Session 2014/2016

Epreuve E4 Mise en place d’un serveur PfSense

Quentin NICOLAS PROMEO

1

NICOLAS Quentin

Sommaire Introduction ........................................................................................ 2

pfSense en quelques lignes .............................................................. 2

configuration recommandée ............................................................ 3

Installation de PfSense ........................................................................ 4

Installation du portail captif ................................................................ 5

Qu’est ce qu’un portail Captif ? ........................................................ 5

Gerer les utilisateurs sous PfSense ...................................................... 7

La Fonction DHCP ................................................................................ 8

Mise en place ................................................................................... 8

La fonction Firewall ............................................................................. 9

Qu’est-ce qu’un firewall ? ................................................................. 9

Mise en place sous Pfsense .............................................................. 9

Conclusion ......................................................................................... 10

2

NICOLAS Quentin

Introduction

PfSense est une appliance basé sur FreeBSD, il agit comme un firewall/routeur. Il peut être installé sur

un ordinateur classique ou un serveur, le minimum étant d’avoir au moins 2 cartes réseaux. PfSense

est reputé pour sa fiabilité et sa simplicité car s’il s’installe en ligne de commande, il peut ensuite

s’administrer via une interface reseau disponible en se connectant à son adresse IP via un navigateur

WEB.

PfSense en quelques lignes

- Propose des fonctions de pare feu tres avancés pouvant etre couteuse

o Filtrage de paquet

o Limitation de bande passante

o Enregistrer le traffic suite a une regle

- S’installe sur differents support

- Peu gourmand en ressources

- Gere nativement les VLAN (802.1q)

- Intervention sur PfSense via l’interface WEB

- Les fonctionnalités :

o Firewall

o routing

o Portail captif

o Serveur DHCP

o Serveur VPN

o Load balancing multiWAN

o NAT

o DNS

Obtenir PfSense est très simple puisqu’il est libre, il suffit de télécharger l’ISO sur le site officiel

https://www.pfsense.org/download/

L’installation se fait ensuite de facon classique comme la plupart des versions serveur de distribution

linux, avec des lignes de commandes.

PfSense propose la particularité de pouvoir « s’essayer », l’iso d’instalation contenant une version Live

qui permet de le faire tourner sur une machine sans avoir à l’installer.

3

NICOLAS Quentin

configuration recommandée

Configuration minimal Configuration recommandée

Processeur 500 Mhz 1 Ghz

Mémoire vive 256 Mo 1 Go

Stockage � 1 Go

Sans oublié qu’il est nécessaire d’avoir 2 cartes réseau minimum qui seront dédié chacune a une zone ;

WAN ou LAN de façon primaire.

La machine faisant tourné PfSense sera en bout de sortie réseau et devra être un point de convergence

afin d’être le passage obligatoire pour tout paquet réseau souhaitant sortir.

Serveur pfSense en

position Firewall

Premiere carte reseau (LAN)

Deuxieme carte reseau (WAN)

4

NICOLAS Quentin

Installation de PfSense

L’installation de PfSense est tres simple, il suffit de lancer l’image ISO, il y a ensuite la possibilité de le

tester avec une version Live et ensuite de l’installer via cette version live

Lors de l’installation PfSense demande qu’elles sont les carte reseau présente et ensuite de définir la

carte correspondant au WAN et celle pour le LAN.

On choisira l’option 99 afin d’installer PfSense

Une fois l’installation terminé on accèdera à PfSense via une interface Web en utilisant un PC et son

navigateur qui se situe du côté LAN de PfSense

Vous avez maintenant accès à toutes les fonctionnalités de PfSense

5

NICOLAS Quentin

Installation du portail captif

Qu’est-ce qu’un portail Captif ?

Le portail captif permet de contrôler avec des utilisateurs leur accès au réseau, le portail va « attraper »

toute personne souhaitant aller sur le net en affichant une page sur le navigateur obligeant l’utilisateur

à s’authentifier.

Ceci permet à l’admin de contrôler le débit entre chaque utilisateur en définissant des limites ou des

quotas.

Dans le cas d’un réseau publique cela peut permettre de mieux partager une bande passante par

exemple ou obliger certaine personne à aller s’enregistrer auprès de l’administrateur pour obtenir son

propre login, cela évite de partager un mot de passe wifi par exemple.

