Page 1

BARON CARRE DoRiAN LycEE OzEnne BTS SIO2 913

PROCÉDURE

INSTALLATION

FIREWALL

Page 2

INSTALLATION MATERIEL

Système d’exploitation de la machine : Linux FreeBSD Branchement physique du serveur (Alim / Ecran / Clavier) Configurer le BIOS

(Date heure / Ordre de boot / Mot de passe / Mise sous tension auto activé) Étiquetage du serveur en respectant le nommage ici « SRV-PFSENSExx » Mise en place du CD-ROM contenant le logiciel PFsense Démarrage de l’installation : Do you want set up VLANs? (NO) Enter the WAN interface….? (A) Branchement du câble réseau sur la prise RJ-45 extérieure (em0) Enter the LAN interface …? (A) Branchement du câble réseau du switch sur la prise RJ-45 intérieur (em1) Laissez vide puis valider par (Y) Option 2 Choisir WAN Entrer IP Entrer masque Pas de DHCP Pas de HTTP Option 2 Choisir LAN Entrer IP Entrer masque Pas de DHCP Pas de HTTP Plusieurs options nous sont présentées, tapez « 99 ».

Afin d’installer tout la configuration sur le disque dur du serveur. Accept these settings Quick/Easy Install OK L’Installation démarre… Sélectionner “Symetric multiprocessing kernel” Reboot Rentrer dans le BIOS afin de remettre la priorité du boot sur le disque dur.

Page 3

PARAMETRES GENERAUX DU SERVEUR

Il est nécessaire, selon nos besoins, de modifier les paramètres par défaut de « PFsense ». Afin que le système soit stable et d’avantage sécurisé.

Connexion sur l’interface du parefeu via l’adresse url https://10.XX.XX.XX Configuration: System Setup Wizard Next Hostname : SRV-PFSENSExx

Domain: localdomain DNS: 194.2.0.20 DNS2: 194.2.0.50 Next Timezone: EUR

Selected Type: Static Gateway: 194.254.27.166 Mettre à jour le logiciel: System Firmware Update Settings Rentrer l’URL. Onglet Auto Update: « Invoke Update » pour que la mise à jour se fasse automatiquement. Configuration de la page d’accueil du pare-feu et ajouts de modules complémentaires

Menu System Advanced :

Cocher Disable webConfigurator redirect rule (Interdire l’accès sur le port 8 http) Cocher Disable webConfigurator login autocomplete (Interdire l’enregistrement du MDP) Cocher Enable Secure Shell (active un niveau de sécurité sur l’invit de commande) Cocher Password protect the console menu (Protège le menu console par un login et MDP)

Firewall / NAT :

Décocher Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks. (Désactive la possibilité qu’une boucle se fasse lors d’une connexion en interne pour re-rentrer dans la DMZ)

Package Manager Available Packages

Il est nécessaire d’installer les modules suivant (à sélectionner dans la liste disponible dans le menu) afin de compléter et d’améliorer le système :

Le Proxy (Squid) Le Filtre (SquidGuard) L’analyseur (LightSquid) OpenVPN

Reboot du système pour que les installations des modules et des modifications soient bien prises en comptes.

Page 4

CONFIGURATION PROXY

Services Proxy server

Onglet : Général

Proxy Interface LAN Cocher Allow users on interface (Autorise les utilisateurs Cocher Transparent Proxy (Inutile de renseigner le proxy sur le navigateur web) Cocher Enabled logging (Activer les logs du proxy) Log Sotre Directory « /var/squid/logs » (Renseigner le chemin des fichiers logs) Proxy Port (Renseigner le port du proxy, ici 3128) Visible Hostname Localhost Administrateur email admin@localhost Language Français (Renseigner la langue des messages d’erreurs envoyés) Cocher Suppress Squid Version (Sécurité : Le proxy ne retourne pas sa version) Save

Onglet : Cache MGMT

Hard disk cache size 100

Quantité d’espace disque (en Mo) à attribuer pour le cache.

Hard disk cache system

ufs

Format de stockage disque.

Hard disk cache location

/var/squid/cache

Le répertoire où les fichiers de cache seront stockés.

