11.6.4
Synthèse et choix de la solution de sécurisation pour C.A.F.E
I&T
11.6.4.1 Présentation
générale de pfsense
Développé par Chris Buechler et Scott
UlIrich, Pfsense ou « Packet Filter Sense » est
un
applicatif qui fait office de routeur/pare-feu open source basé
sur le système d'exploitation
FreeBSD. Il est une reprise du projet
Monowall auquel il rajoute ses propres fonctionnalités. Il utilise le
pare-feu à états Packet Filter, des fonctions de routage et
de NAT lui permettant de connecter plusieurs réseaux
informatiques. Il peut fonctionner sur du matériel de serveur ou
domestique, sur des solutions embarquées, sans toutefois demander
beaucoup de ressources ni de matériel puissant. La plate-forme doit
être x86 ou x64, mais d'autres architectures pourraient être
supportées à l'avenir. Il comporte
l'équivalent libre des outils et services utilisés
habituellement sur des routeurs professionnels propriétaires.
Pfsense convient pour la sécurisation d'un réseau
domestique ou de petite entreprise. C'est une distribution
dédiée qui peut être installée sur un simple poste
de travail, un serveur ou même sur un boîtier en version
embarquée. Ce qui séduit chez Pfsense est sa facilité
d'installation et de configuration des outils d'administration réseau.
Après une brève installation manuelle pour assigner
les interfaces réseaux, il s'administre ensuite à distance
depuis l'interface web et gère nativement
les VLAN (802.1q)[18].
La distribution Pfsense met ainsi à la disposition de
l'administrateur réseau une multitude
d'outils open source et de
services permettant d'optimiser ses tâches. Pfsense assure une
compatibilité multi-plates-formes, une personnalisation complète
des pages accessibles aux utilisateurs ainsi qu'une simplicité
d'utilisation grâce à une page de connexion succincte où on
ne retrouve que deux champs (utilisateur / mot de passe).
Figure 3.8: Logo de
pfsense[19]
11.6.4.2 Aperçu des
fonctionnalités
Pfsense, un routeur/pare-feu open source dispose plusieurs
fonctionnalités. Parmi celles-ci, on peut noter [18]:
Ø Filtrage par IP source et destination, port du
protocole, IP source et destination pour le trafic TCP et UDP
· Capable de limiter les connexions simultanées
sur une base de règle ;
· Pfsense utilise p0f, un utilitaire permettant de
filtrer le trafic en fonction du système d'exploitation qui initie la
connexion ;
· Possibilité d'enregistrer ou de ne pas
enregistrer le trafic correspondant à chaque règle ;
Ø Network Address Translation (NAT) :
Rediriger les ports y compris les rangs et l'utilisation de
plusieurs adresses IP publiques NAT pour les adresses IP individuelles ou des
sous-réseaux entiers. Redirection NAT Par défaut, le NAT redirige
tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN
multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface
WAN utilisée. NAT réflexion : dans certaines configurations,
NAT réflexion est possible si les services sont accessibles par IP
publique à partir de réseaux internes.
Ø Basculement base sur CARP et pfsync
Common Address Redundancy Protocol ou CARP est un protocole
permettant à un groupe d'hôtes sur un même segment
réseau de partager une adresse IP. Le nom CARP est en fait un sigle qui
signifie « Common Address Redundancy Protocol » (Protocole
Commun De Redondance D'Adresse), à ne pas confondre avec
« Cache Array Routing Protocol » utilisé pour faire
de la répartition de charge de mandataires caches web Il a
été créé pour contourner des brevets. Ce protocole
peut être utilisé pour faire de la redondance et de la
répartition de charge. Il supporte IPv4 et IPv6, et a le numéro
de protocole 112. Il est supporté par pfsense
Ø Pfsync :
Pfsync assure la table d'état du pare-feu qui est
répliquée sur tous les pare-feu configurés de basculement.
Cela signifie que vos connexions existantes seront maintenues dans le cas
d'échec, ce qui est important pour prévenir les perturbations du
réseau.
Ø Load Balancing/ Répartition de
charge :
La répartition de charge du trafic sortant est
utilisée avec plusieurs connexions WAN pour assurer la
répartition de charge et des capacités de basculement. Le trafic
est dirigé vers la passerelle souhaitée ou le groupe
d'équilibrage local.
Ø VPN
Pfsense offre quatre options de connectivité VPN :
IPSec, OpenVPN, PPTP et L2TP.
Ø Dynamic DNS
Un client DNS dynamique est inclus pour vous permettre
d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs
de services DNS dynamiques.
Ø Captive Portal
Un Portail captif permet de forcer
l'authentification, ou la redirection vers une page pour l'accès au
réseau. Ceci est communément utilisé sur les
réseaux de points chauds (Hot Spots), mais est également
largement utilisé dans les réseaux d'entreprise pour une couche
supplémentaire de sécurité sur l'accès sans fil ou
Internet. Ce qui suit est une liste des fonctionnalités du portail
captif de Pfsense.
| 
