Mise en oeuvre du pare-feu d'une section numérique

  • Auteurs :
    • NicolasTessier
  • Version : 1.0

  • Date de création :

    28/05/2018

  • Modification : Pas de modification

  • Status : En cours d'écriture

  • Relectures :
    Relu par :
    • Non relu
  • Validation :
    Validé par :
    • Non validé
  • Destinataire :

  • Commentaires :

  • Vie du document :
    • 1.0 :

      Version initiale

      28/05/2018


1   Introduction

De plus en plus de sections d'apprentissage nécessitent d'intégrer des réseaux informatiques ouverts dans les réseaux des établissements.

Dans ce cadre, nous avons créé un VLAN dédié non routé au niveau du cœur de réseau. Ce VLAN porte l'ID : 917.

Dans ce VLAN, le GIP Recia a mis en place un pont filtrant (à base de PfSense) qui fait le pont entre le VLAN 4 (COLLECTE) et le VLAN 917 (INFO_WAN). Ce pont sert à archiver toutes les transactions réseaux.

La mise en place de ce VLAN est soumis à certaines contraintes et obligations légales :

  • Les enseignants devront installer un pare-feu sous leur responsabilité.
  • Ce pare-feu aura sa patte WAN dans le VLAN 917 (adresse MAC de la WAN connue et déclarée).
  • Le VLAN 917, n'autorisera que des équipements dont les adresses MAC sont connues et validées (adresse MAC de la patte WAN du pare-feu)
  • La ou les pattes LAN/DMZ du pare-feu permettent de mettre tous les éléments dont ils ont besoin pour travailler.
  • La méthode d'archivage des Logs pendant la durée légale devra être connue et validée
  • Le pare-feu dans le VLAN 917 devront être accessibles en SNMP via la communauté : pedago-ro
  • Les autres postes de travail de la Section seront dans le VLAN 16/17/18/19 (VLAN d'usages pédagogiques spécifiques). Le VLAN choisi doit être défini au moment du montage du projet.

Voici l'architecture réseau destinée à ces sections :

schéma_réseau.png

2   Pré-requis

2.1   Configuration de la patte WAN

Les informations de configuration de la patte WAN seront fournies au travers d'un ticket ouvert pour chaque section demandant la mise en service d'un pare-feu.

L'adresse IP sera du type 192.168.0.x

Les informations suivantes sont communes à tous les pare-feu de section :

  • Masque : 255.255.255.0 (/24)
  • Passerelle : 192.168.0.254
  • DNS : 192.168.0.254

2.2   Obligations de traçabilité

Afin de permettre la traçabilité des transactions, vous devez nous indiquer la méthode de conservation des logs au travers du ticket.

Nous vous conseillons de définir la passerelle 192.168.0.254 en tant que serveur de log afin que ceux-ci soient archivés sur les serveurs du GIP.

Si vous disposez d'une autre méthode d'archivage, vous devrez nous l'indiquer. Dans le cas où cette méthode n'est pas connue du GIP, nous ne mettrons pas en service le VLAN 917.

Warning

Nous rappelons qu'il s'agit d'une obligation légale. Si l'établissement décide d'utiliser une autre méthode d'archivage que celle préconisée par le GIP, le chef d'établissement est responsable de la mise à disposition des logs en cas de commission rogatoire.

Les informations à transmettre dans ce cas doivent permettre d'identifier la personne à l'origine de l'action.

3   Proposition de mise en œuvre

Le choix de la solution appartient aux enseignants.

Cependant, nous avons étudié la solution PfSense. Nous la conseillons donc dans la mesure où nous pourrons apporter un accompagnement lors de la mise en œuvre par l'enseignant.

Les indications ci-dessous sont d'ailleurs basées sur l'utilisation de PfSense. Elles sont néanmoins adaptables à d'autres solutions.

