CHAP V : SECURISATION D’UNE INFRASTRUCTURE AVEC

UN FIREWALL LIBRE : PFSENSE

I – INTRODUCTION ET GENERALITES.
Un pare-feu (de l'anglais firewall) est un logiciel et/ou un matériel permettant de
faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les
types de communications autorisés sur ce réseau informatique. Il surveille et
contrôle les applications et les flux de données (paquets).

1) Fonctionnement général

Le pare-feu est jusqu'à ces dernières années considéré comme une des pierres
angulaires de la sécurité d'un réseau informatique (il perd en importance au fur et
à mesure que les communications basculent vers le HTTP sur TLS, court-circuitant
tout filtrage). Il permet d'appliquer une politique d'accès aux ressources réseau
(serveurs).
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance,
en filtrant les flux de données qui y transitent. Généralement, les zones de
confiance incluent Internet (une zone dont la confiance est nulle) et au moins un
réseau interne (une zone dont la confiance est plus importante).

Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de
différents niveaux de confiance, grâce à l'application de la politique de sécurité et
d'un modèle de connexion basé sur le principe du moindre privilège.

Le filtrage se fait selon divers critères. Les plus courants sont :

 L'origine ou la destination des paquets (adresse IP, ports TCP ou UDP,

interface réseau, etc.) ;
 Les options contenues dans les données (fragmentation, validité, etc.) ;
 Les données elles-mêmes (taille, correspondance à un motif, etc.) ;
 Les utilisateurs pour les plus récents.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en

plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont
séparées suivant le niveau de confiance qu'on leur porte.
Enfin, le pare-feu est également souvent situé à l'extrémité de tunnel IPsec ou TLS.
L'intégration du filtrage de flux et de la gestion du tunnel est en effet nécessaire
pour pouvoir à la fois protéger le trafic en confidentialité et intégrité et filtrer ce
qui passe dans le tunnel.

Support de cours Xavier CHOUPE

1
 2) Catégories de pare-feu

Il existe 3 modèles de firewalls. Chacun possède des avantages et désagréments. Il

faudra donc préalablement analyser les besoins réels en termes de sécurité, ainsi
que les coûts engendrés avant toute utilisation :
 Les firewalls Bridge
 Les firewalls Hardware
 Les firewalls Software

Ce dernier type de pare-feu qui fera l’objet d’étude dans ce chapitre existe
autant sous forme commerciale que sous forme gratuite. Quelque soit leur
origine, la sécurité pourra fortement varier. Un logiciel commercial pourra
parfois mettre en avant sa facilité de mise en place et de configuration, mais
ce sera souvent aux dépends de la sécurité. Au niveau des logiciels gratuits
et/ou libres, ils seront souvent plus flexibles (c’est à-dire plus fournis en
options), mais nécessiteront la plupart du temps de bonnes connaissances en
réseau afin de les configurer finement sans abaisser le niveau de sécurité.

II- ETUDE DE QUELQUES SOLUTIONS LIBRES DE FIREWALLS

Il existe une variété de firewalls libres parmi lesquels nous avons :

a. Linux netfilter (noyaux 2.4.x, 2.6.x)

C'est la troisième génération de firewall Linux (netfilter) ; c'est un stateful firewall

(décisions basées sur l'état d'une connexion logique) qui :

Implémente le NAT pour Linux ;

Dispose d'un excellent mécanisme de log ;

Opère dans le mode de la « première correspondance gagnante ».

b. OpenBSD PF (packet filter)

C'est le remplaçant d'IPFilter (depuis la version 3.0 et cette suite à un problème de

licence) pour la branche d'OpenBSD. OpenPF sous licence BSD est désormais
disponibles pour toutes les flavors BSD. Ces fonctionnalités principales sont les
suivantes :

Support de cours Xavier CHOUPE

2
  C'est un stateful firewall (décisions basées sur l'état d'une connexion logique)
 Il utilise la notion de macros (variables à expanser), ce qui permet de
paramétrer le jeu de règle ; ce qui facilite la maintenance et améliore la
portabilité ;
 Il utilise des tables (de hachage) qui permettent de stocker de large plage
d'adresses, tout en assurant un temps d'accès constant ;
 Il implémente le NAT (ré-écriture des adresses sources en sortie) et la
redirection (ré-écriture des adresses destination en entrée) ;
 Il opère dans le mode de la « dernière correspondance gagnante », mais
propose un mode de court-circuit avec le mot clé quick ;
 Il propose une fonction de normalisation de trafic (scrub) qui annule toutes
ambiguïtés dans les paquets reçus et à transmettre aux destinataires (en
entrée ou en sortie) ;
 Il supporte nativement plusieurs méthodes implémentant le contrôle de
bande passante (par gestion de files de priorités selon différents
algorithmes) ;
 Il dispose d'un mécanisme implicite d'ordonnancement des règles ;
 Il dispose d'un excellent mécanisme de log et de statistiques

c. IPCop

IPCop est une distribution Linux destinée à être installée sur une machine x86
standard, et qui permet d'en faire un pare-feu réseau facilement administrable via
une interface web.

