Julien Tabas
BTS SIO 2
RAPPORT DE STAGE 2015
2
Table des matières
Introduction…………………………………………………………………………………………3
Présentation de l’entreprise…………………………………………………………………………4
Organigramme………………………………………………………………………………………5
Projet :
Présentation du besoin………………………………………………………………………………6
Topologie réseau…………………………………………………………………………………….7
Ipsec PFSense PFSense………………………………………………………………………….8
Ipsec PFsense Cisco………………………………………………………………………………9
Supervision réseau…………………………………………………………………………………..10
Filtrage Web………………………………………………………………………………………...11
Bridage du trafic…………………………………………………………………………………….11
Missions :
En atelier / chez le client …………………………………………………………. ........................ 12
Conclusion…………………………………………………………………………………………..13
Annexes 1 VPN PFsense PFsense
2 VPN PFsense Cisco
3 Supervision réseau
4 Filtrage Web
5 Bridage du trafic
3
Introduction
Ma première année en BTS SIO à l’Institution des Chartreux m’a montré comment
l’informatique et particulièrement le réseau était un élément primordial dans la gestion d’une
entreprise ou toutes sortes de structures.
Lors d’une précédente expérience, j’ai découvert le service informatique d'ID2I. La gestion
des parcs informatiques et l’organisation du réseau m’ont beaucoup intéressé et j’ai décidé de
m’orienter dans cette voie.
A présent ce stage chez ID2I, me permet d’appliquer les connaissances de mes cours à
travers des installations de postes, périphériques et la gestion des accès utilisateurs. En effet,
l’aspect technique est majeur mais il ne faut pas oublier aussi le côté relationnel car nous sommes
souvent en relation avec les clients.
Il est nécessaire d'être organisé et rigoureux afin de gérer au mieux et le plus rapidement
possible le problème qui se présente en face.
4
Présentation de l’entreprise
Nom : ID2I
Création : 2003
Chiffre d’affaire : 2M€
Siège Social : Avignon
Activité : Société de services d’ingénierie informatique
Nombre de salariés : 23
Nombre d’agences : 2
Sociétés clientes : 1000
Objectifs :
Gérer les droits d’accès durant et après les heures de travail
Le trafic des données
La sauvegarde des données
La politique de sécurité régissant tous les types d’accès ou réseau
La surveillance et l’assurance de la fiabilité générale du réseau
Savoir faire :
Infogérance
Maintenance
Help Desk
Matériel et hébergement informatique
Solutions Développement Web
Conseil
Audit
Formation
Applications mobiles sur mesure
Solutions bureautique et ERP
5
Organigramme :
6
Présentation du besoin :
Sujet : 1- Connexion VPN PFsense Site à Site
2- Supervision réseau avec la mise en place de balises PFsense
3- Filtrage Web
4- Bridage du trafic
Qu’est-ce qu’une sonde ?
Une sonde est un équipement qui permet d’analyser les flux réseaux. En effet, placée en sortie de
réseau, elle agit comme un « capteur ». Elle capte toutes les communications au sein du réseau et les
remonte au superviseur. Une fois configurée elle va nous permettre d’avoir une illustration du débit
utilisé total ou par machines que ce soit en montant ou en descendant, des différentes
communications entre IPs (par exemple une machine discute avec tel serveur), des différents
protocoles utilisés, des sites consultés et toutes autres informations utiles à la supervision de
réseaux.
Quelle est la technologie choisie ?
Nous allons utiliser le système d’exploitation PFSense, Open Source. Il a été modifié et complété
avec le temps pour être la solution complète qu’il est aujourd’hui. Il offre de nombreuses
fonctionnalités comme le pare-feu, le DHCP, le DNS, le NTP, la gestion de charge, le PPPoE, le
SNMP, le VPN par IPsec, L2TP, OpenVPN, PPTP ou portail captif. De nombreux paquets
supplémentaires sont disponibles pour compléter le système et s’adapter à notre utilisation comme
Squid ou Ntopng.
Cette solution, très légère, s’implémente sur une machine, qu’elle soit physique ou virtuelle,
contenant au minimum un Pentium II et 256 MB de RAM. Il faudra donc adapter son matériel par
rapport au type d’utilisation de la solution et de la bande passante à traiter.
PFSense est téléchargeable sur le site internet du projet (http://www.pfsense.org/) et une fois
téléchargé il s’installe en mode console puis est administré par une interface web.
