Documente Academic
Documente Profesional
Documente Cultură
Avant-propos
Les choix techniques, dont la mise en uvre est dtaille dans ce document, sont le rsultat d'une politique rgionale propre au rseau des lyces et CFA de l'enseignement agricole. Ces choix ne conviennent pas ncessairement tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse pralable. Il en est de mme pour la pertinence dployer plusieurs modules et fonctionnalits sur pfSense lui-mme. Ce document se veut le plus transfrable possible dun site lautre : on parlera indiffremment de LAN ou VLAN, avec le terme (V)LAN, pour ne pas prjuger de la technologie utilise pour les sous-rseaux de l'tablissement. On considre ici que les interfaces Ethernet du serveur support de l'application pfSense sont brasses physiquement sur des (V)LAN diffrents (quand bien mme elles supportent la norme 802.1q, elles n'appartiennent pas plus d'un (V)LAN la fois). En annexe 1 vous trouverez un extrait du dossier de montage du projet de dploiement des serveurs dits pfSense en Lorraine avec notamment une description de l'architecture rseau pour modliser les liens et visualiser les flux. L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas celle des serveurs mandataires dj en place dans l'architecture rgionale. L'utilisation de ces serveurs rpond la mise en place de services spcifiques l'enseignement agricole (voir annexe 1).
D'une manire gnrale, nous appliquons le principe suivant : sur les postes des (V)LANs ADMIN ou PEDA , les rles de passerelle et serveur mandataire sont assurs par un autre serveur mandataire, les flux associs aux services spcifiques pour l'interconnexion des SI de l'EA seront routs et grs par le serveur pfSense (route persistante crire en dur sur les postes ou via serveur dhcp en option tendue 033).
Au pralable de linstallation
Avant de se lancer dans li nstallation, certains lments du projet doivent tre bien prpars, comme la configuration matrielle ncessaire et les services mettre en uvre par l'application. La connaissance de l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi la rdaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la dernire version stable de pfSense et s'assurer de la compatibilit matrielle du serveur avec la distribution FreeBSD (en particulier de celle des cartes rseaux).
Services
Les optiques dutilisation de pfSense sont nativement les suivantes : Pare-feu filtrant entre lInternet et les (V)LAN d'une part, avec gestion de QoS, et, d'autre part, entre les (V)LAN Routeur (V)LAN ou WAN, avec gestion de la norme 802.1Q Point daccs avec portail captif Usages spcifiques : serveur mandataire, Serveur VPN, DNS, DHCP, snifer, NDIS, etc.
Architecture et adressage
Il est ncessaire de connatre parfaitement la topologie de son rseau : larchitecture dans laquelle sintgre le serveur support de pfSense, ladressage des (V)LAN auxquels il sera brass, l'adresse IP publique (adresse IP WAN) du serveur.
Documentation et aide
Sites de rfrence o le forum franais pour pfSense : http://forum.pfSense.org/index.php?board=7.0 o le site de OSNET : http://www.osnet.eu (en franais) o o o o Le site officiel PfSense : http://www.pfsense.org/ Les tutoriels officiels : http://doc.pfsense.org/index.php/Tutorials Le Wiki de la PfSense : http://doc.pfsense.org/ Les forums PfSense : http://forum.pfsense.org/
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Rappels et recommandations
Les diffrentes interfaces d'un Firewall ne doivent pas tre connectes au mme rseau physique (ou alors, si les interfaces rseaux du serveur grent la norme 802.1q, uniquement sur des ports Ethernet appartenant des VLAN 802.1q diffrents ; mais ce n'est pas notre cas). La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait l'aide d'un routeur (routeur e-lorraine). Les serveurs applicatifs pfSense ont leur interface WAN relie ce routeur : cette interface se retrouve donc directement sur Internet ; elle a une adresse IP WAN publique. Une analyse pralable du contexte de mise en uvre est indispensable, notamment en termes de PSSI1 .
Schma de principe
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Installation
Brassage des ports RJ45 pour identification des interfaces
Afin d'activer les interfaces rseau et faciliter leur identification, il est indispensable de brasser tous les ports rseau qui vont tre utiliss en les reliant par exemple des switches . Sinon, vous devez connatre les noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour identifier les interfaces sur votre serveur).
