Les réseaux des EPLEFPA. Guide «PfSense»

Transcription

1 Les réseaux des EPLEFPA Guide «PfSense» Chantier national DRTIC Mai 2010

2 2 Table des matières 1 Installation de la PfSense...3 Schéma de principe...3 Préalable...3 Installation Configuration de la PfSense Mise en place du VPN site-à-site...13 Schéma de Principe...13 Installation de Slave-pfSense...13 Configuration de Slave-pfSense...14 Mise en place du serveur IPSec sur Master-pfSense...16 Mise en place du serveur IPSec sur Slave-pfSense Règles du Firewall...17 Trafic Internet...17 Communication entre les interfaces...18 Règles du tunnel Ipsec Configuration des fonctionnalités de proxy...20 Installation des packages :...20 Configuration de squid...21 Configuration de squidguard...21 Mise en place d ACL Ajout du VPN : clients mobiles (OpenVPN)...23 Schéma de l architecture réseau mise en œuvre...23 Configuration de Master-pfSense pour l Open VPN Annexe

3 3 1 Installation de la PfSense Schéma de principe Avant tout, voici le schéma général de l installation mis en place pour cette documentation (bien entendu, toutes les adresses IP sont à adapter) : Préalable Avoir préparé le PC contenant 1, 2, 3 ou 4 cartes réseau en fonction de la configuration choisie. Il est rappelé que les différentes interfaces d'un Firewall ne doivent pas être connectées au même réseau physique ou alors uniquement sur des ports appartenant à des VLAN 802.1q différents. Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements. Relevez quelques paramètres clefs comme l'adresse IP publique que vous allez utiliser pour la carte WAN de votre PfSense, ainsi que les IP que vous utiliserez pour vos différentes interfaces locales.

4 4 Installation Téléchargez la dernière version stable dans la rubrique «download» du site PfSense Le mirroir français qui permet de télécharger la dernière version de Gravez l image téléchargé sur un CD bootable Débranchez les câbles réseau de votre futur firewall pfsense (ils seront rebranchés plus tard). Bootez l ordinateur avec le CD pfsense. Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles. Vous allez choisir ici l'option 1 (défaut) : Appuyez sur «n» au prochain écran, et faites ENTRER. pfsense :

5 5 Ensuite vient la configuration des interfaces réseau. Choisissez quelle interface sera le LAN et l'autre le WAN. A la question «enter the Lan interface name or a for auto-detection:», tapez «a». Ne faites pas «Entrer» pour le moment, mais branchez votre câble réseau sur votre carte réseau destinée au LAN (dans notre exemple : lnc0). Ensuite, vous pouvez faire «Entrer». Faites de même pour la carte réseau qui sera reliée au WAN (dans notre exemple lnc1) : À la ligne suivante (Optional interface) ne mettez rien et appuyez sur entrer. Vous aurez ensuite un récapitulatif de la configuration et devrez la valider en tapant «y». FreeBSD se charge ensuite et nous entrons dans le menu. Nous allons donc passer à l'installation sur le disque dur en tapant le choix "99" :

6 6 Nous allons voir en détail comment se décompose l'installation de pfsense (le choix à faire est celui surligné en bleu) Le changement de confiiguration du clavier en français ne fonctionne pas, la modification pourra être faite après l installation. Choisissez le disque dur sur lequel vous souhaitez installer votre pfsense : Si nécessaire, nous allons voir comment formater le disque dur, pour cela allez sur «Format this Disk», sinon vous pouvez sauter l'étape en allant sur «Skip this step» : Ici allez directement à «Use this geometry», «Format ad0», puis «Partition Disk» :

7 7 Vous pouvez ici soit garder la taille de la partition (par défaut il utilisera tout le disque dur), ou bien lui définir une taille. Allez ensuite sur «Accept and Create», «Yes partition ad0», puis OK: Sélectionnez la partition sur laquelle installer pfsense, faites OK, puis «Accept and Create» pour établir le Swap :