Coût : PFsense est gratuit, il s’agit d’une distribution FreeBSD modifiée pour l’utilisation en tant
que routeur/pare-feu.
Délais : Le projet se déroule sur les 2 mois de stage. L’organisation des différentes tâches s’effectue
par moi-même. Il m’a été nécessaire de bien m’organiser et de gérer mon emploi du temps car le
projet n’est qu’une partie de mes activités au sein de l’entreprise.
7
Schéma de l'infrastructure réseau :
8
Ipsec PFSense PFSense :
Ipsec est un protocole qui permet d’assurer des communications privées et protégées sur des ré-
seaux IP.
Il opère sur la couche réseau 3 du modèle OSI contrairement aux standards qui opéraient à la
couche application 7. En résumé, les utilisateurs n’ont pas besoin de configurer chaque application
aux standards IPsec.
Cette technologie permet d’identifier et de chiffrer les données. Celle-ci est souvent un composant
du VPN qui permet de créer un lien direct entre des ordinateurs distants.
Dans notre situation, la société ID2I désire mettre en place un VPN entre deux sites distants.
Une entreprise de transport s’est développée sur Marseille et sur Lyon. L’objectif est de faire com-
muniquer ces deux sites par un tunnel privé. Ce tunnel permettra aux deux sites distants de commu-
niquer librement. Le site de Lyon pourra avoir accès au serveur de celui de Marseille et inverse-
ment. Actuellement un routeur PFsense est en place à Marseille et un autre est prévu sur Lyon.
Grâce à une configuration spécifique des deux routeurs (voir annexe1), nous allons pouvoir créer
un réseau privé entre deux PFsense.
Le choix de cette solution par ID2I est d’une part économique. En effet, Pfsense est un système
d’exploitation à part entière pouvant être créé physiquement sur un serveur, un poste ou virtuelle-
ment sur une VM hébergée. Le coût de cette solution est totalement nul car c’est un logiciel open
source. Il est disponible gratuitement sur le site constructeur https://www.pfsense.org/. De plus, le
choix par la SSII de PFsense n’est pas anodin. Ici nous traitons seulement le vpn site à site entre
deux PFSense. Mais le projet autour de la technologie PFsense s’étend bien au-delà. Cette solution
s’est tout d’abord tournée vers la diversité des services proposés par le logiciel qui correspond par-
faitement aux besoins d’ID2I.
9
IPSec PFSense Cisco :
Actuellement, la plupart des clients d’ID2I sont équipés de routeur Cisco. Mais certaines entreprises
étendent leurs activités vers des sites distants. Désireuses de pouvoir communiquer au sein d’un ré-
seau sécurisé, il est possible de créer une connexion privée entre un routeur PFSense et un routeur
Cisco. Cette alternative aux réseaux étendus à relais de trames ou à ligne allouée permet aux entre-
prises d’étendre les ressources réseau aux succursales, aux travailleurs à domicile et aux sites de
leurs partenaires. En plus de pouvoir faire du VPN IPSec site à site, il est possible de faire du vpn
d’accès distant. En effet, ce type de VPN étend presque n’importe quelle application vocale, vidéo
ou de données au bureau distant, grâce à une émulation du bureau principal. Un VPN d’accès dis-
tant peut être déployé à l’aide d’un VPN SSL, IPSec ou les deux, en fonction des exigences de dé-
ploiement.
La stratégie n’est pas de remplacée tous les routeurs cisco actuellement en œuvre par des PFSenses.
En effet, suivant le besoin de l’entreprise un PFSense ou un Cisco sera plus adapté.
A travers l’annexe 2, il est possible d’analyser précisément le processus d’installation et les diffé-
rentes configurations à adopter d’une part coté PFSense et d’autre part du côté Cisco.
Malgré la diversité des rôles que propose la solution applicative open source, ID2I maintient sa con-
fiance dans le matériel Cisco qui reste une référence dans le monde du réseau.
La solution libre est une alternative pour contrer d’une part les coûts mais aussi pouvoir analyser le
trafic entrant et sortant en temps réel.
10
Supervision Réseau :
Après avoir vu les connexions VPN entre deux routeurs, entamons à présent l’une des parties prin-
cipales de ce grand projet. L’ESN est désireuse de pouvoir surveiller le trafic réseau de ses clients
en temps réel. Ce système permettrai d’avoir une vue d’ensemble de ce qui se passe sur les réseaux
de ses différents clients. La supervision est une technologie permettant la surveillance du bon fonc-
tionnement d’un système ou d’une activité.
