Installation et Configuration de Pfsense

  • Published on
    05-Dec-2014

  • View
    19.319

  • Download
    5

Embed Size (px)

DESCRIPTION

Installation et configuration de Pfsense FreeBSD. un Travail de ISMAIL RACHDAOUI

Transcript

<ul><li> 1. 2013 Pfsense FreeBSD - Un Travail de: ISMAIL RACHDAOUI GRT5 Propos Par: MR.ANAS ABOU EL KALAM - ENSAM Pour Toute question contactez moi sur : ismail.rachdaoui@gmail.com ou via Facebook FB.com/ismael.rachdaoui Gnie Rseaux et Tlcommunications ENSA Marrakech </li> <li> 2. Plan : I. Introduction Gnrale P.3 II. Installation de Pfsense P.4 III. Configuration basique P.11 IV. Pfsense Firewall P.15 a. Dcouvrir linterface de Gestion. b. Ajouter un rule c. Les Alias d. Time Based Rules e. Firewall rules Best Practices V. OpenVPN sous Pfsense P.22 VI. Hotspot Portail captif P.25 1 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 3. I. Introduction Gnrale: PfSense est un routeur / pare-feu opensource bas sur FreeBSD. PfSense peut tre install sur un simple ordinateur personnel comme sur un serveur. Bas sur PF (packet filter), comme iptables sur GNU/Linux, il est rput pour sa fiabilit. Aprs une installation en mode console, il s'administre ensuite simplement depuis une interface web et gre nativement les VLAN (802.1q). Les avnatges de PFSense que : Il est adapt pour une utilisation en tant que pare-feu et routeur Il comprend toutes les fonctionnalits de pare-feu coteux commerciales, et plus encore dans de nombreux cas ; il peut tre install sur un simple ordinateur personnel comme sur un serveur ; il est bas sur P0F (Packet Filter), comme iptables sur GNU/Linux gnralemet Il permet dintgrer de nouveaux services tels que linstallation dun portail captif, la mise en place dun VPN, DHCP et bien dautres. Il offre des option de firewalling /routage plus volue quIPCop Il permet en autre de raliser : un portail captif (Lorsquun utilisateur ouvre son navigateur internet il est redirig vers une page lui proposant de sidentifier pour se connecter) : solution propose par les hotspot. Un serveur VPN De raliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2 FAI diffrents pour avoir une redondance et ainsi viter les pannes ADSL). La configuration se fait dans l'interface web, sans rien toucher la ligne de commande. cela implique une intervention minimum sur les machines sauf pour des maintenances matriels ou de grosse mise jour qu'il est prfrable de faire sur les machines. Pour plus dinformations sur les fonctionnalits de Pfsence visitez http://pfsense.org/index.php@option=com_content&amp;task=view&amp;id=40&amp;Itemid=43.html 2 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 4. II. Installation de pfSense : Version de Pfsence Pfsence 2.0.3 Platforme dinstalaltion Vmware Workstation 9 Si vous tes habitu linstallation des OS, cette partie nest pas faites pour vous. Bien videment il faut disposer dune image ISO pour procder linstalaltion, les images sont en libre tlchargement depuis http://pfsense.org/index.php@option=com_content&amp;task=view&amp;id=58&amp;Itemid=46.html , de mme cette section de tlchargement offre des images VMware prtes. Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera install sur une machine virtuel VMware Workstation 9. Les pr-requis materiels pour linstallation sont : RAM : 512M (256 min). HDD : 1Gb Processor : 100Mhz min. 2 cartes rseaux. 3 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 5. Larchitecture de base dune installation Pfsence est la suivante : Avant de commencer linstallation, votre PC doit tre quip en minimum de deux cartes rseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour quon puisse communiquer localement avec le serveur Pfsence et la deuxime votre choix. Voil les tapes suivre pour crer une interface de loopback : Poste de Travail &gt; Proprit &gt; gstionnaire de prphriques puis Ajouter un Matriel dancienne gnration . 4 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 6. 5 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 7. Suivant Puis le deuxime choix 6 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 8. Vous choisissez Microsoft &gt; Carte de Bouclage Microsoft Vous attendez la fin de linstalaltion Et voil ! votre carte rseau de bouclage (loopback) est prt tre utiliser. 7 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 9. On commnce linstalaltion de Pfsence sous Vmware 9 On cre une Machine Virtuelle sous VMware avec les spcifications suivantes : On click sur finish, puis linstalaltion va commencer 8 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 10. La fentre suivante va saficher et choisit le 1re choix. Durant linstallation Pfsence va detecter automatiquement les listes des cartes rseaux disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien quil necessite au moins deux cartes pour quil fonctionne correctement. La premire question que nous rencontrons durant linstallation est la suivante : On va rpondre tout simplement par n (No) car on aura pas besoin des Vlan. Si tout passe trs bien, Pfsence va nous demander daffecter chaque interface ( ici le0,le1 ou le2) une interface WAN ou bien LAN (revoir larchitecture de base de Pfsence fig1). 9 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 11. La figure ci-dessus montre quon a affecter le0 au LAN, le1 au WLAN et le2 linterface OPT1. Astuce ! utiliser la lettre a pour lauto affectation des interfaces. Et voil ! linstallation se termine ici, vous avez devant vous plein doptions exploerPar la suite toutes les configurations se font par lintermediare dune intuitive interface web. Pour se conncter linterface de configuration on utilisera ladresse ip de linterface LAN http://192.168.2.1, le couple login/pass par dfaut est admin/pfsence. 