d. PF (Packet Filter)

PF (Packet Filter) est la couche de filtrage intégrée aux systèmes libres hérités de
BSD UNIX (FreeBSD, NetBSD, OpenBSD...)

e. OPNsense

OPNsense est un logiciel de pare-feu et de routage open source basé sur FreeBSD
développé par Deciso, une entreprise aux Pays-Bas qui fabrique du matériel et
vend des packages de support pour OPNsense.

f. PFsense

pfSense est une distribution logicielle permettant de réaliser une passerelle réseau
à partir d'un serveur x86. Il date de 2004.

Support de cours Xavier CHOUPE

3
 III- SECURIASTION D’UNE INFRASTRUCTURE AVEC PFSENSE

1) Introduction.

PFSENSE est un routeur/ Pare-feu de la distribution FreeBSD OpenSource,

permettant de sécuriser le réseau d’une entreprise du monde externe, il est
considéré comme un fournisseur de service comme exemple le serveur de temps
NTDP, un relais DNS, il peut distribuer des adresses Ip via le protocole DHCP. De
plus, c’est un routeur permettant de relier le Réseau WAN au réseau LAN. Il
implémente des protocoles de routage tels que : RIP, OLSR, BGP.
Son atout est la mise en place de VPN’s : OpenVPN, IPSEC, PPTP. Par ailleurs, le
firewall est capable de traduire des adresses : NAT, SNAT, DNAT. Capable de filtrer
les paquets entre deux réseaux (Soit WAN et LAN) et même entre deux entités
reliés en VPN. Ainsi, il permet de faire du load balancing (répartition des charges)
entre plusieurs connexions Internet et/ou du Fail Over (basculement).

2) Typologie des firewall Pfsense

Pfsense existe en Hardware (qui est payant) et en Software

A) Hardware pfsense

C’est le matériel firewall payant embarqué dans un équipement comme à la figure

suivante

Où acheter son firewall pour pfsense ?

De mon expérience, j’estime qu'il existe aujourd'hui 2 solutions :
1/ Acquérir du matériel officiel vendu par la société Netgate (éditeur du logiciel
pfSense). L'avantage est que vous bénéficiez du matériel officiel avec la garantie
absolue qu'il est totalement supporté par l'éditeur. Les inconvénients principaux à
nos yeux sont : les durées de garantie extrêmement courtes, le temps nécessaire
pour un échange, le prix.
Boutique en ligne Netgate : https://store.netgate.com

Support de cours Xavier CHOUPE

4
2/ Acquérir du matériel vendu par Provya : face au besoin de disposer de matériel
fiable et économique et au manque de solutions qui étaient disponibles sur le
marché, nous avons décidé de façonner notre propre matériel, avec des
composants de qualité et au meilleur coût. L'assemblage, le support et la garantie
sont effectués par nos soins depuis la France ; tous nos matériels sont garantis 3
ans avec remplacement/échange en 24-48h, et les composants sont choisis avec
soin pour fonctionner au mieux et durablement avec pfsense (support AES-NI,
disque SSD de qualité, ...).
Boutique en ligne Provya : https://store.provya.fr

B) Le firewall logiciel pfsense.

Pfsense est une distribution open source sous licence BSD. Elle est gratuite et
permet de passer un simple PC en pare-feu. Il propose de nombreux services, entre
autres : Firewall (il s'agit de celui de FreeBSD donc Packet Filter), Serveur DHCP,
DNS, portail captif, Dashboard, VPN, et bien d'autres.

Pfsense est puissante, en bonne partie car elle est basée sur FreeBSD, mais aussi
assez simple d'accès, car elle fournit une interface web pour la configuration, après
une installation en mode console. Il peut être installé sur un ordinateur personnel
ou bien un serveur, il permet entre autre de sécuriser une infrastructure à travers
diverses fonctionnalités qu’il offre. La quasi-totalité des configurations possibles
avec pfsense se font sur son interface web.
Comme sur les distributions linux, pfsense intègre aussi un gestionnaire de paquets
(snort, squid, OpenVPN, ntop, Proxy Server, IP-Blocklist, OpenOSPFD, HAVP
antivirus… ) pour installer des fonctionnalités supplémentaires, comme le proxy,
serveur VoIP. Il utilise le pare-feu à états Packet Filter, des fonctions de routage et
de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Il est très répandu dans la sécurité des réseaux
domestique, des petites et grandes entreprises qui contient des milliers de
périphériques réseaux.