Sur PfSense l’installation se fait via le menu dédié

Il faudra ajouter un portail captif en cliquant sur Puis il faut activer l’option et rentrer les

paramètres désiré

On se rend compte directement de la possibilité énormes des réglages (utilisateurs maximum, filtrage

IP, débit,)

6

NICOLAS Quentin

Il ne reste plus qu’à définir selon nos besoins et à enregistrer les paramètres

On arrivera ensuite devant cette page si on essaye de se connecter au net

A savoir que le portail captif peut se trouver du coté LAN ou du côté WAN

Pour les utilisateurs nous avons vu dans les paramétrages que l’on peut utiliser un serveur Radius, ou

bien utiliser des utilisateurs locaux.

7

NICOLAS Quentin

Gérer les utilisateurs sous PfSense

Il faut se diriger vers le menu correspondant et demander à ajouter un utilisateur en cliquant sur

On peut alors renseigner le nom d’utilisateur ainsi que le mot de passe que l’on souhaite, une fois

l’utilisateur crée on peut également le mettre dans un groupe ou bien régler ses privilèges comme

celui de pouvoir s’authentifier sur le portail captif par exemple ou des règles de filtrage en plus ou en

moins.

8

NICOLAS Quentin

La Fonction DHCP

Le serveur PfSense peut également fournir le service DHCP à la partie LAN.

Le serveur DHCP permet de distribuer sur la partie LAN, des paramètres IP automatiquement aux hôtes

présents sur le réseau, cela permet de gagner du temps, d’éviter certaine problématique et de

paramétrer directement les hôtes avec par exemple un DNS spécifique à utiliser.

Mise en place

Pour l’activer et le paramétrer il faut se rendre à ce menu

On peut alors choisir un ensemble de paramètre comme définir la plage IP, mais également crée des

Pools, qui permettront de distribuer par exemple des IP suivant des Vlan.

A partir du moment où les paramètres sont enregistrer le serveur DHCP sera en fonctionnement.

9

NICOLAS Quentin

La fonction Firewall

PfSense est avant tout connu pour cela, sa fonction firewall est très efficace et complète, permettant

de convenir à tout type d’infrastructure.

Qu’est-ce qu’un firewall ?

Le firewall va permettre de gérer les flux entrant et sortant sur un réseau, permettant par exemple

l’accès ou non à un site web ou bien à un service (vidéo en ligne, streaming, VOIP, téléchargement)

avec la possibilité de gérer des exceptions pour certains utilisateurs. Dans le cadre d’une entreprise,

où chaque service est divisé en Vlan nous pourrons configurer des règles de filtrages spécifique comme

autorisé l’accès à YouTube pour le service communication et supprimer cette accès aux autres services

en spécifiant simplement à PfSense que le Vlan X a accès à YouTube et les autres non.

Mise en place sous PfSense

Nous allons nous concentrer sur la partie « règles »

On peut donc ici ajouter une règle coté LAN ou WAN

Il suffit d’aller dans le coté correspondant (ici LAN) et de cliquer sur afin d’ajouter une règle

10

NICOLAS Quentin

Dans action on choisira « Block » afin de bloquer ce qui sera définie, dans notre cas, dans on choisira

l’interface LAN et le protocole ICMP correspondant au Ping.

Cette règle signifie donc que le protocole ICMP est bloqué dans le réseau Lan.

Il y a également la possibilité de choisir la source afin de définir une IP particulière ou un Vlan entier,

Mais également une destination vers une IP ou un Vlan aussi pour cibler la règle plus profondément.

Conclusion

PfSense est un OS complet et fiable qui sera apporter un service complet et simple de configuration,

les nombreuses années de développement ainsi que l’importante communauté autour de PfSense

apporte une confiance supplémentaire dans cette solution de sécurité.

Nous avons tout au long de ce PPE vu quelques fonctionnalités mais il est possible d’approfondir avec

l’association à un serveur AD Windows server et un Radius. Beaucoup de fonctionnalités sont

disponible est les passé chacune en revue prendrait certainement beaucoup de temps au vu de

l’important contenu de PfSense.

Mais il est certain que c’est un produit qui sera convenir a une petite entreprise comme à un plus

grosse avec une infrastructure plus importante. De par la gratuité de de PfSense et la seule nécessité

d’un serveur contenant un nombre suffisant de cartes réseaux<