8 8 L installation de pfsense va commencer : Nous allons maintenant créer le "BOOT" du disque dur. Cela va permettre de démarrer la machine directement sur pfsense. Faites «Accept and install Bootblocks», OK et «Uniprocessor kernel» : A la fin de l installation de pfsense, vous pouvez retirer le CD et redémarrer la machine en allant sur «reboot»

9 9 2 Configuration de la PfSense PfSense est en marche. Nous allons maintenant passer à la configuration. Dans ce chapitre, nous configurons à titre d'exemple la machine Master-pfSense du schéma de principe. Pour avoir le clavier français, taper 8) shell puis «kbdcontrol l fr.iso.kbd» Pour une configuration permanente, il faudra placer la ligne dans le service «shellcmd» qu il est possible d ajouter à partir des packages disponibles. Ensuite, il faut changer l'ip sur la carte réseau LAN (réseau admin) de pfsense. Pour cela, dans le menu, tapez le choix 2 («Set LAN IP address»). Entrez l'adresse IP correspondante à votre LAN ainsi que le masque (24 en général) : Après avoir configuré les cartes réseau, vous devriez avoir une étoile près du nom des interfaces, indiquant la bonne connexion des câbles réseau.

10 10 Nous allons pouvoir maintenant configurer pfsense via l'interface Web. Connectez une machine sur la carte réseau de pfsense (côté LAN : réseau admin). Ouvrez ensuite votre navigateur Web, puis entrez (dans notre cas). Entrez ensuite le login (par défaut admin, mdp : pfsense). Au premier écran, faites NEXT, tapez ensuite le nom de la machine, le domaine et l'ip du DNS, Exemple : Nom : pfcnerta Le nom d'hôte de votre système Domaine : educagri.fr Votre nom de domaine DNS : Les adresses DNS généralement fournies par votre FAI Fuseau horaire : Eurpoe/Paris Votre fuseau horaire Ensuite, sélectionnez votre fuseau horaire :

11 11 Nous allons maintenant configurer l interface WAN. Sélectionnez le «SelectedType» «Static», l adresse IP de la carte WAN (en direction d internet) IP : Décochez les deux cases «block» tout en bas : Vérifiez ensuite la configuration de la carte LAN qui doit être correcte puis faire NEXT. Pour finir, modifier votre mot de passe pour l accès à pfsense, faites NEXT, puis RELOAD, et relancez ensuite votre navigateur :

12 12 Une fois l interface graphique de pfsense chargée, branchez physiquement votre carte réseau reliée au réseau Pedago. Allez à l onglet «Interfaces», puis «assign», et cliquez sur la case «+» à droite. Sélectionnez la carte réseau correspondant à la nouvelle interface OPT1 et pour finir, cliquez sur «Save». Ensuite retournez sur l onglet «Interface», puis «OPT1», et configurez l interface : Il est possible de la même manière d ajouter d autres interfaces pour des réseaux supplémentaires comme une zone wifi, une zone DMZ, une zone

13 3 Mise en place du VPN site-à-site Schéma de Principe Voici le schéma du réseau que nous allons configurer : Installation de Slave-pfSense Nous venons de réaliser au chapitre précédent l'installation du Firewall Master-pfSense. Pour l installation de Slave-pfSense, le principe est le même. Reprenez les étapes décrites au chapitre 1 traitant de l installation. 13

14 Configuration de Slave-pfSense Nous passons ensuite directement à la configuration : Connectez une machine sur la carte réseau de pfsense (côté LAN : réseau Admin). Entrez (dans notre cas) dans votre navigateur Web. Entrez ensuite le login (par défaut admin, mdp : pfsense). Au premier écran, faites NEXT. Tapez ici le nom de la machine, le domaine et l'ip du DNS: 14

15 15 Faites de même pour les configurations des cartes WAN, LAN (elle doit être normalement bien configurée) et Pedago, en l adaptant selon le paramétrage de votre réseau :