Support de cours Xavier CHOUPE

5
  Prérequis d’installation

Disposer d’une machine ayant 2 interfaces réseau au minimum (WAN, LAN et

optionnellement un 3e pour la DMZ) (une machine de faible puissance suffit).
Une ISO de PfSense téléchargeable sur le site officiel www.pfSense.org
L’installation du système étant très basique, nous n'allons pas la voir dans cette
section.

Note : Il ne faut pas oublier d’appuyer sur « i » pendant l’installation pour bien
installer PfSense sur un disque dur. Si nous avons une carte vidéo, il faut choisir «
Standard Kernel »

 Présentation du pfsense

Support de cours Xavier CHOUPE

6
 III.3. FONCTIONNALITES.

Pfsense ne fait pas seulement firewall, elle offre toute une panoplie de services
réseaux. Nous allons vous en présenter quelques-unes les plus intéressantes.

 Pare-feu : indispensable pour une distribution "firewall".

 Table d'état : La table d'état ("State Table") contient les informations sur les
connexions réseaux. Cela permet d'avoir un aperçu des connexions et
surtout de créer des règles par exemple sur le nombre de connexion
maximum pour un hôte.
 Traduction d'adresses réseaux (NAT) : Permet de joindre une machine située
sur le LAN à partir de l'extérieur.
 VPN : permet la création de VPN IpSec, OpenVPN, PPTP, Layer 2 Tunneling
Protocol ou L2TP
 Serveur DHCP.
 Serveur DNS et DNS dynamiques.
 Portail Captif.
 Redondance et équilibrage de charge.
 Graphes pour la charge système et réseaux.
 Proxy
 Gestion des IDS (suricata…)
 …

III.4. SERVICE DE PFSENSE

III.4.1. SYSTEM

Ce service regroupe tous les utilitaires system, dont nous citerons :

 Advanced : Représente les options avancées de Pfsense comme l’accès SSH,

les clés SSL, etc.
 Firmware : il permet de mettre à jour Pfsense
 General Setup : Représente les configurations de base de Pfsense rentrées
lors de l’installation.
 Package : il permet installer de nouveau paquets.
 …

Support de cours Xavier CHOUPE

7
 III.4.2. INTERFACES

Ici, il est possible de gérer les interfaces allant de la modification à l’attribution

d’une interface a une carte réseau à l’aide d’une adresse mac.
Les VLANs peuvent également y être gérés.
III.4.3. PARE FEU
Parmi les sections qui permettent le paramétrage du firewall nous citerons :
 Aliases : il permet principalement d’associer un nom à une adresse d’hôte,
un port, ou un réseau.
 NAT : il permet notamment de faire correspondre une seul adresse externe
publique visible sur internet à toutes les adresses d’un réseau privé.
 Schedule : il signifie planifier et correspond à un intervalle de temps dans le
mois ou dans la journée à laquelle une action doit être faite par exemple:
l’Access Internet est autorisé à certain utilisateur à plein temps, mais à
d’autre à des intervalles de temps précis (pendant la pause).
 Traffic Shaper : permet de contrôler l’utilisation de la bande passante.
III. 4.4. SERVICES

Plusieurs services peuvent être gérer par pfsense. Ils peuvent être arrêtés ou
activés depuis cette interface. Voici la liste de quelques services :
 Captive portail
 DNS FORWARDER : transporte les DNS.
 DHCP Relay : agent relai DHCP
 DHCP server
 …
III.4.5. STATUS
Cette onglet permet de voir l’état de pfsense. Nous pouvons par exemple vérifier si
les interfaces dont actives, leur adresse, voir l’état des connexions, arrêter ou
lancer un service, etc.
IV- ETUDE DE QUELQUES PAQUETS PFSENSE

Support de cours Xavier CHOUPE

8
L’extension du firewall pfsense se fait à travers l’installation des paquets
disponibles pour la distribution ; cependant, il est important de n’installe que les
paquets stables pour éviter toute dysfonctionnement. On peut citer :

 Ntop : NTOP est un outil de test de réseau qui permet de contrôler

l’utilisation des ressources de la même façon que top fait pour les processus.
En mode interactif, il affiche les statistiques réseau sur le terminal de
l’utilisateur. En mode Web, il agit comme un serveur HTTP, en créant un
dump du statut du réseau. Il inclut un émetteur / récepteur de flux
NetFlow/sFlow, une interface client HTTP qui permet de créer des
applications de contrôle basées sur NTOP et RRD pour stocker de façon
persistante les données à des fins statistiques.

