Guide mise en oeuvre-pfsensev2

Ce documenta été rédigé dans le cadre du déploiement de serveurs « pfSense » dans les réseaux de
lycées et CFA de l’enseignement agricole intégrés à une architecture régionale commune aux systèmes
éducatifs afin de répondre à des usages spécifiques.
Merci à Grégory Bernard de la société ToDoo qui nous a assisté.
Avant-proposAvant-propos
Les choix techniques, dont la mise en œuvre est détaillée dans ce document, sont le résultat d'une politique
régionale propre au réseau des lycées et CFA de l'enseignement agricole. Ces choix ne conviennent pas
nécessairement à tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse
préalable. Il en est de même pour la pertinence à déployer plusieurs modules et fonctionnalités sur pfSense
lui-même.
Ce document se veut le plus transférable possible d’un site à l’autre : on parlera indifféremment de LAN ou
VLAN, avec le terme (V)LAN, pour ne pas préjuger de la technologie utilisée pour les sous-réseaux de
l'établissement. On considère ici que les interfaces Ethernet du serveur support de l'application pfSense sont
brassées physiquement sur des (V)LAN différents (quand bien même elles supportent la norme 802.1q, elles
n'appartiennent pas à plus d'un (V)LAN à la fois).
En annexe 1 vous trouverez un extrait du dossier de montage du projet de déploiement des serveurs dits
« pfSense » en Lorraine avec notamment une description de l'architecture réseau pour modéliser les liens et
visualiserles flux.
L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas à celle des serveurs
mandataires déjà en place dans l'architecture régionale. L'utilisation de ces serveurs répond à la mise en
place de services spécifiques à l'enseignement agricole (voir annexe 1).
Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt- 06/03/12 1
Guide de mise en œuvrede pfSensev2
(dans uncadrede déploiementspécifique)

D'une manière générale, nous appliquons le principe suivant :
sur lespostesdes (V)LANsADMINouPEDA ,les rôlesde passerelle etserveur mandatairesontassurés par unautreserveur
mandataire,
lesfluxassociés auxservices spécifiquespour l'interconnexiondes SIde l'EA serontroutés etgérés par leserveur pfSense (route
persistante àécrire« en dur » sur lespostes ouvia serveur dhcpenoptionétendue 033).
Au préalable de l’installationAu préalable de l’installation
Avant de se lancer dans l’installation, certains éléments du projet doivent être bien préparés, comme la
configuration matérielle nécessaire et les services à mettre en œuvre par l'application. La connaissance de
l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi
la rédaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la
dernière version stable de pfSense et s'assurer de la compatibilité matérielle du serveur avec la distribution
FreeBSD (en particulier de celle des cartes réseaux).
Services
Les optiques d’utilisation de pfSense sont nativement les suivantes :
Pare-feufiltrant entre l’Internet etles (V)LAN d'unepart,avec gestionde QoS,et,d'autre part,entreles(V)LAN
Routeur (V)LAN ouWAN,avec gestiondelanorme 802.1Q
Pointd’accèsavec portail captif
Usagesspécifiques :serveur mandataire,ServeurVPN,DNS,DHCP,snifer,NDIS,etc.
Architecture et adressage
Il est nécessaire de connaître parfaitement la topologie de son réseau :
l’architecture danslaquelle s’intègreleserveur supportde pfSense,
l’adressage des(V)LANauxquels ilserabrassé,
l'adresse IPpublique(adresseIPWAN)duserveur.
Documentation et aide
Sitesde référence
o leforumfrançaispour pfSense :http://forum.pfSense.org/index.php?board=7.0
o lesite deOSNET :http://www.osnet.eu (enfrançais)
o Le site officielPfSense :http://www.pfsense.org/
o Les tutoriels officiels :http://doc.pfsense.org/index.php/Tutorials
o LeWikide laPfSense :http://doc.pfsense.org/
o Les forums PfSense: http://forum.pfsense.org/
Install-PfSense-V2-GP-v13-02-07.odt -07/02/13 2

Rappels et recommandations
Les différentes interfaces d'un Firewall ne doivent pas être connectées au même réseau physique (ou alors, si
les interfaces réseaux du serveur gèrent la norme 802.1q, uniquement sur des ports Ethernet appartenant à
desVLAN 802.1q différents ; maisce n'est pas notre cas).
La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait à l'aide d'un routeur (routeur e-lorraine).
Les serveurs applicatifs pfSense ont leur interface WAN reliée à ce routeur : cette interface se « retrouve donc
directement sur Internet » ; elle a une adresse IPWAN publique.
Une analyse préalable du contexte de mise en œuvre est indispensable, notamment en termes de PSSI1
.
Application pfSense et compatibilité
Les différentes versions de l'application pfSense sont téléchargeables dans la rubrique « download » du site
http://www.pfSense.org/ ainsi que sur le site miroir français à l'adresse
http://pfSense.bol2riz.com/downloads/
Vous trouverez des éléments indicatifs sur la compatibilité à l'adresse : http://www.pfsense.org/index.php?
view&id=46&Itemid=51.
1 Politique de sécurité des systèmes d'information.

Schéma deSchéma de
principeprincipe

InstallationInstallation
Brassage desports RJ45 pour identification desinterfaces
Afin d'activer les interfaces réseau et faciliter leur identification, il est indispensable de brasser tous les ports
« réseau » qui vont être utilisés en les reliant par exemple à des switches. Sinon, vous devez connaître les
noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour
identifierles interfaces sur votre serveur).
Boot et lancement de l'installation
Insérez le CD et « boutez » dessus.
A l'écran de bienvenue, tapez 1 pour choisir le boot
pfSense ou laissez démarrer avec l'option par défaut.
Welcome to pfSense !
1. Boot pfSense [default]
2. Boot pfSense with ACPI disable
[...]
8. Reboot
Select option, [Enter] for default
or [Space] to pause timer 10
Pour lancer l'installation pressez « I » à l'invite. [ Press R to enter recovery mode or ]
[ press I to launch the installer ]
(R) ecovery …
(I) nstaller...
(C) continues ...
Paramétrage de la console
Vous êtes invités à configurer la console.
Arrivé à l'écran ci-contre ne cherchez pas à configurer le clavier ,
le résultat est négatif ; si vous souhaitez le faire il faudra suivre
les instructions que vous trouverez sur l'Internet, mais après
l'installation eten mode console.
Acceptez les choix en descendant sur <Acceptethese Settings >puis en validant.

Type d'installation
Optez pour une installation facile puis confirmez à l'écran
suivant.
Le choix suivant se
porte sur le type de
processeur : laissez le
choix par défaut puis
validez.
« Rebootez » lorsque vous y êtes invité.
Configuration des interfaces réseau
Identification des interfaces
Après avoir choisi le boot pfSense par défaut, soyez très attentif à toutes les informations qui défilent au
démarrage, en particulier à la liste des interfaces réseau. Les informations les concernant sont affichées
dans une couleur différente du reste du texte après la ligne « Networkinterface mismatch – Running interface
assignment option. », suivi d'une liste des interfaces valides avec adresse MAC et contrôleurs.
Network interface mismatch – Running interface assignment option.
em0 : link state changed tu UP
em1 : link state changed tu UP
igb0 : link state changed tu UP
En annexe 1 vous trouverez les données propres à notre déploiement.
Pas de mise en place deVLAN
On ne configure pas de VLAN : répondez par la négative à la question (rappel : chaque interface de pfSense
est connecté à un (V)LAN distinct ; mais si besoin, vous pourrez le faire plus tard via l'interface web de
configuration).
Do you want to set up VLANs now [y¦n] ? n

Assignation des interfaces
Vous êtes invité maintenant à affecter les interfaces de pfSense aux différents sous-réseaux de
l'établissement : WAN, LAN, OPT1, OPT2... OPTn où n représente n interfaces réseaux disponibles ou que vous
souhaitez utiliser, autres que WAN et LAN. Sachez que, pour le moment, il importe seulement de configurer
l'interface nommée LAN (réseau natif utilisé pour la prise en main de l'application via l'interface web) : les
autres interfaces pourront être configurées plus tard via l'interface web.
L'identification des interfaces opérée précédemment va nous servir ici : charge à vous de savoir quelle
interface (quel port Ethernet physique) brasser sur quel (V)LAN.
L'application pfSense nomme WAN le (sous-)réseau donnant l'accès à l'Internet, LAN le sous-réseau natif qui
correspond dans la plupart des cas au (V)LAN administratif (interface que l'on nommera ADMIN) et OPT1 à
OPTn lesautres(V)LANs (PEDA, INVITE, etc.).
La liste des interfaces à configurer complète (em0, em1, igb0, igb1, igb2 et igb3), validez à la prochaine
invitation pour arrêter le processus d'assignation.
Enter the WAN interface name or 'a' for auto-detection : em0
Enter the LAN interface name or 'a' for auto-detection : em1
Enter the OPT1 interface name or 'a' for auto-detection : igb0
Enter the OPT2 interface name or 'a' for auto-detection : [Enter]
Un récapitulatif de cette première étape de configuration vous sera proposé et vous serez invité à confirmer
pour poursuivre l'installation.
The interfaces will be assigned as follows:
WAN → em0
LAN → em1
OPT1 → igb0
OPT1 → igb1
OPT1 → igb2
OPT1 → igb3
Do you want to proceed [y¦n] ? y

