Téléverser un fichier

pf sense

17
1 PfSense 1 Qu’est-ce que c’est - une distribution basée sur FreeBSD ; - un fournisseur de services : serveur de temps : NTPD ; relais DNS ; serveur DHCP ; portail captif de connexion ; - un routeur entre un WAN et un LAN, différents seg- ments, VLANs avec « 802.1Q trunking », DMZs : il implémente les protocoles RIP, OLSR, BGP il permet de mettre en place des VPNs : OpenVPN, IPSEC, PPTP - un Firewall capable de : faire de la traduction d’adresses : NAT, SNAT, DNAT ; faire du filtrage de paquets : « packet filter » : entre WAN et LAN ; entre deux réseaux reliés par VPN ; faire de la QoS : « traffic shaper » ; faire du « load balancing » avec plusieurs connexions Internet.

Upload: audreyttic

Post on 13-Sep-2015

217 views

Category:

Documents


0 download

Report

DESCRIPTION

PfSense guide

TRANSCRIPT

  • 1 PfSense 1Quest-ce que cest

    une distribution base sur FreeBSD ;un fournisseur de services : serveur de temps : NTPD ; relais DNS ; serveur DHCP ; portail captif de connexion ;

    un routeur entre un WAN et un LAN, diffrents seg-ments, VLANs avec 802.1Q trunking , DMZs : il implmente les protocoles RIP, OLSR, BGP il permet de mettre en place des VPNs : OpenVPN,

    IPSEC, PPTP

    un Firewall capable de : faire de la traduction dadresses : NAT, SNAT,

    DNAT ; faire du filtrage de paquets : packet filter :

    ? entre WAN et LAN ;? entre deux rseaux relis par VPN ;

    faire de la QoS : traffic shaper ; faire du load balancing avec plusieurs connexions

    Internet.

  • Les VPNs, Virtual Private Network 2Lutilisation dun VPN permet, 4 usages : la connexion entre un Site et un autre Site : entre deux composantes dune mme entreprise spares gographiquement ; utilisant Internet pour faire circuler les donnes ; en assurant les proprits de scurits de confidentialit et dauthentification ;

    Sans VPN, on utilise des rseaux WAN privs pour interconnecter ces diffrentes composantes : circuits point--point ddis commeATM (rseau oprateur tlphonique), ouMPLS (rseau de type informatique),

    ou une combinaison SDSL, Symmetrical Digital Subscriber Line + MPLS ; http://www.mympls.fr/haut-debit/mympls/orangebusiness/sdsl?displaytop=mympls

    assurant une bonne latence, une meilleure disponibilit, mais coteux

    un accs distant, remote access : permettre la connexion dun utilisateur depuis nimporte o sur Internet ; indispensable pour les roadwarriors , c--d. les employs dune socit qui doivent voyager souvent pour leur

    travail ; permet la connexion de tl-travailleurs , de sous-traitants qui doivent disposer dun accs temporaire au rseau

    de lentreprise.

    une protection pour les rseaux sans-fil, wireless ;

    un relais scuris : lorsque lon ne fait pas confiance au rseau local o lon est connect et que lon se sert du VPNpour aller directement sur Internet (protection contre lARP Spoofing).

  • Pourquoi un VPN et Quel VPN 3Un VPN doit possder les qualits suivantes : linteroprabilit : il doit tre possible de mettre en place le VPN entre des matriels de diffrents construc-teurs. IPsec est privilgier car disponible sur tous les matriels proposant du VPN ; OpenVPN est moins rpandu, surtout disponible dans les solutions OpenSource ; PPTP ne permet pas les connexions de site--site ;

    les mthodes dauthentification : seul PPTP permet lauthentification par login/mdp ; IPsec et OpenVPN utilisent des cls partages, shared keys ou des certificats.

    la facilit de configuration : PPTP est trs simple ; IPsec possde des options qui pour les non-initis peuvent tre complexes ; OpenVPN utilise des certificats quil faut savoir grer.

    la disponibilit dun logiciel client pour les remote access : PPTP est intgr dans la plupart des systmes dexploitation ; pour IPsec, des client existent pour Windows, Linux, BSD mais ne sont pas toujours intgrs. Pour Mac

    OS X, un client sans interface graphique est intgr ; pour OpenVPN, des clients existent pour toutes les plateformes me sont pas intgrs.

    la possibilit de grer du Multi-WAN , c--d. utiliser plusieurs connexions simultanes Internet : PPTP utilise des tunnels GRE, Generic Routing Encapsulation, et ne sait pas grer le Multi-WAN ; OpenVPN et IPsec savent le grer.

