Guide MenOeuvre PfSenseV2

Guide de mise en uvre de pfSense v2
(dans un cadre de dploiement spcifique)

Ce document a t rdig dans le cadre du dploiement de serveurs pfSense dans les rseaux de lyces et CFA de lenseignement agricole intgrs une architecture rgionale commune aux systmes ducatifs afin de rpondre des usages spcifiques. Merci Grgory Bernard de la socit ToDoo qui nous a assist.
Avant-propos
Les choix techniques, dont la mise en uvre est dtaille dans ce document, sont le rsultat d'une politique rgionale propre au rseau des lyces et CFA de l'enseignement agricole. Ces choix ne conviennent pas ncessairement tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse pralable. Il en est de mme pour la pertinence dployer plusieurs modules et fonctionnalits sur pfSense lui-mme. Ce document se veut le plus transfrable possible dun site lautre : on parlera indiffremment de LAN ou VLAN, avec le terme (V)LAN, pour ne pas prjuger de la technologie utilise pour les sous-rseaux de l'tablissement. On considre ici que les interfaces Ethernet du serveur support de l'application pfSense sont brasses physiquement sur des (V)LAN diffrents (quand bien mme elles supportent la norme 802.1q, elles n'appartiennent pas plus d'un (V)LAN la fois). En annexe 1 vous trouverez un extrait du dossier de montage du projet de dploiement des serveurs dits pfSense en Lorraine avec notamment une description de l'architecture rseau pour modliser les liens et visualiser les flux. L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas celle des serveurs mandataires dj en place dans l'architecture rgionale. L'utilisation de ces serveurs rpond la mise en place de services spcifiques l'enseignement agricole (voir annexe 1).
Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt - 06/03/12
D'une manire gnrale, nous appliquons le principe suivant : sur les postes des (V)LANs ADMIN ou PEDA , les rles de passerelle et serveur mandataire sont assurs par un autre serveur mandataire, les flux associs aux services spcifiques pour l'interconnexion des SI de l'EA seront routs et grs par le serveur pfSense (route persistante crire en dur sur les postes ou via serveur dhcp en option tendue 033).
Au pralable de linstallation
Avant de se lancer dans li nstallation, certains lments du projet doivent tre bien prpars, comme la configuration matrielle ncessaire et les services mettre en uvre par l'application. La connaissance de l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi la rdaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la dernire version stable de pfSense et s'assurer de la compatibilit matrielle du serveur avec la distribution FreeBSD (en particulier de celle des cartes rseaux).
Services
Les optiques dutilisation de pfSense sont nativement les suivantes : Pare-feu filtrant entre lInternet et les (V)LAN d'une part, avec gestion de QoS, et, d'autre part, entre les (V)LAN Routeur (V)LAN ou WAN, avec gestion de la norme 802.1Q Point daccs avec portail captif Usages spcifiques : serveur mandataire, Serveur VPN, DNS, DHCP, snifer, NDIS, etc.
Architecture et adressage
Il est ncessaire de connatre parfaitement la topologie de son rseau : larchitecture dans laquelle sintgre le serveur support de pfSense, ladressage des (V)LAN auxquels il sera brass, l'adresse IP publique (adresse IP WAN) du serveur.
Documentation et aide
Sites de rfrence o le forum franais pour pfSense : http://forum.pfSense.org/index.php?board=7.0 o le site de OSNET : http://www.osnet.eu (en franais) o o o o Le site officiel PfSense : http://www.pfsense.org/ Les tutoriels officiels : http://doc.pfsense.org/index.php/Tutorials Le Wiki de la PfSense : http://doc.pfsense.org/ Les forums PfSense : http://forum.pfsense.org/
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Rappels et recommandations
Les diffrentes interfaces d'un Firewall ne doivent pas tre connectes au mme rseau physique (ou alors, si les interfaces rseaux du serveur grent la norme 802.1q, uniquement sur des ports Ethernet appartenant des VLAN 802.1q diffrents ; mais ce n'est pas notre cas). La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait l'aide d'un routeur (routeur e-lorraine). Les serveurs applicatifs pfSense ont leur interface WAN relie ce routeur : cette interface se retrouve donc directement sur Internet ; elle a une adresse IP WAN publique. Une analyse pralable du contexte de mise en uvre est indispensable, notamment en termes de PSSI1 .
Application pfSense et compatibilit

Les diffrentes versions de l'application pfSense sont tlchargeables dans la rubrique download du site http://www.pfSense.org/ ainsi que sur le site miroir franais l'adresse http://pfSense.bol2riz.com/downloads/ Vous trouverez des lments indicatifs sur la compatibilit l'adresse : http://www.pfsense.org/index.php? view&id=46&Itemid=51.
1 Politique de scurit des systmes d'information.

Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 3
Schma de principe
Installation
Brassage des ports RJ45 pour identification des interfaces
Afin d'activer les interfaces rseau et faciliter leur identification, il est indispensable de brasser tous les ports rseau qui vont tre utiliss en les reliant par exemple des switches . Sinon, vous devez connatre les noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour identifier les interfaces sur votre serveur).
Boot et lancement de l'installation

Insrez le CD et boutez dessus. A l'cran de bienvenue, tapez 1 pour choisir le boot pfSense ou laissez dmarrer avec l'option par dfaut. Welcome to pfSense ! 1. Boot pfSense [default] 2. Boot pfSense with ACPI disable [...] 8. Reboot Select option, [Enter] for default or [Space] to pause timer 10
Pour lancer l'installation pressez I l'invite.
[ Press R to enter recovery mode or ] [ press I to launch the installer ] (R) ecovery (I) nstaller... (C) continues ...
Paramtrage de la console
Vous tes invits configurer la console. Arriv l'cran ci-contre ne cherchez pas configurer le clavier , le rsultat est ngatif ; si vous souhaitez le faire il faudra suivre les instructions que vous trouverez sur l'Internet, mais aprs l'installation et en mode console. Acceptez les choix en descendant sur < Accepte these Settings > puis en validant.
Type d'installation
Optez pour une installation facile puis confirmez l'cran suivant.
Le choix suivant se porte sur le type de processeur : laissez le choix par dfaut puis validez.
Rebootez lorsque vous y tes invit.
Configuration des interfaces rseau

Identification des interfaces
Aprs avoir choisi le boot pfSense par dfaut, soyez trs attentif toutes les informations qui dfilent au dmarrage, en particulier la liste des interfaces rseau. Les informations les concernant sont affiches dans une couleur diffrente du reste du texte aprs la ligne Network interface mismatch Running interface assignment option. , suivi d'une liste des interfaces valides avec adresse MAC et contrleurs. Network interface mismatch Running interface assignment option. em0 : link state changed tu UP em1 : link state changed tu UP igb0 : link state changed tu UP En annexe 1 vous trouverez les donnes propres notre dploiement.
Pas de mise en place de VLAN

On ne configure pas de VLAN : rpondez par la ngative la question (rappel : chaque interface de pfSense est connect un (V)LAN distinct ; mais si besoin, vous pourrez le faire plus tard via l'interface web de configuration). Do you want to set up VLANs now [yn] ? n
Assignation des interfaces

Vous tes invit maintenant affecter les interfaces de pfSense aux diffrents sous-rseaux de l'tablissement : WAN, LAN, OPT1, OPT2... OPTn o n reprsente n interfaces rseaux disponibles ou que vous souhaitez utiliser, autres que WAN et LAN. Sachez que, pour le moment, il importe seulement de configurer l'interface nomme LAN (rseau natif utilis pour la prise en main de l'application via l'interface web) : les autres interfaces pourront tre configures plus tard via l'interface web. L'identification des interfaces opre prcdemment va nous servir ici : charge vous de savoir quelle interface (quel port Ethernet physique) brasser sur quel (V)LAN. L'application pfSense nomme WAN le (sous-)rseau donnant l'accs l'Internet, LAN le sous-rseau natif qui correspond dans la plupart des cas au (V)LAN administratif (interface que l'on nommera ADMIN) et OPT1 OPTn les autres (V)LANs (PEDA, INVITE, etc.). La liste des interfaces configurer complte (em0, em1, igb0, igb1, igb2 et igb3), validez la prochaine invitation pour arrter le processus d'assignation. Enter the WAN interface name or 'a' for auto-detection : em0 Enter the LAN interface name or 'a' for auto-detection : em1 Enter the OPT1 interface name or 'a' for auto-detection : igb0 Enter the OPT2 interface name or 'a' for auto-detection : igb1 Enter the OPT2 interface name or 'a' for auto-detection : igb2 Enter the OPT2 interface name or 'a' for auto-detection : igb3 Enter the OPT2 interface name or 'a' for auto-detection : [Enter] Un rcapitulatif de cette premire tape de configuration vous sera propos et vous serez invit confirmer pour poursuivre l'installation. The interfaces will be assigned as follows: WAN em0 LAN em1 OPT1 igb0 OPT1 igb1 OPT1 igb2 OPT1 igb3 Do you want to proceed [yn] ? y
Configuration en ligne de commande de l'adressage des premires interfaces
Entrez 2 pour lancer la configuration IP d'une interface.
Puis choisissez le numro de l'interface configurer et rpondez aux questions pour la configurer : adresse IP via DHCP ou adresse IP, nombre de bits de sous-rseau (notation CIDR, voir en annexe 8), etc. En annexe 1 vous trouverez les donnes propres notre dploiement. La configuration IP d'une interface se termine par une question vous demandant si vous souhaitez autoriser l'accs en http l'interface web via cette interface : Do you want to revert to http as the webconfigurator protocol [y/n] ? -> n Par prcaution, rpondre n pour garder l'accs scuris (https). Renouvelez les oprations autant de fois que d'interfaces configurer (rappel : seule la configuration de l'interface native LAN est ncessaire via la console pour une prise en main ultrieure via l'interface web, les autres pouvant tre configures ultrieurement via cette interface web).
Poursuite de l'installation via l'interface web

