par lignes. 11) Restart webConfigurator Redémarrer le processus du système qui exécute le WebGUI. Dans de rares occasions, un changement sur ce dernier pourrait avoir besoins de cela pour prendre effet, ou dans des conditions extrêmement rares, le processus peut avoir été arrêté pour une raison quelconque. Le redémarrer permettrait d’y rétablir l’accès. 12) PfSense Développer Shell Le Shell du développeur est un utilitaire très puissant qui permet d’exécuter du code PHP dans le contexte du système en cours d’exécution. Comme avec le Shell normal, il peut aussi être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell est principalement utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers au code PHP et au code de base de pfSense. 13) Upgrade from console En utilisant cette option, il est possible de mettre à niveau le VMware de pfSense, et ce en entrant l’URL de l’image pfSense à mettre à niveau, ou grâce à un chemin d’accès locale vers une image téléchargée d’une autre manière. Nous avons travaillé avec la version PfSense 2.0.1, caractérisée par sa stabilité. Cependant grâce à cette option, il nous est possible de mettre à jour facilement notre version. 14) Enable Secure Shell (sshd) Cette option nous permet de changer le statut du démon Secure Shell, sshd. Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit, nous allons détailler les tâches réalisées pour le faire. 2.2. Configuration à travers l’interface web Pour effectuer la mise en place des différents services objets de notre architecture réseau avec le serveur pfSense, nous allons utiliser son interface WEBGUI. L’URL d’accès à l’administration de pfSense est : 192.168.1.1 Cette adresse présente l’interface d’authentification pour configurer Pfsense.
  • 40. Chapitre 3 : Installation de PFSense et Configuration des réseaux Les paramètres de sécurité d’accès sont offerts par défaut comme suit : 31 - utilisateur: admin - Mot de passe: pfsense. Ainsi, une page d’accueil est affichée. En choisissant le menu System General Setup, on accède à l’interface de configuration générale suivante : Figure 21 : Configuration de base de système Dans cette page, nous avons introduit les données suivantes :  Le nom de la machine : pfSense  Le domaine : localdomain  l’IP DNS : 196.203.80.4 et 196.203.82.4 Nous avons décoché l’option se trouvent dessous (Allow DNS server liste to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le LAN. Ensuite, nous avons modifié le nom et le mot de passe du compte permettent de se connecter sur PfSense. Nous pouvons ensuite activer l’accès à ses pages, via une connexion sécurisée SSL. Pour cela, nous avons activé le protocole HTTPS pour plus de sécurité.
  • 41. Chapitre 3 : Installation de PFSense et Configuration des réseaux Nous avons entré le port 443 dans Web GUI, port correspondant à SSl. Nous avons ensuite modifié le serveur NTP (Network Time Protocol : qui permet de synchroniser les horloges des systèmes informatiques à travers un réseau) et le fuseau horaire pour régler votre horloge. Enfin, il est conseillé de changer le thème d’affichage de pfSense. En effet, le thème par défaut (metallic), comporte quelques bugs (problème d’affichage, lien disparaissant). Nous avons choisi le thème “ code-red “. Nous obtenons l’interface suivante : Figure 22 : paramétrage de base Ensuite, nous avons choisi le menu « System  Advanced » pour activer la connexion SSH afin d’administrer le réseau à distance sans passer par l’interface graphique. Nous avons introduit le numéro de port SSH : 22 32
  • 42. Chapitre 3 : Installation de PFSense et Configuration des réseaux Figure 23 : Activation de SSH En activant le SSH, nous avons obtenu les pages web https. Comme le montre la figure 17. Figure 24 :Accées sécurisé du WebGUI 33
  • 43. Chapitre 3 : Installation de PFSense et Configuration des réseaux 34 Conclusion : Dans ce chapitre nous avons décrit la mise en place de firewall PfSense dans notre environnement de travail. Nous avons configuré les interfaces réseaux existantes dans le firewall. Dans le chapitre suivant, nous allons implémenter et réaliser notre application et présenter une description complète de l’application.
