Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Comment sécuriser son réseau après connexion pfsense?

    Scheduled Pinned Locked Moved Français
    16 Posts 3 Posters 4.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jerrynho
      last edited by

      Bonjour
      Je me souviens qu'une question m'avait été posée par le jury lors de ma soutenance en 2014 sur pfsense, portail captif que malheureusement je n'avais pas pu repondre!!!
      Question: Après connexion au serveur pfsense (même sans s'etre authentifié) l'utilisateur a deja accès au réseau de l'entreprise, quelles sont les mesures mises en place pour protéger votre réseau?? Si quelqu'un voudrait le pirater vue que le point d'accès n'est protéger par un mot de passe!!

      Sur le coup, j'y avais pas vraiment penser à cette possibilité. Après je me disais pourquoi pas mettre un firewall hardware entre pfsense et mon routeur? Mais pfsense aussi est un firewall? Donc j'étais perdu ;D ;D

      Selon ma compréhension et mes recherches, pfsense joue aussi le role de firewall. Lorsqu'on se connecte on a accès au réseau mais pas à internet tant qu'on ne s'authentifie pas. Une personne mal intentionnée peut se connecter et s'introduire dans mon réseau du moment que son but n'est pas de naviguer.

      J'ai lu un peu un sujet qui parlait un peu du firewall pour mieux comprendre mais je n'y trouve pas de reponse concrètement dit avec les configurations qu'on peut faire soit dit en passant les alias au niveau du firewall….
      https://forum.pfsense.org/index.php?topic=118738.msg657316#msg657316

      Donc pour reprendre un peu la question de mon jury, comment faire pour protéger mon réseau après s'être connecté à pfsense même sans être authentifié?

      Cordialement!!

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        @jerrynho:

        Bonjour
        Je me souviens qu'une question m'avait été posée par le jury lors de ma soutenance en 2014 sur pfsense, portail captif que malheureusement je n'avais pas pu repondre!!!
        Question: Après connexion au serveur pfsense (même sans s'etre authentifié) l'utilisateur a deja accès au réseau de l'entreprise, quelles sont les mesures mises en place pour protéger votre réseau?? Si quelqu'un voudrait le pirater vue que le point d'accès n'est protéger par un mot de passe!!

        Sur le coup, j'y avais pas vraiment penser à cette possibilité. Après je me disais pourquoi pas mettre un firewall hardware entre pfsense et mon routeur? Mais pfsense aussi est un firewall? Donc j'étais perdu ;D ;D

        Selon ma compréhension et mes recherches, pfsense joue aussi le role de firewall. Lorsqu'on se connecte on a accès au réseau mais pas à internet tant qu'on ne s'authentifie pas. Une personne mal intentionnée peut se connecter et s'introduire dans mon réseau du moment que son but n'est pas de naviguer.

        Vaste sujet ! Plusieurs éléments de réponse :
        1. Pfsense est d'abord un firewall.
        2. Il y a ensuite un problème de définition du besoin de sécurité. Ce point est totalement ignoré dans la question. L'accès à internet via un portail captif suppose, a priori, que la population l'utilisant ne fait pas partie des effectifs de l'entreprise. Il s'agit dans ce cas d'invités à qui on offre une possibilité d'accès à internet. Et a qui on veut ne rien proposer d'autre et surtout pas d'accès au SI de l'entreprise. Mais est-ce bien le cas à traiter ?
        En répondant à cette question vous aurez un début de formalisation du besoin de sécurité à satisfaire. C'est par là que l'on aborde la sécurité des SI. Admettons que ce soit le cas même si il y a bien d'autres cas de figures possibles.
        3. Vous ne dites pas si on parle de connexion filaire ou wifi ou les deux. Souvent le portail captif sous entend "wifi" mais c'est une habitude et pas une contingence.

        Le premier élément de solution vient de l'architecture en regardant les points suivants (liste non exhaustive) :

        • Le lien wan est il partagé ? Si oui, il y des aspects juridiques qui engagent l'entreprise.
        • L'entreprise dispose d'une ou plusieurs ip wan ?
        • La séparation des réseaux "invités" et entreprise doit être complète au moins au niveau logique voire au niveau physique. Tout dépend des enjeux de sécurité. Selon que le choix est une séparation logique ou physique, les solutions ne sont pas les mêmes, en tenant compte des variantes wan partagé ou pas.
          Je ne vais pas traiter tout cela ici : je ne suis pas payé pour, comme c'est en principe le cas. Aussi je me limiterai au cas du wan partagé et du cloisonnement logique. Il y donc engagement de la responsabilité de l'entreprise puisque fourniture d'un moyen de télécommunication électronique (pour reprendre les termes de la jurisprudence découlant du CPTE  (code des postes et télécommunications électroniques). Il est donc souhaitable d'authentifier les utilisateurs même de façon minimaliste et de mettre en place un proxy sur les connexions http des invités. Il ne s'agit pas de protéger le réseau de l'entreprise seulement, mais bien l’entreprise elle même sur différents type de risques.

