Installer Pfsense dans un pc poste
-
Le matériel envisagé sera amplement suffisant. Un Watchguard avec un processeur à 1.3GHz (Celeron M 320) et 512Mo de ram permet un débit de 300Mbits/sec. Ce qui inclue les limitations du serveur émetteur et celle du disque du pc qui télécharge.
Vous avez bien compris que le pc utilisé sera dédié à Pfsense ?
Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début. -
j'ai voulu juste savoir si c'est faisable ou pas d'installer PFSENSE dans un pc qui n'est pas puissant comme mon cas
Apparemment d’après vos réponses je peux utiliser le pc poste pour debuter l'installation de PFSENSE , n'est ce pas ?
Je pense que mon schéma n'est pas clair , le voila un peu plus détaillé qu'avant dans l'image
-
Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.
Pourquoi ?
A cause du wifi qui ne s'appuierait pas sur 802.1x ?Je pense que mon schéma n'est pas clair , le voila un peu plus détaillé qu'avant dans l'image
C'est effectivement mieux en image puisque tu ne montres pas de PC qui administre ;)
Mon point était de dire que tu n'est pas obligé de conserver le segment en 192.168.1.0/24 si ton équipement sait foncitonner en mode bridge, ce qui t'évitera un niveau de forward pour, par exemple, le VPN. -
Mon point était de dire que tu n'est pas obligé de conserver le segment en 192.168.1.0/24 si ton équipement sait fonctionner en mode bridge, ce qui t'évitera un niveau de forward pour, par exemple, le VPN.
Pour être Honnête , je ne sais ce que vous voulez dire par le mode bridge et je n'ai pas une grande idée a propos de l’équipement ( sagem fast 3304-v2 )
Surement j'aurai besoin du VPN en utilisant le OPENVPN ou bien le serveur Windows Server ( AD ) -
Pas très facile de trouver de la doc sur cet équipement.
Les première infos que je trouve sont relatives à la manière de l'attaquer en exploitant une faiblesse :oDans la configuration que tu vises, ton "modem/routeur" fonctionne comme un routeur, c'est à dire que ton adresse IP publique s'arrête sur l'interface WAN du routeur et, ainsi que tu le montres sur ton schéma, le segment entre l'interface WAN de pfSense et l'interfac eLAN du modem dispose d'une adresse IP privée.
Pour faire du VPN, le client VPN va accéder à l'IP publique. Il te faudra donc rediriger cette requête vers pfSense qui lui gère le serveur OpenVPN.
Dans le mode bridge, le modem devient transparent puisque l'IP publique correspondra à l'interface WAN de pfSense (lequel devra très probablement être configuré avec PPPoE).
Pus besoin donc de rediriger les requêtes vers pfSense puisque tout lui arrive directement. -
Oui je vois , j'ai bien compris votre proposition mais la question qui se pose c'est comment appliquer cette solution ?
Est ce que pouvez-vous me renseigner un (modem/routeur) qui pourra faire l'affaire ?
N.B: L'adresse IP publique est fournit par le fournisseur accès Internet et elle est dynamique , j'ai l’idée d'utiliser le DNS DYNAMIQUE ( NO-IP ) mais je ne sais pas vraiment comment l'exploiterle segment entre l'interface WAN de pfSense et l'interfac eLAN du modem dispose d'une adresse IP privée
-Oui ce segment dispose d'une adresse IP Privée car c'est le modem qui joue le rôle du Serveur DHCP et il fournit l’accès à l'internet aux utilisateurs
-J'aurai pas besoin du DHCP provenant du modem car je vais mettre le Parefeu PFsense qui va separer les deux segements , jouera le role du serveur DHCP pour le LAN et utiliser le NAT pour permettre aux utilisateurs de LAN d'utiliser l'adresse IP Publique et accéder au net
-Est ce que grâce a la solution Bridged tous les utilisateurs auront accès Internet ?
-Le modem est connecté au réseau du FAI par un câble RJ11Merci d'avance
-
Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.
Pourquoi ?
A cause du wifi qui ne s'appuierait pas sur 802.1x ?Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn … -
Est ce que pouvez-vous me renseigner un (modem/routeur) qui pourra faire l'affaire ?
Il faut regarder dans la doc de ton modem. Il est très probable que celui-ci soit configurable en mode bridge.