Configuration en ligne de commande de l'adressage des premières interfaces
Entrez « 2 » pour lancerla
configuration IPd'une
interface.
Puis choisissez le numéro de l'interface à
configurer et répondez aux questions pour
la configurer : adresse IP via DHCP ou
adresse IP, nombre de bits de sous-réseau (notation CIDR, voir en annexe 8), etc.
La configuration IPd'une interface se termine par une question vous demandant si vous souhaitez autoriser
l'accèsen http à l'interface web via cette interface :
Do you want to revert to http as the webconfigurator protocol [y/n] ? -> n
Par précaution, répondre « n » pour garder l'accès sécurisé (https).
Renouvelez les opérations autant de fois que d'interfaces à configurer(rappel : seule la configuration de
l'interface native LAN est nécessaire via la console pour une prise en main ultérieure via l'interface web,les
autres pouvant être configurées ultérieurement via cette interface web).
Poursuite de l'installation via l'interface webPoursuite de l'installation via l'interface web
Préalable
Configurez un poste pour le connecter au réseau natif LAN du serveur applicatif pfSense.
Ne perdez pas de vue que toute modification ou erreur de paramétrage sur l'interface LAN (ou de celle de
votre poste de travail) peut vous faire perdre l'accès à l'interface web de configuration de l'application !
Avec le navigateur de votre choix, rendez-vous à l'adresse https://[ip_pfSense], où [ip_pfSense] est l'adresse
IP sur le réseau LAN du serveur hébergeant l'application pfSense : Le couple natif d'identifiants est :
admin/pfsense.

Utilisation de l'assistant de configuration
Nous allons profiter de cet assistant pour initier le paramétrage : System > Setup Wizard
Vérifiez,modifiez oucomplétez sinécessairelesinformationsnécessaires auparamétrage del'interfaceWAN(réseaupublic
Internet).Lesinformationssontdisponibles auprès dufournisseur d'accès ou delamaîtrised'œuvre,E-Lorraine encequinous
concerne: IP publique, masque,passerelle(adresse IPWANdurouteur e-lorraine),serveurs DNS externes,etc.
Vérifiez,modifiez oucomplétez sinécessairelesinformationsnécessaires auparamétrage del'interface LAN (attention àne pas
perdrel'accès!).
Renseignez/changez le mot depassed'administrationvia l'interfaceweb (par défaut=pfSense).
Vérification, modification et complétion du paramétrage des interfaces
Ceci est accessible par le menu Interfaces . Vous retrouvez ici toutesles interfaces assignées via laconsole au
cours de l'installation (en principe deux : LAN et OPT1).
Interfaces > (assign)
Onglet 'Interface assignments'
vous pouvez vérifier les assignations des interfaces faites à l'installation. Les interfaces disponibles et non
assignées peuvent être ajoutéesen cliquant sur l'icône à partir des ports réseaux non utilisés.
Onglet 'VLANs'
C'est ici que vous pouvez configurer les VLANs (cette question n'est pas abordée dans ce document).
Vérification, complétion et modification de la configuration, interface par interface
Configurationgénérale del'interface
o activation ounon
o nom (description):pour unemeilleurelisibilitélenomde chaque interfacesera modifié,voir annexe 1
o type:Static,DHCP,etc.
Complémentdela configurationen fonctiondutype:prenonslecas d'une configurationen IPfixe(Static)
o IPetnombre CIDR(voir en annexe8)
o passerelle –Gateway;n'indiquer unepasserellequesi le(V)LANassociéà cetteinterface utiliseune passerelle
autre quepfSense pour se connecter àl'Internet;dansnotrecas nerienindiquer
Options réseauxprivés:pour desraisonsde sécurités,ilvautmieuxcocher cesdeuxoptionspour l'interfaceWANuniquement
o bloquer les réseauxprivés
L'optionBlockprivatenetworks permetde bloquer lesadresses ip detypes locales :192.168.....,etc.C'est une
sécurité. Quandelle estcochée,cetteoptionbloquele trafic provenantdesadressesIPréservées pour les réseaux
privés selonlanormeRFC 1918(10/8,172.16/12,192.168/16)ainsiquedes adressesde bouclage (127/8).Vous
ʼ ʼdevez généralement laisser cetteoptionactivée, sauf sil interfaceWANfait partid uneadresse réseau privée.
o bloquer les réseaux «bogons » (les«faux réseauxprivés», voir annexe 5)
L'optionBlockbogonnetworkspermets debloquer cesadresses IP.C'estencoreune sécurité.

Onglet 'Interface Groups'
Sur cette page vous pouvez regrouper plusieurs interfaces afin de définir une politique commune à celles-ci.
Ainsi les règles créées pour le groupe s'appliqueront aux interfaces du groupe sans avoir à les dupliquer. Une
foisun groupe créé,une nouvelle interface sera visible (nouvel onglet) dans la page Firewall : Rules.
Nous n'avons pas avantage à regrouper les interfaces dans notre cas.
Sécurité – configuration avancée
System > Advanced > onglet 'Admin Access'
Toujours sélectionner un accèspar HTTPS
Se créer éventuellement un certificatHTML sur mesurespécifiqueà cetaccès
Désactiver la règle deredirection(WebGUIRedirect),pour contraindreà uneconnexionHTTPS
L'option« Anti-lockout» pourra être désactivéelorsquetoutes lesrègles depare-feuserontécrites(onobservela présence de
cetterèglesur la page'Firewall :Rules' dansl'ongletLAN (ADMINdansnotre caspuisquenousavonsrenomméles interfaces).
Cetterègleévitedeperdrel'accès àl'interface webde configuration vial'interface ADMINpendant leparamétrage.
Conserver larègle« DNSRebindingChecks» ainsique« HTTP_REFERERenforcementcheck »,sauf sisouhaitd'accèsau pare-feu
enutilisantsshetle port-forwardpar exemple. Ilse peut que vous soyez contraint dedésactiver « HTTP_REFERERenforcement
check» encas d'impossibilité d'accèsà l'interfaceweb deconfigurationdepuis unpostenomade(voir annexe9).
Sisouhaité,possibilitéd'activer l'accès par SSHen préférantunaccès viaune clé RSA (plusrapideet plus sécurisé)
Sileserveur enestpourvu,l'activation duportsérie (SerialTerminal)vousoffre uneporte desecours encas deperted'accès à
l'interfaceWeb.
Il estrisquéde sécuriser l'accèsà laconsole par mot depassede protection encochantl'option« Passwordprotecttheconsole
menu» :eneffet,en casde crashdumotde passe admin,plusaucunaccès àpfSense ne serapossible;d'autre part, l'accès àla
console nécessiteunaccèsphysiqueauserveur quinormalementestsécurisé.Donc,unconseil:ne pas verrouiller l'accèsvia la
console par unmotdepasse.
Sauvegarder la configuration!

Exemple de configuration avancée (seules les options modifiées et/ou évoquéesci-dessus sont présentes).
Notifications
System > Advanced > onglet 'Notifications'
C'est sur cette page que vous pouvez configurerles options pour l'envoi des notifications.