[ Press R to enter recovery mode or ] [ press I to launch the installer ] (R) ecovery (I) nstaller... (C) continues ...
Paramtrage de la console
Vous tes invits configurer la console. Arriv l'cran ci-contre ne cherchez pas configurer le clavier , le rsultat est ngatif ; si vous souhaitez le faire il faudra suivre les instructions que vous trouverez sur l'Internet, mais aprs l'installation et en mode console. Acceptez les choix en descendant sur < Accepte these Settings > puis en validant.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Type d'installation
Optez pour une installation facile puis confirmez l'cran suivant.
Le choix suivant se porte sur le type de processeur : laissez le choix par dfaut puis validez.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Puis choisissez le numro de l'interface configurer et rpondez aux questions pour la configurer : adresse IP via DHCP ou adresse IP, nombre de bits de sous-rseau (notation CIDR, voir en annexe 8), etc. En annexe 1 vous trouverez les donnes propres notre dploiement. La configuration IP d'une interface se termine par une question vous demandant si vous souhaitez autoriser l'accs en http l'interface web via cette interface : Do you want to revert to http as the webconfigurator protocol [y/n] ? -> n Par prcaution, rpondre n pour garder l'accs scuris (https). Renouvelez les oprations autant de fois que d'interfaces configurer (rappel : seule la configuration de l'interface native LAN est ncessaire via la console pour une prise en main ultrieure via l'interface web, les autres pouvant tre configures ultrieurement via cette interface web).
Onglet 'VLANs'
C'est ici que vous pouvez configurer les VLANs (cette question n'est pas aborde dans ce document).
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Conserver la rgle DNS Rebinding Checks ainsi que HTTP_REFERER enforcement check , sauf si souhait d'accs au pare-feu en utilisant ssh et le port-forward par exemple. Il se peut que vous soyez contraint de dsactiver HTTP_REFERER enforcement check en cas d'impossibilit d'accs l'interface web de configuration depuis un poste nomade (voir annexe 9). Si souhait, possibilit d'activer l'accs par SSH en prfrant un accs via une cl RSA (plus rapide et plus scuris) Si le serveur en est pourvu, l'activation du port srie (Serial Terminal) vous offre une porte de secours en cas de perte d'accs l'interface Web. Il est risqu de scuriser l'accs la console par mot de passe de protection en cochant l'option Password protect the console menu : en effet, en cas de crash du mot de passe admin, plus aucun accs pfSense ne sera possible ; d'autre part, l'accs la console ncessite un accs physique au serveur qui normalement est scuris. Donc, un conseil : ne pas verrouiller l'accs via la console par un mot de passe. Sauvegarder la configuration !
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
10
Exemple de configuration avance (seules les options modifies et/ou voques ci-dessus sont prsentes).
Notifications
System > Advanced > onglet 'Notifications' C'est sur cette page que vous pouvez configurer les options pour l'envoi des notifications.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
11
Sauvegarde de la configuration
La sauvegarde de toute ou partie de la configuration se fait partir de cette page : Diagnostics > Backup/Restore Une fois les alias dfinis (voir $ ponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un serveur pfSense vers un autre : Serveur modle Diagnostics : Backup/restore > 'Backup configuration' slectionner Aliases dans Backup area cliquer sur Download configuration
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
serveur cible Diagnostics : Backup/restore > 'Restore configuration' slectionner Aliases dans Restore area cliquer sur Parcourir, slectionner le fichier cliquer sur Restore configuration
12
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
13
d'alias parmi hte(s) Host(s) - , rseau(x) Network(s) -, port(s), URL et table d'URL - URL TABLE, puis
les adresses IP publiques des serveurs du CNERTA : CnertaIpsPubliques les ports pour le montage du tunnel de maintenance du CNERTA : CnertaTcpPortsVpn et CnertaTcpPortsVpn les ports d'accs l'interface web de configuration de pfSense : PortsAccesInterfaceWebPfSense tous les rseaux sources de trafic pour la connexion distance sur les serveurs du rseau ADMIN (alias d'alias) : [dp]TsLANsSourcesCnxServ etc. Enfin, n'oubliez pas de sauvegarder (Save).
Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systmes compromis, de restreindre les capacits infecter le rseau, de limiter l'utilisation d'application non autorises sur le rseau, de limiter l'usurpation d'adresse IP ( l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant . Commenons par supprimer cette rgle en cliquant sur , en validant puis en cliquant sur .
Comme dj mentionn au Au pralable de l'installation , il est ncessaire de faire linventaire exhaustif de tous les services ncessaires. On pourra tablir un tableau avec les protocoles et ports utiliss par le trafic autoriser. Vous trouverez en annexe 4 un exemple de tableau labor partir de la liste des services que nous souhaitons autoriser. Dans les pages de configuration des rgles vous serez amen configurer le champ 'type' en choisissant dans une liste droulante. Le tableau suivant vous donne les significations des intituls disponibles :
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
15
any
tout
Single host or alias Adresse IP ou alias Network Wan subnet Wan address OPTn subnet OPTn address Rseau dfinir dans le champ suivant (Address) Rseau sur lequel est brasse l'interface WAN Adresse alloue l'interface WAN de pfSense Rseau sur lequel est brasse l'interface OPTn Adresse alloue l'interface OPTn de pfSense sur le rseau sur lequel est brasse cette interface
Pour saisir un alias, dans un champ, il faut slectionner 'Single host or alias' dans la liste du champ 'Type' et commencer taper les premires de celui-ci dans la zone rouge : une liste contextuelle apparat avec les correspondances disponibles ; vous n'aurez plus qu' choisir l'alias.
En pratique
Interdire par dfaut : configurez les rgles pour autoriser le strict minimum de trafic ; en l'absence de rgle sur une interface, celle-ci bloque tout trafic se prsentant Question se poser : qu'est-ce-que je dois autoriser ? et non qu'est-ce-que je dois bloquer ? Rgles lisibles, courtes et documentes Rgles crire sur la premire interface de pfSense qui reoit le paquet : les donnes de la rgle sont celles contenues dans le paquet qui se prsente (je viens de, je vais vers, via tel port, tel protocole) Pour une meilleure scurit, limiter autant que possible les connexions aux adresses IP des source(s) et destination(s) Ne rien inscrire pour le(s) port(s) source (choisir any ) ; en effet, la plupart du temps , ce(s) port(s) est(sont) dfinis de faon alatoire par la source.
Une astuce
En cas de difficults d'criture des rgles, vous pouvez procder comme suit : utilisez temporairement une rgle selon laquelle tout passe, par exemple ADMIN net vers tout (any) sans spcifier de port Firewall :Rules > onglet 'LAN' > clic sur et activer les logs.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
16
gnrez du trafic pour le service tudi et observez ce qui se passe dans 'Status : System Logs' onglet 'Firewall' crez la rgle automatiquement en cliquant sur (Easy Rule : pass this traffic) sur la ligne correspondant au service autoriser puis, ventuellement, ditez la rgle pour, par exemple, la limiter aux adresses IP source et/ou destination n'oubliez pas de supprimer la rgle temporaire qui autorise tout !
Rgle autorisant tout poste du rseau ADMIN se connecter l'i nterface de configuration web de pfSense : ainsi tout le trafic provenant du rseau ADMIN destination de l'adresse IP sur ADMINnet de pfSense est permis via les ports TCP 80, 443 et 22 (alias PortsAccesInterfaceWebPfSense).
On peut maintenant supprimer la rgle anti-lockout en cliquant sur l'option correspondante sur la page System : Advanced : Admin Access.
droite dans le prolongement de la ligne correspondant la rgle immdiatement plus permissive, c'est--
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
17
Mise en place d'une liaison site site via un tunnel OpenVPN pour accs serveur
Simple mettre en uvre (un site client, un site serveur), bas sur une cl secrte partage et beaucoup plus lger que les tunnels IPSec mais tout aussi scuris, nous allons configurer le montage d'un tunnel OpenVPN entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va crer une nouvelle interface sur les deux serveurs, appele OpenVPN (interface virtuelle) : elle n'apparat pas dans la liste des interfaces physiques mais un onglet sera rajout dans la page 'Firewall : Rules' de configuration de l'interface web.
