Présentation de Pfsense
Introduction Basé sur FreeBSD, pfSense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses dans des firewalls commerciaux et quelques autres complémentaires. L'ensemble des fonctionnalités présentées ci-dessous sont directement disponibles à partir de l’interface web, sans qu'il soit nécessaire de taper une seule ligne de commande sous Unix. Nous pourrons donc configurer des fonctions avancées telles que : Firewall avec gestion d'état Translation d'adresses (NAT) Load Balancing Réseau privé virtuels (VPN) Serveur PPTP Serveur PPPoE Système intégré de Monitoring et Reporting Gestion des DNS dynamiques Fonction de portail captif Serveur DHCP Filtrage au niveau applicatif (niveau 7) permettant un filtrage du peer-topeer ou de n'importe quel autre protocole Un filtrage de flux avec des extensions Squid et SquidGuard 1|Page Khalid BOURICHE Après son installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q). Téléchargement du produit Les différentes versions de pfSense sont téléchargeables dans la rubrique «download» du site www.pfSense.org NB : Vous trouverez des éléments indicatifs sur la compatibilité à l'adresse de ce lien. Cliquez ensuite sur le lien here on the mirrors 2|Page Khalid BOURICHE Choisissez l’image que vous aurez besoin selon votre architecture matérielle. N’oubliez pas de choisir l’emplacement du dépôt contenant l’image choisit. Le fichier téléchargé est compressé, vous devez le décompresser pour le placer dans le lecteur approprié (Lecteur CD) 3|Page Khalid BOURICHE Préparation de l'installation Sous Virtual Box, choisissez l’architecture appropriée, cliquez sur Suivant Choisissez la quantité de mémoire nécessaire, puis cliquez sur Suivant 4|Page Khalid BOURICHE Continuez la préparation de votre machine en acceptant les paramètres par défaut jusqu’à ce que vous ayez à choisir la taille du disque dur virtuel. Choisissez la quantité nécessaire, puis cliquez sur Créer En cliquant sur le lien Stockage, lier votre fichier ISO au média CD/DVD 5|Page Khalid BOURICHE Nous allons préparer deux interfaces : Lancement de l'installation « Boutez » votre machine. A l'écran de bienvenue, tapez 1 pour choisir le boot pfSense ou laissez démarrer avec l'option par défaut. Pour lancer l'installation pressez « I » à l'invite. 6|Page Khalid BOURICHE Choisissez l’option « 99 » pour lancer l'installation de pfsense sur votre disque. 7|Page Khalid BOURICHE Paramétrage de la console Vous êtes invités à configurer la console. Arrivé à l'écran ci-après ne cherchez pas à configurer le clavier, le résultat est négatif, si vous souhaitez le faire il faudra suivre les instructions que vous trouverez sur l'Internet, mais après l'installation et en mode console. Acceptez les choix en descendant sur Accepte these Settings puis en validant. Type d'installation Optez pour une installation facile puis confirmez à l'écran suivant. Le choix suivant se porte sur l’installation du noyau: laissez le choix par défaut puis validez. Si jamais un choix se porte sur le type de processeur : laissez le choix par défaut puis validez. 8|Page Khalid BOURICHE « Rebootez » lorsque vous y êtes invité. Configuration des interfaces réseau Après avoir choisi le boot pfSense par défaut, soyez très attentif à toutes les informations qui défilent au démarrage, en particulier à la liste des interfaces réseau. Il faut bien les identifier. Dans notre cas em0 correspond à l’interface WAN par contre em1 correspond au LAN qu’il faudra configurer. Entrez « 2 » pour lancer la configuration IP d'une interface. Puis choisissez le numéro de l'interface à configurer et répondez aux questions pour la configurer : adresse IP via DHCP ou adresse IP, nombre de bits de sous-réseau (notation CIDR), etc. La configuration IP d'une interface se termine par une question vous demandant si vous souhaitez autoriser l'accès en http à l'interface web via cette interface : 9|Page Khalid BOURICHE Puis choisissez le numéro de l'interface à configurer Répondez aux questions pour la configurer : adresse IP via DHCP ou adresse IP, nombre de bits de sous-réseau (notation CIDR), etc. La configuration IP d'une interface se termine par une question vous demandant si vous souhaitez autoriser l'accès en http à l'interface web via cette interface: 10 | P a g e Khalid BOURICHE Votre interface LAN est maintenant configurée : NB : Par précaution, vous pouvez répondre « n » à la question Do you want to revert to http as the webconfigurator protocol [y/n] ? -> Pour garder l'accès sécurisé via seulement https. Renouvelez les opérations autant de fois que d'interfaces à configurer (rappel : seule la configuration de l'interface native LAN est nécessaire via la console pour une prise en main ultérieure via l'interface web, les autres pouvant être configurées ultérieurement via cette interface web). 11 | P a g e Khalid BOURICHE À partir d’une machine se trouvant sur le réseau natif LAN du pfsense (par exemple un poste Windows 7 ayant l’adresse IP 10.11.12.2/24), vous pouvez accéder à l’interface Web de pfsense. Le couple natif d'identifiants est : Username : admin Password : pfsense. 