Afin de mettre en œuvre ce projet (annexe 3), nous utilisons un logiciel en plus de PFsense qui
s’appelle Ntopng. Celui-ci permet d’avoir une vision d’ensemble du réseau et analyser précisément
les entrées et les sorties. Chaque ip qui communiquent ensemble utilisent de la bande passante et
sont illustrées à l’aide de graphique très intuitifs. De plus, les IP révèlent sur quels sites les utilisa-
teurs vont navigués.
Cette solution n’est en aucun cas un moyen d’espionner les utilisateurs sur un réseau mais bien de
visionner en temps réel quel poste utilise le plus la bande passante afin de prévenir d’éventuelles
gênes sur le réseau. Grâce à la commande ping –a « ip » il est possible directement à partir d’une ip
d’obtenir le nom du poste. Désormais il est possible de prévenir les futures pannes même avant que
le client lui-même appelle l’agence pour dire que le réseau est lent. Cette solution est à la fois puis-
santes et très intuitives.
Afin de réceptionner les paquets à l’entrée et à la sortie du réseau il est nécessaire d’adopter une
stratégie de placement du PFsense sur le réseau. Le PFsense est appelé sonde et se situe stratégique-
ment avant le routeur à l’entrée du réseau et le LAN utilisateurs. Lorsque les utilisateurs communi-
quent avec l’extérieur du réseau, les paquets émis et reçus passe naturellement par la sonde mis en
place. Elle est totalement transparente aux utilisateurs et ne provoquent aucune gêne sur le réseau.
La sonde est configurée (annexe3) en mode pont transparent et se munit de graphes pour illustrer les
données passantes d’une patte à l’autre du PFsense. Pour cela une liste variée est mis à disposition.
Pour notre projet, nous allons utiliser NTopng et RRDGraph, deux logiciels permettant d’illustrer
sous forme de graphe l’état de la bande passante en fonction de l’utilisation globale de l’ensemble
des utilisateurs.
11
Filtrage Web :
A présent, nous nous intéressons au filtrage web grâce à l’installation de Squid. Ce package permet
de filtrer les url des utilisateurs en fonction de leurs recherches sur internet. Il est possible d’ajouter
une blacklist lors de la configuration (voir annexe 4) afin d’affiner le filtrage. C’est un serveur
mandataire, plus communément appelé serveur Proxy. Pour plus de détails, voir l’ensemble de con-
figuration en annexe.
Bridage du trafic :
De plus, il est nécessaire de déployer une limitation de la bande passante sur le réseau client. Brider
permet limiter le débit d'un réseau, pour décourager le téléchargement (limiter le piratage, éviter
l'utilisation du matériel de l'entreprise à des fins personnelles). On peut utiliser la sonde comme bri-
deur de débit et ainsi allouer un certain espace de bande passante par machine. (voir annexe 5)
12
Missions en atelier / chez le client :
Durant mon stage chez ID2I, j’ai effectué de nombreuses missions en atelier, par télémaintenance
ainsi que chez divers clients.
En atelier, nous avons mis en place un serveur PXE afin de pouvoir créer des images de postes puis
les déployer à l’aide d’un boot sur le réseau en les récupérant sur le serveur. Grâce au service de
déploiement Windows Deployment Services, l’installation du système d’exploitation s’effectue en
10 min.
J’ai la possibilité de me connecter au helpdesk (logiciel de gestion d’incident) avec un compte
stagiaire afin de résoudre les différents incidents des clients. Le client peut déposer lui-même un
ticket ou peut appeler le standard technique pour déclarer son problème. Ensuite, un voyant indique
la priorité de l’évènement et tous les détails techniques sont indiqués afin de guider le technicien
dans son approche de maintenance. Depuis plusieurs semaines, j’ai effectué de la télémaintenance
grâce à une prise en main directe sur le poste du client à l’aide de TeamViewer. La maintenance des
postes est souvent liée à des nettoyages grâce à des logiciels comme MalwareBytes, ADWCleaner,
CCleaner ou bien des problèmes de messagerie comme un besoin d’archivage, des emails qui ne
s’envoient plus, des mots de passe oubliés…
Chez le client, les interventions sont aussi variées. Souvent j’ai effectué un checkup de l’ensemble
des parcs informatiques à l’aide de scan et nettoyage des éléments potentiellement dangereux. Il y a
eu des migrations de compte de messagerie, des problèmes liés à la connexion internet,
d’imprimantes, des lenteurs au démarrage ou lors de l’exécution d’applications. Les incidents étant
très variés, il m’est nécessaire de m’adapter à toutes les situations. Souvent en ligne avec le client, il
est important d’être à son écoute et de le conseiller dans l’utilisation de son matériel, logiciel.