S'il ne l'était pas, à peu près n'importe quel "modem/routeur ADSL" moderne sait faire ça.N.B: L'adresse IP publique est fournit par le fournisseur accès Internet et elle est dynamique , j'ai l’idée d'utiliser le DNS DYNAMIQUE ( NO-IP ) mais je ne sais pas vraiment comment l'exploiter
NO-IP (ou autre service de type DynDNS te permet d'enregistrer régulièrement ton adresse IP (dynamique) avec un fqdn qui lui est fixe, ce qui te permet d'accéder à tes services (ici par exemple le serveur VPN) en tapant un nom plutôt qu'une IP.
-Oui ce segment dispose d'une adresse IP Privée car c'est le modem qui joue le rôle du Serveur DHCP et il fournit l’accès à l'internet aux utilisateurs
-J'aurai pas besoin du DHCP provenant du modem car je vais mettre le Parefeu PFsense qui va separer les deux segements , jouera le role du serveur DHCP pour le LAN et utiliser le NAT pour permettre aux utilisateurs de LAN d'utiliser l'adresse IP Publique et accéder au net
-Est ce que grâce a la solution Bridged tous les utilisateurs auront accès Internet ?
-Le modem est connecté au réseau du FAI par un câble RJ11Oui bien sûr, derrière le pare-feu, et pour autant que tu les y autorises, les utilisateurs auront accès à internet.
Par rapport à ce que tu as aujourd’hui où ton modem/routeur rempli 2 fonctions distinctes :- modem (en quelque sorte bien qu'avec ADSL ce soit un peu différent)
- routage
en mode bridge, le modem se contente de fournir le service d'accès au réseau (modem) et toute la partie IP (et routage) est prise en charge par pfSense. ça ne change donc pas, fonctionnellement, par rapport à ce que tu as aujourd'hui, si ce n'est que pfSense va te permettre:
- des contrôles plus fins et plus précis
- des services complémentaires tel que le serveur VPN, ou comme tu l'as évoqué, DHCP, relais DNS etc…
-
Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn …Oui vous avez raison , donc je dois discuter avec le BOSS pour qu'il m'offre le budget et acheter l’équipement adéquat pour la disponibilité et la durée de vie de l’équipement
Bon pour la sécurité au niveau de LAN dans y aura un réseau WIFI , pour l'instant je suis débutant et je ne sais que le filtrage par Adresse MAC est ce que vous pouvez me renseigner d'autres solutions pour mieux sécuriser mon réseau local -
Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn …Vu comme ça pourquoi pas mais quelle est alors ta préconisation ?
- Un cluster avec CARP ?
- ou des solutions qui tomberaient moins en panne qu'un PC ?
Soyons clairs, la différence entre un serveur et un PC… ;D ;D ;D
- certes il y a des machines avec des alimentations redondante (ce qui est bien utile si on fait le pari que c'est l'alim qui va tomber en panne.
- la très grande majorité des cartes mères de PC supporte des contrôleurs disques qui offrent un RAID basique (à configurer au niveau du bios ;))
- on pourrait envisager d’agréger de cartes réseau 8)
mais tout ça ne relève pas de la différence entre un PC et un serveur.
Si c'est un problème de pièces en mouvement, pour avoir ouvert un Netgate il y a peu, je suis persuadé que son alimentation n'est pas plus solide que celle de mes PC :-\
Donc la solution "sécurisée", c'est CARP ?
-
Un serveur HP d'occasion , un dl 360G5, fera un excellent firewall avec Pfsense. On en trouve à 150 € et les pièces si besoin sont facile à trouver. Prenez en un avec alimentation redondante. Attention au niveau sonore et dégagement calorique toutefois.
Sur l'autre sujet (vaste) je n'ai pas le temps de développer. -
Oui vous avez raison , donc je dois discuter avec le BOSS pour qu'il m'offre le budget et acheter l’équipement adéquat pour la disponibilité et la durée de vie de l’équipement
Là est toute la question : quel est la préconisation de ce point de vue ?
Bon pour la sécurité au niveau de LAN dans y aura un réseau WIFI , pour l'instant je suis débutant et je ne sais que le filtrage par Adresse MAC est ce que vous pouvez me renseigner d'autres solutions pour mieux sécuriser mon réseau local
Le filtrage par adresse MAC n'est certainement pas un critère de sécurité car il est facile de changer celle-ci sur ta machine.
Tu pourrais envisager de mettre en œuvre "WPA2 enterprise" au niveau du wifi qui va demander une authentification Radius (mais ça veut dire une gestion de comptes, un serveur Radius…) bref, on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.Avec ce niveau de débat, il n'y a de toute façon pas de juste milieu :-X
-
Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn …Vu comme ça pourquoi pas mais quelle est alors ta préconisation ?