Memory cache size 8

La quantité de mémoire RAM (en Mo) disponible pouvant être utilisé pour le cache et des objets en transit. Cette valeur ne devrait pas excéder plus de 50 % de la RAM dispo.

Minimum object size

0

Les objets plus petits que la taille indiquée (en kilo-octets) ne seront pas stockés sur le disque. La valeur par défaut est 0, signifiant qu’il n'y a aucun minimum.

Maximum object size

4

Les objets plus grands que la taille indiquée (en kilo-octets) ne seront pas stockés sur le disque. Si vous voulez augmenter la bande passante, celle-ci devrait être mise à une valeur assez basse.

Maximum object size in RAM

32

Les objets plus petits que la taille indiquée (en kilo-octets) seront stockés dans la RAM. La valeur par défaut est 32.

Page 5

Level 1 subdirectories

16

Définir le niveau de containers en sachant que chaque répertoire du niveau 1 contient 256 sous-répertoires, donc une valeur de 256 répertoires du niveau 1 utilisera un total de 65536 répertoires pour le cache sur le disque dur. Ceci ralentira significativement le processus de démarrage du service proxy, mais peut accélérer le processus de mise en cache dans de certaines conditions.

Memory replacement policy

Heap GDSF

La politique de remplacement de mémoire détermine quels objets sont purgés de la mémoire quand l'espace est nécessaire. La politique par défaut pour le remplacement de mémoire est GDSF.

LRU: Last Recently Used Policy - Les politiques LRU gardent des objets récemment référencés. C'est-à-dire, il remplace l'objet qui n'a pas été eu accès pour le temps le plus long.

Heap GDSF: Greedy-Dual Size Frequency – Cette politique optimise le taux de coup d'objet en gardant des objets plus petits, fréquent dans un cache. Il réalise un taux de coup d'octet inférieur que la politique LFUDA.

Heap LFUDA: Least Frequently Used with Dynamic Aging – Cette politique garde des objets populaires dans le cache indépendamment de leur taille et optimise ainsi le taux de coup d'octet à la charge du taux de coup puisqu'un objet grand, populaire empêchera beaucoup plus petit, des objets légèrement moins populaires d'être mis en cache.

Heap LRU: Last Recently Used – Travail de la même façon que LRU en utilisant un Heap.

Cache replacement policy

Heap LFUDA

La politique de remplacement de cache décide quels objets resteront dans la cache et quels objets seront remplacés pour créer l'espace pour les nouveaux objets. La politique par défaut pour le remplacement de cache est LFUDA.

Low-water-mark in %

90

Le remplacement de cache commence quand l'utilisation d'échange est au-dessus de la marge et essaye de maintenir l'utilisation près de la marge inscrite.

High-water-mark in %

95

Comme l'utilisation d'échange arrive près de l'expulsion d'objet de marge inscrite, le processus devient plus agressif.

Do not cache

Entrez une adresse IP sur une nouvelle ligne qui ne sera pas pris en compte par le cache.

Enable offline mode

Le mode hors connexion donne l'accès à plus d'informations, il est intéressant de l’activer

Page 6

CONFIGURATION fILTRE

Proxy Filter SquidGard : General settings

Enable Activer ou non SquidGard

Après que la configuration faite, appuyez sur « Apply » afin que squidGard applique tous les changements

Apply

Statut de SquidGard: STARTED

Logging options

Enable GUI log Activer pour enregistrer l'accès au Filtre Proxy GUI

Enable log Activer pour enregistrer les règles de filtre du proxy comme des sites Web bloqués.

Enable log rotation

Activer pour limiter la taille de fichiers des logs et les échanger quotidiennement.

Miscellaneous

Clean Advertising Activer pour afficher une image Gif au lieu de la page de bloc par défaut. Avec cette option

l'utilisateur obtient une page Web plus propre.

Blacklist options

Blacklist Activer cette option pour permettre l’intégration d’une BlackList.