10 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 12. III. Configuration Basique de Pfsence : A ce stade l, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup Wizard du menu System, puis on tape Next. 11 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 13. Eclaircicement des champs demands : Hostname : le nom du Host Domain : le domaine si cest dj tablis si non on laisse le choix par dfaut. Primary (Secondary) DNS Server : ladresse primaire (secondaire) du serveur DNS utiliser. NB : vous pouvez trs bien utiliser des serveurs DNS distant. Next Ici on dclare le serveur dhorloge avec lequel on doit se sychroniser, par dfaut cest 0.pfsence.pool.ntp.org Puis Next L, on arrive une tape trs importante, on doit configurer notre interface WAN. 12 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 14. Ici il est demand de choisir le type de configuration de linterface WAN, diffrent choix sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est bas sur la manire avec laquelle notre interface va tre utiliser. Le champs MAC Address cest pour dfinir une adresse MAC pour linterface, Pfsence lui affecte une adresse par dfaut si on le laisse vide. MTU cest pour la taille du fragement qui doit traverser le rseau. La suite de configuration est bas sur le type de linterface WAN (Static,DHCP,PPoE ou PPTP). Si le WAN est en Static on doit dfinir dans les champs IP Address et Gateway ladresse IP choisit et la passerelle respectivement. Si cest DHCP on doit identifier notre serveur Pfsence par un nom pour quil puissance sidentifier auprs du serveur DHCP (optionel). Block RFC1918 Private Networks : si cette case est coche, le parfeu va bloquer tous le trafic issue des adresses privs ou de loopback. 13 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 15. Block bogon Networks : Pour bloquer les paquets dont ladresse source est non dfinie par lIANA. Next Maintenant cest le temps pour configurer linterface LAN. Cest simple ici, on affecte une adresse IP de notre sous rseau linterface LAN. Next Pour changer le login et le pass delinterface Web. Puis Reload pour que Pfsence prend en charge la nouvelle configuration. 14 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 16. IV. Firewall rules : a. Dcouvrir Linterface De Gestion : Linterface de gestion des rules est joignable de Firewall &gt; rules, Comme vous voyez, il est possible de dfinir des rules pour linterface LAN ainsi que linterface WLAN. Pour ajouter un rule Pour modifier un rule Pour suprimer un rule 15 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 17. b. Ajouter un Rule : Action : Choisir une Action Block,Reject ou Pass. Disable This rule : cocher pour dsactiver le rule. Interface : linterface concrn par le filtrage de packet. Protocole : spcification du protocole concrn par le rule en question. Source : IP source Destination : IP destination Log : si on veut que Pfsence sauvgarde les log de cette rule. Description : descrption du rule. Dans cette exemple on va empcher tout packet ICMP (ping) au sein du rseau local. 16 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 18. Cette fentre montre que notre rule est bien ajout. Preuve NB : par dfaut le trafic du WAN vers le LAN est bloqu. Pour modier/suprimer le rule on click sur //fr/ Toutefois, Pfsence offre des fonctionnalits de filtrage avanc, telsque le filtrage par systme dexploitation, TCP flags etc. Voir figure ci-dessous : 17 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 19. c. Les Alias : Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rle du conteneurs, ils peuvent grouper un ensemble de htes, de rseaux, ou de port afin de les daffecter un traitement group. On va commencer tout dabord par la cration dun Alias, pour se faire, on click sur Alias du menu Firewall. Puis sur licone ajouter 18 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 20. On a les champs suivants : Name : le nom de lAlias Description : une dscription Type : on distingue entre 5 types dAlias, Host, Network, Port et URL. Network(s) (a dpend du type dalias): par exemple ici on dois spcifier ladresse du rseau sous format CIDR. Save lexemple montr ci-dessus va crer un Alias portant le nom Alias1, qui va regrouper tous les adresses du sous rseau 192.1682.0/24, par la suite on peut utiliser juste le nom de lAlias pour lui appliquer une politique de filtrage (voir dmo). d. Time Based rules : Parfois on a intert ativer une politique de filtrage durant une priode spcifique, par exemple on souhaite dsactiver tous flux sortant de type HTTP durant les priodes de repos, pour faire cela on fait appel aux Time Based rules (TBR). Pour crer une TBR on doit commencer par la cration du Schedule, pour se faire on click sur Schedules du menu Firewall. 19 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 21. On nomme notre Schedule et on dfinis la priode de validit, aprs on sauvgarde. Pour pouvoir lutiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN vers le WAN, on peut se base sur lalias crer auparavant), puis Advanced Settings et Schedules. 20 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 22. On sauvgarde les nouveaux changements, dsormais le parfeu va interdir tout accs internet du rseau LAN durant la periode du repos. e. Firewall Rules Best Practices : Default Deny Keep it Short Document Your Configuration Reducing Log Noise Logging Practices 21 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 23. V. OpenVPN sous Pfsence : il est possible de configurer facilement Pfsence pour quil fonctionne comme un serveur VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN. Lobjectif tant de crer un tunnel client-to-site avec une cl secret partag. Par le menu principale on choisis VPN &gt; OpenVPN. On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device Mode &gt; tun et linterface LAN,donc cest les utilisateurs locaux qui vont pouvoir tablir le tunnel VPN avec le serveur Pfsence. Pour la cl partag on peut la gnrer par OpenVPN par la commande Openvpn genkey secret /tmp/shared.key et on la copie dans lemplacement Shared Key. 22 ISMAIL RACHDAOUI GRT5 2013 </li> <li> 24. Maintenant on doit spcifier ladresse du tunnel, ici cest 10.0.8.0/24, par dfaut la premire adresse sera affect au serveur VPN et le reste pour les client. NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195 dOpenVPN. Ct client...</li></ul>