PFSENSE I) Documentation :
1. Qu’est-ce qu’un Linux bridge ?
L'idée est d'ajouter à votre ordinateur sous Linux la fonction de switch Ethernet aussi appelée bridge. Nous verrons également comment cette fonction de bridge peut être perfectionnée en bridge firewall.
Pour ajouter à votre ordinateur sous Linux cette fonction de bridge, il lui faut au minimum deux cartes réseau. Chaque carte réseau devient alors l'équivalent d'un port du switch. Le bridge fonctionnera comme un switch Ethernet classique : il apprend tout seul les adresses MAC qui sont derrière ses interfaces réseau et aiguille les paquets Ethernet comme un switch. Par contre, contrairement à un switch classique, il ne croise pas la connexion réseau : il faudra donc relier le bridge aux autres ordinateurs par des câbles croisés, et aux autres switchs par des câbles droits (les câbles "normaux" sont des câbles droits).
2. Qu’elle est sa fonction ici ?
Ici sa fonction est de filtrer les données envoyés par le client et les données envoyés par l'extérieur.
Autrement-dit, il va servir de pare-feu.
3. Définissez la fonction d’un pare-feu.
Un pare-feu est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique. Il surveille et contrôle les applications et les flux de données (paquets).
4. Sur quel système d’exploitation est basé pfsense ? PfSense est basé sur le système d'exploitation FREEBSD.
5. Relevez les services essentiels fournis par cette solution.
Ce service peut fournir des solutions tels que le VPN, le DHCP, le DNS, le PROXY, le VLAN.
Grossièrement il propose des solutions de filtrage, de routage, de VPN, etc...
6. Relevez les services nécesssaires à la navigation internet.
Les services primaires sont DHCP et DNS puis pour plus de sécurité il y a le proxy et le portail captif.
II) Installation PFSense
Nous allons voir tout au long de cette documentation comment installer pfsense du début jusqu’au service de portail captif.
Premièrement, nous allons commencer par ajouter une deuxième carte réseau à la machine pour permettre à une de pouvoir utiliser l’interface WAN(interface externe du réseau) et l’autre, l’interface LAN (interface interne du réseau)
Celle-ci est l’interface LAN du réseau.
Et celle la l’interface WAN du réseau.
Ensuite, nous démarrons la machine et installons PfSense en suivant les instructions données par la machine.
Puis, une fois l’installation terminé la machien redémarre et nous envoie ici :
Il va s’agir ici de configurer dans un premier temps les interfaces réseaux.
Ci dessus il va falloir configurer l’interface WAN, on doit donc ici entrer l’interface qui correspond.
Dans ce cas si L’interface WAN est : re0
Ensuite, nous allons bien évidement configurer l’interface LAN :
Dans ce cas si l’interface LAN est : re1
Une fois les interfaces configurées, nous arrivons sur cette page avec l’adresse IP WAN (10.123.33.124/24) et l’adresse IP LAN ici en (192.168.1.1/24).
Une fois tout ceci fait, nous allons nous rendre sur l’interface web de PfSense en tapant dans la barre de recherche 192.168.1.1
Ensuite, on renseigne les différentes cases comme ceci :
Puis, nous arrivons sur la page de configuration WAN ou on se met ici en mode DHCP :
Puis on configure le mot de passe administrateur :
Une fois la configuration finie, nous arrivons sur la page d’accueil de PfSense :
Pour sécuriser l’interface, nous allons aller dans système/avancé et descendre tout en bas et activer
« proteger menu console » comme ci-dessous :
Ensuite, nous allons configurer le serveur DHCP sur le LAN en allant dans la rebrique Services puis dans serveur DHCP :
Puis nous allons définir notre plage d’adresse IP que utiliserons les périphériques pour ce connecter au PfSense
Et ensuite pour permettre le bon fonctionnement nous allons entrer plus bas notre DNS, il permettra de résoudre les requêtes DNS du PfSense et des utilisateurs :
Ne pas oublier de bien sauvegarder lors de chaque modification.
Maintenant ce que l’on va mettre en place n’est pas a suivre au pied de la lettre il va être différent en fonction des configuration de certains réseau.
Puis, nous allons allez dans système et configuration générale et puis dans la case DNS nous allons rajouter par exemple le DNS de Google :
Puis nous allons nous rendre dans notre serveur DNS pour faire quelque petite modification : Premièrement, nous allons modifier le fichier resolver.conf ;
Et nous allons mettre devant nameserver l’adresse de notre PfSense :
Puis nous allons rajouter une ligne dans le fichier db.debian.lan :
Ici on va rajouter Pfsense IN A 192.168.1.1 pour permettre au serveur DNS de connaître le PfSense
Puis on finira par modifier les « forwarders » dans le fichier named.conf.options :
On rajoute dans la catégorie « forwarders » 192.168.1.1
Puis on finit par redémarrer le service Bind 9 :Une fois ceci fais nous allons revenir sur l’interface Web du PfSense et nous allons activer le DNS résolveur et activer le DNS forwarder :
Premièrement nous allons sur service puis résolveur DNS et ensuite nous allons décocher activer la résolution DNS comme ci dessous :
Puis nous allons aller maintenant activer le DNS forwarder dans services et dans DNS forwarder puis cliquer sur activer le transitaire DNS comme ci dessous :
Et maintenant nous avons accès à internet :
Ensuite, nous allons créer des règles de pare-feu pour sécuriser notre connexion :
Pour ce faire, nous allons allez dans pare-feu puis règles et ensuite dans l’interface Lan et désactiver les règles de base et ensuite nous allons crée 3 règles :
Premièrement, nous allons crée la règle https comme ceci :
Ensuite, nous allons crée la règles http comme ceci :
Et pour finir nous allons créer la règle dns comme ceci :
Nous allons procéder maintenant a quelque test :
Nous pouvons donc remarquer ici que nous avons bien accès à internet
Ici on peut également remarquer que l’interface est bien sécuriser car avant de pouvoir accéder a cette page il faut rentrer le login et le mot de passe.