2 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16. Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 18
Configuration ct client
Nous devons configurer le serveur pfSense du site distant comme client OpenVPN. VPN > OpenVPN > onglet Client > Add serveur Serveur Mode : Peer to Peer Protocole : idem ct serveur Device Mode : idem ct serveur Interface : WAN Local Port : laisser vide pour le choix d'un port alatoirement Server host or adress : adresse IP WAN du serveur (IP WAN du serveur pfSense du site principal) Server port : idem ct serveur Description : nom du VPN, par exemple VPN site site Share key : copier ici la cl gnre ct serveur Encryption algorithm : idem ct serveur Hardware Crypto : idem ct serveur Tunnel Network : idem ct serveur Remote Network : saisir ici le rseau distant, ct serveur (en principe le (V)LAN administratif du site principal) Compression : idem ct serveur Type-of-service : pour marquer la valeur de l'entte IP), mais peut prsenter un risque potentiel de scurit. Vous trouverez en annexe 3 les donnes propres notre dploiement. Il nous reste une tape : crire les rgles pour autoriser le montage du tunnel et le trafic dans le tunnel.
La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfS ense clientOpenVPN du site di stant (alias [dp]IPWanPfsenseSiteAnt1) destination de l'adresse IP du serveur pfSense serveur OpenVPN du sit e principal (WAN address) sur le port UDP 1195.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 19
Les rgles auto risent, sur l'interface OpenVPN, le trafic provenant de tous les tunnels (alias [dp]TsLANsSourcesCnxServ1) destination de l'adresse IP du serveur 1 (alias [dp]IpServ1) pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echoreq.
[dp]IpServ1
[dp]IpServ1
[dp]IpServ1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant de tout le rseau ADMIN (ADMIN net) destination de l'adresse IP du serveur 1 (alias [dp]IpServ1) pour les services MS RDP (port TCP3389) et MS DS (po rts TCP/UDP 445), ainsi que pour le service d'I CMP echorequest.
En annexe 4 vous trouverez les donnes propres nos rgles. Remarque : la prsence de flches vertes dans le tableau de bord de l'application pfSense d'un des deux sites (Status > dashboard) signifie que les tunnels se montent bien ; des flches rouges manifesteraient un problme.
Tunnel site principal-admin <=> site antenne-admin UDP Tunnel site principal-admin <=> site antenne-admin UDP
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
20
Cration de l'utilisateur
L'utilisation d'un tunnel nomade est subordonne la celle d'un compte utilisateur reconnu par pfSense. L'utilisateur peut faire partie de la base locale de pfSense, peut tre dans un annuaire ou distribu par un serveur RADIUS. Dans notre cas nous allons crer des utilisateurs dans la base locale. System > Users manager puis clic sur Renseignez les champs Username et Password (deux champs, pour confirmation) Cochez 'Click to create a user certificate. ' puis renseignez les champs (par exemple CU-NOMADE pour le nom descriptif) et slectionnez les options adquates (l'autorit de certification prcdemment cre, la longueur de la cl et la dure de validit) ; on peut tout laisser par dfaut. Cliquez sur 'Save'. Voir exemple annexe 6.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
21
CA-EPL[ dp]
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
22
Tunnel nomade
Bien crire la mme chose que ce qui a t crit pour l'alias correspondant au rseau de ce tunnel.
Attention : les rgles crites automatiquement sont larges ! Mieux vaut les crire soi-mme, ne serait-ce que pour comprendre ce que l'on fait. On peut aussi dcider de leur cration automatique puis les modifier par la suite.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
23
Il est prfrable de restreindre la source l'adresse IP WAN du site nomade et de ne pas laisser 'any' (*).
Ce qui donne :
Le deuxime lot de rgles est crire sur l'interface OpenVPN pour autoriser le trafic associ aux services MS DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons dj crit la rgle pour la liaison inter-site en utilisant un alias ([ dp]TsLANsSourcesCnxServ1) pour dsigner l'ensemble des rseaux sources de trafic (voir page 18), il n'y a rien rajouter ou modifier.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 24
Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.