 Nmap ; NMAP est un utilitaire pour l’exploration des réseaux ou l’audit de

sécurité. Il supporte les scan ping (permet de déterminer quel hôte est actif),
de nombreuses techniques de scan de ports (qui permet de déterminer quels
services les hôtes offrent), la détection de version (détermine quel
application / service tourne sur un port donné), et de mener des tests de
signature TCP/IP (hôte distant ou identification des équipements)

 Proxy server ; ModSecurity est une application Web de firewalling qui peut
fonctionner en mode embarqué ou en tant que reverse proxy. Il inclut la
protection de nombreux types d’attaques et permet un monitoring du trafic
HTTP, conservation de traces, et de l’analyse temps réel. Ce package permet
aussi de faire de l’URL forwarding ce qui peut être utile pour héberger de
multiple sites web derrière pfSense en utilisant une seule adresse IP.

 Snort ; SNORT est l’outil de détection/prévention d’intrusion le plus utilisé au

monde. Il permet de créer des règles de journalisation et peut permettre une
recherche sur le contenu en plus d’être utilisé pour détecter une variété

Support de cours Xavier CHOUPE

9
 d’attaques et de sondes, tels que : buffer overflow, scan de ports furtif,
attaques CGI, sondes SMB, et bien plus.

 Suricata ; SURICATA est un IDS/IPS basé sur des signatures qui est distribué
sous licence GPL v2. Il s'agit d'un développement parti de zéro qui a été initié
en 2008 par Victor Julien.
La première version stable de Suricata date de 2010. L'objectif de cette
version était d'avoir un moteur d'IDS/IPS multithread supportant le langage
de signatures de Snort, ce qui permettait de conserver l'existant en termes
de signatures

 Squid ; SQUID est un serveur mandataire (proxy) et un mandataire inverse

conçu pour relayer les protocoles FTP, HTTP, Gopher, et HTTPS.
Contrairement aux serveurs proxy classiques, un serveur Squid gère toutes
les requêtes en un seul processus d'entrée/sortie asynchrone.

C'est un logiciel libre distribué sous licence GNU GPL.

Squid garde les meta-données et plus particulièrement les données les plus
fréquemment utilisées en mémoire. Il conserve aussi en mémoire les requêtes
DNS, ainsi que les requêtes ayant échoué. Les requêtes DNS sont non bloquantes.
Les données mémorisées peuvent être rangées en hiérarchies ou en mailles pour
utiliser moins de bande passante.

 HAVP antivirus ; L’Antivirus : HAVP (HTTP Antivirus Proxy) est un proxy

couplé à l’anti-virus ClamAV. L’objectif principal est d’offrir un filtrage
dynamique de flux HTTP. HAVP possède un mode proxy transparent et
peut-être utilisé avec squid ou en mode standalone. Il permet aussi le
filtrage des fichiers locaux.
 IP-Blocklist ; IP-Blocklist fonctionne comme PeerGuardian2. Des listes
d’accès peuvent être automatiquement ajoutés aux règles de filtrage
internes ou externes.
 Backup ; Outil permettant de sauvegarder et restaurer des fichiers et des
répertoires.

Nota : Les paquets sont généralement des projets GLP et par conséquent ne sont
pas développés seulement pour pfsense; ils peuvent être installés sur d’autre
distribution Linux. Un paquet peut être disponible pour une distribution et pas pour

Support de cours Xavier CHOUPE

10
un autre, avant de se lancer dans un projet, il faut donc vérifier connaitre son
besoin et vérifier les paquets nécessaires si pfsense n’intègre déjà pas la
fonctionnalité voulue.

 Appréciation du pfsense
Ci-dessus une appréciation par les utilisateurs du firewall pfsense.

 Conclusion

Grâce à cet outil, vous avez les éléments de configuration et de sécurisation d’une
infrastructure à un prix gratuit à travers ses différentes. Les possibilités sont alors
multiples et l'outil est vraiment simple à prendre en main. Pour un environnement
gratuit. Pfsense n'a rien à envier à ses concurrents payants, complet et fonctionnel
PfSense est un 'must have' pour sécuriser et configurer la base de son réseau.

Support de cours Xavier CHOUPE

11