  • 44. Chapitre 4 : Paramétrage et test des packages de PFSense Chapitre 4 : Paramétrage et test des packages de PFsense 35 Introduction : Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de continuer la mise en place de PfSense dans son environnement d’exécution. Nous allons procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre réseau. Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus importantes de l’application et les résultats des tests effectués. 1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD: 1.1. Bloquage des sites web Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et « SquidGuard » puis configurer les blacklist, les différentes restrictions et éventuellement des règles d’accès supplémentaires ACL (Access Control List). 1.1.1 Squid : « Squid » est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est très complet et propose une mulitude d’options et de services qui lui ont permis d’être très largement adopté par les professionnels, mais aussi dans un grand nombre d’école ou administrations travailliant avec les systèmes de type Unix Squid est capable de manipuler les protocoles HTTP,FTP,SSL... 1.1.2 SquidGuard : « SquidGuard » est un redirecteur URL utilisé pour utiliser les listes noires avec le logiciel proxy « Squid ». SquidGuard possède deux grands avantages: Il est rapide et il est aussi gratuit. SquidGuard est publié sous GNU Public License, licence gratuite. SquidGuard peut etre utilisé pour :  Limiter l’accés Internet pour certains utilisateurs à une liste de serveurs Web et /ou des URLs qui sont acceptés et bien connus.  Bloquer l’accés à des URL correspondant à une liste d’expressions régulières ou des mots pour certains utilisateurs.
  • 45. Chapitre 4 : Paramétrage et test des packages de PFSense  Imposer l’utilisation de mons de domaine et interdire l’utilisation de l’adresse IP 36 dans les URL .  Rediriger les URLbloquées à une page d’informations relative à Pfsence.  Rdiriger certaines bannières à un vide.  Avoir des régles d’accés différents selon le moment de la journée, le jour de la semaine, date, etc. Figure 25 : Instalation des pakages :Squid et SquidGuard 1.2. Configuration de Squid Nous avons choisi le menu « Services → Proxy server ». Dans l’onglet Général, nous vons configuré les options suivantes :  Proxy interface : Nous a permi de choisir d’affecter Squid au interfaces réseau.  Allow user on interface :Nous avons choisi de valider cette option pour l’interface choisie.  Log store directory : /var/log :dossier contenant les autres logs.  Proxy port : 3128 : port de proxy.  Language : French. Au niveau du menu l’onglet « Access Control → Blacklist », Il est possible d’indiquer des sites non autorisé en compléement des Blacklist de SquidGuard.
  • 46. Chapitre 4 : Paramétrage et test des packages de PFSense 1.3. Configuration de SquidGuard Nous avons choisi le menu « Services →Proxy filter ». 37 nous vons configuré les options suivantes :  Enable : valider pour activer SquidGuard  Blacklist : valider pour activer blacklist  Blacklist URL : ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz, Url de la blacklist Ensuite nous sauvegardons et nous téléchargeons la blacklist. 1.4. Spécification de la Common Access List Lorsque le téléchargement est terminé, Il faut ensuite cliquer sur l’ongle « Default » puis sur le triangle vert pour afficher la blacklist dans la page Common ACL . Sur chaque élément quenous voulons autoriser, nous choisissons « allow », et » pour ceux que vous voulez interdire, nous choisissons « deny . Au niveau de l’’onglet Common ACL, nous configuron les options suivantes:  Not to allow IP adresses in URL :nous cochons cette option si nous voulons interdire les adresses IP tapées directement dans l’URL.  Redirect mode : laisser l’option par défaut int error page : Pour garder les messages d’erreur par défaut  Redirect info : pour entrer un message d’erreur personnalisé, par exemple « Accés interdit,cantacter votre administrateur »  Enable log : nous cochons cette case pour enregistrer l’activité du service  Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de l’onglet General settings pour visualiser les options paramétrés. Après avoir installé les packages au niveau de l’onglet « Services  proxy filtre », on active le paquet SquidGuard comme il se trouve dans la figure
  • 47. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 26: Activation de proxy filter 38 1.5. Filtrage des sites web Nous avons activé le paquet SquidGuard, nous allons ensuite ajouter les autres sites à filtrer. Nous alonns tester par exemple les sites: www.facebook.com  www.gmail.fr  www.tunisa sat.com Pour cela, nous nous sommes dirigés à l’onglet Target catégories (nous travaillons encore sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le log et enfin, nous pouvons ajouter une description.