Patientez jusqu lobtention de Blacklist update complete. Services > Proxy filter > onglet 'General settings' Activez le filtrage en cochant 'Enable' et l'enregistrement des logs en cochant 'Enable GUI log' et 'Enable log'. Si vous disposez de peu de place (disque dur de petite taille), vous pouvez activer la rotation de l'enregistrement des logs en cochant 'Enable log rotation' afin de limiter la quantit de logs enregistrer. Activez l'utilisation de la liste noire ( Blacklist) en cochant l'option correspondante et en indiquant l'URL de tlchargement de la liste.
Attention : aprs toute modification ultrieure de la configuration, ne pas oublier de cliquer sur le bouton 'Apply' qui apparat dsormais en haut.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 26
Services > Proxy filter > onglet 'Common ACL' Vrifiez la prsence des catgories de filtrage en cliquant sur
Mettez l'option d'accs de la dernire ligne 'Defaut access [all] 'allow' pour tout autoriser faute de quoi le filtre aura pour effet d'interdire tout accs l'Internet. Ensuite, mettez 'deny' l'accs aux contenus que vous voulez filtrer (porn, warez, etc.).
Renseignez les champs d'avertissement comme ci-contre par exemple : attention, il ne faut utiliser aucun caractre accentu.
A NOTER
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
27
Cochez comme ci-contre. L'option active de 'proxy transparent' vous vitera d'avoir configurer tous les postes connects du (V)LAN INVITE . Poursuivez la configuration comme suit :
Renseignez l'adresse mail de l'administrateur du serveur mandataire et slectionnez la langue d'affichage des informations. Enfin, sauvegardez la configuration.
Services > Proxy server > onglet 'Cache Mgmt' Configurez les options du cache comme ci-contre par exemple. Sauvegardez la configuration.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
28
Nous avons choisi de rediriger les utilisateurs vers la page de l'ENT. Surtout, n'oubliez pas d'indiquer l'application pfSense de chercher les utilisateurs en local (le serveur LDAP rajout prcdemment est considr comme une extension de l'annuaire local). Enfin, cliquez sur 'Save ' tout en bas de la page.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
29
Les deux premires rgles autorisent, su r l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE destination d'Internet pour les services courants et FirstClass (o l'alias PortTcpAccesInternetInvite dfinit les ports TCP 80, 443, 21 et 510). La troisime bloque tout trafic destination des (V)LANs admin et pdago (alias TsVlanSfInvite d'alias).
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
30
192.168.1.1
Nous activons le service DHCP sur l'interface INVITE . Vous devez spcifier par une plage pour
d'adresses,
exemple
restreindre le nombre d'adresses ou permettre la rservation d'adresses. Nous remplissons les champs 'DNS servers' et 'Gateway' avec l'adresse IP de pfSense sur le (V)LAN INVITE.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
31
D'autre part, nous autoriserons les serveurs accder l'Internet (services courants HTTP, HTTPS, FTP, ICMP echo request et DNS). Firewall > Rules puis choix de l'interface brasse sur le rseau administratif (ADMIN dans notre cas, LAN en gnral).
[ dp]IPsServeurs
]IPsServeurs L'option [dp Anti-lockout pourra tre dsactive lorsque toutes les rgles de pare-feu seront crites
[ dp]IPsServeurs
[ dp]IPsServeurs
[ dp]IPsServeurs
Les rgles autorisent, sur l'i nterface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dp]IPsServeurs) destination des adresses IP publiques du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias CnertaLgaPo rtsAccInternet) pour l'accs l'Internet, les mises jour et livraisons ainsi que pour le service DNS.