        Au passage :

        quelles sont les mesures mises en place pour protéger votre réseau?? Si quelqu'un voudrait le pirater vue que le point d'accès n'est protéger par un mot de passe!!

        L'existence d'un mot de passe sur le portail captif (c'est ce que vous voulez dire je suppose ?) ne protège en rien le réseau de l'entreprise. Bref, mot de passe ou pas, il faut mettre en place une solution de cloisonnement entre le wifi invité et le reste du SI de l'entreprise. Là encore plusieurs solutions.
        Idéalement portail captif mais pas sur le firewall de l'entreprise mais sur un équipement dédié, comme un second Pfsense (ou autre chose). Cet équipement sera connecte à une interface dédiée (logique, vlan, ou physique) du firewall. Donc un réseau IP réservé aux invités. Un filtrage, au niveau du firewall, qui bloque tous les flux vers tous les sous réseaux de l'entreprise. Et inversement d'ailleurs. Si plusieurs ip wan sont disponibles on fera du policy routing. Une ip wan étant dédiée au trafic invité sortant.

        Mais il se peut que l'entreprise utilise aussi un wifi pour ces besoins propres (autres que les invités) . Alors on utilisera un SSID spécifique, distinct de celui du réseau invités. Éventuellement on authentifiera les machines de l'entreprise avec une solution de NAC (Network Access Control) à base de certificats pour interdire tout accès, au delà des commutateurs, à une machine n'appartenant pas à l'entreprise. La liaison pourrait être en vpn pour chaque machine.
        Cela vous semble excessif ? Je connais des entreprises qui utilisent ce type de configuration.
        D'autres entreprises on fait le choix de sous traiter le wifi invités à Orange par exemple. Pas d'adhérence avec le SI de l'entreprise.

        Tout cela pour vous montrer qu'il n'y a pas une solution mais des solutions et que le choix dépend d'une réflexion amont, d'un contexte qu'il s'agit de bien établir avant de se jeter sur le clavier du pc connecté à Pfsense !

        1 Reply Last reply Reply Quote 0
        • C
          chris4916
          last edited by

          @jerrynho:

          Donc pour reprendre un peu la question de mon jury, comment faire pour protéger mon réseau après s'être connecté à pfsense même sans être authentifié?

          Je partage les commentaires de ccnet: pfSense est un firewall.
          personne ne se "connecte à pfSense" en tant que tel. Sauf que, et c'est souvent un objet de polémique ici, si tu fais tourner d'autres services sur pfSense, par exemple un portail captif, alors il y a un risque lié à la présence de ces services et aux failles de sécurités potentielles que la présence de ce service représente.

          Ceci étant dit, que fait le portail captif ?

          Sur éventuellement authentification de l'utilisateur, ou tout autre action de validation, le portail captif ouvre les ports réseau pour l'utilisateur (généralement du HTTP et assimilés)
          Donc avant validation les utilisateurs "bloqués par le portail captif" ne sont pas sur le réseau de l'entreprise, sauf erreur de design  :P

          Mais c'est juste une des utilisations du portail captif. ce type de service (portail captif) peut également juste être utilisé pour afficher une notification aux utilisateurs de l'entreprise. Dans ce cas, le portail captif n'est pas utilisé comme composant de sécurité.

          Donc, et je rejoins encore ccnet, il faut préciser un peu ta question et son contexte.

          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

          1 Reply Last reply Reply Quote 0
          • J
            jerrynho
            last edited by

            @ccnet:

            Vaste sujet ! Plusieurs éléments de réponse :
            1. Pfsense est d'abord un firewall.
            2. Il y a ensuite un problème de définition du besoin de sécurité. Ce point est totalement ignoré dans la question. L'accès à internet via un portail captif suppose, a priori, que la population l'utilisant ne fait pas partie des effectifs de l'entreprise. Il s'agit dans ce cas d'invités à qui on offre une possibilité d'accès à internet. Et a qui on veut ne rien proposer d'autre et surtout pas d'accès au SI de l'entreprise. Mais est-ce bien le cas à traiter ?

            Voici l'architecture de mon réseau

            point d'accès–----(LAN)Pfsense(WAN)-----Routeur
                  .                                                              .
                  .                                                              .
                  .                                                              .
              client(invité)                                          Switch--------Server Windows 2008
                                                                                  .
                                                                                  .
                                                                                  .
                                                                      PC(entreprises)

            Mon point d'accès ne me permet pas de créer un autre SSID pour invité sauf pour le cas du routeur mais à ce niveau ca ne règle pas le problème.

