Mise en place d’un Firewall avec Pfense

Qu’est-ce qu’un Firewall ?


Un firewall est  littéralement « mur de feu », un « pare feu », il s’agit d’un ordinateur (plus un programme) filtrant ce qui passe d’un réseau à un autre. Il permet de sécuriser les réseaux et les ordinateurs en contrôlant ou en bloquant les accès . Il va donc autoriser l’accès aux ordinateurs du réseau local à se connecter à internet et bloquer les connexions d’internet vers les ordinateurs du réseau local.

Le filtrage se fait selon divers critères. Les plus courants sont :

  • l’origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ;
  • les options contenues dans les données (fragmentation, validité, etc.) ;
  • les données elles-mêmes (taille, correspondance à un motif, etc.) ;
  • les utilisateurs pour les plus récents.

Un pare-feu fait souvent office de routeur et permet ainsi d’isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées (DMZ). Ces zones sont séparées suivant le niveau de confiance qu’on leur porte.

Chaque fois qu’un paquet de données arrive, le firewall compare ce paquet à chaque règle (dans l’ordre) jusqu’à en trouver une qui corresponde au paquet. Il exécute alors l’action correspondante à la règle.Les règles peuvent être: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc. Les actions peuvent être: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre réseau, modifier les entêtes du paquet…

#source : http://sebsauvage.net/comprendre/firewall/
#source : https://fr.wikipedia.org/wiki/Pare-feu_(informatique)

Situation mise en place :

Ce projet a pour but de mettre en place un Firewall/Pare-feu pour la Maison des Ligues via le logiciel Pfsense afin d’assurer la sécurité des réseaux internes en filtrant les entrées et en définissant une DMZ, une zone qui pourra être accessible depuis l’extérieur alors que le réseau local sera protégé par le Firewall/Pare-feu.

Étape de la mise en place de la solution :

→ Mise en place d’un réseau LAN avec un serveur DHCP et un serveur DNS
→ Mise en place d’un réseau DMZ avec un serveur web, un serveur ftp et une base de donnée
→ Mise en place d’un réseau Internet
→ Permettre l’interconnexion entre les postes
→ Installation du firewall via Pfsense
→ Configuration du firewall via Pfsense
→ Procédure de test

Présentation du logiciel Pfense :

J’ai choisie de mettre en place un Firewall à l’aide du logiciel Pfense. Il s’agit d’un routeur/pare-feu open source basé sur le système d’exploitation FreeBSD. Il utilise le pare-feu à états Packet Filter ( le pare-feu logiciel et officiel d’OpenBSD) , des fonctions de routage et de NAT lui permettant de connecter plusieurs réseaux informatiques.

Pfsense peut effectuer les tâches suivantes :

-Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP

-Limiter les connexions simultanées sur une base de règle

-Il utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d’exploitation qui initie la connexion.

-Possibilité d’enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.

-Politique très souple de routage possible en sélectionnant une passerelle sur une base par règle (pour l’équilibrage de charge, basculement, Connexions WAN multiple, etc)

-Utilisation d’alias permettant le regroupement et la désignation des adresses IP, des réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de nombreux serveurs.

– Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d’agir en pont filtrant.

-La normalisation des packets est utilisée, il n’y a donc aucune ambiguïté dans l’interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi des paquets fragmentés, protège les systèmes d’exploitation de certaines formes d’attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.

Ressources utilisées :

Afin de mettre en place le Firewall nous aurons besoin:

  • Commutateur

Résultats attendus :

01.PNG

Protection d’un réseau privé (LAN) et protection de l’accès au serveur web .

À partir du réseau LAN:

→ Accès à Internet , au serveur web et à la DMZ
→ Ping possible d’une machine de Lan vers Internet
→ Les machines doivent être invisible depuis Internet
→ Translation d’adresse du réseau LAN vers la DMZ

À partir de la DMZ :

→ Réseau accessible depuis Internet et LAN
→ Accès à Internet
→ Translation d’adresse de la DMZ vers Internet

À partir d’Internet :

→ Pas d’accès sur le réseau LAN
→ L’accès au serveur web ne doit pas se faire directement via l’adresse ip mais par le biais du routeur

Productions associées:

→ Document sur la mise en place de la solution

→ Procédure de test

 

⇒ Si vous souhaitez télécharger ma situation professionnelle cliquez ici ⇐

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s