[dp ]IPsServeur1
[dp ]IPsServeur1
[dp ]IPsServeur1 Les rgles autorisent, sur l'interface PEDA, le trafic provenant du (V)LAN pdagogique (PEDA net) destination du serveur 1 (alias [dp]IpServeur1 pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echo request.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
32
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
33
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
34
Annexe 1 : extraits du dossier de montage du projet de dploiement des serveurs pfSense en Lorraine
Spcificits du rseau informatique d'un site rgional d'un EPL
L'architecture rgionale est une architecture rgionale commune tous les lyces et CFA des systmes ducatifs. Le rseau d'un site est compos, entre autres, de deux sous-rseaux : LAN (ou VLAN) pdagogique et LAN (ou VLAN) administratif, connects l'Internet via un serveur mandataire plac derrire un routeur.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
35
Architecture cible
Adressage (V)LANs et VPNs
WAN ADMIN PEDA OVPN site site xxx.xxx.xxx.xxx /29 10.xxx.xxx.0 /24 172.xxx.xxx.0 /16 10.xxx.100.0/30
o 100 peut se dcomposer comme suit : 10 pour reprendre le troisime octet du rseau ADMIN et 0 pour le premier tunnel
OVPN nomade
igb2 reste disponible, pour la vido surveillance par exemple igb3 reste disponible
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
36
Dtail de l'alias signifiant les ports TCP ouvrir pour le montage du tunnel du CNERTA
[ dp ]
1 2
[ dp ]
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
37
dition du tunnel site site, ct serveur, entre les rseaux admin des sites antenne de l'EPL
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
38
dition du tunnel site site, ct client, entre les rseaux admin des sites antenne de l'EPL
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
39
Destination(s)
Serveur du (V)LAN ADMIN du site
Port destination
ICMP echo request, TCP 3389 (MS RDP) et TCP/UDP 445 (MS DS)
PfSense du site UD P 1195 pri ncipal (ma tre) PfSense du site UD P 1194 pri ncipal (ma tre) UD P 500, 2746, 18233 et 18234 TCP 500, 256, 264, 18231 et 18232 TCP 443 (HTTPS), 80 (HTTP) et 21 (FT P) UD P 53
Maintenance CNERTA
Accs DNS
Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN
crire pour l'interface ADMIN
[ dp]IpServeur1
[ dp]IpServeur1
[ dp]IpServeur1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant du (V)L AN ADMIN (ADMIN net) destination de l'adresse IP du serveur (alias [dp]IpServeu r1) pour le service MS DS sur les ports TCP/UDP 445, le service MS RDP sur le port TCP 3389 et le service ICMP echo request, dans le but d'tablir une connexion au serveur.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
40
[ dp]IpWanPfsenseAnt1 La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dp]IPWanPfsenseAnt) destination de l'adresse IP publique du serveur pfSense du site principal (WAN adress) pour le montage du tunnel OpenVPN sur le port TCP 1195.
rgles pour les services autoriss encapsuls dans le tunnel, crire pour l'interface OpenVPN
[dp]TsLANsSourcesCnxServeur1
[ dp]IpServeur1
[dp]TsLANsSourcesCnxServeur1
[ dp]IpServeur1
[dp]TsLANsSourcesCnxServeur1
[ dp]IpServeur1
Les rgles autorisen t, sur l'i nterface OpenVPN, le trafic provenant des adresses IP de tous les rseaux sources (alias [dp]TsLANsSourcesCnxServ1) destination de l'adresse IP du serveur 1 (alias [dp]IpServeur1) pour le service MS DS sur les po rts TCP/UDP 445, le service MS RDP sur le po rt TCP 3389 et le service ICMP echo request, dans le but d'tablir une connexion TSE au serveur 1.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
41
3 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16. 4 Les adresses de la classe D sont utilises pour les communications multicast, alors que ceux de la classe E sont utilises pour la recherche. 5 Un Registre Internet Rgional (RIR), alloue les adresses IP dans sa zone gographique des oprateurs rseau et des fournisseurs Internet. Il existe aujourd'hui cinq RIRs.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
42
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
44
Annexe 9 : erreurs
Voici un rsum des erreurs rencontres ou commises.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
45
Notifications..................................................................................................................................................................................11 Mise jour de pfSense...................................................................................................................................................................12 Sauvegarde de la configuration................................................................................................................................................12 Installation de paquets ou packages supplmentaires ............................................................................................13 Outil d'exportation des clients OpenVPN....................................................................................................................13 Outil de prvention et dtection d'intrusion.............................................................................................................13 Serveur mandataire (proxy / cache web)...................................................................................................................13 Filtre URL proxy cache web.................................................................................................................................................13 Dfinition des alias : un pralable l'criture des rgles.........................................................................................14 criture des rgles...........................................................................................................................................................................15 En pratique.....................................................................................................................................................................................16 Une astuce.......................................................................................................................................................................................16 criture/dition des rgles..................................................................................................................................................17 Accs l'interface web de configuration de pfSense et dsactivation de la rgle de protection anti-lockout ............................................................................................................................................................................17 Changement de l'ordre des rgles....................................................................................................................................17 Mise en place d'une liaison site site via un tunnel OpenVPN pour accs serveur.............................18 Configuration ct serveur du tunnel OpenVPN.....................................................................................................18 Configuration ct client .......................................................................................................................................................19 Rgle pour autoriser le montage du tunnel OpenVPN site site..................................................................19 Rgles pour autoriser le trafic dans le tunnel OpenVPN site site..............................................................20 Mise en place d'une liaison nomade au serveur............................................................................................................21 Cration du certificat d'autorit........................................................................................................................................21 Cration de l'utilisateur..........................................................................................................................................................21 Cration et configuration du tunnel nomade............................................................................................................22 criture des rgles.....................................................................................................................................................................24 Export du client Windows.....................................................................................................................................................25 Cration d'un tunnel IPsec..........................................................................................................................................................25 Entre deux serveurs applicatifs pfSense......................................................................................................................25