Une documentation existe sur leur site : https://doc.pfsense.org/index.php/Installing_pfSense

Il faut ensuite définir les interfaces qui seront utilisées pour les différents réseaux :

  • Il n'est pas nécessaire de définir les VLAN
  • L'interface WAN est celle qui sera connectée au réseau de l'établissement
  • L'interface LAN est celle sur laquelle sera connectée le réseau autonome
  • Vous pouvez ensuite renseigner une interface OPT1 si vous voulez mettre en place une DMZ (cela peut être fait ultérieurement via l'interface web)

Note

L'interface iDRAC ou ILO est destinée à communiquer avec le serveur lorsque ce dernier est éteint. Elle ne doit pas être utilisée pour les interfaces WAN ou LAN.

Repérez les adresses MAC des cartes afin de savoir comment attribuer vos interfaces.

Après avoir configuré votre pare-feu, vous avez accès à l'interface web de votre pare-feu :

  • via un poste connecté sur la patte LAN du pare-feu

  • Ouvrez un navigateur internet et saisissez l'adresse de la patte LAN en https

  • Les informations de connexion de départ sont les suivantes :

    • username : admin
    • password : pfsense
  • Vous arriverez alors sur un assistant de configuration dont nous décrivons plus bas les informations à renseigner

  • Vous pouvez aussi désactiver cet assistant afin de procéder à la configuration manuellement. Cette méthode est aussi décrite plus bas

Pour le nom du pare-feu :

  • Nous conseillons un nommage du type PFNUM[1 lettre][RNE de l'établissement]
  • La lettre pourrait être attribuée suivant l'IP associée : 192.168.0.253 aurait par exemple la lettre A
  • Un exemple serait alors : PFNUMA0450822x pour le pare-feu ayant l'IP 192.168.0.253 de l'établissement ayant le RNE 0450822x

Pour le nom de domaine du réseau LAN :

  • Le domaine par défaut est localdomain
  • Un nom de domaine du type sectionnumeriques serait préférable
  • Si le domaine est spécifique à une section, il peut aussi être définit en fonction de cette dernière (exemple : bacprosen)

4   Utilisation de l'assistant de configuration PfSense

Cette méthode ne permet pas de renseigner les paramètres liés aux obligations de traçabilité.

Les deux premières pages sont des pages d'informations. Il suffit de cliquer sur "Next" après avoir pris connaissance du contenu.

Sur la page suivante, vous êtes amené à renseigner :

Avant de valider, vous devriez avoir une page similaire à cela :

wizard_pf1.png

Sur la page suivante, il vous sera demandé de renseigner le serveur de temps :

  • L'IP 192.168.0.254 peut aussi être définie dans ce cas de figure
  • La zone de temps à indiquer est celle de Paris

Cela permettra de synchroniser les logs sur la même horloge que celle utilisée par le pont filtrant :

wizard_pf2.png

Ensuite, vous devez définir la configuration de l'interface WAN :

  • Selected type : static
  • IP : 192.168.0.xxx : cette IP vous a été fournie au travers d'un ticket
  • Subnet : 24 : il s'agit du masque 255.255.255.0
  • Upstream Gateway : 192.168.0.254
wizard_pf3.png

Il faut aussi vérifier que les cases suivantes sont décochées :

  • Block RFC1918 Private Networks
  • Block bogon networks
wizard_pf4.png

Vous devrez ensuite configurer votre interface LAN. Nous n'avons pas de recommandations particulières à ce niveau. Une IP en 192.168.1.1 est tout à fait envisageable.

wizard_pf5.png

Puis vous définissez le mot de passe du compte admin puis cliquez sur le bouton reload afin que les paramètres saisis soient pris en compte.

Pour la configuration des logs, reportez-vous à la section concernée plus bas.

5   Configuration manuelle de PfSense

Lors de la première connexion sur l'interface web, vous êtes automatiquement orientés vers l'assistant d'installation.

En cliquant sur le logo PfSense en haut à gauche du bandeau, vous afficherez le tableau de bord du pare-feu.

man_conf_pf1.png

Note

Après la configuration de l'interface WAN et la définition du serveur de temps il est nécessaire de redémarrer le pare-feu pour que les modifications prennent effet.

