Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
SP3 – Sécurisation du réseau internet
Partie VLANsConfiguration des VlansOn va commencer à créer les Vlans
On crée le vlan 100 qui correspond au Vlan serveur
Automatiquement PfSense créé le Vlan 100 sous le nom OPT il nous reste plus qu’a le lier avec le network port
Puis en cliquant sur OPT on peut éditer l’interface Vlan. On l’active au départ afin qu’elle soit active. On lui affecte une adresse IP fixe 192.168.100.254 /24 par exemple pour le vlan 100 on lui met en fait la passerelle qui sera présente dans les postes présent dans le vlan serveur
Ne surtout pas cochez « Block private networks » sinon on ne pourra même plus accédez à la page PfSense car sa signifie qu’on bloque toute les adresse IP Privées (10.*.*.* 172.*.*.* 192.*.*.*) donc à l’arrivée du paquet sur PfSense ils sont rejetés
Cochez « Block bogon networks » ça correspond aux adresse non encore fourni par l’entreprise qui s’occupe de fournir les adresses IP. Car généralement se sont les pirates qui les utilisent.
Ensuite on va éditer une règle à partir de l’onglet Firewall/Rules. Ici dans l’exemple c’est dans le Vlan 100 qu’on édite une règle.
Cette règle signifie : Toute requête provenant du Vlan 100 sur n’importe qu’elle protocole à destination de n’ importe où est autorisé
Comment éditer une règle efficacement ?
Action : J’autorise / je n’autorise pas
Interface : Sur l’interface
TCP/IP Version : En Ipv4 ou Ipv6
Protocol : Sur le protocole
Source : Provenant
*Vlan100 net = adresse réseau du vlan 100 *Vlan100 address = adresse de passerelle du vlan 100
Destination : en destination de
Puis on va éditer une règle de blocage. Cette règle signifie : Toute requête ne provenant pas du Vlan 100 sur n’importe qu’elle protocole à destination de n’ importe où est refusé. Cette règle permet d’éviter qu’une personne se mette en adressage fixe sur un autre réseau IP et qu’il perturbe le réseau.
On peut voir que les deux règles se sont bien ajoutées
Attention !!!!!!Sur PfSense, les règles s’exécute sur un « first match basis » c’est-à-dire qu’il va gérer les règles par ordre de classement. Il exécute la première règle, si elle ne correspond pas il va à la suivante, et dès qu’une règle correspond il l’applique. Toutes les règles suivantes sont délaissées.
Afin de faciliter les règles de filtrages on peut créer des alias qui nous serviront par la suite lors de création de règles bien spécifiques.
Pour ce faire on se rend dans l’onglet Firewall/Aliases et nous allons pouvoir créer notre premier alias IP
Dans ce premier alias nommé « Vlans_sans100 » il comporte toute les adresse IP réseau de tous les Vlan excepter le 100.
Voilà le résultat final avec tous les alias créé
Et c’est par exemple ici qu’on aura besoin de l’alias créé précédemment
Dans cette règle : Toute requête provenant du Vlan 105 sur n’importe qu’elle protocole à destination tous les Vlan excepter le 105 est bloqué
Cette règle va nous permettre d’éviter que les vlan puisse communiquer entre eux
Par la suite afin d’assurer une sécurité réseau convenable nous allons créer un alias de port (pour avoir une liste de port et leur utilité on se rend sur une machine linux et on tape la commande « cat /etc/services »
Dans cet alias nommé PortsWeb on rentre une liste de port « 80 (http) 443 (https) 20 (ftp) 21 (ftp) 25 (smtp) 110 (pop3) 123 (ntp) 220 (imap3) 995 (pop3 securisé) »
Car ce sont les ports les plus couramment utiles lors d’une navigation web ordinaire
Voici le résultat obtenu de l’alias créer
En lui disant : Toute requête TCP/UDP provenant du Vlan 105 en destination des ports Web (les ports créer précédemment dans l’alias) est autorisée
Toutes requêtes autres que les ports renseigner dans l’alias de port sera refusé
Etat final de nos règles jusqu’à présent
Ensuite on va créer une règle qui nous permettra d’empêcher l’accès à la page Web d’administration du PfSense dans les salles de formation de la salle 1a 13
La règle signifie : Toute requête de n’importe quel protocole du Vlan 105 en destination de l’adresse du Vlan 105 (adresse par défaut .254) est bloqué.
Résultat de la règle