  • Pourquoi un VPN et Quel VPN 4 le passage travers un Firewall : PPTP utilise une connexion de contrle TCP sur le port 1723 et le protocole GRE non scuris qui est souvent bloqu par

    les firewalls ; IPsec utilise le protocole UDP sur le port 500 et des paquets IP bass sur le protocole ESP,Encapsulating Security Payloads.

    Lutilisation dESP entraine le chiffrement du contenu du paquet IP et donc, limpossibilit daccder au numro de portsource et destination, ce qui le rend difficile grer par un firewall pour effectuer du NAT.Il est possible dutiliser du NAT-T, NAT Traversal, qui encapsule les paquets ESP dans UDP sur le port 4500.

    OpenVPN peut utiliser UDP et TCP, ce qui le rend le plus apte tre utilis au travers dun firewall.Pour passer au travers dun firewall, on peut utiliser les ports UDP 53 (DNS), TCP 80 (HTTP), TCP 443 (HTTPS).

    scuris cryptographiquement : PPTP utilisant des login/mdp il est moins scuris que les autres solutions : le mdp peut tre crack par une mthode

    bruteforce ; lutilisation de pre-shared keys dans IPsec peut le rendre vulnrable si cette cl nest pas suffisamment robuste pour

    rsister une attaque bruteforce. OpenVPN utilisant des certificats ou simplement des bicls (cl publique/cl prive) partage, il faut sassurer de la scurit

    de la cl prive ou partage.

    ????????????????????????

    ???

    ???????? ??????? ???????????? ???????? ?????????? ?????????? ???????? ??????????? ??????????? ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ??????? ??? ???????????????????????????????????? ?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ?????????????????????????????????????????????????????????????????????????????

    ??????????????????? ?????? ?????????? ???? ???????????????? ??? ???? ?????? ?????? ??? ????????? ??? ???????????????????????????????????????????

    ???????? ??????????????? ???????????

    ???????????????????

    ????????? ????????????????????????

    ????????????????

    ????? ?? ??? ??? ??? ??? ??????????????

    ??????? ?? ?? ??? ??? ??????? ??? ??? ?? ?? ????

    ????????????????????????????????????????????????????

  • Les performances du Firewall et du VPN 5La performance du routeur/firewall

    la vitesse du routeur dpend de la qualit de la carte rseau et de la puissance du processeur : si le processeur est suffisamment puissant le choix de la carte est moins important ; pour traiter un dbit autour de 200 Mbps, un processeur 1Ghz est suffisant ; pour traiter un dbit autour de 400-500 Mbps, un processeur entre 2 et 3GHz est ncessaire.

    ????????

    ??

    ??? ????????????????????????????

    ???????? ????????????????????

    ????????? ????????????????????

    ???????????????????

    ??????? ??? ???

    ????????? ??? ????? ????? ?????????????

    ??? ???

    ??????????????????????????????

    ???????? ??? ???

    ?????????????????? ??? ??????? ?????????????????????????

    ??? ??????? ????????

    ????????????????? ??? ??? ????? ????? ?????????????

    ????????

    ????????????????????????????????????

    ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    la quantit de mmoire pour suivre les connexions, connexion tracking :

    ????????

    ??

    ????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ?????? ??????????????????? ????????????? ???????????????? ???????????????? ????????

    ????????????????????????????????????????????

    ???????????????????????????? ????????? ??????? ???????? ???? ?????? ???? ??? ????? ????? ???????????? ???? ??? ?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ????????? ?????? ????? ??????? ??????????? ??? ????????? ?????? ?????? ???? ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ??????????????????? ?????????????????? ???????? ??????????? ??????????