Une fois la télémaintenance terminée, je fais un compte rendu sur le helpdesk et ajoute le temps de
l’intervention. Si la mission a été effectuée avec succès, le ticket est clôturé.
13
Conclusion
Cette expérience au sein de l’ESN ID2I a été très enrichissante : non
seulement ces deux mois ont été particulièrement actif, mais aussi varié en
apprentissage.
Au sein de l'entreprise, j'ai pu découvrir les métiers de Technicien de
maintenance en informatique et Superviseurs en participant à divers activités de
dépannage et installation. Ce travail demande d'être polyvalent puisqu'il faut faire face
à de nombreux problèmes avec le plus de rapidité et d'efficacité possible.
Il est indispensable de connaître de manière approfondie les spécificités des
produits et des caractéristiques de l'environnement d'exploitation. La rigueur,
l'organisation et la méthode sont des atouts indispensables car il ne faut pas craindre
les situations de stress et d'urgence. De plus, il faut être disponible et avoir une
certaine capacité d'écoute quand il faut mener son enquête pour trouver l'origine du
problème.
Les clients de l'entreprise sont assistés directement ou à distance, par
téléphone ou via le logiciel de prise en main à distance TeamViewer.
Pour la rédaction de mon rapport, j'ai dû rassembler mes notes personnelles
durant chaque mission.
Je garde de ce stage un excellent souvenir car j'ai vécu un mois riche en
activités et en contacts. J'ai beaucoup apprécié la gentillesse et le
professionnalisme des personnes qui m'ont accueilli et je les remercie encore.
14
ANNEXE 1
VPN PFSense vers PFSense
15
ANNEXE 1
Notice VPN IPSEC Site à Site
1). PFSense vers PFSense :
Un VPN (Virtual Private Network) Site-to-Site (aussi appellé LAN-to-LAN) est un tunnel qui permet de joindre deux réseaux de type LAN distants de manière à faire en sorte qu’ils puissent communiquer comme s’ils étaient sur le même réseau et qu’un simple routeur les séparaient.
- interface WAN 192.168.128.73 et un LAN 192.168.128.6.1
- interface WAN 192.168.128.68 et un LAN 13.37.0.79
On débute par accéder au dashboard de PFSense puis se diriger dans le menu VPN puis dans le
sous-onglet Ipsec.
Il faut cocher la case enable Ipsec puis save. Ensuite il faut cliquer sur + pour ajouter une nouvelle
configuration Ipsec
16
Premier serveur :
On commence par remplir l'IP de notre partenaire VPN. Étant sur le PFSense 192.168.6.1 on met
l'IP 192.168.128.68.
Dans le second cadre qui se nomme Phase 1 proposal, on va remplir le champ Pre-Shared Key car
le champ Authentification method est positionné sur Mutual PSK.
Ensuite il faut cliquer sur save et apply changes pour sauvegarder la configuration.
Il faut cliquer sur le + pour configurer de nouveau paramètres
Nous allons remplir le champ Remote Network dans lequel nous allons mettre la plage IP du LAN
distant :
17
On clique sur save puis sur Apply Changes. On développe de tableau principal avec le + et on
obtient :
Ce tableau nous indique le résumé de notre configuration VPN.
Il faut à présent effectuer la même configuration du coté de notre deuxième PFSense en adaptant les
IP.
18
Deuxième Serveur :
19
Sur nos deux routeurs PFSense on va alors aller dans l'onglet Interfaces puis le sous onglet WAN.
Il important de décocher « block private networks » et « block bogon networks » sinon le pare-feu
va bloquer les paquets arrivant du WAN et ainsi bloquer la négociation VPN .
20
Le tunnel entre les deux sites est actif.
21
ANNEXE 2
VPN Cisco vers PFSense
22
ANNEXE 2
2). Cisco vers PFSense :
Toutes les commandes se feront en mode privilégié (enable mode (commande « en ») ).
On connecte le routeur au PC grâce au port console et au câble RJ-11/USB. On exécute l’utilitaire «
Putty » et nous connectons en serial.