Mise à jour de pfSenseMise à jour de pfSense
System > firmware
Vous avez la possibilité de mettre à jour votre application (firmware) automatiquement (valable à partir de la
version 2). Cela vous dispense de surveiller les mises à jours disponibles notamment celles apportant des
corrections (bugs, failles de sécurité).
Si vous optez pour la mise à jour automatique, en cas
d'absence de message « You are on the latest version. » sur le
tableau de bord (dashboard), il peut être nécessaire de forcer
les paramètres de l'URL de mise à jour en choisissant l'option
correspondante à votre pfSense pour le champ 'Firmware Auto
UpdateURL' :
Sauvegarde de la configurationSauvegarde de la configuration
La sauvegarde de toute ou partie de la configuration se fait à partir de cette page : Diagnostics >
Backup/Restore
Une fois les alias définis (voir $ éponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un
serveur pfSense vers un autre :
Serveur « modèle »
Diagnostics:Backup/restore >'Backup
configuration'
sélectionner Aliases dansBackuparea
cliquer sur Downloadconfiguration
serveur « cible »
Diagnostics:Backup/restore >'Restoreconfiguration'
sélectionner Aliases dansRestorearea
cliquer sur Parcourir, sélectionner lefichier
cliquer sur Restoreconfiguration

Installation de paquetsInstallation de paquets ou packagesou packages supplémentairessupplémentaires
Certains services, outils ou fonctionnalités de pfSense ne sont pas nativement installées. C'est le cas par
exemple de l'outil d'exportation des clients OpenVPN, du module proxy (serveur mandataire) ou encore de
SNORT. Nous verrons plus tard comment utiliser ces services puisqu'ils sont dans le cahier des charges du
déploiement.
System > Packages
Dans l'onglet « Available Packages » vous trouverez la liste des paquets disponibles (à condition que le
serveur pfSense soit connecté à l'Internet). Dans l'onglet « Installed Packages » vous trouverez la liste des
paquets installés. Il est fortement recommandé de n'installer que des paquets en version stable, surtout
dans un environnement de production, voire de les installer au préalable dans un environnement de test.
Sage précaution : sauvegarder complètement la configuration avant l'installation d'un paquet.
Outil d'exportation desclients OpenVPN
Le paquet correspondant se nomme « OpenVPN Client Export Utility ». Cet outil permet l'export directement
à partir de pfSense d'un client pré-configuré OpenVPN pourWindows ou d'un fichier de configuration pour
Mac OSX viscosité.
Outil de prévention et détection d'intrusion
Snort est un système open source de prévention et détection (IDS/IPS) d'intrusions sur les réseaux,
combinant lesavantages de signature, de protocole etd'inspection axée sur l'anomalie. Le paquet
correspondant se nomme « snort ».
Serveur mandataire (proxy / cache web)
C'est un outil de proxy/cache web (de hautes performances, est-il précisé dans la description du paquet). Le
paquet correspondant se nomme « squid ».
Filtre URL proxy cache web
C'est un outil de filtrage URL pour proxy web (de hautes performances, est-il précisé dans la description du
paquet). Le paquetcorrespondant se nomme « squidGuard ». L'installation de ce paquet nécessite
l'installation au préalable du paquet de proxy « squid ».

Définition desDéfinition des aliasalias : un préalable à l'écriture des règles: un préalable à l'écriture des règles
Nous allons utiliser les alias pour créer des objets qui seront plus faciles à manipuler dans l'écriture des
règles : ils améliorent la lecture des règles et permettent de regrouper des adresses IP (comme celles des
serveurs), des ports (comme ceux à ouvrir pour le protocole TCP pour le montage du tunnel d'assistance du
CNERTA), des réseaux ou encore des URL. L'utilisation des alias nous évitera, par exemple, pour un protocole
donné, d'avoir à écrire une règle pour chaque port dans le cas de ports non consécutifs.
Ainsi, d'une part si modifications ultérieures il y a et, d'autre part, comme ces paramètres peuvent être
utilisés pour plusieurs règles, nous n'aurons qu'à apporter une seule modification au niveau de la définition
de l'alias correspondant, et cette modification sera répercutée automatiquement sur l'ensemble des règles
faisant appel à l'alias.
Pour en faciliter l'usage les alias devront respecter quelques règles de nommage explicite : par exemple
commencer par Cnerta pour tous les alias concernant Eduter-CNERTA qui ne changent pas d'un site à l'autre,
puis par exemple par le numéro du département pour les alias associés à l'EPL d'un département. Attention
les caractères spéciaux tels que espace, – ou _ ne sont pas permis ! En revanche on peut jouer sur la casse
pour apporter de la lisibilité.
La définition des alias est accessible dans le menu Firewall : Firewall > Aliases
Pour ajouter un alias cliquez sur puis renseignez les champs nom (Name) et description. Choisir le type
d'alias parmi hôte(s) – Host(s) - , réseau(x) – Network(s) -, port(s), URL et table d'URL - URL TABLE, puis
compléter les champs associés.
On peut créer des « alias d'alias ». Ainsi, par exemple, une fois les alias crées pour les LAN des tunnels
OpenVPN on crée un alias les reprenant tous pour l'écriture de règles communes. La seule condition à la
création d' « aliasd'alias » est que tous soient du même type (ports, host, réseau, etc.).
Les alias configurés pour le serveur pfSense du site principal d'un EPL seront exportés puis importés dans la
configuration des serveurs pfSense des sites « antenne » pour nous éviter d'avoir à les réécrire (s'ils ne seront
pas tous utilisés dans toutes les configurations, on pourra éventuellement supprimer ceux qui s’avéreront
inutiles).
Nous allons avoir besoin de créer des alias pour lesdonnées suivantes (prenons l'exemple d'un EPL) :
l'adresseIPdesserveurssur leréseauADMIN:[dép]IPsServeur1, [dép]IpServeur2,etc.
l'adresseIPWANduserveur pfSense dechaquesite: [dép]IPWanPfsenseSitePrinc,[dép]IPWanPfsenseSiteAnt1et
[dép]IPWanPfsenseSiteAnt2
la plage d'adresses IP du réseauADMINet du réseauPEDA de chaque site:[dép]LanADMINnetSiteAnt2d,[dép]LanPEDAnetSiteAnt2,
[dép]LanADMINnetSiteAnt1,[dép]LanPEDAnetSiteAnt1,[dép]LanPEDAnetSitePrinc
la plage d'adresses IP duVPNdans chaquetunnelnomadeà monter pour latélé-assistance:[dép]IpPfsLanOvpnAssistSitePrinc,
[dép]IpPfsLanOvpnAssistSiteAnt2et[dép]IpPfsLanOvpnAssistSiteAnt1

lesadressesIP publiquesdes serveurs du CNERTA :CnertaIpsPubliques
lesportspour le montage dutunnel demaintenanceduCNERTA :CnertaTcpPortsVpnet CnertaTcpPortsVpn
lesportsd'accèsà l'interfaceweb deconfigurationdepfSense: PortsAccesInterfaceWebPfSense
tousles réseaux sources detrafic pour laconnexionà distancesur lesserveursduréseau ADMIN(alias d'alias) :
[dép]TsLANsSourcesCnxServ
etc.
Enfin, n'oubliez pasde sauvegarder (Save).
Écriture des règlesÉcriture des règles
Le pare-feu ou firewall est la fonction principale de pfSense. Les
règles de filtrage sont évaluées sur la base de la première
correspondance. Dès qu'un paquet correspond à une règle celui-
ci est filtré. Les règles les plus permissives doivent donc être en
bas de liste. L'application pfSense est un pare-feu à gestion
d'état : elle autorise le trafic depuis l'interface sur laquelle le
trafic est généré. Lorsqu'une connexion est initiée, à la suite
d'une correspondance réussie avec une règle autorisant ce trafic,
une entrée est ajoutée dans la table d'état (state table). Le trafic
retour est automatiquement autorisé par le pare-feu quelque soit le type de trafic (TCP, ICMP, etc.).
Par défaut tout le trafic arrivant de l'internet à destination de votre réseau est bloqué. Mais par défaut tout le
trafic initié sur le (V)LAN de l'interface 'ADMIN' (initialement 'LAN') et à destination de l'Internet est autorisé,
ce qui se traduit par la présence de la règle suivante dans l'onglet 'LAN' (ou ADMIN dans notre cas) sur la
page Firewall :Rules :
Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systèmes compromis, de restreindre
les capacités à infecter le réseau, de limiter l'utilisation d'application non autorisées sur le réseau, de limiter
l'usurpation d'adresse IP (l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant.
Commençons par supprimer cette règle en cliquant sur , en validant puis encliquant sur .
Comme déjà mentionné au § « Au préalable de l'installation », il est nécessaire de faire l’inventaire exhaustif
de tous les services nécessaires. On pourra établir un tableau avec les protocoles et ports utilisés par le trafic
à autoriser. Vous trouverez en annexe 4 un exemple de tableau élaboré à partir de la liste des services que
nous souhaitons autoriser.
Dans les pages de configuration des règles vous serez amené à configurer le champ 'type' en choisissant
dans une liste déroulante. Le tableau suivant vous donne les significations des intitulésdisponibles :

any tout
Single host or alias Adresse IP ou alias
Network Réseau à définir dans le champ suivant (Address)
Wan subnet Réseau sur lequelest brassée l'interface WAN
Wan address Adresse allouée à l'interface WAN de pfSense
OPTn subnet Réseau sur lequelest brassée l'interface OPTn
OPTn address
Adresse allouée à l'interface OPTn de pfSense sur
le réseau sur lequel est brassée cette interface
Pour saisir un alias, dans un champ, il faut sélectionner 'Single host
or alias' dans la liste du champ 'Type' et commencer à taper les
premières de celui-ci dans la zone rouge : une liste contextuelle
apparaît avec les correspondances disponibles ; vous n'aurez plus
qu'à choisir l'alias.
En pratique
Interdirepar défaut :configurez lesrègles pour autoriser lestrictminimumde trafic ; enl'absencederègle sur uneinterface,
celle-cibloque touttrafic seprésentant
Questionà seposer : «qu'est-ce-que jedois autoriser? »etnon« qu'est-ce-que jedoisbloquer ? »
Règleslisibles,courteset documentées
Règlesà écriresur la première interface de pfSensequireçoit le paquet :lesdonnées dela règle sont celles contenues
dansle paquet qui seprésente (je viens de, jevais vers, viatelport,telprotocole)
Pour une meilleure sécurité,limiter autantquepossibleles connexions auxadresses IPdessource(s) et destination(s)
Nerieninscrire pour le(s)port(s)« source »(choisir « any ») ;eneffet,la plupartdutemps ,ce(s) port(s)est(sont)définis de
façonaléatoirepar la source.
Une astuce
En cas de difficultés d'écriture des règles, vous pouvez procédercomme suit :
utilisez temporairement unerègleselon laquelletoutpasse,par exempleADMINnetverstout (any)sans spécifier de port
Firewall:Rules >onglet'LAN' >clic sur etactiver les logs.