12 | P a g e Khalid BOURICHE Vous pouvez profiter de l’assistant de configuration pour changer par exemple le mot de passe par défaut de l’interface Web (pfsense) 13 | P a g e Khalid BOURICHE Mise à jour de pfSense System firmware Vous avez la possibilité de mettre à jour votre application (firmware) automatiquement (valable à partir de la version 2). Cela vous dispense de surveiller les mises à jours disponibles notamment celles apportant des corrections (bugs, failles de sécurité). Si vous optez pour la mise à jour automatique, en cas d'absence de message « You are on the latest version. » sur le tableau de bord (dashboard), il peut être nécessaire de forcer les paramètres de l'URL de mise à jour en choisissant l'option correspondante à votre pfSense pour le champ 'Firmware Auto Update URL' : 14 | P a g e Khalid BOURICHE Sauvegarde de la configuration La sauvegarde de toute ou partie de la configuration se fait à partir de cette page : Diagnostics Backup/Restore 15 | P a g e Khalid BOURICHE Vous pourrez, par exemple, exporter une configuration d'un serveur pfSense vers un autre serveur et vis-versa. 16 | P a g e Khalid BOURICHE Installation de paquets ou packages supplémentaires Certains services, outils ou fonctionnalités de pfSense ne sont pas installées par défaut. C'est le cas par exemple de l'outil d'exportation des clients OpenVPN, du module proxy (serveur mandataire) ou encore de SNORT. Choisissez l’option System Packages Avant l'installation d'un paquet, procédez à la sauvegarde complète de votre configuration. Dans l'onglet « Installed Packages » vous trouverez la liste des paquets installés. 17 | P a g e Khalid BOURICHE Dans l'onglet « Available Packages » vous trouverez la liste des paquets disponibles (à condition que le serveur pfSense soit connecté à l'Internet). NB : Il est fortement recommandé de n'installer que des paquets en version stable, surtout dans un environnement de production, voire de les installer au préalable dans un environnement de test. Outil de prévention et détection d'intrusion Snort est un système open source de prévention et détection (IDS/IPS) d'intrusions sur les réseaux, combinant les avantages de signature, de protocole et d'inspection axée sur l'anomalie. Le paquet correspondant se nomme « snort ». Serveur mandataire (proxy / cache web) C'est un outil de proxy/cache web (de hautes performances, est-il précisé dans la description du paquet). Le paquet correspondant se nomme « squid ». Filtre URL proxy cache web 18 | P a g e Khalid BOURICHE C'est un outil de filtrage URL pour proxy web (de hautes performances, est-il précisé dans la description du paquet). Le paquet correspondant se nomme « squidGuard ». L'installation de ce paquet nécessite l'installation au préalable du paquet de proxy « squid ». Règles et alias Les alias consistent à créer des objets faciles à manipuler dans l'écriture des règles, par exemple pour bloquer une liste d'hôtes considérés comme «malveillants». Si une règle de blocage a été ajoutée individuellement pour chaque hôte, la liste des règles serait assez longue. En ajoutant tous ces hôtes à un alias, une seule règle pare-feu est suffirait. Les alias permettent de regrouper des adresses IP, des ports, des réseaux ou encore des URL. Exemple : Supposant qu'il y a trois serveurs Web dans une DMZ, HTTP, HTTPS et FTP. Le trafic devrait être permis à ces serveurs. Une règle de pare-feu simple et deux alias suffisent au lieu d’écrire 9 règles distinctes. Créez un alias serveursWeb et y ajouter les adresses IP des trois serveurs. 19 | P a g e Khalid BOURICHE Créez un alias WebServerPorts ajoutent Ajoutez à cela les ports 21, 80 et 443. Créer une règle de pare-feu : dans la zone Destination, choisissez single host or alias, puis écrivez le nom de votre alias serveursWeb. Dans la zone Destination port range entrer le nom de l’alias des ports soit : WebServerPort. 20 | P a g e Khalid BOURICHE Cliquez sur Enregistrer Écriture/édition des règles Firewall Rules 'onglet' de l'interface concernée. Deux options s'offrent à nous pour l'écriture d'une règle : Soit la règle est rajoutée sur le modèle d'une règle existante, en cliquant sur à droite dans le prolongement de la ligne correspondant à la règle modèle, puis en apportant les modifications. Soit elle est ajoutée librement en cliquant sur liste. en haut ou en bas de la On peut éditer une règle à tout moment en cliquant sur . 21 | P a g e Khalid BOURICHE Sites de référence o o o o o o o Le forum français pour pfSense : http://forum.pfSense.org/index.php?board=7.0 Le site de OSNET : http://www.osnet.eu (en français) Le site officiel PfSense : http://www.pfsense.org/ Les tutoriels officiels : http://doc.pfsense.org/index.php/Tutorials Le Wiki de la PfSense : http://doc.pfsense.org/ Les forums PfSense : http://forum.pfsense.org/ Guide spécifique : lien 22 | P a g e Khalid BOURICHE
© Copyright 2024