  • 48. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 27: journalisation des filtrage Lorsque nous avons terminé, nous cliququons sur le bouton « Save » et nous avançons au dernier onglet « Common ACL » et nous mettons uniquement les sites choisis en mode « deny ». Nous avons testé l’accès au site filtré : www.facebook.com. Nous avons obtenu le résultat du filtrage s’affiche dans la figure 28: Le message suivant s’affiche : « Request denied by pfsense proxy » Figure 28: Résultat du test d’interdiction d’accès 39
  • 49. Chapitre 4 : Paramétrage et test des packages de PFSense 2. Configuration du server OpenVPN [8] Dans un premier temps, nous allons installer le paquet « client OpenVPN Export Utility », à partir du « System  Packages ». Figure 29: Installation d’openVPNclient export Puis, à partir de « System  Cert Management », au niveau de l’onglet CA (Certificate Authority), nous allons crée un nouveau certificat. Nous notons les noms descriptifs et communs (Descriptive and Common names) que nous lui donnons puisque nous en aurons besoin plus tard. Ensuite nous entrons le reste des détails pour le CA, voir figures 30 et 31. 40
  • 50. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 30: création de certificat Figure 31: Vérification de clé de certification 41
  • 51. Chapitre 4 : Paramétrage et test des packages de PFSense Aprés, nous allons sous « Système User Management », afin de créer un nouveau compte utilisateur. Figure 32: Association de certificat aux client Nous avons Coché dans la « section certificat » pour créer un certificat d’utilisateur, après que l’utilisateur est créé, nous avons entré le compte d’utilisateur nouvellement créé et généré un certificat pour l’utilisateur. Nous avons choisi de sélectionner « Créer un certificat interne ». Puis nous avons configuré le serveur OpenVPN « VPN  OpenVPN ». Pour le type de serveur, nous avons sélectionné « l’accès des utilisateurs locaux » voir figure 33. Figure 33 :Utilisation d’OpenVPN Wizard 42
  • 52. Chapitre 4 : Paramétrage et test des packages de PFSense Pour l’autorité de certification nous avons entré le nom que nous avons créé plus tôt (TTN_vpn). Figure 34: choisir le certificat Pour un certificat de serveur, nous avons sélectionné « ajouter un nouveau certificat ». Ensuite nous avons renommé le nom descriptif « TTN_vpn Server Cert », pour l’utiliser au niveau du serveur VPN. Figure 35: Création de certificat serveur Ensuite, nous éditons la configuration du serveur OpenVPN. 43
  • 53. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 36 : choisir l’alogoritheme de cryptage Nous sélectionnons l’algorithme de chiffrement. Pour le réseau Tunnel, nous avons choisi un sous-réseau qui est différent de notre sous-réseau WAN. Dans le réseau local, nous entrons notre sous-réseau CLIENT. Et nous Décidons du nombre de connexions simultanées. Nous avons choisi : 10 clients externes. Figure 37: modifier l’adresse de TUNNEL 44
  • 54. Chapitre 4 : Paramétrage et test des packages de PFSense Comme il s’agit d’une configuration très basique, nous n’enterons pas les serveurs DNS et de domaine par défaut, mais nous devrions envisager ces options, en fonction de notre environnement. Puis nous allons à « VPN OpenVPN », sélectionnons la feuille « Client Export ». Le paquet que nous avons installé dans le début nous donne la possibilité d’exporter automatiquement l’archive en plus des fichiers de configuration utilisateur. Nous Trouvons l’utilisateur pour lequel nous voulons exporter la configuration, et nous cliquons sur le lien d’archive de configuration voir la figure 38. Figure 38: Exportation d’archives de configuration Après l’installation