Pralable
Configurez un poste pour le connecter au rseau natif LAN du serveur applicatif pfSense. Ne perdez pas de vue que toute modification ou erreur de paramtrage sur l'interface LAN (ou de celle de votre poste de travail) peut vous faire perdre l'accs l'interface web de configuration de l'application ! Avec le navigateur de votre choix, rendez-vous l'adresse https://[ip_pfSense], o [ip_pfSense] est l'adresse IP sur le rseau LAN du serveur hbergeant l'application pfSense : Le couple natif d'identifiants est : admin/pfsense.
Utilisation de l'assistant de configuration

Nous allons profiter de cet assistant pour initier le paramtrage : System > Setup Wizard Vrifiez, modifiez ou compltez si ncessaire les informations ncessaires au paramtrage de l'interface WAN (rseau public Internet). Les informations sont disponibles auprs du fournisseur d'accs ou de la matrise d'uvre, E-Lorraine en ce qui nous concerne : IP publique, masque, passerelle (adresse IP WAN du routeur e-lorraine), serveurs DNS externes, etc. Vrifiez, modifiez ou compltez si ncessaire les informations ncessaires au paramtrage de l'interface LAN (attention ne pas perdre l'accs !). Renseignez/changez le mot de passe d'administration via l'interface web (par dfaut = pfSense).
Vrification, modification et compltion du paramtrage des interfaces

Ceci est accessible par le menu Interfaces . Vous retrouvez ici toutes les interfaces assignes via la console au cours de l'installation (en principe deux : LAN et OPT1). Interfaces > (assign)
Onglet 'Interface assignments'

vous pouvez vrifier les assignations des interfaces faites l'installation. Les interfaces disponibles et non assignes peuvent tre ajoutes en cliquant sur l'icne partir des ports rseaux non utiliss.
Onglet 'VLANs'
C'est ici que vous pouvez configurer les VLANs (cette question n'est pas aborde dans ce document).
Vrification, compltion et modification de la configuration, interface par interface

Configuration gnrale de l'interface o activation ou non o nom (description) : pour une meilleure lisibilit le nom de chaque interface sera modifi, voir annexe 1 o type : Static, DHCP, etc. Complment de la configuration en fonction du type : prenons le cas d'une configuration en IP fixe (Static) o IP et nombre CIDR (voir en annexe 8) o passerelle Gateway ; n'indiquer une passerelle que si le (V)LAN associ cette interface utilise une passerelle autre que pfSense pour se connecter l'Internet ; dans notre cas ne rien indiquer Options rseaux privs : pour des raisons de scurits, il vaut mieux cocher ces deux options pour l'interface WAN uniquement o bloquer les rseaux privs L'option Block private networks permet de bloquer les adresses ip de types locales : 192.168....., etc. C'est une scurit. Quand elle est coche, cette option bloque le trafic provenant des adresses IP rserves pour les rseaux privs selon la norme RFC 1918 (10/8, 172.16/12, 192.168/16) ainsi que des adresses de bouclage (127/8). Vous devez gnralement laisser cette option active, sauf si linterface WAN fait parti d une adresse rseau prive. o bloquer les rseaux bogons (les faux rseaux privs , voir annexe 5) L'option Block bogon networks permets de bloquer ces adresses IP. C'est encore une scurit.
En annexe 1 vous trouverez les donnes propres notre dploiement.
Onglet 'Interface Groups'

Sur cette page vous pouvez regrouper plusieurs interfaces afin de dfinir une politique commune celles-ci. Ainsi les rgles cres pour le groupe s'appliqueront aux interfaces du groupe sans avoir les dupliquer. Une fois un groupe cr, une nouvelle interface sera visible (nouvel onglet) dans la page Firewall : Rules. Nous n'avons pas avantage regrouper les interfaces dans notre cas.
Scurit configuration avance

System > Advanced > onglet 'Admin Access' Toujours slectionner un accs par HTTPS Se crer ventuellement un certificat HTML sur mesure spcifique cet accs Dsactiver la rgle de redirection (WebGUI Redirect), pour contraindre une connexion HTTPS L'option Anti-lockout pourra tre dsactive lorsque toutes les rgles de pare-feu seront crites (on observe la prsence de cette rgle sur la page 'Firewall : Rules' dans l'onglet LAN (ADMIN dans notre cas puisque nous avons renomm les interfaces). Cette rgle vite de perdre l'accs l'interface web de configuration via l'interface ADMIN pendant le paramtrage.
Conserver la rgle DNS Rebinding Checks ainsi que HTTP_REFERER enforcement check , sauf si souhait d'accs au pare-feu en utilisant ssh et le port-forward par exemple. Il se peut que vous soyez contraint de dsactiver HTTP_REFERER enforcement check en cas d'impossibilit d'accs l'interface web de configuration depuis un poste nomade (voir annexe 9). Si souhait, possibilit d'activer l'accs par SSH en prfrant un accs via une cl RSA (plus rapide et plus scuris) Si le serveur en est pourvu, l'activation du port srie (Serial Terminal) vous offre une porte de secours en cas de perte d'accs l'interface Web. Il est risqu de scuriser l'accs la console par mot de passe de protection en cochant l'option Password protect the console menu : en effet, en cas de crash du mot de passe admin, plus aucun accs pfSense ne sera possible ; d'autre part, l'accs la console ncessite un accs physique au serveur qui normalement est scuris. Donc, un conseil : ne pas verrouiller l'accs via la console par un mot de passe. Sauvegarder la configuration !
10
Exemple de configuration avance (seules les options modifies et/ou voques ci-dessus sont prsentes).
Notifications
System > Advanced > onglet 'Notifications' C'est sur cette page que vous pouvez configurer les options pour l'envoi des notifications.
11
Mise jour de pfSense

System > firmware Vous avez la possibilit de mettre jour votre application (firmware) automatiquement (valable partir de la version 2). Cela vous dispense de surveiller les mises jours disponibles notamment celles apportant des corrections (bugs, failles de scurit). Si vous optez pour la mise jour automatique, en cas d'absence de message You are on the latest version. sur le tableau de bord (dashboard), il peut tre ncessaire de forcer les paramtres de l'URL de mise jour en choisissant l'option correspondante votre pfSense pour le champ 'Firmware Auto Update URL' :
Sauvegarde de la configuration
La sauvegarde de toute ou partie de la configuration se fait partir de cette page : Diagnostics > Backup/Restore Une fois les alias dfinis (voir $ ponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un serveur pfSense vers un autre : Serveur modle Diagnostics : Backup/restore > 'Backup configuration' slectionner Aliases dans Backup area cliquer sur Download configuration
serveur cible Diagnostics : Backup/restore > 'Restore configuration' slectionner Aliases dans Restore area cliquer sur Parcourir, slectionner le fichier cliquer sur Restore configuration
12
Installation de paquets ou packages supplmentaires

Certains services, outils ou fonctionnalits de pfSense ne sont pas nativement installes. C'est le cas par exemple de l'outil d'exportation des clients OpenVPN, du module proxy (serveur mandataire) ou encore de SNORT. Nous verrons plus tard comment utiliser ces services puisqu'ils sont dans le cahier des charges du dploiement. System > Packages Dans l'onglet Available Packages vous trouverez la liste des paquets disponibles ( condition que le serveur pfSense soit connect l'Internet). Dans l'onglet Installed Packages vous trouverez la liste des paquets installs. Il est fortement recommand de n'installer que des paquets en version stable, surtout dans un environnement de production, voire de les installer au pralable dans un environnement de test. Sage prcaution : sauvegarder compltement la configuration avant l'installation d'un paquet.
Outil d'exportation des clients OpenVPN