III) Documentation 2 :
1. Qu’est-ce qu’un serveur mandataire ?
Un serveur mandataire filtre les sites Web que vous consultez. Il reçoit les requêtes de votre navigateur pour récupérer les pages Web demandées avec leurs éléments et, dans le respect des règles édictées, décide de vous les transmettre ou non. Ils sont fréquemment utilisés dans le domaine professionnel et les points d'accès sans fil publics pour contrôler quels sites peuvent être consultés, pour interdire l'accès à Internet sans identification, ou pour effectuer des contrôles de sécurité de certains sites répertoriés.
2. Explicitez le fonctionnement d’un serveur mandataire. Quelques éléments à considérer :
— Modèle
— Ports utilisés
— Cache
— Filtrage
— Sécurité
Le principe de fonctionnement basique d'un serveur proxy est assez simple : il s'agit d'un serveur "man- daté" par une application pour effectuer une requête sur Internet à sa place. Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide d'une application cliente configurée pour utiliser un serveur proxy, celle- ci va se connecter en premier lieu au serveur proxy et lui donner sa requête. Le serveur proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au proxy, qui va à son tour la transmettre à l'application cliente. Les ports principaux utilisés sont le port 80 (HTTP) et le port 443 (HTTPS), mais il y a également pour le serveur proxy le port par défaut qui est 3128 et la valeur courante qui est 8080.
La plupart des proxys assurent ainsi une fonction de cache, c'est-à-dire la capacité à garder en mémoire (en "cache") les pages les plus souvent visitées par les utilisateurs du réseau local afin de pouvoir les leur fournir le plus rapidement possible.
Il est possible d'assurer un suivi des connexions (en anglais logging ou tracking) via la constitution de journaux d'activité (logs) en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de connexion à Internet. Il est ainsi possible de filtrer les connexions à internet en analysant d'une part les requêtes des clients, d'autre part les réponses des serveurs.
3. Quelles peuvent être ses fonctions dans un réseau ?
Dans un réseau, il peut servir de Gateway, de Dns, mais aussi de serveur proxy et de filtrage réseau.
4. Expliquer les avantages et inconvénients d’un fonctionnement en mode "normal".
5. Expliquer les avantages et inconvénients d’un fonctionnement en mode "transparent".
IV) Configuration PFSense_Proxy
Nous allons commencer par telecharger les paquets de squid :
Ensuite nous allons allez dans services puis squid server proxy et nous allons ajouter l’autorisation du réseau a pouvoir utiliser le proxy dans les Acl :
et ensuite nous allons activer les différentes options suivantes :
elles vont permettre de mettre en route le proxy.
On peut remarquer ici que le proxy transparent est bien fonctionnel.
Ensuite, nous allons passer à la configuration du filtrage.
Premièrement, nous allons activer tous les services,comme ci-dessous :
Puis maintenant nous allons télécharger la « blacklist », elle va nous permettre certains site en fonction de leur thème pour ce faire nous allons renseigner les champs comme ci-dessous :
et maintenant nous allons nous rendre dans « blacklist » pour pouvoir télécharger celle ci :
Puis nous allons nous rendre dans target rules pour configurer ces règles
Ici nous allons mettre deny dans les cases que nous souhaitons pas que les sites s’affichent,
Puis nous allons cocher ces deux cases qui vont permettre d’afficher cette page et écrire le message que nous souhaitons qu’il apparaissent :
TRES IMPORTANT: Pour valider les paramétrages, retournez sur l’onglet “General settings” et cliquez sur “Apply”
Pour finir, nous allons faire un test pour voir si il est possible d’aller sur un site que nous avons bloquer :
Ducoup ici on peut voir que cette page est bloqué par notre pare-feu,
V) Documentation 3 :
1. Quelle est la fonction d’un portail captif dans un réseau ?
Un portail captif est un élément de contrôle mandataire régulant l’accès au réseau pour les clients équipés d’un navigateur web. Dans une infrastructure, il permet d’authentifier les clients connectés en Wi-Fi ou par Ethernet avant leur accès effectif au réseau extérieur.
2. Comment fonctionne le portail captif ?
Il intercepte tous les paquets liés aux protocoles HTTP ou HTTPS quelles que soient leurs destinations jusqu'à ce que l'utilisateur ouvre son web. L’utilisateur est redirigé vers une page web permettant de s'authentifier, d'effectuer un éventuel paiement, de remplir des informations, et de recueillir le consentement de l'utilisateur concernant les conditions d'utilisation ou la collecte de données personnelles.
VI) Configuration PFSense_Portail Captif
Premièrement, nous allons créer un utilisateur pour pouvoir se connecter au portail
Puis ensuite le groupe dans lequel l’utilisateur sera affecté,
Une fois ceci fait, il faut modifier l’utilisateur de façon a ce qu’il puisse avoir des privilèges
Comme ceci,
Une fois ceci fait, nous allons crée le portail captif dans services et captive portal et y entrer les informations comme ceci :
Et voila notre portail captif est enfin prêt nous allons maintenant procéder au test.
Ici nous pouvons bien remarquer qu’ils nous demande d’ouvrir la page pour nous connecter.
Ici nous devons nous connecter avec l’utilisateur que nous avons crée et nous pouvons voir ci-dessous que tout est bon :