du OpenVPN GUI, nous ouvrons l’archive de configuration et y extraire les fichiers à cet emplacement sur la machine avec laquelle nous allons établir la connexion VPN. Lorsque nous lançons OpenVPN GUI, nous obtenons une icône représentant un petit poste de travail de couleur rouge qui nous indique que notre connexion au serveur VPN n’est pas active. Pour activer notre connexion VPN, nous faisons un clic droit sur l’icône de la barre de tâche « OpenVPN ». Puis nous cliquons sur Connect. Une fois que nous aurons cliqué sur Connect, nous obtenons la fenêtre suivante avec une boîte de dialogue nous demandant d’enter le mot de passe. Voir la figure 39. 45
  • 55. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 39: Authentification d’OpenVPN Si la connexion VPN se déroule sans aucun problème, l’icône dans notre barre de tâche change de couleur et devient verte. La connexion à notre serveur VPN est fonctionnelle. 3. Détection et Prévention d’Intrusion Réseau « SNORT » [9] SNORT est outil open source de détection d’intrusion réseaux (NIDS). SNORT est capable d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel, de logger les paquets IP et de rechercher des correspondances de contenu ; le but étant de détecter une grande variété d’attaques connues. SNORT peut fonctionner en quatre modes différents :  SNIFFER:capture et affichage des paquets, pas de log.  PACKET LOGGER :capture et log des paquets.  NIDS(Network Intrusion Détection System): analyse le trafic, le compare à des régles, et affiche des alertes et ainsi détecter des tentatives d’intrusion réseau d’aprés des régles.  IPS (Système de prévention d'intrusion): détection et prévention d’attaques et donc empécher les intrusions réseau détectées en suivant les mêmes régles. 46
  • 56. Chapitre 4 : Paramétrage et test des packages de PFSense Nous nous concentrerons sur les modes NIDS et IPS ,qui nous rendent deux services bien différents. 47 3.1. Maquette de test : Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de NIDS et d’IPS : Figure 40: Maquette de test de SNORT [10] 3.2. Installation et configuration de SNORT : Le premiére étape est l’installaltion du package SNORT dans Pfsense « Système  package SNORT » : Figure 41: Installation de package SNORT La seconde étape importante est la création d’un compte sur http:/ /snort.org,afin de pouvoir récupérer les régles prédéfinies en temps voulu, nous y revenons par la suite. L’interface étant maintenant paramétrée, nous allons configurer SNORT « Service  SNORT » :
  • 57. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 42: Activation et configuration du service Les paramètres de SNORT sont resumés sous forme de tableau : Interface Nous spécifions ici l’interface de pfSense sur laquelle SNORT écoutera l’ensemble du trafic. conformément au schéma précédent : réseauLAN performance Nous indiquons ici la méthode de recherche utilisée par SNORT sur les paquets analysés. «ac-sparse bands» est la méthode recommandée. Oinkmastre code Code récupéré via notre compte sur SNORT.org qui nous permettrons de télécharger les règles SNORT pré établies. Snort.org subscriber Nous cochons cette case si nous utilisons un Oinkmaster code. Block offenders Elément important de la configuration, puisque le fait de cocher cette case bloquera automatiquement tout hôte déclenchant une alerte sur l’interface d’écoute (fonction IPS de SNORT). Voir plus bas pour des détails complémentaires. 48 Update rules authomatically Mise à jour automatique des règles SNORT. Whitelists VPNs uris to clickable links Ajouter automatiquement les VPN pré configurés dans pfSense à la whitelist, afin d’éviter tout refus de connexion ou blacklistage.