    ??? ????????? ????????????? ???????? ?????????

    ???????? ????????? ?????????????????????????????????? ????????? ???????????????????????????

  • Les performances du Firewall et du VPN 6Lutilisation dun VPN entrane lutilisation de chiffrement qui peut tre coteux car il sapplique sur toutes les donneschanges : IPsec utilise les algorithmes de chiffrement suivant : DES, 3DES, Blowfish, CAST128, AES et AES 256 ; il est possible dutiliser des crypto-processeurs pour raliser le travail de chiffrement.

    ????????

    ??

    ??????????????????? ?????????????????? ???????? ??????????? ??????????

    ??? ????????? ???????????????? ????????? ?????????

    ????????????????????????????????????????????

    ?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ??? ???????????????????????????????????????? ??????????????????????? ???????????????????????? ?????????????????????????? ?????????

    ??????????????????????????????????

    ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ??????????????????????????????????????????????????????????????????????????????????????????????????????????

    ????????????????

    ??????? ???? ???????? ?????????? ?????????? ??????? ?????????? ??? ???? ???????? ???????? ???????? ??????????? ?? ???????????? ????????????????????????????????? ??????????????? ????????????????????????????????????????????????????????????????????????????????????

    ????????????????

    ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Le choix dutiliser un VPN ou de louer une connexion WAN prive (du type ATM ou MPLS) : diffrence de latence :

    ? une connexion point--point de type Ethernet assure une latence de 3 5ms ;? une connexion, First Hop , vers Internet fournie par un FAI est plus importante > 20ms ;? une connexion par VPN augmente considrablement la latence : 30 60ms.Il est possible de diminuer la latence en utilisant pour toutes les connexions entre site le mme FAI.

    importance de la latence sur les services utiliss :? le partage de fichier Microsoft, SMB : pour une latence < 10ms tout marche bien. partir dune latence de30ms ses performances seffondrent, et 50ms il devient insupportablement lent ;

    ? lutilisation de Microsoft Remote Desktop, RDP : une latence < 20ms donne de bonnes performances.La latence de 50 et > 60ms donne par lutilsiation dun VPN rende le travail dun utilisateur distant difficile.

  • La configuration dIPsec 7Connexion de Site Site

    ?????

    ???

    ?????????? ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ????????????????????????????????????????????????????? ???? ??????? ??????? ?????? ???????????? ????????????? ???????? ????????? ????? ??? ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ????????????????????? ??????????? ???????? ?????????????? ?????????????? ???? ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ????????????????????????????????

    ?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    ????????????????????????????????????????????????????

  • La configuration dIPsec 8

  • La configuration dIPsec 9

  • La configuration dIPsec 10

  • La configuration dIPsec 11Visualisation des SAD, Security Association

    Chaque SA correspond un sens de communication (configuration unidirectionnel des paramtres de scurit).Pour une connexion, il y a donc deux SA associes, qui sont conserves dans le SPD, Security Policy Database.

  • Un autre VPN : OpenVPN 12Les diffrences avec IPsec

    ? la possibilit de faire des tunnels de niveau 2 : PPTP, Point to Point Tunneling Protocol, RFC 2637 : capable mais limit un seul tunnel la fois entre deux interlo-

    cuteurs, dvelopp par Microsoft. Il peut nanmoins encapsul dautres protocoles quIP, comme IPX ; L2F, Layer 2 Forwarding, RFC 2341 : dvelopp en mme temps que PPTP par dautres socits dont CISCO et

    permet de grer, entre autre, plusieurs tunnels ; L2TP, Layer 2 Tunneling Protocol, RFC 2661 : standard qui combine les avantages de PPTP et de L2F, en ajoutant

    des possibilits amliores de scurit comme ceux dIPsec ; L2Sec, Layer 2 Security Protocol, RFC 2716 : dvelopp pour corriger des problmes de scurit dIPsec, mais plus

    coteux en traitement, mieux scuriss et bas sur SSL/TLS.? le fonctionnement du VPN de niveau 3 : le mode tunnel : lencapsulation dun paquet dans un autre, ce qui protge les @IP source et @IP destination des

    paquets encapsuls (on en voit que les @IP des deux routeurs entre lesquels est mis en place le VPN). le mode transport : seul le chargement du datagramme, c--d. les donnes, sont protges ce qui allge la gestion

    mais rend les mta-informations de lentte analysable.