Les différentes actions effectuées par l'assistant sont accessibles de la manière suivante :

  • Menu "System > General Setup" permet de définir :
    • le nom du pare-feu (voir Proposition de mise en œuvre )
    • le nom de domaine du réseau LAN (voir Proposition de mise en œuvre )
    • Le DNS : il faut ici donner l'IP suivante : 192.168.0.254
    • le serveur de temps : l'IP 192.168.0.254 peut aussi être définie
    • La zone de temps à indiquer : celle de Paris
man_conf_pf2.png
  • Menu "Interfaces > WAN" permet de configurer l'interface WAN :
    • Selected type : static
    • IP : 192.168.0.xxx : cette IP vous a été fournie au travers d'un ticket
    • Subnet : 24 : il s'agit du masque 255.255.25.0
    • Upstream Gateway : 192.168.0.254
    • Block RFC1918 Private Networks : décochée
    • Block bogon networks : décochée
man_conf_pf3.png

6   Configuration du SNMP

Pour définir le paramétrage du SNMP, il faut activer le service via le menu "Services > SNMP" :

  • Cocher la case "Enable the SNMP Daemon and its controls"
  • Définir la communauté de lecture "Read Community String" : pedago-ro
  • "Bind Interface" : sélectionner l'interface WAN
snmp_conf.png

Note

Si vous le souhaitez, vous pouvez attacher toutes les interfaces à ce service. Pour cela, il suffit de sélectionner "All". Pour autant, il faut au moins que ce service soit activé sur l'interface WAN.

7   Configuration des logs

Afin que les logs de votre pare-feu soient archivés par le GIP, il faut définir la passerelle comme serveur de log :

Dans le menu "Status > System Logs > Settings" :

  • Vérifiez que les options de traçabilité sont correctement définies en ayant au minimum activé les options suivantes :
    • Log packets matched from the default block rules in the ruleset : cochée
    • Log packets matched from the default pass rules put in the ruleset : cochée
    • Log packets blocked by 'Block Bogon Networks' rules : cochée
    • Log packets blocked by 'Block Private Networks' rules : cochée
    • Log errors from the web server process : cochée
    • Show raw filter logs : cochée
log_pf1.png
  • Définissez la passerlle comme serveur de log :
    • Send log messages to remote syslog server : cochée
    • Source Address : Any
    • IP Protocol : IPv4
    • Remote log servers : 192.168.0.254
    • Remote Syslog Contents : Everything : cochée
log_pf2.png

Note

Il n'est pas nécessaire de préciser le port. Par défaut, il s'agit du port 514.

Cependant, si vous le souhaitez, vous pouvez définir le port en indiquant 192.168.0.254:514 pour l'information "Remote log servers"

Enfin, pour que tout le trafic soit tracé, il est indispensable de tracer l'activité liée à chaque règle de pare-feu.

Ainsi, pour chaque règle définie dans le pare-feu, dans le menu "Firewall > Rules", il faut cocher la case "Log packets that are handled by this rule" (décochée par défaut).

Cette case à cocher se trouve dans la section "Extra Options" des règles :

log_pf3.png

8   Configuration de l'accès internet

Il est possible que le DNS pose problème pour l'accès à internet.

Dans ce cas, il suffit de désactiver le service "DNS Resolver" et d'activer le "DNS Forwarder" :

Aller dans le menu Services > DNS Resolver :

Menu-dns-resolver.png

Décocher la case "Enable DNS Resolver" :

desactive-dns-resolver.png

Puis aller dans le menu Services > DNS Forwarde :

Menu-dns-forwarder.png

Activer le service sur l'interface LAN :

active-dns-forwarder.png

L'accès internet est désormais fonctionnel (sou réserve de l'activation du VLAN 917 sur lequel est relié l'interface WAN de votre pare-feu).

AdminDocs: fw-section-numeriques (last edited 28/02/2019 11:05:05 by NicolasTessier)