Documentation technique GSB

2016/2017

PFSENSESIO2

remi lapeyre & GAUTHIER DE CASTRIES |

1

Table des matières1. Connexion à PFSENSE.....................................................................................................................2

2. Récapitulatif...................................................................................................................................3

Schéma réseau...................................................................................................................................3

Règles pour le LAN..............................................................................................................................4

Règles pour le WAN............................................................................................................................4

Règles pour la DMZ............................................................................................................................5

Passerelle du switch...........................................................................................................................6

Les routes statiques............................................................................................................................6

802.1Q pour le VLAN 150...................................................................................................................6

DCHP pour le VLAN 150......................................................................................................................7

Proxy..................................................................................................................................................8

VPN...................................................................................................................................................10

3. Création des règles.......................................................................................................................11

4. Création de la carte 802.1Q et du VLAN.......................................................................................12

5. Configuration du DHCP.................................................................................................................13

6. Configuration du proxy.................................................................................................................14

2

1. Connexion à PFSENSE

Il suffit simplement d’entrer l’adresse IP de PFSENSE (ici 10.10.0.1) sur un navigateur web en http. Les identifiants et mot de passe par défaut sont : Admin/pfsense.

3

2. Récapitulatif

Schéma réseau

4

Règles pour le LAN

Concernant les règles du firewall sur le LAN Pfsense en crée deux pas default :

-Anti-Lockout Rule : Elle empêchera de s’interdire l’accès à l’interface d’administration de Pfsense.

-Default allow lan to any rule : Elle autorise toutes les interfaces du LAN à communiqué avec toutes les destinations possibles.

-Internet pour le VLAN : Elle autorisera le protocole TCP/UDP du réseau concerné vers tous les autres réseaux elle permettra d’avoir accès à Internet.

-Autorisation du ping : Elle autorisera le protocole ICMP qui correspond au ping.

Règles pour le WAN

Les deux règles par default sur le WAN interdisent l’accès aux réseaux privés de classe A, B, C définis dans la RFC1918.

5

Règles pour la DMZ

6

Passerelle du switch

Il faudra créer la passerelle du switch en 10.10.0.6 pour pouvoir communiquer entre les VLAN’S.

Les routes statiques

Le VLAN 10 et 30 utiliserons une route statique pour pouvoir communiquer avec Pfsense.

802.1Q pour le VLAN 150

Nous avons créé une carte réseau pour l’interface du VLAN 150.Le 802.1Q permet d’étiqueter les trames du VLAN 150 afin qu’on connaisse leur provenance et qu’il puisse communiquer avec un DHCP.

7

DCHP pour le VLAN 150

Suite à la création de l’interface 802.1Q du VLAN150, il faut tout d’abord activer le DHCP en cochant la première case. Deuxièmement il faut choisir le pool DHCP, ici nous avons choisi de 192.168.150.5 à 192.168.151.250. Le pool n’inclut pas les deux dernières adresses IP (.253 et .254) qui sont déjà utilisées comme passerelles ailleurs.

Pour finir on renseignera les options avec le DNS, la passerelle ainsi que le nom de domaine (gsb.intra).

8

Proxy

Le Proxy nous permettra de bloquer les sites pour les utilisateurs des réseaux que nous définirons dans la Black List Pour commencer il faut se rendre dans le proxy dans l’onglet General puis il faut activer le Proxy Squid en cochant la première ligne.

Secondement il faudra activer l’option proxy transparent pour que l’utilisateur n’ai pas à entrer l’adresse IP du proxy dans son navigateur.

Il faudra ensuite activer l’option SSL Man In The Middle pour supprimer le message d’erreur du certificat sur le navigateur, il faudra ensuite se charger du certificat.

9

Il faudra ensuite dans l’onglet ACLs ajouter tous les réseaux sur lesquels le proxy serra actif.

Il faudra ensuite lister les sites que nous voulons interdire aux utilisateurs dans la Blacklist.

Il faudra dans un dernier temps sur les postes clients installer le certificat de Pfsense en le téléchargeant ici

10

VPN

Nous avons installé OPENVPN directement sur le firewall PFSENSE.

Premièrement nous avons mis en place le serveur OPENVPN (wizard) sur PFSENSE.

Ainsi, les visiteurs peuvent maintenant se connecter en VPN sur le réseau par exemple pour pouvoir ouvrir un ticket d’incident sur le GLPI.

11

3. Création des règles

Voici les différentes étapes pour la création d’une règle :

Etape 1 : Sélectionner si la règle va bloquer ou laisser passer.

Etape 2 : Il faut ensuite choisir l’interface concernée.

Etape 3 : Choisir ensuite le protocole que l’on va utiliser.

Etape 4 : Il faut définir l’adresse du réseau pour lequel la règle s’appliquera. Pour certains protocoles on devra également sélectionner des ports spécifiques dans l’onglet avancé.

Etape 5 : On définira avec quel réseau le réseau source pourra communiquer.

Etape 6 : Donner un nom à notre regle.

12

4. Création de la carte 802.1Q et du VLANVoici les étapes pour la création d’une interface 802.1Q et du VLAN :

Etape 1 : Il faut créer le VLAN que nous allons utiliser pour le 802.1Q, définir son nom, l’interface qu’il utilisera ainsi que sa description.

Etape 2 : Il faudra ensuite assigner l’interface réseau que le VLAN utilisera.

Etape 3 : Il faut activer le VLAN et faire sa description.

Etape 4 : Il faudra définir l’adresse IP pour le VLAN 150

13

14

5. Configuration du DHCPDifférentes étapes pour la création du DHCP :

Etape 1 : Activer le DHCP pour le VLAN 150.

Etape 2 : Définir le pool d’adressage pour le DHCP.

Etape 3 : Entrer notre DNS (l’adresse de notre AD1 et de l’AD2) puis celui de Google en secours.

Etape 4 : Choisir les différentes options (passerelle, nom de domaine).

15

6. Configuration du proxyVoici les étapes pour paramétrer le serveur proxy :

Etape 1 : Commencer par activer Squid Proxy.

Etape 2 : Il faudra ensuite activer la transparence du proxy pour que l’utilisateru n’ai pas a renseihner l’adresse dans son navigateur.

Etape 3 : Activer ensuite SSL Man In The Middle pour bloquer les HTTPS.

Etape 4 : Récupérer l’autorité de certification de Pfsense dans système puis Cert Manager.

Etape 5 : Télécharger le certificat en cliquant sur le soleil.

Etape 6 : Sur une machine client installer le certificat dans le bon magasin.

16