Blacklist proxy

Blacklist upload proxy - enter here, or leave blank. Format: host:[port login:pass] . Default proxy port 1080. Example: '192.168.0.1:8080 user:pass'

Blacklist URL

ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz

Entrer le chemin de la blacklist à télécharger et à prendre en compte

Page 7

Backlist

Blacklist Update

0 %

ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz

Entrer le chemin de la blacklist à télécharger et à prendre en compte. Le téléchargement commence alors…

Blacklist fiable et conçue par l’établissement de l’université Paul Sabatier

Common Access Controle List

Target Rules

^Whitelist !Blacklist !Whitelist_Custom !blk_blacklists_adult !blk_blacklists_agressif !blk_blacklists_arjel !blk_

Target Rules List

Pour chaque catégorie, définir si l’accès est bloqué (deny) ou accepté (allow)

Target Categories

[Whitelist] access w hitelist

[Blacklist] access deny

[blk_blacklists_adult] access deny

[blk_blacklists_agressif] access deny

[blk_blacklists_arjel] access deny

[blk_blacklists_astrology] access deny

[blk_blacklists_audio-video] access deny

[blk_blacklists_bank] access allow

[blk_blacklists_blog] access deny

[blk_blacklists_celebrity] access deny

[blk_blacklists_chat] access deny

[blk_blacklists_child] access deny

[blk_blacklists_cleaning] access allow

[blk_blacklists_cooking] access allow

[blk_blacklists_dangerous_material] access deny

[blk_blacklists_dating] access deny

[blk_blacklists_drogue] access deny

Page 8

[blk_blacklists_filehosting] access deny

[blk_blacklists_financial] access deny

[blk_blacklists_forums] access deny

[blk_blacklists_gambling] access deny

[blk_blacklists_games] access deny

[blk_blacklists_hacking] access deny

[blk_blacklists_jobsearch] access allow

[blk_blacklists_lingerie] access deny

[blk_blacklists_liste_bu] access allow

[blk_blacklists_malware] access deny

[blk_blacklists_manga] access deny

[blk_blacklists_marketingware] access deny

[blk_blacklists_mixed_adult] access deny

[blk_blacklists_mobile-phone] access deny

[blk_blacklists_phishing] access deny

[blk_blacklists_press] access allow

[blk_blacklists_publicite] access deny

[blk_blacklists_radio] access allow

[blk_blacklists_reaffected] access deny

[blk_blacklists_redirector] access deny

[blk_blacklists_remote-control] access deny

[blk_blacklists_sect] access deny

[blk_blacklists_sexual_education] access allow

[blk_blacklists_shopping] access allow

[blk_blacklists_social_networks] access deny

[blk_blacklists_sports] access deny

[blk_blacklists_strict_redirector] access deny

[blk_blacklists_strong_redirector] access deny

[blk_blacklists_tricheur] access deny

[blk_blacklists_warez] access deny

[blk_blacklists_webmail] access allow

Default access [all] access allow

Do not allow IP-Addresse

Activer cette option pour vous assurer que les utilisateurs ne contournent pas le filtre URL en utilisant simplement les ADRESSES IP au lieu du FQDN. Cette option n'a aucun effet sur la whitelist.

Page 9

s in URL

Proxy Denied Error

Afficher le message d’erreur qu’auront les utilisateurs pour leur dire que leur accès à ce site est bloqué.

Redirect mode

ext url move (enter URL)

Select redirect mode here. Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible. Options:ext url err page , ext url redirect , ext url as 'move' , ext url as 'found'.

Redirect

info

Entrez l'URL de redirection externe, le message d'erreur ou la taille (des octets) ici.

Use SafeSearch engine

Activer pour utiliser le mode protégé des moteurs de recherche dans le but de protéger les utilisateurs du contenu adulte.

Rewrite none (rew rite not defined)

Entrez dans le nom de condition se récrivant pour cette règle ou laissez le blanc.

Log Activer cette option pour permettre l'enregistrement des logs pour cet ACL.

Page 10

REGLES DE fILTRAGE

Page 11

Deux groupes ont été créés afin de minimiser le nombre de règles, en effet ils regroupent dans une seule catégorie, tous les ports qui leur sont associés. Comme ici pour « Internet », le port 80 (HTTP) ou 53 (DNS) qui sont associés à l’accès au réseau.

Comme ici pour « Messagerie », le port 25 (SMTP) ou 110 (POP) sont associés à la messagerie.

Le but étant de rendre facile l’élaboration des règles ainsi que de rendre meilleure leur organisation.

FIN