- Un cluster avec CARP ?
- ou des solutions qui tomberaient moins en panne qu'un PC ?
Soyons clairs, la différence entre un serveur et un PC… ;D ;D ;D
- certes il y a des machines avec des alimentations redondante (ce qui est bien utile si on fait le pari que c'est l'alim qui va tomber en panne.
- la très grande majorité des cartes mères de PC supporte des contrôleurs disques qui offrent un RAID basique (à configurer au niveau du bios ;))
- on pourrait envisager d’agréger de cartes réseau 8)
mais tout ça ne relève pas de la différence entre un PC et un serveur.
Si c'est un problème de pièces en mouvement, pour avoir ouvert un Netgate il y a peu, je suis persuadé que son alimentation n'est pas plus solide que celle de mes PC :-\
Donc la solution "sécurisée", c'est CARP ?
Du fait de mon expérience, je ne partage pas ces conclusions. Un cluster est une assurance supplémentaire en effet.
-
Quand on cherche "sagem fast 3304-v2", on arrive dès le premier lien sur 'Menara' ou 'Maroc Telecom'.
Dans le cadre de mon travail, je gère un site au Maroc, disposant de lignes ADSL, fournies par Maroc Telecom.
J'ai remplacé le matériel fourni par un (usuel) DLink DSL-320B, configuré en bridge. (Il existe une alternative en TpLink qui fonctionne tout aussi bien.)
Ces boitiers sont reliés à un pfSense (sur serveur Dell R210) en mode PPPoE, et donc avec ip publique directement au niveau firewall.Cela fonctionne bien, il suffit juste de bien avoir les identifiants PPPoE fournis par Maroc Telecom.
Comme d'habitude la phrase 'Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.' n'appelait aucun commentaire mais l'a été …ce qui noie le débutant dans un discours totalement inutile !
Le niveau sera faible pour les raisons assez évidentes : matériel de type pc et non serveur ou appliance, admin débutant, ...
Mais 'c'est un début', qui est la phrase 'positive', n'est pas relevé : oui pour commencer comme ça, quand l'alim flanchera, on passe à une petite appliance, le tout sans commettre les erreurs d'ajouter un proxy ou un serveur de mail de la part de ceux qui écrivent 'je ne le fait pas mais ...' ! -
Quand on cherche "sagem fast 3304-v2", on arrive dès le premier lien sur 'Menara' ou 'Maroc Telecom'
Oui car l'entreprise est au Maroc et son fournisseur est Maroc Telecom
Cela fonctionne bien, il suffit juste de bien avoir les identifiants PPPoE fournis par Maroc Telecom.
J'ai les identifiants PPPoE
Bah tout a fait je suis débutant , et ce stage est pré-embauche j'aimerai bien montrer mes compétences pour atteindre ce poste la et prendre le maximum de l’expérience , je serai reconnaissant si vous m'aiderez par vos directives et vos propositions
on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.
Dans le réseau Local y aura un serveur dans je mettrai en place un active directory et sur le même serveur y aura un ERP pour gerer les processus de l'entreprise
-
@jdh:
Comme d'habitude la phrase 'Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.' n'appelait aucun commentaire mais l'a été …ce qui noie le débutant dans un discours totalement inutile !
Si de ton point de vue c'est inutile, tu peux aussi t'abstenir d'y répondre.
Et, contrairement à toi (oui je sais, il n'y a rien de surprenant :P), cette phrase à propos de la faible sécurité de la solution m'a interpellé, d'où ma question.
Et j'ai bien fait puisqu'au final, en guise de sécurité, il est question de disponibilité du service.
Tu noteras bien sûr que je n'ai nullement l'intention d'aborder le débat de savoir si une interruption de service liée à une panne hardware était un problème de sécurité pour l'utilisateur. C'est à lui d'en décider mais au moins il sait à quoi s'en tenir.J'ai la prétention de croire que si je n'avais pas posé la question, seul ccnet, et toi bien sûr, avaient compris que la faiblesse évoquée était due à la potentielle indisponibilité de la machine.
Le niveau sera faible pour les raisons assez évidentes : matériel de type pc et non serveur ou appliance,
OK pour un serveur avec des composants redondants.