Le paquet correspondant se nomme OpenVPN Client Export Utility . Cet outil permet l'export directement partir de pfSense d'un client pr-configur OpenVPN pour Windows ou d'un fichier de configuration pour Mac OSX viscosit.
Outil de prvention et dtection d'intrusion

Snort est un systme open source de prvention et dtection (IDS/IPS) d'intrusions sur les rseaux, combinant les avantages de signature, de protocole et d'inspection axe sur l'anomalie. Le paquet correspondant se nomme snort .
Serveur mandataire (proxy / cache web)

C'est un outil de proxy/cache web (de hautes performances, est-il prcis dans la description du paquet). Le paquet correspondant se nomme squid .
Filtre URL proxy cache web

C'est un outil de filtrage URL pour proxy web (de hautes performances, est-il prcis dans la description du paquet). Le paquet correspondant se nomme squidGuard . L'installation de ce paquet ncessite l'installation au pralable du paquet de proxy squid .
13
Dfinition des alias : un pralable l'criture des rgles

Nous allons utiliser les alias pour crer des objets qui seront plus faciles manipuler dans l'criture des rgles : ils amliorent la lecture des rgles et permettent de regrouper des adresses IP (comme celles des serveurs), des ports (comme ceux ouvrir pour le protocole TCP pour le montage du tunnel d'assistance du CNERTA), des rseaux ou encore des URL. L'utilisation des alias nous vitera, par exemple, pour un protocole donn, d'avoir crire une rgle pour chaque port dans le cas de ports non conscutifs. Ainsi, d'une part si modifications ultrieures il y a et, d'autre part, comme ces paramtres peuvent tre utiliss pour plusieurs rgles, nous n'aurons qu' apporter une seule modification au niveau de la dfinition de l'alias correspondant, et cette modification sera rpercute automatiquement sur l'ensemble des rgles faisant appel l'alias. Pour en faciliter l'usage les alias devront respecter quelques rgles de nommage explicite : par exemple commencer par Cnerta pour tous les alias concernant Eduter-CNERTA qui ne changent pas d'un site l'autre, puis par exemple par le numro du dpartement pour les alias associs l'EPL d'un dpartement. Attention les caractres spciaux tels que espace, ou _ ne sont pas permis ! En revanche on peut jouer sur la casse pour apporter de la lisibilit. La dfinition des alias est accessible dans le menu Firewall : Firewall > Aliases Pour ajouter un alias cliquez sur complter les champs associs. On peut crer des alias d'alias . Ainsi, par exemple, une fois les alias cres pour les LAN des tunnels OpenVPN on cre un alias les reprenant tous pour l'criture de rgles communes. La seule condition la cration d' alias d'alias est que tous soient du mme type (ports, host, rseau, etc.). Les alias configurs pour le serveur pfSense du site principal d'un EPL seront exports puis imports dans la configuration des serveurs pfSense des sites antenne pour nous viter d'avoir les rcrire (s'ils ne seront pas tous utiliss dans toutes les configurations, on pourra ventuellement supprimer ceux qui savreront inutiles). Nous allons avoir besoin de crer des alias pour les donnes suivantes (prenons l'exemple d'un EPL) : l'adresse IP des serveurs sur le rseau ADMIN : [dp]IPsServeur1, [dp]IpServeur2, etc. l'adresse IP WAN du serveur pfSense de chaque site : [dp]IPWanPfsenseSitePrinc, [dp]IPWanPfsenseSiteAnt1 et [dp]IPWanPfsenseSiteAnt2 la plage d'adresses IP du rseau ADMIN et du rseau PEDA de chaque site : [dp]LanADMINnetSiteAnt2d, [dp]LanPEDAnetSiteAnt2, [dp]LanADMINnetSiteAnt1, [dp]LanPEDAnetSiteAnt1, [dp]LanPEDAnetSitePrinc la plage d'adresses IP du VPN dans chaque tunnel nomade monter pour la tl-assistance : [dp]IpPfsLanOvpnAssistSitePrinc, [dp]IpPfsLanOvpnAssistSiteAnt2 et [dp]IpPfsLanOvpnAssistSiteAnt1
puis renseignez les champs nom (Name) et description. Choisir le type
d'alias parmi hte(s) Host(s) - , rseau(x) Network(s) -, port(s), URL et table d'URL - URL TABLE, puis
les adresses IP publiques des serveurs du CNERTA : CnertaIpsPubliques les ports pour le montage du tunnel de maintenance du CNERTA : CnertaTcpPortsVpn et CnertaTcpPortsVpn les ports d'accs l'interface web de configuration de pfSense : PortsAccesInterfaceWebPfSense tous les rseaux sources de trafic pour la connexion distance sur les serveurs du rseau ADMIN (alias d'alias) : [dp]TsLANsSourcesCnxServ etc. Enfin, n'oubliez pas de sauvegarder (Save).
criture des rgles

Le pare-feu ou firewall est la fonction principale de pfSense. Les rgles de filtrage sont values sur la base de la premire correspondance. Ds qu'un paquet correspond une rgle celuici est filtr. Les rgles les plus permissives doivent donc tre en bas de liste. L'application pfSense est un pare-feu gestion d'tat : elle autorise le trafic depuis l'interface sur laquelle le trafic est gnr. Lorsqu'une connexion est initie, la suite d'une correspondance russie avec une rgle autorisant ce trafic, une entre est ajoute dans la table d'tat (state table). Le trafic retour est automatiquement autoris par le pare-feu quelque soit le type de trafic (TCP, ICMP, etc.). Par dfaut tout le trafic arrivant de l'internet destination de votre rseau est bloqu. Mais par dfaut tout le trafic initi sur le (V)LAN de l'interface 'ADMIN' (initialement 'LAN') et destination de l'Internet est autoris, ce qui se traduit par la prsence de la rgle suivante dans l'onglet 'LAN' (ou ADMIN dans notre cas) sur la page Firewall :Rules :
Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systmes compromis, de restreindre les capacits infecter le rseau, de limiter l'utilisation d'application non autorises sur le rseau, de limiter l'usurpation d'adresse IP ( l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant . Commenons par supprimer cette rgle en cliquant sur , en validant puis en cliquant sur .
Comme dj mentionn au Au pralable de l'installation , il est ncessaire de faire linventaire exhaustif de tous les services ncessaires. On pourra tablir un tableau avec les protocoles et ports utiliss par le trafic autoriser. Vous trouverez en annexe 4 un exemple de tableau labor partir de la liste des services que nous souhaitons autoriser. Dans les pages de configuration des rgles vous serez amen configurer le champ 'type' en choisissant dans une liste droulante. Le tableau suivant vous donne les significations des intituls disponibles :
15
any
tout
Single host or alias Adresse IP ou alias Network Wan subnet Wan address OPTn subnet OPTn address Rseau dfinir dans le champ suivant (Address) Rseau sur lequel est brasse l'interface WAN Adresse alloue l'interface WAN de pfSense Rseau sur lequel est brasse l'interface OPTn Adresse alloue l'interface OPTn de pfSense sur le rseau sur lequel est brasse cette interface
Pour saisir un alias, dans un champ, il faut slectionner 'Single host or alias' dans la liste du champ 'Type' et commencer taper les premires de celui-ci dans la zone rouge : une liste contextuelle apparat avec les correspondances disponibles ; vous n'aurez plus qu' choisir l'alias.
En pratique
Interdire par dfaut : configurez les rgles pour autoriser le strict minimum de trafic ; en l'absence de rgle sur une interface, celle-ci bloque tout trafic se prsentant Question se poser : qu'est-ce-que je dois autoriser ? et non qu'est-ce-que je dois bloquer ? Rgles lisibles, courtes et documentes Rgles crire sur la premire interface de pfSense qui reoit le paquet : les donnes de la rgle sont celles contenues dans le paquet qui se prsente (je viens de, je vais vers, via tel port, tel protocole) Pour une meilleure scurit, limiter autant que possible les connexions aux adresses IP des source(s) et destination(s) Ne rien inscrire pour le(s) port(s) source (choisir any ) ; en effet, la plupart du temps , ce(s) port(s) est(sont) dfinis de faon alatoire par la source.
Une astuce
En cas de difficults d'criture des rgles, vous pouvez procder comme suit : utilisez temporairement une rgle selon laquelle tout passe, par exemple ADMIN net vers tout (any) sans spcifier de port Firewall :Rules > onglet 'LAN' > clic sur et activer les logs.
16
gnrez du trafic pour le service tudi et observez ce qui se passe dans 'Status : System Logs' onglet 'Firewall' crez la rgle automatiquement en cliquant sur (Easy Rule : pass this traffic) sur la ligne correspondant au service autoriser puis, ventuellement, ditez la rgle pour, par exemple, la limiter aux adresses IP source et/ou destination n'oubliez pas de supprimer la rgle temporaire qui autorise tout !
criture/dition des rgles