    Comment sy retrouver ?

    Le choix doit tenir compte de : le choix des dispositifs dauthentification ; le support des techniques comme NAT (pour le traverser par exemple) ; la possibilit de fournir des adresses dynamiques dans le cas dune connexion de type road warrior ; le support dune PKI.

  • Les avantages dOpenVPN 13Ils sont nombreux

    ? la possibilit de faire des VPNs de niveau 2 & 3 : dans le cas du niveau 2, le VPN peut transporter des trames,et les protocoles Microsofts (qui sont des protocoles locaux, c--d. non routables).

    ? la possibilit de bnficier du firewall du serveur sur lequel on se connecte : un road warrior peut bnficierdes mmes protections que les matriels connects directement dans le rseau de lentreprise ;

    ? les connexions OpenVN peuvent traverser la plupart des firewalls et passer par des proxys : si on peut passeren https alors on pourra passer in tunnel OpenVPN ;

    ? un fonctionnement en mode client ou serveur, UDP ou TCP ;? un seul port ouvrir sur le firewall pour le support dOpenVPN avec la possibilit pour un serveur de grerplusieurs clients avec ce seul port ;

    ? pas de problme avec le NAT ;? la mise en oeuvre dOpenVPN en tant quajout de nouvelles interfaces virtuelles TUN/TAP sur le serveur et leclient autorise toutes les utilisation possibles du firewall et du routage !

    ? trs extensible avec la possibilit de scripter la mise en place du VPN et la configuration du client et duserveur ;

    ? le support transparent des clients utilisant des adresses IP dynamiques sans perte de connexion ;? installation simple sur les diffrentes plateformes ;? designmodulaire : le dcoupage clair entre rseaux et scurit permet denvisager de nombreuses possibilits ;? support des matriels mobiles et embarqus : Windows Mobile, Maemo de Nokia, OpenWRT etc.? trs actif au niveau de la communaut.

  • La configuration dans PFSense : ct serveur 14

  • La configuration dans PFSense : ct client 15

  • Un VPN Light avec SSH 16Un VPN au travers de SSH

    un VPN la demande : na pas besoin dtre configur de manire statique ; peut tre mis en place et dfait suivant les besoins de lutilisateur : depuis nimporte o et nimporte quel moment,

    le rve du road warrior du dimanche ;cre des interfaces virtuelles TUN/TAP (ncessite une configuration avec des droits dadministration. . . ) ;

    Pour la configuration

    ? il faut installer sur le client tunctl :sudo apt-get install uml-utilitiessudo apt-get install openssh-server

    ? il faut activer l IP forwarding sur les deux :sysctl -w net.ipv4.ip_forward=1

    ? Pour la configuration du serveur SSH : dans le fichier /etc/ssh/sshd_config :

    [ ... ]# Enable layer-3 tunneling. Change the value to ethernet for layer-2 tunnelingPermitTunnel point-to-point

    ? Et du client SSH : dans le fichier /etc/ssh/ssh_config :

    [ ... ]# Enable layer-3 tunneling. Change the value to ethernet for layer-2 tunnelingTunnel point-to-point

  • Un VPN Light avec SSH 17Le dclenchement du VPN

    ? Pour pouvoir permettre le routage du trafic par lintermdiaire du VPN, il est ncessaire de dclencher le fonctionnementen tant que routeur sur la machine :$ sudo sysctl -w net.ipv4.ip_forward=1

    ? Ensuite, sur le poste client, vous excutez la commande suivante :$ sudo ssh -f -w any:any root@adresse_serveur true

    Ici, loption -f permet de mettre la commande ssh en tche de fond.Le sudo est ncessaire pour permettre la cration dune nouvelle interface sur la machine.Le any:any permet de slectionner des interfaces TUN local:distante libres.