Tout d’abord on fait un « factory reset » du routeur pour être sûr qu’aucune configuration
n’interfère avec notre nouvelle configuration :
Router# Configure terminal
Router(config)#config-register
0x2102 Router(config)#end
Router#write erase
Router#reload
System configuration has been modified. Save ? [yes/no] : n
Lors du redémarrage il faudra sélectionner non lorsque la console nous proposera le setup. Nous
allons maintenant configurer le ssh :
Cisco800>en
Cisco800#con
f t
Router(config)#hostname cisco800
Cisco800(config)#username admin privilege 15 secret 0
admin Cisco800(config)#Ip domain-name stagiaire.id2i
Cisco800(config)#Crypto key generate rsa
How many bits in the modulus [512]
: 1024 Cisco800(config)#Ip ssh
version 2 Cisco800(config)#Line vty
0 4 Cisco800(config-line)#Transport
input all Cisco800(config-line)#exit
Cisco800(config)#Aaa new-model
Cisco800(config)#Aaa authentification login
userauthen local Cisco800(config)#Aaa authorization
network groupauthor local
23
Ces lignes nous créent un utilisateur « admin » de privilège 15 avec le mot de passe « admin »,
génèrent une clé RSA de 1024 bits puis active tous les accès (telnet, ssh et rlogin) ainsi que
l’authentification par le réseau.
On va maintenant activer le NAT, on commence par le VLAN1 (les 4 ports LAN), on lui
donne une adresse, un masque, le côté du NAT et on l’active, on fait pareil pour le port WAN :
Cisco800(config)#int vlan 1
Cisco800(config-if)#ip address 84.82.0.1
255.255.255.0 Cisco800(config-if)#
Cisco800(config-
if)#
Cisco800(config-if)#
Cisco800(config)#int fastethernet 4
Cisco800(config-if)#ip address 192.168.128.63
255.255.255.0 Cisco800(config-if)#ip nat
outside
Cisco800(config-
if)#no shutdown
Cisco800(config-
if)#exit
On active maintenant des règles pour le trafic entrant :
Cisco800(config)#access-list 102 remark permit-outside
Cisco800(config)#access-list 102 permit udp any any eq
isakmp Cisco800(config)#access-list 102 permit udp any
any eq non500-isakmp Cisco800(config)#access-list 102
permit esp any any Cisco800(config)#access-list 102
permit icmp any any Cisco800(config)#access-list 102
permit icmp any any echo-reply
Cisco800(config)#access-list 102 permit ip any any
Cisco800(config)#int fastethernet 4
Cisco800(config-if)#ip access-group 102 in
On active l’inspection de trafic (optionnel)
Cisco800(config)#ip inspect name
FW_INSPECT tcp Cisco800(config)#ip
inspect name FW_INSPECT udp
24
Cisco800(config)#ip inspect name
FW_INSPECT icmp Cisco800(config)#ip
inspect name FW_INSPECT ftp
Cisco800(config)#ip inspect name
FW_INSPECT smtp Cisco800(config)#ip
inspect name FW_INSPECT dns
Cisco800(config)#ip inspect name
FW_INSPECT pptp Cisco800(config)#int
fastethernet 4
Cisco800(config-if)#ip inspect FW_INSPECT out
On va maintenant s’occuper du VPN, on va ainsi définir la police IKE (Internet Key Exchange) grâce à
ISAKMP (Internet Security Association and Key Management Protocol)
Cisco800(config)#crypto isakmp policy
10 Cisco800(config-isakmp)#encr 3des
Cisco800(config-
isakmp)#authentication pre-share
Cisco800(config-isakmp)#group 2
Cisco800(config-isakmp)#exit
Suite à cela on crée les clés et on indique a quel serveur distant on la lie puis on crée les règles de
filtrages (ACLs) qui permettront, une fois associées aux tunnels d’autoriser le trafic entre les deux
réseaux (local/distant)
Cisco800(config)#crypto isakmp key azertyuiop 60.0.0.2 no-xauth
Cisco800(config)#crypto isakmp key azertyuiop 70.0.0.2 no-xauth
Cisco800(config)#crypto ipsec transform-set 3DES-SHA esp-3des esp-
sha-hmac Cisco800(config)#access-list 103 permit ip 192.168.12.0
0.0.0.255 192.168.10.0 0.0.0.255
Cisco800(config)#access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.12.0 0.0.0.255
Cisco800(config)#access-list 104 permit ip 192.168.12.0 0.0.0.255 192.168.11.0 0.0.0.255
