Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011
2 Suivi des Versions Version : Date : Nature des modifications : Ecrit par : Relu par : Validé par : 1.0 30/05/2011 Création du document Mohamed DAOUES 1.1 1.2 Elaboré par Mohamed DAOUES 2
3 Sommaire I. Préambule... 4 II. Présentation PfSense... 4 1. Les services proposés... 4 2. Fonctionnement d un pare-feu... 4 III. Terminologie... 5 IV. Installation et configuration... 5 1. Préparation du matériel... 5 2. Paramétrage et configuration du Minicom... 6 V. Création d un VPN... 7 VI. Les règles au niveau du pare-feu... 9 Elaboré par Mohamed DAOUES 3
4 I. Préambule Ce document résume la mise en place d un routeur/pare-feu. Les directives de ce T.P sont tirées de la documentation fournies au niveau du cours et quelques recherches sur internet. Il y a deux documents principaux que nous devons au préalable lire et qui sont FireWall WRAP.ppt et Notice PfSense.pdf. Lors de ce T.P nous allons utiliser un boitier commercialisé par la société PCengines que vous pouvez consulter ses spécifications matérielles via ce lien : http://www.pcengines.ch/alix2d0.htm. Nous aurons besoin d un câble série et d une connexion de type connexion HyperTerminal pour pouvoir le configurer. II. Présentation PfSense PfSense, ou «Packet Filter Sense» est un routeur /Pare-feu basé sur un système d exploitation FreeBSD, réputé pour sa stabilité et sur m0n0wall qui est aussi un Firewall/Routeur Open Source (http://m0n0.ch/wall/).il est facile d installation et de configuration. En effet il est possible de configurer quasiment toutes les fonctionnalités des services proposés par une interface Web. 1. Les services proposés Ici nous listons les différents services qu offres PfSense : - Pare-feu - Traduction d'adresses réseaux (NAT) - Création de VPN IpSec, OpenVPN ou PPTP - Serveur DHCP - Serveur DNS et DNS dynamiques. - Portail Captif - Redondance et équilibrage de charge - Graphes pour la charge système et réseaux Par rapport au TP que nous avons préparé au cours de cette séance nous allons nous limiter à quelques services. 2. Fonctionnement d un pare-feu Lors de sa configuration par défaut et au niveau de l interface WAN tout trafic entrant est bloqué tandis que tout trafic sortant quant à lui est autorisé. Alors que sur l interface LAN tout trafic est autorisé. Et l interface IPSec quant à elle, se comporte comme une interface WAN mais de façon virtuelle sécurisée. IPSec LAN Légende : WAN Vert : trafic autorisé Rouge : trafic bloqué Elaboré par Mohamed DAOUES 4
5 III. Terminologie Pendant notre travail nous allons utiliser plusieurs termes donc nous avons trouvé judicieux de les définir au préalable. NAT (Network Adress Transalation) C est une méthode de traduction des adresses IP qui permet la correspondance entre des adresses IP internes non routables au niveau du LAN à un ensemble d adresses externes uniques et routables. Ce mécanisme permet de faire correspondre une seule adresse externe publique visible à toutes les adresses d un réseau privé. VPN (Virtual Private Network) C est une connexion inter-réseau permettant de relier deux réseaux locaux différents par un protocole de tunnel. Ce dernier permet d avoir des connexions chiffrées entre les interconnectés. IPSec (Internet Protocol Security) Il est défini par l IETF (Internet Engineering Task Force) comme un ensemble de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP. En effet c est un ensemble de protocoles utilisant des algorithmes permettant le transport de données sécurisées sur un réseau, de plus il opère au niveau de la couche 3 du modèle OSI (couche réseau) ce qui le rend indépendant des applications. IV. Installation et configuration 1. Préparation du matériel Pour la suite de l installation, il faut déconnecter l ordinateur du réseau. Par la suite, il faut brancher le routeur (minicom) en port série uniquement à l ordinateur. Figure : Matériel utilisé Minicom Elaboré par Mohamed DAOUES 5