Firewall > Rules > 'onglet' de l'interface concerne. Deux options s'offrent nous pour l'criture d'une rgle : soit la rgle est rajoute sur le modle d'une rgle existante, en cliquant sur correspondant la rgle modle, puis en apportant les modifications soit elle est ajoute librement en cliquant sur en haut ou en bas de la liste. . droite dans le prolongement de la ligne
On peut diter une rgle tout moment en cliquant sur
Accs l'interface web de configuration de pfSense et dsactivation de la rgle de protection anti-lockout

crivons une rgle sur l'interface ADMIN autorisant les postes du (V)LAN ADMIN se connecter l'interface web de configuration de pfSense.
Rgle autorisant tout poste du rseau ADMIN se connecter l'i nterface de configuration web de pfSense : ainsi tout le trafic provenant du rseau ADMIN destination de l'adresse IP sur ADMINnet de pfSense est permis via les ports TCP 80, 443 et 22 (alias PortsAccesInterfaceWebPfSense).
On peut maintenant supprimer la rgle anti-lockout en cliquant sur l'option correspondante sur la page System : Advanced : Admin Access.
en face de la rgle puis en cochant
Changement de l'ordre des rgles

L'ordre est important comme nous l'avons vu prcdemment. Il peut tre ncessaire de modifier l'ordre des rgles aprs une criture non ordonne. Le changement d'ordre des rgles se fait en cochant la ou les rgles dplacer puis en cliquant sur dire celle qui se trouvera immdiatement en dessous de celle(s) dplace(s).
droite dans le prolongement de la ligne correspondant la rgle immdiatement plus permissive, c'est--
17
Mise en place d'une liaison site site via un tunnel OpenVPN pour accs serveur
Simple mettre en uvre (un site client, un site serveur), bas sur une cl secrte partage et beaucoup plus lger que les tunnels IPSec mais tout aussi scuris, nous allons configurer le montage d'un tunnel OpenVPN entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va crer une nouvelle interface sur les deux serveurs, appele OpenVPN (interface virtuelle) : elle n'apparat pas dans la liste des interfaces physiques mais un onglet sera rajout dans la page 'Firewall : Rules' de configuration de l'interface web.
Configuration ct serveur du tunnel OpenVPN

Nous choisissons de configurer le serveur pfSense du site principal comme serveur OpenVPN. VPN > OpenVPN > onglet Serveur > Add Serveur Serveur Mode : Peer to Peer (cl partage - Shared key) Protocole : prfrez UDP TCP qui est plus lourd (chaque paquet perdu est retransmis) ; cependant UDP est connu comme tant mal ltr par certain routeurs ; utiliser TCP est plus peut-tre plus sr mais plus lent (faire des tests ou autoriser les deux) Device Mode : tun (le module TAP n'est ncessaire que si on veut faire tourner OpenVPN en mode BRIDGE) Interface : choisir l'interface WAN pour les liaisons entrantes Local Port : le port sur lequel le serveur OpenVPN coute est le port par dfaut 1194 ; attention, chaque tunnel requiert un port diffrent (un pour le tunnel site site, un pour le tunnel nomade, etc.) ; vrifier que le port n'est pas dj utilis par un autre service. Description : nom du VPN, par exemple VPN site site EPL[n dpartement] Share key : Automatically generate a share key, la cl sera ainsi gnrs automatiquement et il suffira ensuite de copiercoller la cl dans la configuration VPN du serveur client (distant) Encryption algorithm : par exemple AES-128-CBC (128 bits) ; doit tre identique des deux cts ; CAS, DES et RC2 sont un peu moins scuriss mais plus rapides ; certains types de cryptages peuvent poser problme en fonction de la configuration matrielle. Hardware Crypto : si utilisation d'une carte de compression VPN, possibilit de la slectionner dans la liste. Tunnel Network : c'est la plage d'adresse qui sera utilise pour adresser les postes dans le tunnel ; il est prconis d'utiliser un adressage au hasard dans la norme RFC19182 ; attention ne pas utiliser des plages dj utilises par les (V)LAN ; pour un tunnel de site site un /30 est suffisant. Local Network : laisser vide pour une configuration par dfaut Remote Network : saisir ici le rseau distant, ct client (en principe le (V)LAN administratif ou pdagogique du site distant) Compression : cocher si vous souhaitez compresser les donnes dans le tunnel Type-of-service : utile si vous souhaitez faire du Trafic Shapping sur le trafic OpenVPN lui-mme (marquage entte IP), mais peut prsenter un risque potentiel de scurit. Vous trouverez en annexe 3 les donnes propres notre dploiement.
2 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16. Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 18
Configuration ct client
Nous devons configurer le serveur pfSense du site distant comme client OpenVPN. VPN > OpenVPN > onglet Client > Add serveur Serveur Mode : Peer to Peer Protocole : idem ct serveur Device Mode : idem ct serveur Interface : WAN Local Port : laisser vide pour le choix d'un port alatoirement Server host or adress : adresse IP WAN du serveur (IP WAN du serveur pfSense du site principal) Server port : idem ct serveur Description : nom du VPN, par exemple VPN site site Share key : copier ici la cl gnre ct serveur Encryption algorithm : idem ct serveur Hardware Crypto : idem ct serveur Tunnel Network : idem ct serveur Remote Network : saisir ici le rseau distant, ct serveur (en principe le (V)LAN administratif du site principal) Compression : idem ct serveur Type-of-service : pour marquer la valeur de l'entte IP), mais peut prsenter un risque potentiel de scurit. Vous trouverez en annexe 3 les donnes propres notre dploiement. Il nous reste une tape : crire les rgles pour autoriser le montage du tunnel et le trafic dans le tunnel.
Rgle pour autoriser le montage du tunnel OpenVPN site site

Tout d'abord, il est ncessaire d'autoriser, sur l'interface WAN du serveur OpenVPN (site principal dans notre exemple), le trafic ncessaire l'tablissement du tunnel avec le serveur client OpenVPN (site distant) via les protocole et port choisis la cration du tunnel OpenVPN site site . Pour crire la rgle il faut se dire que le paquet arrive sur l'interface WAN du serveur du tunnel (site principal) en provenant de l'adresse IP WAN du client du tunnel (site distant) destination de l'adresse IP WAN du serveur du tunnel, dsigne par WAN address, par exemple via le port 1195 du protocole UDP. On a donc la rgle suivante dans l'onglet 'WAN' sur la page 'Firewall : Rules' du pfSense matre :
[ dp ]IPWa nPfsen seS ite Ant1
La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfS ense clientOpenVPN du site di stant (alias [dp]IPWanPfsenseSiteAnt1) destination de l'adresse IP du serveur pfSense serveur OpenVPN du sit e principal (WAN address) sur le port UDP 1195.
Rgles pour autoriser le trafic dans le tunnel OpenVPN site site

Ensuite, il faut autoriser le trafic des services ncessaires l'accs aux serveurs du site principal : ces services sont TSE (3389 MS RDP) et partage de fichiers (445 MS DS). Laccs au ping (ICMP echoreg) est galement une bonne prcaution en cas de doute sur laccs. Pour autoriser ces 3 services, il est ncessaire de les autoriser d'une part au niveau de li nterface concerne du serveur Pfsense du site distant (appel LAN en gnral sur le serveur pfSense esclave, mais ADMIN dans notre cas) et d'autre part dans le tunnel, c'est--dire au niveau de linterface OpenVPN du serveur Pfsense du site principal. Pour des raisons de scurit, il est prfrable de nautoriser que ce qui est strictement ncessaire, donc ces services seront configurs uniquement des (V)LAN du(es) site(s) distant(s) (ADMIN, PEDA) et nomade(s) vers ladresse IP du serveur de traitement du site principal. Nous utiliserons les alias dfinis au paragraphe ponyme, notamment l'alias d'alias qui dsigne tous les rseaux sources. Cela donne, sur le serveur OpenVPN du tunnel, les rgles suivantes pour l'interface OpenVPN :
[dp]TsLANsSourcesCnxServ1 [ dp]TsLANsSourcesCnxServ1 [ dp]TsLANsSourcesCnxServ1
[dp]IpServ1 [dp]IpServ1 [dp]IpServ1
Les rgles auto risent, sur l'interface OpenVPN, le trafic provenant de tous les tunnels (alias [dp]TsLANsSourcesCnxServ1) destination de l'adresse IP du serveur 1 (alias [dp]IpServ1) pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echoreq.
et sur le client OpnVPN, pour l'interface ADMIN (gnriquement LAN) :
[dp]IpServ1
[dp]IpServ1
[dp]IpServ1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant de tout le rseau ADMIN (ADMIN net) destination de l'adresse IP du serveur 1 (alias [dp]IpServ1) pour les services MS RDP (port TCP3389) et MS DS (po rts TCP/UDP 445), ainsi que pour le service d'I CMP echorequest.
En annexe 4 vous trouverez les donnes propres nos rgles. Remarque : la prsence de flches vertes dans le tableau de bord de l'application pfSense d'un des deux sites (Status > dashboard) signifie que les tunnels se montent bien ; des flches rouges manifesteraient un problme.
Tunnel site principal-admin <=> site antenne-admin UDP Tunnel site principal-admin <=> site antenne-admin UDP
Tunnel site principal-admin <=> site antenne-peda UDP
20
Mise en place d'une liaison nomade au serveur

Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais que pour des obligations de service un agent nomade doive se connecter un serveur. Il va donc falloir monter un tunnel OpenVPN entre le poste de l'agent et le serveur pfSense du site principal, puis autoriser les services ncessaires ; on parlera alors d'un tunnel nomade ou de tunnel pour un utilisateur distant (vous trouverez souvent l'expression Open VPN pour les guerriers de la route )..
Cration du certificat d'autorit

L'utilisateur nomade devra utiliser un certificat utilisateur intgr son client OpenVPN qui sera prsent au serveur OpenVPN. Utilisons l'outil de management de certificats intgr pfSense depuis la version 2 pour crer le certificat de l'autorit reconnue par le certificat utilisateur. System > CertManager > onglet 'CAs' Cliquer sur Add or import CA pour ajouter un certificat d'autorit, par exemple nomm CA-EPL[dp] En face de Method choisir dans la liste Create an internal Certificate Authority Renseigner tous les champs puis cliquer sur Save A titre d'exemple, voir en annexe 6 les donnes pour la construction du certificat d'autorit du serveur pfSense du site principal d'un EPLEFPA.
Cration de l'utilisateur
L'utilisation d'un tunnel nomade est subordonne la celle d'un compte utilisateur reconnu par pfSense. L'utilisateur peut faire partie de la base locale de pfSense, peut tre dans un annuaire ou distribu par un serveur RADIUS. Dans notre cas nous allons crer des utilisateurs dans la base locale. System > Users manager puis clic sur Renseignez les champs Username et Password (deux champs, pour confirmation) Cochez 'Click to create a user certificate. ' puis renseignez les champs (par exemple CU-NOMADE pour le nom descriptif) et slectionnez les options adquates (l'autorit de certification prcdemment cre, la longueur de la cl et la dure de validit) ; on peut tout laisser par dfaut. Cliquez sur 'Save'. Voir exemple annexe 6.
21
Cration et configuration du tunnel nomade

Nous allons utiliser l'assistant de pfSense. VPN > OpenVPN > onglet 'Wizards'
Choix du type d'utilisateur : dans la base locale
CA-EPL[ dp]
Choix de l'autorit de certification : celle cre prcdemment
Choix du certificat de l'utilisateur : celui cr prcdemment
22
Tunnel nomade
Compltion des paramtres du tunnel nomade
Bien crire la mme chose que ce qui a t crit pour l'alias correspondant au rseau de ce tunnel.
Choix de cration automatique des rgles.
Attention : les rgles crites automatiquement sont larges ! Mieux vaut les crire soi-mme, ne serait-ce que pour comprendre ce que l'on fait. On peut aussi dcider de leur cration automatique puis les modifier par la suite.
23
criture des rgles

Il nous reste donc modifier/crire ces/les rgles pour autoriser le montage de ce tunnel OpenVPN nomade et le trafic dans le tunnel. La premire rgle est crire sur l'interface WAN pour autoriser le montage du tunnel nomade :
Il est prfrable de restreindre la source l'adresse IP WAN du site nomade et de ne pas laisser 'any' (*).
Ce qui donne :
Le deuxime lot de rgles est crire sur l'interface OpenVPN pour autoriser le trafic associ aux services MS DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons dj crit la rgle pour la liaison inter-site en utilisant un alias ([ dp]TsLANsSourcesCnxServ1) pour dsigner l'ensemble des rseaux sources de trafic (voir page 18), il n'y a rien rajouter ou modifier.
Export du client Windows

PfSense permet, grce au package install OpenVPN Client Export Utility , d'exporter un excutable pour l'installation et la configuration du client sous windows. VPN > OpenVPN > onglet 'Client Export'
Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.
Cration d'un tunnel IPsec

Entre deux serveurs applicatifs pfSense
A complter
Entre un serveur applicatif pfSense et un serveur IPCOP

Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais d'un autre type de serveur qui ne gre pas l'OpenVPN : prenons le cas d'un serveur IPCOP. Il va donc falloir monter un tunnel IPsec entre les deux serveurs, puis autoriser les services ncessaires. A complter
Permettre un accs nominatif l'Internet depuis le (V)LAN INVITE

Le serveur pfSense n'est pas utilis ici pour filtrer, contrler et scuriser le trafic entre l'Internet et les (V)LAN pdagogique et administratif : c'est un autre serveur qui joue le rle de serveur mandataire (EPL dans une architecture rgionale). Nanmoins, nous allons configurer pfSense en serveur mandataire pour le (V)LAN INVITE. Les paquets squid et squidGuard doivent tre installs (voir Installation de paquets ou packages supplmentaires ). Nous utiliserons le portail captif de pfSense et les comptes du LDAP de l'AD e-lorraine du (V)LAN pdagogique pour donner l'accs des utilisateurs connus de l'EPL, prsents dans un annuaire.
Configuration des filtres du serveur mandataire (proxy)

Services > Proxy filter > onglet 'Blacklist' La liste noire (ou Blacklist) shalla se tlcharge ici : http://www.shallalist.de/Downloads/shallalist.tar.gz (ou bien celle de l'universit de Toulouse tlchargeable ici : http://cri.univtlse1.fr/blacklists/download/blacklists_for_pfsense.tar.gz) Renseignez le champ et cliquez sur 'Download'.
Patientez jusqu lobtention de Blacklist update complete. Services > Proxy filter > onglet 'General settings' Activez le filtrage en cochant 'Enable' et l'enregistrement des logs en cochant 'Enable GUI log' et 'Enable log'. Si vous disposez de peu de place (disque dur de petite taille), vous pouvez activer la rotation de l'enregistrement des logs en cochant 'Enable log rotation' afin de limiter la quantit de logs enregistrer. Activez l'utilisation de la liste noire ( Blacklist) en cochant l'option correspondante et en indiquant l'URL de tlchargement de la liste.
Ne pas oublier de sauvegarder la configuration.
Attention : aprs toute modification ultrieure de la configuration, ne pas oublier de cliquer sur le bouton 'Apply' qui apparat dsormais en haut.
Services > Proxy filter > onglet 'Common ACL' Vrifiez la prsence des catgories de filtrage en cliquant sur
Mettez l'option d'accs de la dernire ligne 'Defaut access [all] 'allow' pour tout autoriser faute de quoi le filtre aura pour effet d'interdire tout accs l'Internet. Ensuite, mettez 'deny' l'accs aux contenus que vous voulez filtrer (porn, warez, etc.).
Renseignez les champs d'avertissement comme ci-contre par exemple : attention, il ne faut utiliser aucun caractre accentu.
A NOTER
Validez la configuration en cliquant sur 'Save'.
27
Activation et configuration du serveur mandataire (proxy)

Services > Proxy server > onglet 'General' Cliquez sur l'interface pour laquelle vous souhaitez activer le serveur mandataire : dans notre cas INVITE (pour l'activer sur plusieurs interfaces, utilisez la touche CTRL).
Cochez comme ci-contre. L'option active de 'proxy transparent' vous vitera d'avoir configurer tous les postes connects du (V)LAN INVITE . Poursuivez la configuration comme suit :
La dure lgale de conservation des logs est d'un an (365 jours).
Renseignez l'adresse mail de l'administrateur du serveur mandataire et slectionnez la langue d'affichage des informations. Enfin, sauvegardez la configuration.
Services > Proxy server > onglet 'Cache Mgmt' Configurez les options du cache comme ci-contre par exemple. Sauvegardez la configuration.
28
Activation et configuration du portail captif (attention : partie incomplte et probablement errone)