16 16 Mise en place du serveur IPSec sur Master-pfSense Allez dans l onglet VPN > IPSec Tunnels Cliquez sur la case «+» pour créer un nouveau serveur IPSec en mode Tunnel. Remplissez les champs généraux suivants (toujours en adaptant avec vos adresses IP) : Interface : WAN. Local subnet : LAN subnet (sous réseau LAN de Master-pfSense). Remote subnet : /24 (sous réseau LAN de Slave-pfSense). Remote gateway : (@IP WAN Slave-pfSense). Description : Ici votre description, par exemple Tunnel Master-Slave pfsense. Negociation mode : agressive. My identifier : My IP address. Encryption algorithm : 3DES. Hash Algorithm : SHA1. DH Key Group : 2. Lifetime : Pre-Shared Key : [votre clé partagée] (utilisez par exemple une clé comme IPSec@pfSense). Protocol : ESP (une règle Firewall sera créée pour autoriser en entrée ESP). Encryption algorithms : 3DES (décochez les autres possibilités). Hash algorithms : SHA1. PFS key group : 2. Lifetime : Automatically ping host Mise en place du serveur IPSec sur Slave-pfSense La configuration du serveur IPsec de Slave-pfSense est similaire à celle de Master-pfSense. Répétez les étapes énoncées précédemment en changeant bien sûr les paramètres suivants : Remote subnet : /24 (sous réseau LAN de Master-pfSense). Remote gateway : (@IP WAN Master-pfSense). My identifier : My IP address. Après la configuration du tunnel, la commande «Status : Ipsec» permet de vérifier que la configuration est correcte. L onglet «SAD» permet de vérifier le bon fonctionnement du tunnel après avoir tenté un ping sur une machine du réseau distant.

17 17 4 Règles du Firewall La logique de fonctionnement du pare-feu peut différer suivant les objectifs de l administrateur réseau de l établissement. Dans le cas où la simplicité de mise en place est recherchée, il est possible d autoriser tous les ports en sortie pour les protocoles TCP et UDP pour la navigation vers Internet. Pour un fonctionnement plus sûr et mieux maitrisé, seuls les ports nécessaires seront ouverts. Il sera alors nécessaire de faire l inventaire exhaustif de tous les services nécessaires, ce qui représente un travail important. Les règles permettent de mettre en place les différents services autorisés sur chaque interface. Il est possible d autoriser tout le trafic en sortie dans le cas où les contraintes d ouverture de ports La logique de création consiste à les créer sur l interface qui représente la source du traffic. Par exemple pour la navigation sur internet d un poste du LAN sur le port 80, le trafic part du poste puis passe par l interface LAN avant de sortir par l interface Wan. La règle permettant ce service sera écrite sur l interface LAN. Pour créer une règle, il suffit de cliquer sur Firewall -> Rules, puis sur l onglet voulu par exemple LAN. Trafic Internet Pour naviguer sur Internet, il faudra créer les règles de base pour les ports 53 (DNS), 80 (http), 443 (HTTPS), 21 (FTP). Le protocole ICMP permettra d utiliser la commande «Ping» pour des tests de certaines adresses IP. Par la suite, il sera certainement nécessaire d ajouter des ports correspondants aux autres services nécessaires ( serveur de messagerie, FirstClass, Nocia,.). Ce point sera abordé dans un document annexe indépendant, le travail de configuration des ports n est pas spécifique à Pfsense. Après avoir déclaré les ports ouverts pour la zone admin (LAN), il sera nécessaire de faire la même chose pour la zone PEDAGO (OPT1) en modifiant la liste des ports pour l adapter aux nécessités de la zone pédagogique. L accès aux serveurs de messagerie, à FirsClass, à nocia ne sera peut-être pas nécessaire alors que l accès à MSN pourra l être.

18 18 Pour autoriser l accès depuis l extérieur, il est nécessaire de mentionner les ports à ouvrir suivant les services concernés. Ainsi, l accès depuis des clients nomades OpenVpn, le port 1194 devra être ouvert pour l interface WAN vers le réseau Admin. Communication entre les interfaces Suivant la configuration de l établissement, il sera peut-être nécessaire d autoriser des liaisons entre les réseaux. Par exemple, l accès aux partages de fichier ou d imprimantes peut-être établi de la zone «Admin» vers la zone «PEDAGO».

