Comment sécuriser son réseau après connexion pfsense?
-
Vaste sujet ! Plusieurs éléments de réponse :
1. Pfsense est d'abord un firewall.
2. Il y a ensuite un problème de définition du besoin de sécurité. Ce point est totalement ignoré dans la question. L'accès à internet via un portail captif suppose, a priori, que la population l'utilisant ne fait pas partie des effectifs de l'entreprise. Il s'agit dans ce cas d'invités à qui on offre une possibilité d'accès à internet. Et a qui on veut ne rien proposer d'autre et surtout pas d'accès au SI de l'entreprise. Mais est-ce bien le cas à traiter ?Voici l'architecture de mon réseau
point d'accès–----(LAN)Pfsense(WAN)-----Routeur
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)Mon point d'accès ne me permet pas de créer un autre SSID pour invité sauf pour le cas du routeur mais à ce niveau ca ne règle pas le problème.
3. Vous ne dites pas si on parle de connexion filaire ou wifi ou les deux. Souvent le portail captif sous entend "wifi" mais c'est une habitude et pas une contingence.
En effet il s'agit ici d'une connexion sans fil via un point d'accès non sécurisé (absence de mot de passe).
Le lien wan est il partagé ? Si oui, il y des aspects juridiques qui engagent l'entreprise.
Le lien WAN n'est pas partagé
L'entreprise dispose d'une ou plusieurs ip wan ?
L'entreprise dispose d'une seule IP WAN
Ca demande encore plus de reflexion pour savoir ce que je veux vraiment et quelle solution choisir.
Merci pour votre intervention et vos precisions @ccnet
Cordialement!!
-
Donc avant validation les utilisateurs "bloqués par le portail captif" ne sont pas sur le réseau de l'entreprise, sauf erreur de design :P
Je n'ai pas bien compris cette phrase ::)
Serais t-il un problème lié à une mauvaise configuration du services firewall dans pfsense?Donc, et je rejoins encore ccnet, il faut préciser un peu ta question et son contexte.
Disons que j'aimerais éviter que ceux qui se connectent au point d'accès, donc le portail captif (authentifié ou non) ait systématiquement accès au réseau local de l'entreprise.
-
point d'accès–----(LAN)Pfsense(WAN)-----Routeur
Dans ce schéma partiel, qu'est ce que routeur ?
L'entreprise dispose d'une seule IP WAN
Celle ci est probablement située derrière "Routeur" sur le schéma ?
Dans ce cas wan est partagé.En effet il s'agit ici d'une connexion sans fil via un point d'accès non sécurisé (absence de mot de passe).
Lier sécurité du point d'accès et validation par mot de passe passe pour autoriser l'accès est une vision erronée. D'ailleurs sécurité du point d'accès qu'est ce cela signifie ?
Disons que j'aimerais éviter que ceux qui se connectent au point d'accès, donc le portail captif (authentifié ou non) ait systématiquement accès au réseau local de l'entreprise.
La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …
-
Dans ce schéma partiel, qu'est ce que routeur ?
point d'accès–----(LAN)Pfsense(WAN)-----Modem/Routeur------Internet
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …
1. Les utilisateurs(invités) pour se connecter à internet doivent passer par le portail captif avec authentification.
2.Que ce soit avant ou après l'authentification, les utilisateurs qui se connectent au point d'accès ne doivent pas pouvoir accéder au réseau local de l'entreprise!! c'est à dire isolés les utilisateurs invités.
3.Je veux isoler le réseau de l'entreprise de celui des invités (utilisateurs externes)!! Dois-je forcement mettre en place une DMZ?Est-ce que avec les infrastructures (cités sur le schémas) dont je dispose tout cela est possible?
J'espère avoir été un peu plus precis maintenant??
Merci
Cordialement -
C'est mieux. D'après le schéma on ne voit pas comment le réseau interne est protégé. Si c'est par le modem routeur, c'est insuffisant car c'est, le plus souvent, un équipement appartenant au fournisseurs d'accès donc un équipement non maitrisé. On ne peur faire reposer la sécurité sur un élément non maitrisé.
En ce sens l'architecture est impropre à offre le niveau de protection souhaité.
Oui le point d'accès doit être connecté à une interface dédié du firewall qui devrait exister. Donc plutôt cela :point d'accès–----(LAN)Pfsense(WAN)-----Firewall---------Modem/Routeur------Internet
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)Ou bien
point d'accès--------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
.
. (LAN)
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises) -
point d'accès–------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
.
. (LAN)
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)Je vais opter pour cette solution!! Je monte une 3e carte réseau pour configurer la DMZ!!
J'ai exactement la réponse à mes questions. Grand à vous tous!!!
Cordialement!!! -
Attention, çà reste une configuration très basique.
-
Attention, çà reste une configuration très basique.
Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque. -
L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux. En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi) … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.
-
L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux. En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi) … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.
Parfois aussi y a le coût de déploiement!! Il est vrai que la sécurité n'a pas de prix mais pour une petite entreprise, il faut proposer des solutions en fonction du budget aussi. Ce qui explique mon choix de 3e carte réseau. Elle est peut etre basique mais je crois que actuellement elle peut convenir à l'entreprise. Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.
-
Attention, çà reste une configuration très basique.
Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque.Oui exactement!! Si le réseau "guest" est isolé sur une DMZ, le réseau local sera sécurisé tant que la connexion se fait en wireless à partir du point d'accès!
-
C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.
je ne saurai être plus clair.
Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.
Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.
-
Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.
Oui c'est vrai!! C'est une erreur de ma part de penser ainsi. On peut avoir un petit réseau mais avec des données très sensibles qui nécessitent une protection maximum, donc un niveau de sécurité plus élevé.
Merci pour votre éclaircissement @ccnet