générez du trafic pour le serviceétudiéet observez cequisepassedans'Status:SystemLogs' onglet'Firewall'
créez larègleautomatiquement encliquantsur (Easy Rule:pass thistraffic)sur la ligne correspondantauservice àautoriser
puis,éventuellement,éditez larèglepour,par exemple,la limiter auxadresses IP source et/ou destination
n'oubliez pasde supprimer la règle temporairequi autorisetout!
Écriture/édition des règles
Firewall > Rules > 'onglet' de l'interface concernée.
Deux options s'offrent à nous pour l'écriture d'une règle :
soitla règle estrajoutée sur lemodèle d'unerègleexistante,en cliquantsur à droite dansle prolongementdelaligne
correspondant àla règle modèle, puis enapportantles modifications
soitelle estajoutéelibrementencliquantsur enhautouen basde laliste.
On peut éditer une règle à tout moment encliquant sur .
Accèsà l'interface web de configuration de pfSense et désactivation de la règle
de protection « anti-lockout »
Écrivons une règle sur l'interface ADMIN autorisant les postes du (V)LAN ADMIN à se connecter à l'interface
web de configuration de pfSense.
Règle autorisanttoutposte du réseau ADMIN à se connecterà l'interface de configuration webde pfSense : ainsi toutle trafic provenantdu réseau ADMIN à
destinationde l'adresse IP surADMINnetdepfSenseest permisvialesports TCP 80, 443et22 (alias PortsAccesInterfaceWebPfSense).
On peut maintenant supprimer la règle « anti-lockout » en cliquant sur en face de la règle puis en cochant
l'option correspondante sur la page
System: Advanced : AdminAccess.
Changement de l'ordre des règles
L'ordre est important comme nous l'avons vu précédemment. Il peut être nécessaire de modifier l'ordre des
règles après une écriture non ordonnée.
Le changement d'ordre des règles se fait en cochant la ou les règles à déplacer puis en cliquant sur à
droite dans le prolongement de la ligne correspondant à la règle immédiatement plus permissive, c'est-à-
dire celle qui se trouvera immédiatement en dessous de celle(s) déplacée(s).

Mise en place d'une liaison site à site via un tunnel OpenVPN pourMise en place d'une liaison site à site via un tunnel OpenVPN pour
accès à serveuraccès à serveur
Simple à mettre en œuvre (un site client, un site serveur), basé sur une clé secrète partagée et beaucoup plus
léger que les tunnels IPSec mais tout aussi sécurisé, nous allons configurer le montage d'un tunnel OpenVPN
entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va créer une nouvelle interface sur les
deux serveurs, appelée OpenVPN (interface virtuelle) : elle n'apparaît pas dans la liste des interfaces
physiques mais un onglet sera rajouté dans la page 'Firewall : Rules'de configuration de l'interface web.
Configuration côté serveur du tunnel OpenVPN
Nous choisissons de configurer le serveur pfSense du site principal comme serveur OpenVPN.
VPN > OpenVPN > onglet Serveur > Add Serveur
Serveur Mode:Peer toPeer(clé partagée -Sharedkey)
Protocole:préférez UDPà TCPqui estplus« lourd»(chaque paquetperdu estretransmis) ;cependantUDPest connucomme
étantmalﬁltrépar certainrouteurs ;utiliser TCPest plus peut-être plus sûr mais plus lent (faire destests ouautoriser lesdeux)
DeviceMode:tun(le moduleTAPn'estnécessaireque sionveutfairetourner OpenVPNen mode BRIDGE)
Interface:choisir l'interfaceWAN pour les liaisons entrantes
LocalPort:le portsur lequelle serveur OpenVPNécoute estle portpar défaut1194; attention,chaquetunnel requiert un
port différent (un pour letunnel siteà site,un pour letunnelnomade,etc.) ; vérifier que leportn'estpasdéjà utilisépar un
autre service.
Description:nomduVPN,par exempleVPN siteà siteEPL[n°département]
Share key: Automaticallygeneratea sharekey,laclé sera ainsi générésautomatiquementetilsuffira ensuitedecopier-
coller laclédans laconfigurationVPN duserveur client(distant)
Encryptionalgorithm:par exemple AES-128-CBC(128 bits);doitêtre identiquedes deuxcôtés; CAS,DESet RC2sontunpeu
moinssécurisésmaisplusrapides;certainstypes decryptages peuvent poser problèmeen fonction dela configuration
matérielle.
HardwareCrypto :siutilisationd'une carte decompressionVPN,possibilitéde lasélectionner danslaliste.
Tunnel Network :c'estlaplage d'adressequisera utilisée pour adresser lespostesdansle tunnel ; ilestpréconiséd'utiliser un
adressageau hasarddans lanormeRFC19182
;attentionà nepasutiliserdesplagesdéjà utilisées parles (V)LAN ;pour
un tunnelde siteà site un/30estsuffisant.
LocalNetwork:à laisser videpour une configurationpar défaut
RemoteNetwork:saisir icileréseau distant, côté client (enprincipe le(V)LANadministratifoupédagogique dusitedistant)
Compression :àcocher sivoussouhaitez compresser les donnéesdans letunnel
Type-of-service :utile sivous souhaitez faire duTrafic Shappingsur le trafic OpenVPNlui-même (marquage entêteIP),mais
peutprésenter unrisquepotentielde sécurité.
Vous trouverez en annexe 3 les données propres à notre déploiement.
2 La RFC 1918 définitun espace d'adressage privé permettantà toute organisation d'attribuer des adresses IP aux machines de son réseau interne. Il s’agit
des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et192.168.0.0/16.

Configuration côté client
Nous devons configurer le serveur pfSense du site distant comme client OpenVPN.
VPN > OpenVPN > onglet Client > Add serveur
Serveur Mode :PeertoPeer
Protocole :idemcôtéserveur
DeviceMode :idemcôtéserveur
Interface :WAN
LocalPort:à laisser videpour lechoixd'unportaléatoirement
Server hostor adress:adresseIPWANduserveur (IPWANduserveur pfSense dusiteprincipal)
Server port :idemcôtéserveur
Description:nomduVPN,par exempleVPN siteà site
Share key: copierici la clégénérée côté serveur
Encryptionalgorithm:idemcôté serveur
HardwareCrypto :idem côté serveur
Tunnel Network :idemcôtéserveur
RemoteNetwork:saisir icileréseau distant, côté serveur(enprincipele (V)LANadministratifdusiteprincipal)
Compression :idemcôtéserveur
Type-of-service :pour marquer lavaleur del'entêteIP),mais peut présenter un risque potentiel desécurité.
Vous trouverez en annexe 3 les données propres à notre déploiement.
Il nous reste une étape : écrire lesrègles pour autoriser le montage du tunnel et le trafic dans le tunnel.
Règle pour autoriser le montage du tunnel OpenVPN site à site
Tout d'abord, il est nécessaire d'autoriser, sur l'interface WAN du serveur OpenVPN (site principal dans notre
exemple), le trafic nécessaire à l'établissement du tunnel avec le serveur client OpenVPN (site distant) via les
protocole et port choisis à la création du tunnel OpenVPN « site à site ». Pour écrire la règle il faut se dire que
le paquet arrive sur l'interface WAN du serveur du tunnel (site principal) en provenant de l'adresse IP
WAN du client du tunnel (site distant) à destination de l'adresse IP WAN du serveur du tunnel, désignée
par WAN address, par exemple via le port 1195 du protocole UDP. On a donc la règle suivante dans l'onglet
'WAN' sur lapage 'Firewall : Rules' du pfSense maître :
La règle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfSense « clientOpenVPN » du site distant (alias
[dép]IPWanPfsenseSiteAnt1) à destination de l'adresse IP du serveur pfSense « serveur OpenVPN » du site principal (WAN address) sur le
port UDP 1195.
[dép]IPWanPfsenseSiteAnt1

