SP3 – Sécurisation du réseau internet

Partie filtrage

Mise en place de la machine PfSense Partie filtrage

Nous allons commencer par installer des paquets qui vont nous permettre d’ajouter des fonctionnalités à notre PfSense

Pour ce fait nous allons dans l’onglet « System / Packages » puis dans l’onglet « Available Packages » installer les paquets voulu qui se mettront automatiquement dans « Installed Packages ».

Pour le moment les paquets installer servent à :

Sarg : Avoir une trace de toutes les connexions passant par le PfSense

Squid3 : Proxy transparent qui va nous permettre de gérer toute les connexions

SquidGuard : Empêcher des personnes a allé sur certains sites non adéquats

Configuration de SQUID3 :

Pour commencer le paramétrage de Squid3 on se rend dans l’onglet « Services / Squid proxy server »

Allez dans l’onglet Local Cache et sauvegarder à la fin le fichier avec les paramétrages par défaut afin qu’il créer le cache du web puis ensuite se rendre dans l’onglet general pour commencer les réglages.

On met notre proxy en mode transparent, cette option est vraiment efficace car elle permet de rendre le proxy transparent sur la passerelle par défaut qui nous évite de rajouter le proxy via le navigateur web.

On le met sur l’interface LAN ainsi que sur tous les Vlan.

Beaucoup de site web utilise le protocole https et squid3 peut le prendre en compte

Il est nécessaire d’activer les logs pour squid pour avoir une trace des erreurs ou autre

Choisir la bonne configuration suivant la langue et autre

Traffic management

Vous pouvez spécifier des limites de Download, Upload, Bande passante alloué ...

Ensuite dans l’onglet Acls renseigner le réseau qu’on autorise.

Configuration de SargOn sélectionne sur quel paquet on veut le lier donc ici Squid

On créer une règle qui va nous permettre de générer toute les heures une remonter du filtrage Web

Dans la section « View Report » on peut voir la remonter du filtrage et tout est déjà trier par date

Correction BUG PfSense Release 2.2.1

Si vous obtenez le message suivant après avoir généré un rapport (Force update now), suivez la procédure qui va suivre

Se connecter en SSH sur la PfSense

> rm -rf /usr/local/sarg-reports

> ln -s /usr/pbi/sarg-amd64/local/sarg-reports /usr/local/sarg-reports

Explication : les rapports sont générés dans "/usr/pbi/sarg-amd64/local/sarg-reports" et non dans /usr/local/sarg-reports. Le plugin lit le chemin "/usr/local/sarg-reports". Il suffit de créé un lien symbolique vers "/usr/pbi/sarg-amd64/local/sarg-reports"

Configuration de squidguardOn commence par la section « Logging Options » ne pas activer le paquet pour le moment.

Shallalist est un annuaire d’URL qui tris tous les sites web répertorier dans le monde en catégorie (alcool, automobile, sport, etc…).

Et dans la section « Common ACL » on choisit les catégories de site que l’on souhaite bloqué

On a le choix entre 3 options. Il est possible de bloquer la catégorie (deny), possibilité d’autoriser la catégorie (allow) mais aussi de la mettre dans une liste blanche.

Et c’est à ce moment-là qu’il faut mettre Save puis allez dans « General Settings » cochez enable et appuyez sur « Apply ».

Une fois tous les services activés et fonctionnels il nous reste plus qu’à faire un test

On peut voir que l’lorsqu’un utilisateur essaie de ce connecté à une page interdite, il est immédiatement bloqué par le proxy lui disant que la requête a été refusé par le PfSense

Comment appliquer une règle HTTPS/SSL ?Tout est une question de certificat il faut se rendre dans l’onglet « System / Cert Manager » et on créer un certificat comme l’image du bas

Voilà une fois le certificat créer

Et il nous reste plus qu’à activer le service HTTPS/SSL sur PfSense