19 19 Règles du tunnel Ipsec Pour une utilisation courante, les services TSE (3389 MS RDP) et partage de fichiers (445MS DS) sont nécessaires pour accéder aux serveurs LGA du site principal. L accès au ping (ICMP echo) est également une bonne précaution en cas de doute sur l accès. Pour autoriser ces services, il est nécessaire de les mentionner au niveau de l interface LAN de la Slave Pfsense (interface source du trafic). Au niveau de l interface Ipsec de la Master Pfsense ils seront également nécessaires. Pour des raisons de sécurité, il est préférable de n autoriser que ce qui est strictement nécessaire, donc ces services seront configurés des adresses de l interface LAN vers l adresse du serveur de traitement. Il peut être nécessaire détendre les autorisations vers le serveur de données si des postes du site distant ont besoin d accéder aux données en utilisant le driver ODBC. Ports ouverts sur la zone LAN de la Slave Pfsense : Ports ouverts sur la zone IPSEC de la Master Pfsense : Pour autoriser des accès de la zone LAN du site principal vers le site distant, il sera nécessaire d ajouter des ports dans la zone LAN de la Master pfsense et dans la zone IPSEC de la Slave Pfsense. Ce sens de communication est assez rarement utilisé, il est donc préférable de ne le configurer qu en cas de nécessité.

20 20 5 Configuration des fonctionnalités de proxy Pour pouvoir utiliser les fonctionnalités de proxy, il faut ajouter les packages «squid» et «squidgard» puis configurer les blacklist, les différentes restrictions et éventuellement des règles d accès supplémentaires (ACL) Installation des packages : Cliquer sur le signe + pour ajouter le package Squid Installer ensuite Squidguard de la même façon Après l installation l onglet InstalledPackages permet de vérifier que les deux modules sont bien installés.

21 21 Configuration de squid Cliquer sur Services Proxy server. Dans l onglet Général, configurer les options suivantes : Proxy interface : PEDAGO (dans notre cas). Pour sélectionner plusieurs interfaces utiliser la touche control Allow user on interface : valider. Transparent proxy : valider. Log store directory : /var/log : dossier contenant dèjà les autres logs. Proxy port : 3128 : port classique pour proxy. Language : French Cliquer ensuite sur Save pour enregistrer la configuration. Au niveau de l onglet Access control -> Blacklist, il est possible d indiquer des sites en complément des Blacklist de squidguard. Configuration de squidguard Cliquer sur Services Proxy filter. Enable : valider. Blacklist : valider. Blacklist url : Actuellement, les listes de l université de Toulouse ne fonctionnent pas correctement avec la pfsense. Cliquer ensuite sur sauvegarder puis sur Upload url pour charger la blacklist.

22 22 La liste commence à se charger, le message disparaît lorsque le téléchargement est terminé. Il faut ensuite cliquer sur l onglet «Default» puis sur le triangle vert pour afficher la blacklist. Sur chaque élément que vous souhaitez autoriser, choisissez allow, et deny pour ceux que vous voulez interdire Not to allow IP addresses in URL : cocher si vous souhaitez interdire les adresses IP tapées directement dans l URL. Redirect mode : laisser l option par défaut int error page Redirect info : entrer un message d erreur personnalisé, par exemple «Accès interdit, contacter votre administrateur» Enable log : cocher la case pour enregistrer l activité du service Cliquer enfin sur Save pour enregistrer la configuration. A noter qu il faut également cliquer sur Apply au niveau de l onglet General settings pour mettre en œuvre les options paramétrées. Mise en place d ACL Une ACL (Access Control List) permet de définir des règles d accès pour certaines adresses IP. Sélectionner Services -> Proxy filter -> ACL puis cliquer sur +. Name : donner un nom à votre ACL. Source IP adresses and domains : Entrer une plage d adresses IP ex Destination : cliquer sur le triangle vert et sélectionner les domaines à bloquer.

23 23 6 Ajout du VPN : clients mobiles (OpenVPN) Schéma de l architecture réseau mise en œuvre Configuration de Master-pfSense pour l Open VPN La suite de la configuration du serveur et des ses clients est détaillée dans le guide «Les réseaux des EPLEFPA - Clients OpenVPN» au chapitre traitant de la pfsense.

24 7 Annexe 1 Schéma vierge : 24

25 25