Règles pourautoriser le trafic dansle tunnel OpenVPN site à site
Ensuite, il faut autoriser le trafic des services nécessaires à l'accès aux serveurs du site principal : ces services
sont TSE (3389 MS RDP) et partage de fichiers (445 MS DS). L’accès au ping (ICMP echoreg) est également
une bonne précaution en cas de doute sur l’accès. Pour autoriser ces 3 services, il est nécessaire de les
autoriser d'une part au niveau de l’interface concernée du serveur Pfsense du site distant (appelé LAN en
général sur le serveur pfSense esclave, mais ADMIN dans notre cas) etd'autre part dans le tunnel, c'est-à-dire
au niveau de l’interface OpenVPN du serveur Pfsense du site principal. Pour des raisons de sécurité, il est
préférable de n’autoriser que ce qui est strictement nécessaire, donc ces services seront configurés
uniquement des (V)LAN du(es) site(s) distant(s) (ADMIN, PEDA) et nomade(s) vers l’adresse IP du serveur de
traitement du site principal. Nous utiliserons les alias définis au paragraphe éponyme, notamment l'alias
d'alias qui désigne tous les réseaux sources. Cela donne, sur le serveur OpenVPN du tunnel, les règles
suivantespour l'interface OpenVPN :
Les règles autorisent, sur l'interface OpenVPN, le trafic provenantde tous les tunnels (alias [dép]TsLANsSourcesCnxServ1) à destination de l'adresse IP du
serveur1 (alias [dép]IpServ1) pourle service MS RDP (portTCP3389), leserviceMS DS (ports TCP/UDP445) ainsi que pourleservice d'ICMP echoreq.
etsur le client OpnVPN, pour l'interface ADMIN (génériquement LAN) :
Les règles autorisent, sur l'interface ADMIN, le trafic provenant de tout le réseau ADMIN (ADMIN net) à destination de l'adresse IP du serveur 1 (alias
[dép]IpServ1) pourlesservicesMS RDP(port TCP3389) etMSDS (ports TCP/UDP 445), ainsi que pourle service d'ICMP echorequest.
En annexe 4 vous trouverez les données propres à nos règles.
Remarque : la présence de flèches vertes dans
le tableau de bord de l'application pfSense
d'un des deux sites (Status > dashboard)
signifie que les tunnels se montent bien ; des
flèches rouges manifesteraient un problème.
[dép]TsLANsSourcesCnxServ1
[dép]IpServ1
[dép]IpServ1
[dép]IpServ1
[dép]IpServ1
[dép]IpServ1
[dép]IpServ1
Tunnel site principal-admin <=> site antenne-admin UDP
Tunnel site principal-admin <=> site antenne-admin UDP
Tunnel site principal-admin <=> site antenne-peda UDP

Mise en place d'une liaison nomade au serveurMise en place d'une liaison nomade au serveur
Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais que pour des obligations de service un
agent « nomade » doive se connecter à un serveur. Il va donc falloir monter un tunnel OpenVPN entre le
poste de l'agent et le serveur pfSense du site principal, puis autoriser les services nécessaires ; on parlera
alors d'un tunnel nomade ou de tunnel pour un utilisateur distant (vous trouverez souvent l'expression
« Open VPNpour les guerriersde la route »)..
Création du certificat d'autorité
L'utilisateur nomade devra utiliser un certificat utilisateur intégré à son client OpenVPN qui sera présenté au
serveur OpenVPN. Utilisons l'outil de management de certificats intégré à pfSense depuis la version 2 pour
créer le certificat de l'autorité reconnue par le certificat utilisateur.
System > CertManager > onglet 'CAs'
Cliquer sur Add or import CA pour ajouter uncertificatd'autorité,par exemple nommé CA-EPL[dép]
Enface deMethod choisir dans lalisteCreateaninternalCertificateAuthority
Renseigner tous leschamps puiscliquer sur Save
A titre d'exemple, voir en annexe 6 les données pour la construction du certificat d'autorité du serveur
pfSense du site principal d'un EPLEFPA.
Création de l'utilisateur
L'utilisation d'un tunnel nomade est subordonnée à la celle d'un compte utilisateur reconnu par pfSense.
L'utilisateur peut faire partie de la base locale de pfSense, peut être dans un annuaire ou distribué par un
serveur RADIUS. Dans notre cas nous allons créerdes utilisateurs dans la base locale.
System > Users manager puis clic sur
Renseignez les champs Username etPassword (deuxchamps,pour confirmation)
Cochez 'Clickto createa user certificate.' puis renseignez leschamps(par exempleCU-NOMADEpour lenomdescriptif)et
sélectionnez les options adéquates(l'autoritédecertificationprécédemmentcréée, lalongueur de lacléetladuréede
validité);onpeuttoutlaisser par défaut.
Cliquez sur 'Save'.
Voir exemple annexe 6.

Création et configuration du tunnel nomade
Nous allons utiliser l'assistant de pfSense.
VPN > OpenVPN > onglet 'Wizards'
Choix du type d'utilisateur: dans la base locale
Choix del'autorité de certification : celle crééeprécédemment
Choix ducertificatde l'utilisateur: celui crééprécédemment
CA-EPL[dép]

Complétion des paramètres dutunnel nomade
Choixde création automatique desrègles.
Attention : les règles écrites automatiquement sont « larges » ! Mieux vaut les écrire soi-même, ne serait-ce
que pour comprendre ce que l'on fait. On peut aussi décider de leur création automatique puis les modifier
par la suite.
Bien écrire la même
chose que ce qui a été
écrit pour l'alias
correspondant au réseau
de ce tunnel.
Tunnel nomade

Écriture des règles
Il nous reste donc à modifier/écrire ces/les règles pour autoriser le montage de ce tunnel OpenVPN nomade
etle trafic dans le tunnel.
La première règle est à écrire sur l'interface WAN pour autoriser le montage du tunnel nomade :
Ce qui donne :
Le deuxième lot de règles est à écrire sur l'interface OpenVPN pour autoriser le trafic associé aux services MS
DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons déjà écrit la règle pour la liaison
inter-site en utilisant un alias ([dép]TsLANsSourcesCnxServ1) pour désigner l'ensemble des réseaux sources
de trafic (voir page 18), il n'y a rien à rajouter ou à modifier.
Il est préférable de restreindre
la source à l'adresse IP WAN
du site nomade et de ne pas
laisser 'any' (*).

Export du client Windows
PfSense permet, grâce au package installé « OpenVPN Client Export Utility », d'exporter un exécutable pour
l'installation etla configuration du client sous windows.
VPN > OpenVPN > onglet 'Client Export'
Cliquez sur 'Windows Installer' en face de 'nomade' puissuivez les instructions.
Création d'un tunnel IPsecCréation d'un tunnel IPsec
Entre deux serveurs applicatifs pfSense
A compléter
Entre un serveurapplicatif pfSense et un serveur IPCOP
Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais d'un autre type de serveur qui ne gère
pas l'OpenVPN : prenons le cas d'un serveur IPCOP. Il va donc falloir monter un tunnel IPsec entre les deux
serveurs, puis autoriser les services nécessaires.
A compléter

Permettre un accès nominatif à l'Internet depuis le (V)LAN «Permettre un accès nominatif à l'Internet depuis le (V)LAN « INVITEINVITE »»
Le serveur pfSense n'est pas utilisé ici pour filtrer, contrôler et sécuriser le trafic entre l'Internet et les (V)LAN
pédagogique et administratif : c'est un autre serveur qui joue le rôle de serveur mandataire (EPL dans une
architecture régionale). Néanmoins, nous allons configurer pfSense en serveur mandataire pour le (V)LAN
INVITE. Les paquets squid et squidGuard doivent être installés (voir « Installation de paquets ou packages
supplémentaires »). Nous utiliserons le portail captif de pfSense etles comptesdu LDAP de l'AD e-lorraine du
(V)LAN pédagogique pour donner l'accès à des utilisateurs « connus » de l'EPL, présents dans un annuaire.
Configuration des filtres du serveur mandataire (proxy)
Services > Proxy filter > onglet 'Blacklist'
La liste noire (ou Blacklist) « shalla » se télécharge ici : http://www.shallalist.de/Downloads/shallalist.tar.gz
(ou bien celle de l'université de Toulouse téléchargeable ici : http://cri.univ-
tlse1.fr/blacklists/download/blacklists_for_pfsense.tar.gz)
Renseignez le champ et cliquez sur 'Download'.
Patientez jusqu’à l’obtention de « Blacklist update complete. »
Services > Proxy filter > onglet 'General settings'
Activez le filtrage encochant 'Enable'et l'enregistrement des logs en cochant 'Enable GUI log'et 'Enablelog'.
Si vous disposez de peu de place (disque dur de petite taille), vous pouvez activer la rotation de
l'enregistrement des logs en cochant 'Enable logrotation' afin de limiter la quantité de logs à enregistrer.
Activez l'utilisation de la liste noire (Blacklist) en cochant l'option correspondante et en indiquant l'URL de
téléchargementde la liste.
Ne pas oublier de sauvegarder la
configuration.
Attention : après toute modification ultérieure de la configuration, ne pas
oublier de cliquer sur le bouton 'Apply' qui apparaît désormais enhaut.

