PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE Antoine CAMBIEN BTS SIO Option SISR Session 2015
BTS SIO Services Informatiques aux Organisations Session 2014 2015 Nom du candidat : Antoine CAMBIEN Projet Personnalisé Encadré N 3 Activité : Gestion de notre NAT/Pare feu avec PFSense Contexte : Nous souhaitons mettre en place les échanges de connexions entre notre réseau privé et Internet. Objectifs : Nous devons paramétrer notre pare-feu PFSense pour autoriser les connexions entre notre réseau privé et Internet. Solutions envisageables : 1) Désactiver le pare-feu PFSense 2) Paramétrer chaque règle de notre pare-feu lié à nos services Description de la solution retenue : Paramétrer chaque règle de notre pare-feu lié à nos services Conditions initiales : Pare-feu PFSense non paramétré Conditions finales : Avoir un pare-feu paramétré filtrant le réseau d entreprise Outils utilisés : PFSense Logiciels : PFSense Conditions de réalisations : Durée de réalisation : 0h30 : Explication et configuration de notre pare-feu PFSense 33
COMPETENCES MISE EN OEUVRE POUR CETTE ACTIVITE PROFESSIONNELLE Productions relatives à la mise en place d un dispositif de veille technologique et à l étude d une technologie, d un composant, d un outil ou d une méthode - A1.2.1, Élaboration et présentation d'un dossier de choix de solution technique - A4.1.9, Rédaction d'une documentation technique 34
Table des matières I Introduction... 36 II Configuration... 37 Conclusion... 41 35
I Introduction Voici le schéma type d un pare-feu. Le LAN peut communiquer avec tout le monde, la DMZ ne peut que recevoir des connexions et le réseau des clients VPN, ne peut communiquer qu avec l extérieur. Ce schéma doit être peaufiné en filtrant sur cette trame de règle, les services légitimes. Par exemple, nous souhaitons accéder au protocole HTTP et HTTPS de vcenter, nous allons autoriser le réseau internet à communiquer avec. 36
II Configuration Dans le menu de PFSense, nous allons dans la section «Firewall» puis «Rules», afin de configurer le pare-feu. Nous pouvons ici voir plusieurs onglets permettant le paramétrage des règles en fonction des différentes interfaces. Il faut savoir qu une règle est toujours en entrée sur l interface associé. Dans ce cas-là, l interface WAN est notre «porte» sur Internet. L interface LAN contient seulement nos services internes et la DMZ, contient nos services qui nécessitent un accès depuis l extérieur de notre réseau. Nous cliquons sur le «+» «add a new» afin de créer une règle. 37
Nous sommes dans le paramétrage d une règle sur l interface WAN. Dans notre cas, nous souhaitons accéder au protocole http (80) sur notre VM 10.1.0.2 (vcenter). Pour cela nous choisissons ces paramètres. Le protocole UDP n est pas nécessaire. Nous pouvons renseigner la source qui filtrera l accès au paramètre renseigné. La destination dans notre cas est 10.1.0.2 et le port 80. Nous pouvons choisir de garder les logs de nos échanges sur cette règle. 38
Nous appliquons la configuration puis nous pouvons voir notre règle ajouté. Il est à noter que nous avons rajouté une règle interdisant tout trafic depuis l interface WAN excepté les règles que nous aurons rentré préalablement. Le refus de paquet peut se faire de 2 manières différentes. Il existe les options «block» et «deny». L option «block» bloque les paquets arrivant sur l interface mais n avertit pas la source que ces paquets ont été bloqués. L option «deny» avertit la source du refus de ses paquets. Nous rajouterons aussi une règle pour le port 443 (HTTPS) et activerons les logs sur la règle bloquante. Afin de tester notre pare-feu, nous tentons de nous connecter sur le port 1337. Ensuite, dans l onglet «Status», «System Logs», nous pouvons accéder aux logs de notre pare-feu. Nous voyons bien que notre demande de connexion a été refusée. 39
Maintenant que nous avons autorisé le pare-feu sur les ports 80 et 443 de vcenter, nous devons faire du NAT afin de pouvoir rediriger la demande sur l adresse IP désiré. Nous ajoutons une règle en indiquant TCP comme protocole, que le port de destination de notre WAN est 80, que l adresse de destination est 10.1.0.2 sur le port 80. Ainsi chaque requête HTTP qui arrivera sur le WAN sera redirigée vers notre machine virtuelle vcenter. Il est à noter que la création d une règle NAT dans PFSense, créé automatiquement sa règle dans le pare-feu. 40
Conclusion Dans ce PPE, nous avons pu voir la configuration d un pare-feu et du NAT sous PFSense. Cela va permettre de sécuriser notre architecture et la rendre fonctionnelle. 41