Cisco800(config)#access-list 104 permit ip 192.168.11.0 0.0.0.255 192.168.12.0 0.0.0.255
On crée maintenant nos deux tunnels et on les attribue à notre port de sortie :
Cisco800(config)#crypto map PFSVPN 15
ipsec-isakmp Cisco800(config-crypto-map)#set
peer 60.0.0.2 Cisco800(config-crypto-map)#set
25
transform-set 3DES-SHA Cisco800(config-
crypto-map)#set pfs group2 Cisco800(config-
crypto-map)#match address 103
Cisco800(config-crypto-map)#exit
Cisco800(config)#crypto map PFSVPN 15
ipsec-isakmp Cisco800(config-crypto-map)#set
peer 70.0.0.2 Cisco800(config-crypto-map)#set
transform-set 3DES-SHA Cisco800(config-
crypto-map)#set pfs group2 Cisco800(config-
crypto-map)#match address 104
Cisco800(config-crypto-map)#exit
Cisco800(config)#int
fastethernet 4
Cisco800(config-if)#crypto
map PFSVPN
Pour finir on crée une ACL afin de bloquer le trafic entre les deux réseaux par le NAT afin de le forcer
à passer par le tunnel et on l’attribue à notre NAT :
Cisco800(config)#access-list 101 deny ip 192.168.12.0 0.0.0.255
192.168.10.0 0.0.0.255
Cisco800(config)#access-list 101 deny ip 192.168.12.0 0.0.0.255
192.168.11.0 0.0.0.255 Cisco800(config)#access-list 101 permit ip
192.168.12.0 0.0.0.255 any
Ip nat inside source list 101 interface fastethernet 4 overload
26
Configuration PFSense
On va maintenant sur les serveurs PFSense et on crée un nouveau tunnel en entrant ces
informations dans la phase 1 :
Remote Gateway: 80.0.0.2
Authentication Method: Pre-Shared Key
Negotiation Mode: Main
My Identifier: My IP Address
Pre-Shared Key: azertyuiop
Encryption Algorithm: 3DES
Hash Algorithm: SHA1
DH Key Group: 2
Lifetime: 28800
NAT Traversal: Disable
Ainsi que celles-ci dans la phase 2 :
Mode: Tunnel IPv4
Local Network: LAN Subnet
Remote Network: 192.168.12.0 /24
Protocol: ESP
Encryption Algorithm: 3DES
Hash Algorithm: SHA1
PFS Key Group: 2
Lifetime: 3600
27
ANNEXE 3
Supervision réseau
28
Topologie Réseau
Avant-propos : Les manipulations énoncées ci-dessous doivent se faire dans un
environnement de test simulant l’adresse réseau du futur lieu d’implantation de la sonde Il
faudra donc une adresse IP libre du réseau d’implantation de la sonde et l’adresse de la
passerelle.
Les sondes sont implantées en sortie de réseau juste avant le routeur et sont configurées
sous forme de « pont transparent » afin qu’elles soient invisible du point de vue de l’utilisateur,
ainsi la passerelle des équipements reste toujours l’adresse du routeur.
Le réseau de test pour ce dossier est celui-ci-dessous :
29
Installation Optionnel : Machine Virtuelle sur serveur ESX
En accédant au serveur par vSphere Client, on va créer une nouvelle machine virtuelle en
cliquant droit sur l’adresse du serveur puis sur « Nouvelle machine virtuelle ». On choisira
une configuration Typique en nommant la machine, et en indiquant la version (Autre –
FreeBSD (32 bits).
On ajoutera une deuxième carte réseau qu’on attribuera au réseau « réseau
consultation » et on approvisionnera le disque au fur et a mesure (Thin
Provision). On viendra ensuite cliquer droit sur la machine nouvellement
créée et sélectionner
puis dans .
Ayant préalablement envoyé l’image ISO de pfSense sur le serveur ( serveur -> configuration -
> Stockage -
> clic droit sur datastore1 -> parcourir la banque de données…) on va indiquer qu’on utilise
un fichier ISO de la banque de données puis on va cocher la case « connecter lors de la mise
sous tension»
Sur une machine physique insérer un CD de PFSense.
On démarre la machine et on laisse le programme booter, il va progresser jusqu’à s’arrêter sur
cette ligne :
nous taperons non (n).
Nous taperons « a » et sur « entrée » puis nous brancherons la carte que nous voudrons en
WAN pour que le programme la détecte puis on validera, nous laisserons rien pour l’interface
LAN et on validera avec « y » pour laisser le programme continuer.