Services > Proxy filter > onglet 'Common ACL'
Vérifiez la présence descatégories de filtrage en cliquant sur
Mettez l'option d'accès de la dernière ligne 'Defaut access [all] à 'allow' pour tout autoriser faute de
quoi le filtre aura pour effet d'interdire tout accès à l'Internet.
Ensuite, mettez à 'deny'
l'accès aux contenus que
vous voulez filtrer (porn,
warez, etc.).
Renseignez les champs
d'avertissement comme
ci-contre par exemple :
attention, il ne faut
utiliser aucun caractère
accentué.
Validez la configuration
en cliquant sur 'Save'.
A NOTER

Activation et configuration du serveur mandataire (proxy)
Services > Proxy server > onglet 'General'
Cliquez sur l'interface pour laquelle vous souhaitez activer le serveur mandataire : dans notre
casINVITE (pour l'activer sur plusieurs interfaces, utilisez la touche CTRL).
Cochez comme ci-contre. L'option active de 'proxy transparent' vous
évitera d'avoir à configurer tous lespostes connectés du (V)LAN « INVITE ».
Poursuivez la configuration comme suit :
Laduréelégaledeconservation des logs est d'unan(365 jours).
Renseignez l'adresse mail de l'administrateur du serveur
mandataire et sélectionnez la langue d'affichage des
informations.
Enfin, sauvegardez la configuration.
Services > Proxy server > onglet 'Cache Mgmt'
Configurez les options du cache comme ci-contre par exemple.
Sauvegardez la configuration.

Activation et configuration du portail captif (attention : partie incomplète et probablement erronée)
Services > Captive Portal > onglet 'Captive portal'
Voici les options modifiées pourla configuration du portail captif.
Activez le portail captif en cochant 'Enable captive portal'.
Choisissez l'interface : dans notre cas, INVITE.
Nous avons choisi de rediriger les utilisateurs vers la page
de l'ENT.
Surtout, n'oubliez pas d'indiquer à l'application pfSense de chercher
les utilisateurs en local (le serveur LDAP rajouté précédemment est
considéré comme une extension de l'annuaire local).
Enfin, cliquez sur 'Save' tout en bas de la page.

Écriture des règles sur l'interface INVITE
Dans l'état actuel des choses, les postes brassés sur le (V)LAN INVITE n'ont pas accès à l'Internet : des
ouvertures sont nécessaires sur l'interface INVITE de pfSense. Nous allons écrire les règles correspondantes. Il
se peut aussi que vous ayez besoin de configurer des services supplémentaires. Par contre, les utilisateurs du
(V)LAN INVITE ne doivent pas pouvoir accéder aux (V)LAN tiers (pédagogique et administratif).
Autoriser l'utilisation d'une application utilisant des ports spécifiques
On doit autoriser le trafic depuis le (V)LAN INVITE vers le serveur le serveur de cette application via le(s)
port(s) correspondants. Ces ouvertures peuvent être prises en compte dans l'écriture de la règle au
paragraphe suivant.
Autoriser l'utilisation des services du web
Il s'agit de permettre (ou non) aux utilisateurs d'utiliser les services courants de l'Internet : messagerie (pop,
smtp), web (http et https), transfert de fichiers (ftp), résolution de noms (DNS), etc., sans oublier d'ajouter à la
liste le service lié à une application spécifique. Au préalable, on crée les alias nécessaires pour regrouper les
ports et les(V)LAN.
Isoler le (V)LAN « INVITE » (vérifier si nécessaire)
Nous ne pouvons pas limiter les destinations au WAN. Donc, pour des raisons de sécurité évidentes, une fois
n'est pas coutume, nous devons bloquer le trafic provenant du (V)LAN « INVITE » à destination des (V)LANs
tiers (notamment« ADMIN » et « PEDA»).
Les deux premières règles autorisent, sur l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE à destination d'Internet pour les services
courants etFirstClass (oùl'alias PortTcpAccesInternetInvite définitles ports TCP 80, 443, 21et510). La troisième bloque touttrafic à destination des (V)LANs
admin etpédago (alias «TsVlanSfInvite » d'alias).

Activation de l'interface et du service DHCP sur le (V)LAN « INVITE »
Activer la redirection DNS
Avant toute chose, activons la redirection DNS.
Services > DNS forwarder
Activer le DHCP sur l'interface INVITE
Pour simplifier davantage l'usage de ce (V)LAN l'adressage sera similaire à celui des réseaux domestiques.
Services > DHCP Server > onglet 'INVITE'
Nous activons le service DHCP sur
l'interface « INVITE ».
Vous devez spécifier une plage
d'adresses, par exemple pour
restreindre le nombre d'adresses ou
permettre la réservation d'adresses.
Nous remplissons les champs 'DNS
servers' et 'Gateway' avec l'adresse IP de
pfSense sur le (V)LAN INVITE.
Autoriser la maintenance, les mises à jour et les livraisons du CNERTAAutoriser la maintenance, les mises à jour et les livraisons du CNERTA
On rappelle que pour qu'un élément (serveur, station, etc.) réponde à une requête dont le trafic transite via
pfSense il faut indiquer une route « de réponse » passant par pfSense dans la configuration de l'élément
(voire mettre pfSense en tant que passerelle) ; a fortiori pour la connexion nomade au serveurs de nos sous-
réseaux. Les serveurs en questions ont donc soit pour passerelle le serveur pfSense soit une route
persistante forçant le trafic à destination des sources nomades à transiter par pfSense. Du coup, il faut
autoriser via pfSense la maintenance des serveurs par le CNERTA (montage de tunnel) ainsi que les mises à
jour et livraisons des serveurs.Toujours en utilisant lesalias, nous allons écrire les règles correspondantes.
192.168.1.1

D'autre part, nous autoriserons les serveurs à accéder à l'Internet (services courants HTTP, HTTPS, FTP, ICMP
echo request et DNS).
Firewall > Rules puis choix de l'interface brassée sur le réseau administratif (ADMIN dans notre cas, LAN en
général).
Les règles autorisent, surl'interface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dép]IPsServeurs) à destination des adresses IP publiques
du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias
CnertaLgaPortsAccInternet) pourl'accès àl'Internet, les misesà jouretlivraisons ainsique pourle serviceDNS.
Communication entre les interfaces (d'un (V)LAN à l'autre)Communication entre les interfaces (d'un (V)LAN à l'autre)
Par défaut tout trafic provenant des (V)LAN tiers à destination du (V)LAN ADMIN (nativement LAN) est
bloqué.
Si on souhaite par exemple utiliser se connecter aux serveurs du réseau ADMIN depuis le réseau
pédagogique sur le site principal, il faut autoriser le trafic généré par les adresses IP du (V)LAN pédagogique
vers le serveur en question pour, dan s le cas d'une connexion TSE, les services MS RDP, MS DP et ICMP echo
request. Ce qui donne les règles suivantes sur l'interface PEDA du serveur pfSense du site principal :
Les règles autorisent, sur l'interface PEDA, le trafic provenantdu (V)LAN pédagogique (PEDA net) à destination du serveur1 (alias [dép]IpServeur1pourle
serviceMS RDP(port TCP3389), leservice MSDS (ports TCP/UDP 445) ainsi que pourle service d'ICMPecho request.
L'option « Anti-lockout » pourra être désactivée lorsque toutes les règles de pare-feu seront écrites
[dép]IPsServeurs
[dép]IPsServeurs
[dép]IPsServeurs
[dép]IPsServeurs
[dép]IPsServeurs
[dép]IPsServeur1
[dép]IPsServeur1
[dép]IPsServeur1

Export du client OpenVPN pour Windows ou de la configurationExport du client OpenVPN pour Windows ou de la configuration
viscosité pour MACviscosité pour MAC
Nous allons utilisé l'outil installé précédemment.
VPN > OpenVPN > onglet '
A compléter.

Analyser le traficAnalyser le trafic : utilisation de Snort: utilisation de Snort
A compléter.