    ? Une nouvelle interface est cree du ct client comme du ct serveur :$ ifconfig -atun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

    POINTOPOINT NOARP MULTICAST MTU:1500 Metric:1Packets reus:0 erreurs:0 :0 overruns:0 frame:0TX packets:0 errors:0 dropped:0 overruns:0 carrier:0collisions:0 lg file transmission:500Octets reus:0 (0.0 B) Octets transmis:0 (0.0 B)

    ? Il est ensuite possible dactiver linterface et de la configurer pour permettre le routage au travers du VPN, ainsi que lefiltrage grce au fait que le VPN ajoute une interface virtuelle.

    Il est possible dauto-configurer le VPN mis en place laide dune ligne de commande indique dans le fichier~/.ssh/authorized_keys.


16 pf forma A

Programmation Fonctionnelle (PF) - INFO4 Cours 2 ...wack/PF/Cours02.pdf · ProgrammationFonctionnelle(PF) ProgrammationFonctionnelle(PF) INFO4 Cours2:fonctions,sommesetfiltrage,récurrence

[Quelques projets avec Pf Sense]

Vers un sense making des crises 2.0 ?

Sense of work from a formative psychosocial perspective

Variant PF

Word-sense disambiguation

Beethoven 32 Variazioni Pf

Manager= human Sense maker

CHAMPIONNAT REGIONAL LORRAINE-ALSACE 2016CHAMPIONNAT REGIONAL LORRAINE-ALSACE 2016 KZ2 PF F PF F PF F PF F PF F PF F Pt Club Pilote 1 366 Haguenau 2 Guth Corentin 40 40 40 24 36 30

PF Soudeur Cordon Angle

PROGRAMME PREVISIONNEL - Psychologie Positive · 2014. 10. 23. · Christian Vanizette* Co-fondateur, Make Sense Co-founder, Make Sense Modérateur Moderator Martin Duval PDG, Bluenove

Formula 2 Pf

C3.4.1 3 C +4 1 NIVEAU - Domain Technologie Controltilleuls-andenne.be/site/wp-content/uploads/C-3.4... · pf ha : 0 pf ha : 0 pf ha : 50 pf ha : 50 pf ha : 0 pf ha : 0 pf ha : 0

Accessoires For Sense

Pf con scala

Fuller Lesser Sense of Siege

PF PS 030915 Tablette

205352061 Bozza Rustiques Pf

Interview Sense i 1957

EBF89 6DC6 - EBF89 · Position de montage Capacités interélectrodes (sans blindage extérieur) quelconque 5,2pF 0,0025 PF max 0,05 PF max 2.5 PF 0,25 PF max 15 mpF max 3 mpF max

EBF89 6DC6 - EBF89€¦ · Position de montage Capacités interélectrodes (sans blindage extérieur) quelconque 5,2pF 0,0025 PF max 0,05 PF max 2.5 PF 0,25 PF max 15 mpF max 3 mpF

CATALOGUE FORMATIONS · QlikView Administration 1 Jour Qlik Sense Designer – Niveau 1 1 Jour Qlik Sense Alimentation 1 Jour Qlik Sense Administration 1 Jour . IBM Cognos . SOMMAIRE

LES CONNEXIONS SENSE CABLES

Bozza Rustiques Pf

Digitalization pf test vp

PF Link Shop

Unbenannt-13 - Whirlpool EMEAAWO/D 7324 Copy of 6TH SENSE InfiniteCare Wasautomaat 1400 t/m ESSORAGE B • Technologie 6TH SENSE Colours • Sense Inverter : un moteur silencieux et

Sense of place in conservation agencies€¦ · Sense of place in conservation agencies the concept of “sense of place”. At our initial group meetings with staff based at both

Pf bill australia_17_siecle

GOOGLE ADWORDS GOOGLE AD SENSE Quelle démarche suivre ?

Ett Sti2d Pf 2013

MAKING SENSE OF NUISANCE IN SCOTS LAW

Guide Pf Lohmann

Fondation Profonde Pf