30
On accède, après un certain temps au menu de pfSense :
On entrera l’option 99 pour installer pfSense sur le
disque dur on peut changer la Keymap pour indiquer
un clavier FR puis on accepte. Dans le menu suivant
on fera une installation Rapide.
Par la suite de l’installation nous laisserons le choix sur un noyau standard ,
le programme continuera l’installation. A la fin de celui-ci on redémarrera la machine et on
ira dans les paramètres de la machine pour « retirer » l’image ISO ou on retirera la clé USB / le
CD d’installation.
Nous revoilà dans le menu de PFSense, nous allons donc donner une adresse à notre interface
WAN. Pour cela nous entrons l’option 2, nous entrons « n », l’adresse de l’interface, le
masque CIDR, la passerelle et pas d’adresse IPv6 :
31
Configuration
Nous nous connectons au WebConfigurator à l’adresse https://adressesonde et nous nous
connecterons avec les identifiants « admin » et « PFSense ».
Ce dernier va nous proposer un « Setup » nous allons l’ignorer en cliquant sur le logo de
PFSense et nous allons nous diriger vers > et nous allons renseigner le nom de la
sonde, le domaine, le ou les serveurs de résolution de nom et décocher la case « Allow DNS
server list to be overridden by DHCP/PPP on WAN » nous pouvons aussi changer la « Time
Zone ». Nous cliquerons enfin sur « Save »
Nous allons maintenant dans puis , nous descendons en bas de la page et
décochons « Block private networks » et « Block bogon networks ». Nous finissons en
cliquant sur « Save » puis sur « Apply Changes ».
Nous nous rendons maintenant dans puis et dans l’onglet WAN on clique sur
le on va laisser passer le trafic de n’importe quel réseau vers n’importe quel réseau et de
n’importe quel port vers n’importe quel port :
32
Nous allons dans > et nous allons attribuer l’interface LAN pour cela nous
sélectionnons la bonne carte et nous cliquons sur :
Puis dans > nous cocherons et ne mettrons pas d’adresse. Nous
finirons en cliquant sur « Save » et « Apply Changes ».
Nous retournons dans > et nous allons dans l’onglet , là nous en créons un
en cliquant sur . Dans la nouvelle page on va sélectionner à l’aide de CTRL + Clic les deux
interfaces et cliquer sur « Save » :
On retourne dans puis dans et on ajoute le nouveau port en cliquant sur « + » :
On se rend ainsi dans puis dans et on coche et on renomme
la description en BRIDGE. On « Save » et on « Apply changes ».
Le Pont maintenant créé on va activer la fonction filtrage sur celui-ci. On se rend dans
puis dans et enfin dans l’onglet .
On va changer la valeur de « net.link.bridge.pfil_bridge » qui est par défaut à 0 à 1 puis on va
cliquer sur
« Save » et « Apply Changes ».
Nous nous rendons maintenant dans puis et dans l’onglet BRIDGE nous créons
la même règle que celle créée précédemment dans l’onglet WAN.
Dans l’onglet LAN il faudra créer la même règle mais aussi supprimer les deux règles « IPv4
LAN subnet vers any » et « IPv6 LAN subnet vers any ».
33
Installation des Packages
Maintenant que le Pont est créé et opérationnel on va pouvoir le configurer en tant que
moniteur de trafic réseau, Proxy transparent et / ou brideur de bande passante. On va ainsi
installer ntopng et/ou Squid.
Ntopng
Ntopng pour Network TOP Next Generation où TOP correspond à la commande Unix lançant
le gestionnaire des tâches pour ainsi voir la liste des processus et les ressources utilisées.
Pour l’installer nous allons dans
> puis nous descendons jusque « ntopng » et nous cliquons sur puis nous
cliquerons sur
« Confirm »
Une fois l’installation finie nous pourrons nous rendre dans l’onglet où deux
boutons sont apparus : et . Le premier sert à accéder directement à
l’interface tandis que le second permet une configuration minimale de ce dernier. On va donc
se rendre dans « settings » et indiquer le mot de passe souhaité, les interfaces (ici LAN –
WAN – BRIDGE) avec un CTRL + Clic. Activer ntopng sur les interfaces LAN et WAN
en plus de l’interface BRIDGE permet de les configurer en mode « promiscuous »
(promiscuité) ce qui permet à la carte d’accepter et ainsi analyser tous les paquets qu’elle
reçoit même si ceux-ci ne lui sont pas destinés donc même si rien ne passe dans le pont
ntopng est capable d’écouter le trafic réseau
Sélectionner « Decode DNS responses and resolve all numeric IPs » et enfin on va cocher la
case « Enable historical data storage » :
34
Une fois ceci fait nous pouvons cliquer sur « Change » puis sur « Access ntopng », nous
accèderons ainsi à l’interface d’ntopng, indépendant de celle de PFSense. Les identifiants par
défaut sont « admin » « admin ».