Annexe 1Annexe 1 : extraits du dossier de montage du projet de déploiement: extraits du dossier de montage du projet de déploiement
des serveurs «des serveurs « pfSensepfSense » en Lorraine» en Lorraine
Spécificités du réseau informatique d'un site régional d'un EPL
L'architecture régionale est une architecture régionale commune à tous les lycées et CFA des systèmes
éducatifs. Le réseau d'un site est composé, entre autres, de deux « sous-réseaux » : LAN (ou VLAN)
pédagogique et LAN (ou VLAN) administratif, connectés à l'Internet via un serveur mandataire placé derrière
un routeur.
Objectifs de déploiement des serveurs dits « pfSense »
Il s'agit de mettre en œuvre une solution pour répondre aux besoins de l'enseignement et de la formation
agricoles dans l'architecture régionale, à savoir :
autoriser une connexionsécurisée entre unposte duréseau d'unsiteantenne etunserveur dusous-réseau administratif
dusiteprincipal;
autoriser une connexionsécurisée entre unposte duréseau sous-pédagogiquedusiteprincipaletunserveur dusous-
réseauadministratifde cesite;
autoriser une connexionsécurisée entre unposte nomadeidentifiéetun serveur dusous-réseauadministratifdusite
principal d'unEPL ;
autoriser la liaisonpour atteindrel'intranetduministère depuis unposte sur lesréseauxdes EPL;
autoriser la liaisonpour permettrelatélé-maintenancedesserveurspar Eduter-CNERTA ;
autoriser leslivraisons etmises àjour decesserveurs;
autoriser,via unportailcaptif,l'accès àl'Internetd'un posteinformatique «invité »;faciliter, contrôler,sécuriser etfiltrer la
connexiondusous-réseau INVITEà l'Internet ;
effectuer entemps réeldes analysesde trafic et «logger »les paquetssur unréseau.

Architecture cible
Adressage (V)LANs et VPNs
WAN xxx.xxx.xxx.xxx /29 passerelle : IP routeur
ADMIN 10.xxx.xxx.0 /24 passerelle = serveur mandataire
PEDA 172.xxx.xxx.0 /16 passerelle = serveur mandataire
OVPN site à site 10.xxx.100.0/30
où 100 peut se décomposer comme suit : 10 pour reprendre le troisième octet du réseau ADMIN
et 0 pour le premier tunnel
OVPN nomade 10.xxx.[105, 106 … 109].0/24
où 105 se décompose comme suit : 10 pour reprendre le troisième octet du réseau ADMIN et 5
pour le premier tunnel
Serveur : interfaces, portsEthernet et (V)LANs associés
→em0 WAN brassée sur le (V)LAN d'adressage IP public e-lorraine
→em1 ADMIN brassée sur le (V)LAN « administratif »
→igb0 PEDA brassée sur le (V)LAN « pédagogique »
→igb1 INVITE brassée sur le (V)LAN « invité »
→igb2 reste disponible, pour lavidéo surveillancepar exemple
→igb3 reste disponible
vue arrière du serveur

Annexe 2 – les alias (Annexe 2 – les alias (AliasesAliases))
Focussur certains alias Firewall : Aliases: Edit
Détail de l'alias signifiant les ports TCP à ouvrirpourle montage du tunnel du CNERTA
Détail de l'alias signifiant les adresses IP des serveurs de l'EPL
Détail de l'alias signifiant l'adressage du sous-réseau pédagogique du site antenne de l'EPL
1
2
[dép]
[dép]

Annexe 3 – configuration des tunnels OpenVPNAnnexe 3 – configuration des tunnels OpenVPN
Côté serveurdu tunnel OpenVPN site à site (pfSense du site principal)
Liste des tunnels OpenVPN« serveur» côté site principal de l'EPL
Édition du tunnel site à site, côté serveur, entre les réseaux admin des sites « antenne »de l'EPL
La clé doit être
identique à celle du
client
doit être identique à
ce qui est écrit côté
serveur
serveur
princprinc
princ
princ
princ
princ
ant1
ant1
ant2
ant2
ant2

Côté client du tunnel OpenVPN site à site (pfSense du site secondaire)
Liste des tunnels OpenVPN « clients» côté site antenne de l'EPL
Édition du tunnel site à site, côté client, entre les réseaux admin des sites « antenne » de l'EPL
La clé doit être
identique à celle du
serveur
serveur
serveur

Annexe 4 – Règles d'autorisation du trafic des servicesAnnexe 4 – Règles d'autorisation du trafic des services
Tableau récapitulatif (exemples)
Description Source(s) Destination(s) Port destination
Connexion TSE sur serveur
• (V)LAN ADMIN et (V)LAN PEDA
du site principal
• (V)LAN ADMIN et (V)LAN PEDA
du site distant
• Poste nomade
Serveur du
(V)LAN ADMIN
du site
ICMP echo
request, TCP 3389
(MS RDP) et
TCP/UDP 445
(MS DS)
Tunnel OpenVPN site à site PfSense du site distant (esclave)
PfSense du site
principal (maître)
UDP 1195
Tunnel OpenVPN nomade (site
ne disposant pas de serveur
pfSense)
Adresse IP publique du site nomade
PfSense du site
principal (maître)
UDP 1194
Maintenance CNERTA Serveurs site principal
Plage adr. IPs
publiques
CNERTA
UDP 500, 2746,
18233 et 18234
TCP 500, 256,
264, 18231 et
18232
Mises à jour et livraisons Serveurs site principal
TCP 443 (HTTPS),
80 (HTTP) et 21
(FTP)
Accès DNS Serveurs site principal
IPs des serveurs
DNS
UDP 53
Règles surle serveur pfSense du site distant (esclave) pour le tunnel OpenVPN
À écrire pour l'interface ADMIN
Les règles autorisent, sur l'interface ADMIN, le trafic provenant du (V)LAN ADMIN (ADMIN net) à destination de l'adresse IP du serveur (alias
[dép]IpServeur1) pourleservice MSDS surlesports TCP/UDP 445, leservice MSRDPsurleportTCP 3389 etle service ICMP echorequest, dans lebutd'établir
une connexionauserveur.
[dép]IpServeur1
[dép]IpServeur1
[dép]IpServeur1

Règles surle serveur pfSense du site principal pour le tunnel OpenVPN
• règle pour établir le tunnel, à écrire pour l'interface WAN
La règle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dép]IPWanPfsenseAnt) à
destination del'adresse IPpublique duserveurpfSense dusite principal(WAN adress) pourle montage du tunnel OpenVPN surle portTCP1195.
• règles pour les services autorisés encapsulés dans le tunnel, à écrire pour l'interface OpenVPN
Les règles autorisent, sur l'interface OpenVPN, le trafic provenant des adresses IP de tous les réseaux sources (alias [dép]TsLANsSourcesCnxServ1) à
destination de l'adresse IP du serveur 1(alias [dép]IpServeur1) pour le service MS DS surles ports TCP/UDP 445, le service MS RDP surle portTCP 3389et le
serviceICMP echo request, dans le butd'établiruneconnexion TSE auserveur1.
[dép]IpWanPfsenseAnt1
[dép]TsLANsSourcesCnxServeur1
[dép]IpServeur1
[dép]IpServeur1
[dép]IpServeur1

AnnexeAnnexe 55 – Les «– Les « bogon »bogon » ou adresses IP «ou adresses IP « invalidesinvalides »»
Les adresses IP invalides ou « bogon » sont des adresses IP réservées par l’IANA (Internet Assigned Numbers
Authority) pour des usages spécifiques ; c’est le cas des adresses IP privées définies par le RFC 19183
ou
encore des classes d’adresses D et E4
. Dans cette catégorie, nous trouvons également les adresses IP non
assignées par l’IANA à aucun Registre Internet Régional (RIR)5
. Des listes détaillées et régulièrement
actualisées de ces adresses sont publiées sur les sites web de quelques groupes de travail. Il apparaît, ainsi,
que les adresses IP invalides représentent prés de 40% de l’espace d’adressage IP total. Bien que les adresses
invalides n’aient pas de raison d’être routées sur Internet, il arrive fréquemment à ces adresses d’être
routées sur certaines portions de l’Internet et d’être utilisées par des personnes ou des organisations
malveillantes afin de conduire, d’une façon anonyme, des attaques de déni de service, des envois massifs de
messages non sollicités et des activités de piratage. L’exploitation des blocs d’adresses invalides pour des
finalités malveillantes et le fait que la liste de ces adresses soit relativement stable, a poussé les
administrateurs de réseaux à mettre en place des règles de filtrage rejetant le trafic lié à ces adresses afin de
diminuer le risque de leur exploitation malveillante. Par ailleurs, les adresses « inutilisées » sont des adresses
IPallouées à organisme particulier qui ne les exploite pas ; ainsi la présence de trafic utilisant ces adressesest
par nature suspecte. Cependant, une différence essentielle existe entre les adresses IP invalides et celles
inutilisées : en effet, les premières sont publiées sur Internet, alors que les secondes sont inconnues sauf
pour les administrateurs du réseau concerné.
3 La RFC 1918 définitun espace d'adressage privé permettantà toute organisation d'attribuer des adresses IP aux machines de son réseau interne. Il s’agit
des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et192.168.0.0/16.
4Les adresses de la classe D sontutilisées pour les communications multicast, alors que ceux de la classe E sont utilisées pour la recherche.
5 Un Registre InternetRégional (RIR), alloue les adresses IP dans sa zone géographique à des opérateurs réseau et des fournisseurs Internet. Il existe
aujourd'hui cinq RIRs.