Services > Captive Portal > onglet 'Captive portal' Voici les options modifies pour la configuration du portail captif. Activez le portail captif en cochant 'Enable captive portal'. Choisissez l'interface : dans notre cas, INVITE.
Nous avons choisi de rediriger les utilisateurs vers la page de l'ENT. Surtout, n'oubliez pas d'indiquer l'application pfSense de chercher les utilisateurs en local (le serveur LDAP rajout prcdemment est considr comme une extension de l'annuaire local). Enfin, cliquez sur 'Save ' tout en bas de la page.
29
criture des rgles sur l'interface INVITE

Dans l'tat actuel des choses, les postes brasss sur le (V)LAN INVITE n'ont pas accs l'Internet : des ouvertures sont ncessaires sur l'interface INVITE de pfSense. Nous allons crire les rgles correspondantes. Il se peut aussi que vous ayez besoin de configurer des services supplmentaires. Par contre, les utilisateurs du (V)LAN INVITE ne doivent pas pouvoir accder aux (V)LAN tiers (pdagogique et administratif ).
Autoriser l'utilisation d'une application utilisant des ports spcifiques

On doit autoriser le trafic depuis le (V)LAN INVITE vers le serveur le serveur de cette application via le(s) port(s) correspondants. Ces ouvertures peuvent tre prises en compte dans l'criture de la rgle au paragraphe suivant.
Autoriser l'utilisation des services du web

Il s'agit de permettre (ou non) aux utilisateurs d'utiliser les services courants de l'Internet : messagerie (pop, smtp), web (http et https), transfert de fichiers (ftp), rsolution de noms (DNS), etc., sans oublier d'ajouter la liste le service li une application spcifique. Au pralable, on cre les alias ncessaires pour regrouper les ports et les (V)LAN.
Isoler le (V)LAN INVITE (vrifier si ncessaire)

Nous ne pouvons pas limiter les destinations au WAN. Donc, pour des raisons de scurit videntes, une fois n'est pas coutume, nous devons bloquer le trafic provenant du (V)LAN INVITE destination des (V)LANs tiers (notamment ADMIN et PEDA ).
Les deux premires rgles autorisent, su r l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE destination d'Internet pour les services courants et FirstClass (o l'alias PortTcpAccesInternetInvite dfinit les ports TCP 80, 443, 21 et 510). La troisime bloque tout trafic destination des (V)LANs admin et pdago (alias TsVlanSfInvite d'alias).
30
Activation de l'interface et du service DHCP sur le (V)LAN INVITE

Activer la redirection DNS
Avant toute chose, activons la redirection DNS. Services > DNS forwarder
Activer le DHCP sur l'interface INVITE

Pour simplifier davantage l'usage de ce (V )LAN l'adressage sera similaire celui des rseaux domestiques. Services > DHCP Server > onglet 'INVITE'
192.168.1.1
Nous activons le service DHCP sur l'interface INVITE . Vous devez spcifier par une plage pour
d'adresses,
exemple
restreindre le nombre d'adresses ou permettre la rservation d'adresses. Nous remplissons les champs 'DNS servers' et 'Gateway' avec l'adresse IP de pfSense sur le (V)LAN INVITE.
Autoriser la maintenance, les mises jour et les livraisons du CNERTA

On rappelle que pour qu'un lment (serveur, station, etc.) rponde une requte dont le trafic transite via pfSense il faut indiquer une route de rponse passant par pfSense dans la configuration de l'lment (voire mettre pfSense en tant que passerelle) ; a fortiori pour la connexion nomade au serveurs de nos sousrseaux. Les serveurs en questions ont donc soit pour passerelle le serveur pfSense soit une route persistante forant le trafic destination des sources nomades transiter par pfSense. Du coup, il faut autoriser via pfSense la maintenance des serveurs par le CNERTA (montage de tunnel) ainsi que les mises jour et livraisons des serveurs. Toujours en utilisant les alias, nous allons crire les rgles correspondantes.
31
D'autre part, nous autoriserons les serveurs accder l'Internet (services courants HTTP, HTTPS, FTP, ICMP echo request et DNS). Firewall > Rules puis choix de l'interface brasse sur le rseau administratif (ADMIN dans notre cas, LAN en gnral).
[ dp]IPsServeurs
]IPsServeurs L'option [dp Anti-lockout pourra tre dsactive lorsque toutes les rgles de pare-feu seront crites
[ dp]IPsServeurs
[ dp]IPsServeurs
[ dp]IPsServeurs
Les rgles autorisent, sur l'i nterface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dp]IPsServeurs) destination des adresses IP publiques du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias CnertaLgaPo rtsAccInternet) pour l'accs l'Internet, les mises jour et livraisons ainsi que pour le service DNS.
Communication entre les interfaces (d'un (V)LAN l'autre)

Par dfaut tout trafic provenant des (V)LAN tiers destination du (V )LAN ADMIN (nativement LAN) est bloqu. Si on souhaite par exemple utiliser se connecter aux serveurs du rseau ADMIN depuis le rseau pdagogique sur le site principal, il faut autoriser le trafic gnr par les adresses IP du (V)LAN pdagogique vers le serveur en question pour, dan s le cas d'une connexion TSE, les services MS RDP, MS DP et ICMP echo request. Ce qui donne les rgles suivantes sur l'interface PEDA du serveur pfSense du site principal :
[dp ]IPsServeur1
[dp ]IPsServeur1
[dp ]IPsServeur1 Les rgles autorisent, sur l'interface PEDA, le trafic provenant du (V)LAN pdagogique (PEDA net) destination du serveur 1 (alias [dp]IpServeur1 pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echo request.
32
Export du client OpenVPN pour Windows ou de la configuration viscosit pour MAC

Nous allons utilis l'outil install prcdemment. VPN > OpenVPN > onglet ' A complter.
33
Analyser le trafic : utilisation de Snort

A complter.
34
Annexe 1 : extraits du dossier de montage du projet de dploiement des serveurs pfSense en Lorraine
Spcificits du rseau informatique d'un site rgional d'un EPL
L'architecture rgionale est une architecture rgionale commune tous les lyces et CFA des systmes ducatifs. Le rseau d'un site est compos, entre autres, de deux sous-rseaux : LAN (ou VLAN) pdagogique et LAN (ou VLAN) administratif, connects l'Internet via un serveur mandataire plac derrire un routeur.
Objectifs de dploiement des serveurs dits pfSense

Il s'agit de mettre en uvre une solution pour rpondre aux besoins de l'enseignement et de la formation agricoles dans l'architecture rgionale, savoir : autoriser une connexion scurise entre un poste du rseau d'un site antenne et un serveur du sous-rseau administratif du site principal ; autoriser une connexion scurise entre un poste du rseau sous-pdagogique du site principal et un serveur du sousrseau administratif de ce site ; autoriser une connexion scurise entre un poste nomade identifi et un serveur du sous-rseau administratif du site principal d'un EPL ; autoriser la liaison pour atteindre l'intranet du ministre depuis un poste sur les rseaux des EPL ; autoriser la liaison pour permettre la tl-maintenance des serveurs par Eduter-CNERTA ; autoriser les livraisons et mises jour de ces serveurs ; autoriser, via un portail captif, l'accs l'Internet d'un poste informatique invit ; faciliter, contrler, scuriser et filtrer la connexion du sous-rseau INVITE l'Internet ; effectuer en temps rel des analyses de trafic et logger les paquets sur un rseau.
35
Architecture cible
Adressage (V)LANs et VPNs
WAN ADMIN PEDA OVPN site site xxx.xxx.xxx.xxx /29 10.xxx.xxx.0 /24 172.xxx.xxx.0 /16 10.xxx.100.0/30
o 100 peut se dcomposer comme suit : 10 pour reprendre le troisime octet du rseau ADMIN et 0 pour le premier tunnel
passerelle : IP routeur passerelle = serveur mandataire passerelle = serveur mandataire
OVPN nomade
10.xxx.[105, 106 109].0/24

o 105 se dcompose comme suit : 10 pour repre ndre le troisime octet du rseau AD MIN et 5 pour le premier tunnel
Serveur : interfaces, ports Ethernet et (V)LANs associs

em0 WAN em1 ADMIN igb0 PEDA igb1 INVITE brasse sur le (V)LAN d'adressage IP public e-lorraine brasse sur le (V)LAN administratif brasse sur le (V)LAN pdagogique brasse sur le (V)LAN invit
igb2 reste disponible, pour la vido surveillance par exemple igb3 reste disponible
vue arrire du serveur
36
Annexe 2 les alias (Aliases)