Pour ce qui est de l'appliance, comme je l'ai dit, j'ai ouvert un 4860. il n'y a aucune raison objectif pour que ce soit plus stable dans le temps qu'un PC moderne. Il 'y a qu'une seule alim, un ventilateur minuscule sur le dissipateur…
et si tu regardes un 2440, même petit dissipateur, pas de ventilateur et larges ouverture sur le capot, bien assez grosses pour y faire tomber sur la carte mère un trombone, une agrafe ou une rondelle en démontant un élément de rack.
Bref, l'appliance plus "solide" que le PC, certainement mais pas avec ces modèles ;)(Ce qui ne m'a pas empêché d'en acheter parce que, de mon point de vue, ce n'est pas un critère de sécurité mais uniquement de disponibilité du service)
Un gros serveur avec alim redondante, double NIC de partout etc... pourquoi pas, ça doit répondre à certains besoins.
Mais 'c'est un début', qui est la phrase 'positive', n'est pas relevé : oui pour commencer comme ça, quand l'alim flanchera, on passe à une petite appliance, le tout sans commettre les erreurs d'ajouter un proxy ou un serveur de mail de la part de ceux qui écrivent 'je ne le fait pas mais …' !
Contrairement à ce que ton esprit tordu imagine, je n'ai pas posé une question à propos d'un aspect négatif vs. le point positif que tu relèves mais parce que cette amorce de remarque sur la faiblesse relative de la solution sans plus de détail m’interpellait.
;D ;D ;D décidément, le proxy c'est ton cheval de bataille ::)
Il n'y a que toi pour en parler là :) -
@lamps8 :
Si j'interviens sur ce fil, c'est que je pense avoir une expérience pratique valable et correspondante au cas donné !
Ce que j'ai fait fonctionne et est une solution simple et efficace : un firewall pfSense (sur un vrai serveur) avec 2 lignes ADSL via des vrais modems fiables.
Ca fonctionne avec Maroc Telecom.Pour info, ce modem coute ~30€ en France mais est difficilement trouvable au Maroc : j'achète, je configure, j'envoie (et je facture).
-
@JDH :
on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.
J'aimerai que tu m'aides par ton expérience en implémentant cette solution surtout je suis débutant et je dois montrer au P.D.G que je peux faire du bon travail et ensuite avoir un budget pour financer les bons équipements
Pour info, ce modem coute ~30€ en France mais est difficilement trouvable au Maroc
Quelle est la référence du Modem , je pense qu'il sera disponible ici au Maroc
-
Et j'ai bien fait puisqu'au final, en guise de sécurité, il est question de disponibilité du service. Tu noteras bien sûr que je n'ai nullement l'intention d'aborder le débat de savoir si une interruption de service liée à une panne hardware était un problème de sécurité pour l'utilisateur. C'est à lui d'en décider mais au moins il sait à quoi s'en tenir.Tout le monde (iso 27000, divers méthodes, ANSSI, etc …), internationalement, est en ligne sur les critères de la sécurité du SI : DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Une panne hardware (et les problématiques de disponibilité de service en général) fait bien partie des problèmes de sécurité. Il n'y a pas de débat à avoir sur ce point en effet. C'est comme cela que tout le monde travail. Toutes les grilles d'analyse de risques, d'impacts, d'évaluation du besoin de sécurité, de risques résiduels, etc comportent ce critère.
-
Tout le monde (iso 27000, divers méthodes, ANSSI, etc …), internationalement, est en ligne sur les critères de la sécurité du SI : DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Une panne hardware (et les problématiques de disponibilité de service en général) fait bien partie des problèmes de sécurité. Il n'y a pas de débat à avoir sur ce point en effet. C'est comme cela que tout le monde travail. Toutes les grilles d'analyse de risques, d'impacts, d'évaluation du besoin de sécurité, de risques résiduels, etc comportent ce critère.
oui bien sûr 8)
Et donc la solution n'est pas un DL 360 mais au moins deux car sur ce type de machine, même en prenant une version avec alim redondante, il faut prendre soin de mettre les disques en RAID 1, tu te retrouves ensuite embêté avec uniquement 2 slots d'extension pour mettre des cartes réseaux supplémentaires et faire de l'agrégation (et encore à condition de ne pas vouloir gérer de DMZ) et final il n'y a qu'une seule carte mère.
Bref, en dehors du cluster, mais à des degrés divers j'en conviens, la solution aura des faiblesses de sécurité ;)
Mais bon, il n'y a pas de polémique. Je voulais juste comprendre ce que tu voulais dire avec
Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.
maintenant c'est parfaitement clair.