Nous arrivons donc sur cette page – le tableau de bord – composé de plusieurs onglets. L’onglet
« Talkers » (ci-dessus) contient un flux en direct qui répertorie les discussions (qui
communique avec qui).
L’onglet « Hosts » nous donne un aperçu des hôtes qui envoie et
reçoient le plus. Il nous permet ainsi d’avoir un premier
apperçu de l’utilisation du réseau.
L’onglet « Ports » permet de visualiser
deux graphiques en continu représentant
les ports utilisés chez les clients et chez
les serveurs.
35
L’onglet ASNs affiche le flux répondant au Standard
international
« Abstract Syntax Notation » utilisé par les applications de
gestion de réseau, la messagerie, la sécurité, …
Enfin l’onglet Senders (illustré ci-contre) représente en live les
appareils qui envoient le plus de paquets.
Dans le menu principal nous avons un onglet « Flows » où nous pouvons voir le flux actif
grâce au tableau regroupant les Applications, le Protocole, l’adresse du Client, l’adresse du
Serveur, la durée, la proportion Client / Serveur, la vitesse actuelle et la taille totale transférée.
En cliquant sur un Hôte on
peut avoir plus
d’informations sur celui-ci
comme sa carte d’activité
(visible ci-dessous), le trafic
en détail, le pourcentage des
paquets envoyés par taille,
les ports utilisés, les
protocoles, les discussions et
les contacts en direct.
Si nous continuons dans le menu nous pouvons voir que le bouton « Hosts » contient un
sous menu qui nous permet d’accéder à la liste complète des hôtes avec la proportion
Envoyé / Reçu, le débit en temps réel et le trafic ;
Le classement des hôtes en temps réel
(rafraichissement toutes les trois secondes) avec
l’illustration de l’utilisation du réseau ;
36
Les interactions entre les machines sous formes
de cartes dynamiques et de codes couleurs.
Les trois derniers onglets permettent d’avoir
une carte du réseau sous forme de tableau,
d’arbre ou de géolocalisation.
37
ANNEXE 4 Filtrage Web
38
Squid
Squid est un serveur mandataire, plus communément appelé serveur Proxy Pour l’installer nous
allons dans
> puis nous descendons jusque « Squid » et nous cliquons sur puis nous
cliquerons sur
« Confirm »
Une fois installé nous y accédons par l’onglet > . Nous arrivons dans les
options générales, nous sélectionnerons l’interface sur lequel le proxy fonctionnera,
nous cocherons la case
« Transparent Proxy ». Pour logger (enregistrer les requêtes) nous cocherons « enable logging
» où les logs seront accessibles dans le dossier /var/squid/logs. Le cache peut être
personnalisé dans l’onglet « Cache Mgmt » et nous pourrons filtrer dans l’onglet « Access
Control » et ainsi ajouter www.facebook.com dans le cadre « Blacklist » pour bloquer l’accès
à ce site.
39
Annexe 5
Bridage du trafic
On peut utiliser la sonde comme brideur de débit et ainsi allouer un certain espace de
bande passante par machine.
Ainsi nous nous rendons dans l’onglet > puis dans et nous allons
cliquer sur
.
On va devoir activer le
limiteur, lui donner un
nom, indiquer la bande
passante, nous pouvons
aussi indiquer des dates et
des heures grâce aux «
Schedules » disponibles
dans
> et
ainsi pouvoir moduler la
bande passante selon les
horaires de la journée.
Nous indiquerons le
masque source ou de
destination. On cliquera
ensuite sur
« save »
Une fois ceci fait (il est
préférable de créer une
règle en Upload et une
autre en Download) nous
cliquerons sur « Apply
Changes »
Nous nous rendons maintenant dans > nous sélectionnons l’interface
que nous voulonset nous éditons la règle sur laquelle nous voulons que le bridage
s’applique et nous descendons jusque
« In/Out » dans la partie « Advanced features » et nous définissons les règles qui
s’appliquent en entrant et en sortant.
40