  • 58. Chapitre 4 : Paramétrage et test des packages de PFSense 49 Convert Snort alerts uris to clickable links Les alertes apparaissent sous la forme de liens hypertextes. Associate events on Blocked tab Lier la raison du blocage à l’hôte bloqué dans l’onglet « blocked ». Sync Snort configuration to secondary cluster members Synchroniser la configuration de SNORT avec tous les membres du cluster CARP s’il en existe un. Tableau :définition de paramétres Nous validons ensuite en cliquant sur le bouton «Save» en bas de page. SNORT va ensuite automatiquement télécharger les régles (premium rules) depuis Snort.org grâce à notre Olinkmastre code. Toutes les régles ainsi téléchargées sont regroupées sous forme de catégories das l’onglet «Categories». Nous séléctionnons celles qui correspondent aux attaques que nous désirons détecter sur notre réseau. Afin de tester l’efficacité de la solution, nous nous contentons de la régle «scan.rules» qui nous permettra de détecter et bloquer un attaquant effectuant un scan de port sur hote distant. L’étape suivante consiste à paramétrer les régles présentent dans la catégories que nous venons de sélectionner. Figure 43: Sépcification des catégories
  • 59. Chapitre 4 : Paramétrage et test des packages de PFSense Nous activons et paramétrons notamment la règle « SCAN nmap XMAS » afin de pouvoir détecter un scan de port Nmap lancé depuis l’interface administrateur vers un hôte situé sur un réseau distant (interface WAN). La figure suivante illustre l’interface avant le test au niveau de nos réseaux. Figure 44: Vérification des alertes 50 3.3. Test de la solution : Un attaquant va effectuer un scan de port Nmap sur un hôte distant. Pendant toute la durée du test, l’attaquant effectue, en parallèle du scan du port, un Ping vers la victime, afin de vérifier en permanence la connectivité vers l’hôte et fixer le moment où il sera blacklisté par SNORT : attaque détecté ET contrée.
  • 60. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 45: Test de la solution Une fois le scan de port lancé, la station de supervisons peut très rapidement lancer des alertes ainsi, l’adresse IP 192.168.2.99, de notre attaquant, a été bloquée : Figure 46 : vérification des Alerts 51
  • 61. Chapitre 4 : Paramétrage et test des packages de PFSense 4. Partage de la Bande Passante « TRAFFIC SHAPER » La fonction « traffic shaping » de pfSense permet initialement d’optimiser la bande passante en attribuant des priorités aux différents flux du réseau. Par exemple, nous donnons une meilleure priorité aux flux VOIP par rapport au reste du trafic afin d’optimiser les communications VOIP. Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, à savoir comment la partager entre plusieurs hôtes/réseaux selon nos besoins 52 4.1. MAQUETTE DE TEST Figure 47: maquette de test bande passante
  • 62. Chapitre 4 : Paramétrage et test des packages de PFSense L’objectif va être de démontrer comment, à partir d’une connexion ADSL (2500Kbps down, 463 Kbps up), nous pouvons offrir une portion de bande passante différente à chacun nos deux clients, ou bien une bande passante limitée et partagée entre les deux clients. 4.2. Configuration de TRAFFIC SHAPER Il y a deux étapes de base à la mise en place d’un limiteur de contrôle la bande passante.  Configurez les limiteurs que vous allez utliser.  Attribuer le trafic vers ces limiteurs. A partir de ce moment, nous le vérifions la bande passante d’une maniére très simple,via le speedtest.net qui nous permet de calculer le débit descendant depuis une station. Figure 48 : teste de débit initial Limitteur sont configurés en les créant sous « firewall Traffic Shaper »,sur l’onglet limiter. Nous pouvons utiliser un seul tuyau pour le traffic entrant , et sortant mais cela signifierait que nous simulons une connexion half-duplex. La méthode recommandéé consiste à créer 2 tuyaux, lun pour le trafic entrant et un pour le trafic sortant. La méthode est à partir de la persective de l’interface.si nous utilisons des limteurs sur LAN ,la file d’attente entrante est notre upload et la file d’attente sortante est notre téléchargement. Nous devons nommer les tuyaux down_limit et up_limit. Pour le tuyau down_limit nous avons choisi la valeur exemple (300kbps) 53