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 47
Entre un serveur applicatif pfSense et un serveur IPCOP.................................................................................25 Permettre un accs nominatif l'Internet depuis le (V)LAN INVITE .......................................................26 Configuration des filtres du serveur mandataire (proxy).................................................................................26 Activation et configuration du serveur mandataire (proxy)............................................................................28 Activation et configuration du portail captif (attention : partie incomplte et probablement errone)............................................................................................................................................................................................29 criture des rgles sur l'interface INVITE...................................................................................................................30 Autoriser l'utilisation d'une application utilisant des ports spcifiques...........................................30 Autoriser l'utilisation des services du web..........................................................................................................30 Isoler le (V)LAN INVITE (vrifier si ncessaire).......................................................................................30 Activation de l'interface et du service DHCP sur le (V)LAN INVITE ....................................................31 Activer la redirection DNS..............................................................................................................................................31 Activer le DHCP sur l'interface INVITE...................................................................................................................31 Autoriser la maintenance, les mises jour et les livraisons du CNERTA........................................................31 Communication entre les interfaces (d'un (V)LAN l'autre)................................................................................32 Export du client OpenVPN pour Windows ou de la configuration viscosit pour MAC........................33 Analyser le trafic : utilisation de Snort................................................................................................................................34 Annexe 1 : extraits du dossier de montage du projet de dploiement des serveurs pfSense en Lorraine..................................................................................................................................................................................................35 Spcificits du rseau informatique d'un site rgional d'un EPL..................................................................35 Objectifs de dploiement des serveurs dits pfSense .....................................................................................35 Architecture cible.......................................................................................................................................................................36 Adressage (V)LANs et VPNs..........................................................................................................................................36 Serveur : interfaces, ports Ethernet et (V)LANs associs..................................................................................36 Annexe 2 les alias (Aliases).....................................................................................................................................................37 Focus sur certains alias Firewall : Aliases : Edit................................................................................................37
Annexe 3 configuration des tunnels OpenVPN...........................................................................................................38 Ct serveur du tunnel OpenVPN site site (pfSense du site principal).................................................38 Ct client du tunnel OpenVPN site site (pfSense du site secondaire)..................................................39
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13 48
Annexe 4 Rgles d'autorisation du trafic des services...........................................................................................40 Tableau rcapitulatif (exemples)......................................................................................................................................40 Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN..............................40 Rgles sur le serveur pfSense du site principal pour le tunnel OpenVPN...............................................41 Annexe 5 Les bogon ou adresses IP invalides ............................................................................................42 Annexe 6 Certificats ...................................................................................................................................................................43 D'autorit.........................................................................................................................................................................................43 D'utilisateur...................................................................................................................................................................................43 Annexe 7 : nommage des interfaces sous FreeBSD......................................................................................................44 Annexe 8 : notation CIDR.............................................................................................................................................................44 Annexe 9 : erreurs............................................................................................................................................................................45 acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 ...................................................45 Le trafic ne passe pas, malgr une criture correcte des rgles....................................................................45 Montage tunnel impossible..................................................................................................................................................45 Accs impossible l'interface web de configuration via tunnel nomade................................................45
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
49