Annexe 7Annexe 7 : nommage des interfaces sous FreeBSD: nommage des interfaces sous FreeBSD
Vous trouverez des indications de nommage des interfaces ici
(http://doc.pfsense.org/index.php/ALTQ_drivers) et ici (http://www.gsp.com/support/man/section-4.html).
En mode console sur le serveur (8 Shell), vous obtenez la liste des interfacesavec la commande ifconfig.
Annexe 8Annexe 8 : notation CIDR: notation CIDR
Vous trouverez des informations sur Comment ça marche
(http://www.commentcamarche.net/contents/internet/le-cidr) et un calculateur CIDR ici
(http://www.subnet-calculator.com/cidr.php)

Annexe 9Annexe 9 : erreurs: erreurs
Voici un résumédes erreurs rencontrées oucommises.
« acd0: FAILURE - READ_BIG MEDIUM ERRORasc=0x11 ascq=0x00»
Causes/solutions
Problèmeavec le lecteur optique : àpriori,neporte pasdepréjudice àl'installation
Le trafic ne passe pas, malgré une écriture correcte des règles
Définition incomplèted'unalias (par exemple,pour unalias réseau créé : pasde renseignementde plaged'adresse!)
Montage tunnel impossible
Causes/solutions
Oublid'écriturede larèglesur l'interfaceWANpour autoriser le fluxliéau tunnel
Erreur deportentre celuiconfiguré pour leserveur VPN etlarèglecorrespondante sur l'interfaceWAN
Accès impossible à l'interface web de configuration via tunnel nomade
Causes/solutions
Siaffichage dumessage« AnHTTP_REFERERwas detectedother than whatisdefinedinSystem ->Advanced
(https://10.54.102.1/index.php).YoucandisablethischeckifneededinSystem ->Advanced->Admin.», désactiver
«HTTP_REFERER enforcementcheck »(lacase« Disable HTTP_REFERERenforcementcheck » dois être cochée)
Oublid'écritured'unerègledans l'interfaceOpenVPNquiautorise àaccéder àl'interface (enHTTPS par exemple)

Table des matières
Avant-propos..........................................................................................................................................................................................1
Au préalable de l’installation........................................................................................................................................................2
Services................................................................................................................................................................................................2
Architecture et adressage.........................................................................................................................................................2
Documentation et aide...............................................................................................................................................................2
Rappels et recommandations................................................................................................................................................3
Application pfSense et compatibilité.................................................................................................................................3
Schéma de principe............................................................................................................................................................................4
Installation ..............................................................................................................................................................................................5
Brassage des ports RJ45 pour identification des interfaces...............................................................................5
Boot et lancement de l'installation.....................................................................................................................................5
Paramétrage de la console.......................................................................................................................................................5
Type d'installation........................................................................................................................................................................6
Configuration des interfaces réseau..................................................................................................................................6
Identification des interfaces.............................................................................................................................................6
Pas de mise en place de VLAN.........................................................................................................................................6
Assignation des interfaces.................................................................................................................................................7
Configuration en ligne de commande de l'adressage des premières interfaces..............................8
Poursuite de l'installation via l'interface web ...................................................................................................................8
Préalable.............................................................................................................................................................................................8
Utilisation de l'assistant de configuration......................................................................................................................9
Vérification, modification et complétion du paramétrage des interfaces...................................................9
Onglet 'Interface assignments' .......................................................................................................................................9
Onglet 'VLANs'.........................................................................................................................................................................9
Vérification, complétion et modification de la configuration, interface par interface..................9
Onglet 'Interface Groups'.................................................................................................................................................10
Sécurité – configuration avancée......................................................................................................................................10

Notifications..................................................................................................................................................................................11
Mise à jour de pfSense...................................................................................................................................................................12
Sauvegarde de la configuration................................................................................................................................................12
Installation de paquets ou packages supplémentaires............................................................................................13
Outil d'exportation des clients OpenVPN....................................................................................................................13
Outil de prévention et détection d'intrusion.............................................................................................................13
Serveur mandataire (proxy / cache web)...................................................................................................................13
Filtre URL proxy cache web.................................................................................................................................................13
Définition des alias : un préalable à l'écriture des règles.........................................................................................14
Écriture des règles...........................................................................................................................................................................15
En pratique.....................................................................................................................................................................................16
Une astuce.......................................................................................................................................................................................16
Écriture/édition des règles..................................................................................................................................................17
Accès à l'interface web de configuration de pfSense et désactivation de la règle de protection
« anti-lockout »............................................................................................................................................................................17
Changement de l'ordre des règles....................................................................................................................................17
Mise en place d'une liaison site à site via un tunnel OpenVPN pour accès à serveur.............................18
Configuration côté serveur du tunnel OpenVPN.....................................................................................................18
Configuration côté client .......................................................................................................................................................19
Règle pour autoriser le montage du tunnel OpenVPN site à site..................................................................19
Règles pour autoriser le trafic dans le tunnel OpenVPN site à site..............................................................20
Mise en place d'une liaison nomade au serveur............................................................................................................21
Création du certificat d'autorité........................................................................................................................................21
Création de l'utilisateur..........................................................................................................................................................21
Création et configuration du tunnel nomade............................................................................................................22
Écriture des règles.....................................................................................................................................................................24
Export du client Windows.....................................................................................................................................................25
Création d'un tunnel IPsec..........................................................................................................................................................25
Entre deux serveurs applicatifs pfSense......................................................................................................................25

Entre un serveur applicatif pfSense et un serveur IPCOP.................................................................................25
Permettre un accès nominatif à l'Internet depuis le (V)LAN « INVITE ».......................................................26
Configuration des filtres du serveur mandataire (proxy).................................................................................26
Activation et configuration du serveur mandataire (proxy)............................................................................28
Activation et configuration du portail captif (attention : partie incomplète et probablement
erronée)............................................................................................................................................................................................29
Écriture des règles sur l'interface INVITE...................................................................................................................30
Autoriser l'utilisation d'une application utilisant des ports spécifiques...........................................30
Autoriser l'utilisation des services du web..........................................................................................................30
Isoler le (V)LAN « INVITE » (vérifier si nécessaire).......................................................................................30
Activation de l'interface et du service DHCP sur le (V)LAN « INVITE »....................................................31
Activer la redirection DNS..............................................................................................................................................31
Activer le DHCP sur l'interface INVITE...................................................................................................................31
Autoriser la maintenance, les mises à jour et les livraisons du CNERTA........................................................31
Communication entre les interfaces (d'un (V)LAN à l'autre)................................................................................32
Export du client OpenVPN pour Windows ou de la configuration viscosité pour MAC........................33
Analyser le trafic : utilisation de Snort................................................................................................................................34
Annexe 1 : extraits du dossier de montage du projet de déploiement des serveurs « pfSense» en
Lorraine..................................................................................................................................................................................................35
Spécificités du réseau informatique d'un site régional d'un EPL..................................................................35
Objectifs de déploiement des serveurs dits « pfSense ».....................................................................................35
Architecture cible.......................................................................................................................................................................36
Adressage (V)LANs et VPNs..........................................................................................................................................36
Serveur : interfaces, ports Ethernet et (V)LANs associés..................................................................................36
Annexe 2 – les alias (Aliases).....................................................................................................................................................37
Focus sur certains alias Firewall : Aliases : Edit................................................................................................37
Annexe 3 – configuration des tunnels OpenVPN...........................................................................................................38
Côté serveur du tunnel OpenVPN site à site (pfSense du site principal).................................................38
Côté client du tunnel OpenVPN site à site (pfSense du site secondaire)..................................................39

Annexe 4 – Règles d'autorisation du trafic des services...........................................................................................40
Tableau récapitulatif (exemples)......................................................................................................................................40
Règles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN..............................40
Règles sur le serveur pfSense du site principal pour le tunnel OpenVPN...............................................41
Annexe 5 – Les « bogon » ou adresses IP « invalides » ............................................................................................42
Annexe 6 – Certificats...................................................................................................................................................................43
D'autorité.........................................................................................................................................................................................43
D'utilisateur...................................................................................................................................................................................43
Annexe 7 : nommage des interfaces sous FreeBSD......................................................................................................44
Annexe 8 : notation CIDR.............................................................................................................................................................44
Annexe 9 : erreurs............................................................................................................................................................................45
« acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 »...................................................45
Le trafic ne passe pas, malgré une écriture correcte des règles....................................................................45
Montage tunnel impossible..................................................................................................................................................45
Accès impossible à l'interface web de configuration via tunnel nomade................................................45

Guide mise en oeuvre-pfsensev2

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (6)

Ähnlich wie Guide mise en oeuvre-pfsensev2

Ähnlich wie Guide mise en oeuvre-pfsensev2 (20)

Guide mise en oeuvre-pfsensev2