Focus sur certains alias Firewall : Aliases : Edit
Dtail de l'alias signifiant les ports TCP ouvrir pour le montage du tunnel du CNERTA
[ dp ]
1 2
Dtail de l'alias signifiant les adresses IP des serveurs de l'EPL
[ dp ]
Dtail de l'alias signifiant l'adressage du sous-rseau pdagogique du site antenne de l'EPL
37
Annexe 3 configuration des tunnels OpenVPN

Ct serveur du tunnel OpenVPN site site (pfSense du site principal)
ant1 ant1 ant2 ant2 ant2
princ princ princ princ princ
Liste des tunnels OpenVP N serveur ct site principal de l'EPL
doit tre identique ce qui est crit ct serveur
La cl doit tre identique celle du client
dition du tunnel site site, ct serveur, entre les rseaux admin des sites antenne de l'EPL
38
Ct client du tunnel OpenVPN site site (pfSense du site secondaire)
Liste des tunnels OpenVPN clients ct site antenne de l'EPL
La cl doit tre identique celle du serveur
dition du tunnel site site, ct client, entre les rseaux admin des sites antenne de l'EPL
39
Annexe 4 Rgles d'autorisation du trafic des services

Tableau rcapitulatif (exemples)
Description Source(s)
Connexi on TSE sur serveur Tunnel O penVPN site site Tunnel O penVPN nomade (site ne dis posant pas de serveur pfSens e) (V)LAN ADMIN et (V)LAN PEDA du site principal (V)LAN ADMIN et (V)LAN PEDA du site dis tant Poste nomade
Destination(s)
Serveur du (V)LAN ADMIN du site
Port destination
ICMP echo request, TCP 3389 (MS RDP) et TCP/UDP 445 (MS DS)
PfSens e du site distant (esclave)
PfSense du site UD P 1195 pri ncipal (ma tre) PfSense du site UD P 1194 pri ncipal (ma tre) UD P 500, 2746, 18233 et 18234 TCP 500, 256, 264, 18231 et 18232 TCP 443 (HTTPS), 80 (HTTP) et 21 (FT P) UD P 53
Adress e IP publique du site nomade
Maintenance CNERTA
Serveurs site pri ncipal
Plage adr. IPs publiques CNERTA
Mises jour et livraisons
Serveurs site pri ncipal IPs des serveurs DNS
Accs DNS
Serveurs site pri ncipal
Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN
crire pour l'interface ADMIN
[ dp]IpServeur1
[ dp]IpServeur1
[ dp]IpServeur1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant du (V)L AN ADMIN (ADMIN net) destination de l'adresse IP du serveur (alias [dp]IpServeu r1) pour le service MS DS sur les ports TCP/UDP 445, le service MS RDP sur le port TCP 3389 et le service ICMP echo request, dans le but d'tablir une connexion au serveur.
40
Rgles sur le serveur pfSense du site principal pour le tunnel OpenVPN

rgle pour tablir le tunnel, crire pour l'interface WAN
[ dp]IpWanPfsenseAnt1 La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dp]IPWanPfsenseAnt) destination de l'adresse IP publique du serveur pfSense du site principal (WAN adress) pour le montage du tunnel OpenVPN sur le port TCP 1195.
rgles pour les services autoriss encapsuls dans le tunnel, crire pour l'interface OpenVPN
[dp]TsLANsSourcesCnxServeur1
[ dp]IpServeur1
[ dp]IpServeur1
[ dp]IpServeur1
Les rgles autorisen t, sur l'i nterface OpenVPN, le trafic provenant des adresses IP de tous les rseaux sources (alias [dp]TsLANsSourcesCnxServ1) destination de l'adresse IP du serveur 1 (alias [dp]IpServeur1) pour le service MS DS sur les po rts TCP/UDP 445, le service MS RDP sur le po rt TCP 3389 et le service ICMP echo request, dans le but d'tablir une connexion TSE au serveur 1.
41
Annexe 5 Les bogon ou adresses IP invalides

Les adresses IP invalides ou bogon sont des adresses IP rserves par lIANA (Internet Assigned Numbers Authority) pour des usages spcifiques ; ce st le cas des adresses IP prives dfinies par le RFC 19183 ou encore des classes dadresses D et E4 . Dans cette catgorie, nous trouvons galement les adresses IP non assignes par lIANA aucun Registre Internet Rgional (RIR) 5. Des listes dtailles et rgulirement actualises de ces adresses sont publies sur les sites web de quelques groupes de travail. Il apparat, ainsi, que les adresses IP invalides reprsentent prs de 40% de le space dadressage IP total. Bien que les adresses invalides naient pas de raison d tre routes sur Internet, il arrive frquemment ces adresses d tre routes sur certaines portions de lInternet et dtre utilises par des personnes ou des organisations malveillantes afin de conduire, dune faon anonyme, des attaques de dni de service, des envois massifs de messages non sollicits et des activits de piratage. Le xploitation des blocs dadresses invalides pour des finalits malveillantes et le fait que la liste de ces adresses soit relativement stable, a pouss les administrateurs de rseaux mettre en place des rgles de filtrage rejetant le trafic li ces adresses afin de diminuer le risque de leur exploitation malveillante. Par ailleurs, les adresses inutilises sont des adresses IP alloues organisme particulier qui ne les exploite pas ; ainsi la prsence de trafic utilisant ces adresses est par nature suspecte. Cependant, une diffrence essentielle existe entre les adresses IP invalides et celles inutilises : en effet, les premires sont publies sur Internet, alors que les secondes sont inconnues sauf pour les administrateurs du rseau concern.
3 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16. 4 Les adresses de la classe D sont utilises pour les communications multicast, alors que ceux de la classe E sont utilises pour la recherche. 5 Un Registre Internet Rgional (RIR), alloue les adresses IP dans sa zone gographique des oprateurs rseau et des fournisseurs Internet. Il existe aujourd'hui cinq RIRs.
42
Annexe 7 : nommage des interfaces sous FreeBSD

Vous trouverez des indications de nommage des interfaces ici (http://doc.pfsense.org/index.php/ALTQ_drivers) et ici (http://www.gsp.com/support/man/section-4.html). En mode console sur le serveur (8 Shell), vous obtenez la liste des interfaces avec la commande ifconfig.
Annexe 8 : notation CIDR

Vous trouverez des informations sur Comment a marche (http://www.commentcamarche.net/contents/internet/le-cidr) et un calculateur CIDR ici (http://www.subnet-calculator.com/cidr.php)
44
Annexe 9 : erreurs
Voici un rsum des erreurs rencontres ou commises.
acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00

Causes/solutions Problme avec le lecteur optique : priori, ne porte pas de prjudice l'installation
Le trafic ne passe pas, malgr une criture correcte des rgles

Dfinition incomplte d'un alias (par exemple, pour un alias rseau cr : pas de renseignement de plage d'adresse !)
Montage tunnel impossible

Causes/solutions Oubli d'criture de la rgle sur l'interface WAN pour autoriser le flux li au tunnel Erreur de port entre celui configur pour le serveur VPN et la rgle correspondante sur l'interface WAN
Accs impossible l'interface web de configuration via tunnel nomade

Causes/solutions Si affichage du message An HTTP_REFERER was detected other than what is defined in System -> Advanced (https://10.54.102.1/index.php). You can disable this check if needed in System -> Advanced -> Admin. , dsactiver HTTP_REFERER enforcement check (la case Disable HTTP_REFERER enforcement check dois tre coche) Oubli d'criture d'une rgle dans l'interface OpenVPN qui autorise accder l'interface (en HTTPS par exemple)
45
Table des matires