6 2. Paramétrage et configuration du Minicom Une fois que notre matériel est prêt nous ouvrons une session sur la console Putty, nous choisissions une connexion de type Serial, nous laissons le port COM1 et nous changeons la vitesse de la connexion à 38400. Cet imprime écran nous montre le démarrage de PfSense Lors de son démarrage on choisit l option 2 pour le paramétrage de notre adresse LAN qui est la suivante : 172.25.102.0 Une fois que notre interface LAN est configuré nous passons au paramétrage de notre masque de sous réseau, donc nous entrons 24 pour choisir le masque de sous réseau. Donc nous obtiendrons une adresse de passerelle par défaut 172.25.102.254 à travers laquelle nous pourrons se connecter dans notre navigateur internet. Pour clore cette étape nous procédons à un redémarrage du pare-feu/routeur en choisissant l option 5. Elaboré par Mohamed DAOUES 6
7 Une fois que le redémarrage soit fini nous pouvons ouvrir notre navigateur internet et taper l adresse de notre passerelle pour se connecter à l interface web de PfSense. Nous serons amenés à taper nom d utilisateur (admin) et un mot de passe (tsgeri) que nous avons configuré au préalable à partir de la console. Et voilà le résultat : V. Création d un VPN Pour un tunnel VPN fonctionne, il doit être configuré des deux côtés, soit sur chaque pare-feu des LANs concernés. Le VPN que nous essayons de mettre en place sera entre notre réseau et celui du groupe N 1 et par la suite nous allons le mettre en place entre le reste des groupes. La configuration d un VPN se fait via l onglet VPN IPSec. Elaboré par Mohamed DAOUES 7
8 Lors de la création d un VPN différents champs sont à remplir : Interface : WAN Local subnet : LAN subnet (sous réseau LAN de Master-PfSense) Remote subnet : 172.25.101.0/24 (sous réseau LAN de Slave-PfSense) Remote gateway : 172.25.101.254/24(@IP WAN Slave-PfSense) Description: Tunnel GRP2 vers GRP1 Passons à la configuration de la phase 1 IPSec (authentification) Negociation mode : main (il existe aussi aggressive, plus rapide mais moins sécurisé) My identifier : 172.25.0.202 (si vous avez une IP WAN statique), sinon votre DynDNS, Nom de domaine, FQDN utilisateur ou autre adresse IP WAN. Encryption algorithm : Rijndael(AES) Hash Algorithm : SHA1 (le même algorithme de hachage sur les deux extrémités du Tunnel). DH Key Group : 2 (1024 bit est un bon compromis entre vitesse et sécurité) Lifetime : 86400 (Partie importante, ce temps, en secondes, en détermine la durée de vie de la phase 1 avant sa réinitialisation). Pre-Shared Key : [tsgeri] Configuration de la phase 2 (SA / Key Exchange) Protocol : ESP (une règle Firewall sera créé pour autoriser en entrée ESP) Encryption algorithms : Rijndael 256 (pour du top secret selon la NSA). Blowfish (le plus rapide en encryption). Rijndael AES (pour du secret), 3DES (pour la meilleure compatibilité= Hash algorithms : SHA1 (le même algorithme de hachage sur les deux extrémités du Tunnel) PFS key group : 2 (1024 bit est un bon compromis entre vitesse et sécurité) Lifetime : 86400 (C est le temps de validité de la clé d encryption avant qu elle ne soit régénéré. Configuration du Keep Alive (Message vérifiant la bonne connectivité entre 2 hôtes) Automatically ping host : 172.25.101.254 Cliquez sur Save pour finaliser la configuration du serveur IPSec. Elaboré par Mohamed DAOUES 8
9 VI. Les règles au niveau du pare-feu A partir de l onglet «Firewall» de l interface web PfSense, nous pouvons créer des règles d entrée et de sortie des protocoles que nous souhaitons soit bloquer, soit autoriser au niveau de notre réseau. Cette capture d écran résume tous les protocoles que nous avons autorisé au niveau du LAN : Elaboré par Mohamed DAOUES 9
10 Cette deuxième capture quant à elle nous montre les règles mise en place par rapport au WAN et l IPSec : Elaboré par Mohamed DAOUES 10
11 Quelques exemples de champs à remplir lors de la création des règles : Elaboré par Mohamed DAOUES 11
12 Dans le cas où notre requête n aboutit pas nous pouvons visualiser au niveau de notre interface les adresses bloquées par notre pare-feu à travers l onglet Status System logs Firewall : Elaboré par Mohamed DAOUES 12