  • 63. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 49: Ajoute un limite de download ‘‘down_limit’’ Pour le tuyau up_limit nous avons choisi la valeur exemple (200kbps) Figure 50: Ajoute un limite de download ‘‘up_limit’’ 54
  • 64. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 51:Ajouter un Client Une fois que nous avons installé un tuyau limiteur,l’étape suivante consiste à affecter le trafic à en définissant l’ « in /out’’ dans un firewall rule.Rapplons-nous que dans et hors du point de vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur l’interface RéseauLAN, ‘’out’’ est la vitesse de télechargement (le trafic du carte réseau LAN sur le réseau local) et « dans » est la vitesse de télechargement (le trafic du réseau local dans la carte réseau LAN). Il suffit de créer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour qu’ils soient utilisés. Figure 52:Association des limiteurs au Client 55
  • 65. Chapitre 4 : Paramétrage et test des packages de PFSense Le resultat s’affiche comme le montre le figure suivante : Figure 53: test de Bande Passante sur un client de RéseauLAN 5. Supervision de la Bande Passante «NTOP » Ntop est une sonde d’analyse du trafic réseau et nous permet ainsi d’avoir un oeil sur l’utilisation qui est faite en temps réel de notre réseau. Nous pouvons également le qualifier de superviseur de bande passante, puisque nous pourrons afficher de manière détaillée un ensemble d’éléments tels que la bande passante moyenne utilisée par un hôte ou un réseau, les différents flux, leur type et leur sens (locallocal, localRemote…). Nous ne détaillerons pas ici l’ensemble des fonctions et éléments visualisables via Ntop (beaucoup trop nombreux), mais seulement les éléments qui nous montrent les plus intéressants pour superviser au mieux son réseau. De même, la fonction permettant à NTOP de recevoir des informations depuis une sonde NetFlow ne sera pas aborde. 56 5.1. Maquette de test : Ntop sera raccordé au coeur de notre réseau via un port miroir. Ce port miroir, aussi appelé port monitoring, effectue une réplication de l’ensemble du trafic transitant via l’élément actif sur lequel il est configuré (généralement un commutateur ou un châssis de coeur de réseau). Ainsi, l’ensemble des paquets entrants et sortants sera redirigé vers notre PfSense avec Ntop en écoute.
  • 66. Chapitre 4 : Paramétrage et test des packages de PFSense Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas remaniés, ce qui nous permet de conserver les adresses, ports, etc.… d’origine. Voici ainsi la maquette déployée pour traiter ce chapitre : Figure 54: Maquette de test de ntop 5.2. Installation et configuration : Nous avons commence par le téléchargement et l’installation du package Ntop : Figure 55 : Installation de packge de ntop Une fois l’installation terminée, nous allons au menu « Diagnostics  ntop settings » pour initialiser ntop et lancer le service correspondant. Nous avons configuré le mot de passe « admin » pour accéder à la configuration avancée de ntop, ainsi l’interface d’écoute : 57
  • 67. Chapitre 4 : Paramétrage et test des packages de PFSense Figure 56 :Configuration de compte d’administrateur Puis nous avons allée au « access ntop » ci-dessus, ou encore via le menu pfSense « Diagnostics  ntop »).pour accéder aux statistiques générales de réseauLAN  les informations concernant Ntop (interface d’écoute, uptime, etc.…) Figure 57 : Interface d’écoute  Un rapport concernant le trafic sur l’interface d’écoute (paquets, trafic, ou la 58 charge) Figure 58 : Le rapport de trafic
  • 68. Chapitre 4 : Paramétrage et test des packages de PFSense  La répartition totale du trafic par protocole Figure 59 : La répartition totale du trafic par protocole  Ou encore un diagramme détaille du trafic par services Figure 60 : diagramme de trafic par service 5.3. Scénarios d’utilisation de NTOP : NTOP est très fournit en termes de menus et de données affichables. Nous allons donc imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre réseau/bande passante. 59 Consomment de bande passante