Avant-propos..........................................................................................................................................................................................1 Au pralable de linstallation........................................................................................................................................................2 Services................................................................................................................................................................................................2 Architecture et adressage.........................................................................................................................................................2 Documentation et aide...............................................................................................................................................................2 Rappels et recommandations................................................................................................................................................3 Application pfSense et compatibilit.................................................................................................................................3 Schma de principe............................................................................................................................................................................4 Installation ..............................................................................................................................................................................................5 Brassage des ports RJ45 pour identification des interfaces...............................................................................5 Boot et lancement de l'installation.....................................................................................................................................5 Paramtrage de la console.......................................................................................................................................................5 Type d'installation........................................................................................................................................................................6 Configuration des interfaces rseau..................................................................................................................................6 Identification des interfaces.............................................................................................................................................6 Pas de mise en place de VLAN.........................................................................................................................................6 Assignation des interfaces.................................................................................................................................................7 Configuration en ligne de commande de l'adressage des premires interfaces..............................8 Poursuite de l'installation via l'interface web ...................................................................................................................8 Pralable.............................................................................................................................................................................................8 Utilisation de l'assistant de configuration......................................................................................................................9 Vrification, modification et compltion du paramtrage des interfaces...................................................9 Onglet 'Interface assignments' .......................................................................................................................................9 Onglet 'VLANs' .........................................................................................................................................................................9 Vrification, compltion et modification de la configuration, interface par interface..................9 Onglet 'Interface Groups'.................................................................................................................................................10 Scurit configuration avance......................................................................................................................................10
Notifications..................................................................................................................................................................................11 Mise jour de pfSense...................................................................................................................................................................12 Sauvegarde de la configuration................................................................................................................................................12 Installation de paquets ou packages supplmentaires ............................................................................................13 Outil d'exportation des clients OpenVPN....................................................................................................................13 Outil de prvention et dtection d'intrusion.............................................................................................................13 Serveur mandataire (proxy / cache web)...................................................................................................................13 Filtre URL proxy cache web.................................................................................................................................................13 Dfinition des alias : un pralable l'criture des rgles.........................................................................................14 criture des rgles...........................................................................................................................................................................15 En pratique.....................................................................................................................................................................................16 Une astuce.......................................................................................................................................................................................16 criture/dition des rgles..................................................................................................................................................17 Accs l'interface web de configuration de pfSense et dsactivation de la rgle de protection anti-lockout ............................................................................................................................................................................17 Changement de l'ordre des rgles....................................................................................................................................17 Mise en place d'une liaison site site via un tunnel OpenVPN pour accs serveur.............................18 Configuration ct serveur du tunnel OpenVPN.....................................................................................................18 Configuration ct client .......................................................................................................................................................19 Rgle pour autoriser le montage du tunnel OpenVPN site site..................................................................19 Rgles pour autoriser le trafic dans le tunnel OpenVPN site site..............................................................20 Mise en place d'une liaison nomade au serveur............................................................................................................21 Cration du certificat d'autorit........................................................................................................................................21 Cration de l'utilisateur..........................................................................................................................................................21 Cration et configuration du tunnel nomade............................................................................................................22 criture des rgles.....................................................................................................................................................................24 Export du client Windows.....................................................................................................................................................25 Cration d'un tunnel IPsec..........................................................................................................................................................25 Entre deux serveurs applicatifs pfSense......................................................................................................................25
Entre un serveur applicatif pfSense et un serveur IPCOP.................................................................................25 Permettre un accs nominatif l'Internet depuis le (V)LAN INVITE .......................................................26 Configuration des filtres du serveur mandataire (proxy).................................................................................26 Activation et configuration du serveur mandataire (proxy)............................................................................28 Activation et configuration du portail captif (attention : partie incomplte et probablement errone)............................................................................................................................................................................................29 criture des rgles sur l'interface INVITE...................................................................................................................30 Autoriser l'utilisation d'une application utilisant des ports spcifiques...........................................30 Autoriser l'utilisation des services du web..........................................................................................................30 Isoler le (V)LAN INVITE (vrifier si ncessaire).......................................................................................30 Activation de l'interface et du service DHCP sur le (V)LAN INVITE ....................................................31 Activer la redirection DNS..............................................................................................................................................31 Activer le DHCP sur l'interface INVITE...................................................................................................................31 Autoriser la maintenance, les mises jour et les livraisons du CNERTA........................................................31 Communication entre les interfaces (d'un (V)LAN l'autre)................................................................................32 Export du client OpenVPN pour Windows ou de la configuration viscosit pour MAC........................33 Analyser le trafic : utilisation de Snort................................................................................................................................34 Annexe 1 : extraits du dossier de montage du projet de dploiement des serveurs pfSense en Lorraine..................................................................................................................................................................................................35 Spcificits du rseau informatique d'un site rgional d'un EPL..................................................................35 Objectifs de dploiement des serveurs dits pfSense .....................................................................................35 Architecture cible.......................................................................................................................................................................36 Adressage (V)LANs et VPNs..........................................................................................................................................36 Serveur : interfaces, ports Ethernet et (V)LANs associs..................................................................................36 Annexe 2 les alias (Aliases).....................................................................................................................................................37 Focus sur certains alias Firewall : Aliases : Edit................................................................................................37
Annexe 3 configuration des tunnels OpenVPN...........................................................................................................38 Ct serveur du tunnel OpenVPN site site (pfSense du site principal).................................................38 Ct client du tunnel OpenVPN site site (pfSense du site secondaire)..................................................39
Annexe 4 Rgles d'autorisation du trafic des services...........................................................................................40 Tableau rcapitulatif (exemples)......................................................................................................................................40 Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN..............................40 Rgles sur le serveur pfSense du site principal pour le tunnel OpenVPN...............................................41 Annexe 5 Les bogon ou adresses IP invalides ............................................................................................42 Annexe 6 Certificats ...................................................................................................................................................................43 D'autorit.........................................................................................................................................................................................43 D'utilisateur...................................................................................................................................................................................43 Annexe 7 : nommage des interfaces sous FreeBSD......................................................................................................44 Annexe 8 : notation CIDR.............................................................................................................................................................44 Annexe 9 : erreurs............................................................................................................................................................................45 acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 ...................................................45 Le trafic ne passe pas, malgr une criture correcte des rgles....................................................................45 Montage tunnel impossible..................................................................................................................................................45 Accs impossible l'interface web de configuration via tunnel nomade................................................45
49

Guide MenOeuvre PfSenseV2

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guide MenOeuvre PfSenseV2

Încărcat de

Drepturi de autor:

Formate disponibile

Guide de mise en uvre de pfSense v2

(dans un cadre de dploiement spcifique)

Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt - 06/03/12

Application pfSense et compatibilit

1 Politique de scurit des systmes d'information.

Boot et lancement de l'installation

Pour lancer l'installation pressez I l'invite.

Rebootez lorsque vous y tes invit.

Configuration des interfaces rseau

Pas de mise en place de VLAN

Assignation des interfaces

Configuration en ligne de commande de l'adressage des premires interfaces

Entrez 2 pour lancer la configuration IP d'une interface.

Poursuite de l'installation via l'interface web

Utilisation de l'assistant de configuration

Vrification, modification et compltion du paramtrage des interfaces

Onglet 'Interface assignments'

Vrification, compltion et modification de la configuration, interface par interface

En annexe 1 vous trouverez les donnes propres notre dploiement.

Onglet 'Interface Groups'

Scurit configuration avance

Mise jour de pfSense

Installation de paquets ou packages supplmentaires

Outil d'exportation des clients OpenVPN

Outil de prvention et dtection d'intrusion

Serveur mandataire (proxy / cache web)

Filtre URL proxy cache web

Dfinition des alias : un pralable l'criture des rgles

puis renseignez les champs nom (Name) et description. Choisir le type

criture des rgles

criture/dition des rgles

On peut diter une rgle tout moment en cliquant sur

Accs l'interface web de configuration de pfSense et dsactivation de la rgle de protection anti-lockout

en face de la rgle puis en cochant

Changement de l'ordre des rgles

Configuration ct serveur du tunnel OpenVPN

Rgle pour autoriser le montage du tunnel OpenVPN site site

[ dp ]IPWa nPfsen seS ite Ant1

Rgles pour autoriser le trafic dans le tunnel OpenVPN site site

[dp]TsLANsSourcesCnxServ1 [ dp]TsLANsSourcesCnxServ1 [ dp]TsLANsSourcesCnxServ1

[dp]IpServ1 [dp]IpServ1 [dp]IpServ1

et sur le client OpnVPN, pour l'interface ADMIN (gnriquement LAN) :

Tunnel site principal-admin <=> site antenne-peda UDP

Mise en place d'une liaison nomade au serveur

Cration du certificat d'autorit

Cration et configuration du tunnel nomade

Choix du type d'utilisateur : dans la base locale

Choix de l'autorit de certification : celle cre prcdemment

Choix du certificat de l'utilisateur : celui cr prcdemment

Compltion des paramtres du tunnel nomade

Choix de cration automatique des rgles.

criture des rgles

Export du client Windows

Cration d'un tunnel IPsec

Entre un serveur applicatif pfSense et un serveur IPCOP

Permettre un accs nominatif l'Internet depuis le (V)LAN INVITE

Configuration des filtres du serveur mandataire (proxy)

Ne pas oublier de sauvegarder la configuration.

Validez la configuration en cliquant sur 'Save'.

Activation et configuration du serveur mandataire (proxy)

La dure lgale de conservation des logs est d'un an (365 jours).

Activation et configuration du portail captif (attention : partie incomplte et probablement errone)

criture des rgles sur l'interface INVITE

Autoriser l'utilisation d'une application utilisant des ports spcifiques