  • 69. Chapitre 4 : Paramétrage et test des packages de PFSense Des lenteurs ont été constatées pour tout accès à Internet, que ce soit pour du download ou de l’upload, et nous désirons contrôler l’utilisation que fait chaque hôte de notre connexion a Internet. Nous allons donc afficher un « top 10 » des hôtes les plus gourmands en bande passante Internet. Pour ce faire : 1. Sélectionner all protocols  traffic 2. Dans ‘hosts’ choisir ‘Local Only’ 3. Dans ‘data’, choisir au choix ‘received’ ou ‘sent’ 4. Et enfin le VLAN concerne ou la totalité du réseau Figure 61 : Interface des hôtes connectés Nous affichons ainsi l’ensemble des hôtes et les quantités de données reçues et/ou envoyées. Il ne reste plus qu’a cliquer sur « data » pour afficher les plus gros consommateurs en tête de liste. Dans chaque fenêtre NTOP de ce type, nous cliquant sur le nom ou l’adresse d’un hôte, nous pourrons accéder à toutes ses statistiques détaillées. 60
  • 70. Conclusion Générale L’administration réseau est un travail complique. Le métier veut que l’on doive souvent maîtriser différentes technologies et les faire travailler ensembles. La tâche se complique encore si l’administration et la configuration de tout cela se fait manuellement. En ce sens nous avons vérifie à travers ce rapport que PfSense répond à ces interrogations. Cet Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des « Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref nous pensons que PfSense est voue à exister et se développer. Nous avons mis en place et testé certains services (les principaux pour être précis) de PfSense.
  • 71. Netographie [1] http://fr.wikipedia.org/wiki/FreeBSD: Système d’exploitation FreeBSD: le 2 mai 2013 consulté le17 mai 2013 [2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Décembre 2012 consulté le 17 février 2013 [3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-dacces- internet-portail-captif2.html : Définition et infrastructure portail captif le 03 février 2010 consulté le28 mars 2013 [4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consulté le 22 avril 2013 [5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense: configuration PFSense: le 11 septembre 2012 consulté le 20 février 2013 [6]http://www.frameip.com/vpn/ Virtuel private network : le 27 septembre 2012 juin2011 consulté le 29 mai 2013 [7] http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/ : Schéma portail captif: le 16 mai 2010 consulté le 03 mai 2013 [8] http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2 : open Virtuel private Network: le 18 juin 2013consulté le 30 mai 2013 http://bzhmarmit.wordpress.com/2012/09/11/pfsense [9]http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html Intrusion Détection Systems: le juillet 2011 consulté le 2 juin 2013 [10]http://www.snortattack.org/ schéma test de snort le 19 novembre 2005 consulté le 30 mai 2013 [11]http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial information sur Squid et SquidGuard le 22 janvier 2013 consulté le 30 février 2013 WWW.pfsense.org http://doc.pfsense.org
  • 72. Résumé : La sécurité permet la protection du réseau informatique c’est pour cela nous avons utilisés un Firewall PFSense qui peut servir à enregistré l’utilisation de l’accès à Internet et à bloquer l’accès à des sites web pour avoir une idée sur l’état du trafic et les menaces on provenance d’Internet pour offre à les utilisateurs un accès distant rapide et sécurisé à travers de package installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN. Abstract: Security enables the protection of computer network that is why we used a PFSense Firewall that can serve recorded using the Internet and block access to web sites to get an idea on the traffic conditions and threats from the Internet is to offer users fast and secure remote access through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and Open VPN. م لخص التي يمكن أن تخدم "esnPSFP" الأمن تمكن من حماية شبكة الكمبيوتر الذي هو السبب في أننا استخدام جدار حماية سجلت باستخدام شبكة الانترنت ومنع الوصول الى المواقع على شبكة الانترنت للحصول على فكرة عن ظروف حركة /ndiuq المرور وتهديدات من الإنترنت لتوفر للمستخدمين الوصول السريع والآمن عن بعد من خلال حزمة ألتثبيت . OPPS eeR وRSOe ,SNFssS nFFeRN ,nRONS ,ndiuq diuqq