            3. Vous ne dites pas si on parle de connexion filaire ou wifi ou les deux. Souvent le portail captif sous entend "wifi" mais c'est une habitude et pas une contingence.

            En effet il s'agit ici d'une connexion sans fil via un point d'accès non sécurisé (absence de mot de passe).

            Le lien wan est il partagé ? Si oui, il y des aspects juridiques qui engagent l'entreprise.

            Le lien WAN n'est pas partagé

            L'entreprise dispose d'une ou plusieurs ip wan ?

            L'entreprise dispose d'une seule IP WAN

            Ca demande encore plus de reflexion pour savoir ce que je veux vraiment et quelle solution choisir.

            Merci pour votre intervention et vos precisions @ccnet

            Cordialement!!

            1 Reply Last reply Reply Quote 0
            • J
              jerrynho
              last edited by

              @chris4916:

              Donc avant validation les utilisateurs "bloqués par le portail captif" ne sont pas sur le réseau de l'entreprise, sauf erreur de design  :P

              Je n'ai pas bien compris cette phrase ::)
              Serais t-il un problème lié à une mauvaise configuration du services firewall dans pfsense?

              Donc, et je rejoins encore ccnet, il faut préciser un peu ta question et son contexte.

              Disons que j'aimerais éviter que ceux qui se connectent au point d'accès, donc le portail captif (authentifié ou non) ait systématiquement accès au réseau local de l'entreprise.

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                point d'accès–----(LAN)Pfsense(WAN)-----Routeur

                Dans ce schéma partiel, qu'est ce que routeur ?

                L'entreprise dispose d'une seule IP WAN

                Celle ci est probablement située derrière "Routeur" sur le schéma ?
                Dans ce cas wan est partagé.

                En effet il s'agit ici d'une connexion sans fil via un point d'accès non sécurisé (absence de mot de passe).

                Lier sécurité du point d'accès et validation par mot de passe passe pour autoriser l'accès est une vision erronée. D'ailleurs sécurité du point d'accès qu'est ce cela signifie ?

                Disons que j'aimerais éviter que ceux qui se connectent au point d'accès, donc le portail captif (authentifié ou non) ait systématiquement accès au réseau local de l'entreprise.

                La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …

                1 Reply Last reply Reply Quote 0
                • J
                  jerrynho
                  last edited by

                  @ccnet:

                  Dans ce schéma partiel, qu'est ce que routeur ?

                  point d'accès–----(LAN)Pfsense(WAN)-----Modem/Routeur------Internet
                        .                                                              .
                        .                                                              .
                        .                                                              .
                    client(invité)                                          Switch--------Server Windows 2008
                                                                                        .
                                                                                        .
                                                                                        .
                                                                            PC(entreprises)

                  La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …

                  1. Les utilisateurs(invités) pour se connecter à internet doivent passer par le portail captif avec authentification.
                  2.Que ce soit avant ou après l'authentification, les utilisateurs qui se connectent au point d'accès ne doivent pas pouvoir accéder au réseau local de l'entreprise!! c'est à dire isolés les utilisateurs invités.
                  3.Je veux isoler le réseau de l'entreprise de celui des invités (utilisateurs externes)!! Dois-je forcement mettre en place une DMZ?

                  Est-ce que avec les infrastructures (cités sur le schémas) dont je dispose tout cela est possible?

                  J'espère avoir été un peu plus precis maintenant??

                  Merci
                  Cordialement

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    C'est mieux. D'après le schéma on ne voit pas comment le réseau interne est protégé. Si c'est par le modem routeur, c'est insuffisant car c'est, le plus souvent, un équipement appartenant au fournisseurs d'accès donc un équipement non maitrisé. On ne peur faire reposer la sécurité sur un élément non maitrisé.
                    En ce sens l'architecture est impropre à offre le niveau de protection souhaité.
                    Oui le point d'accès doit être connecté à une interface dédié du firewall qui devrait exister. Donc plutôt cela :

                    point d'accès–----(LAN)Pfsense(WAN)-----Firewall---------Modem/Routeur------Internet
                          .                                                              .
                          .                                                              .
                          .                                                              .
                      client(invité)                                          Switch--------Server Windows 2008
                                                                                          .
                                                                                          .
                                                                                          .
                                                                              PC(entreprises)

                    Ou bien

                    point d'accès--------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
                                                                                          .
                          .                                                            (LAN)
                          .                                                              .
                          .                                                              .
                          .                                                              .
                      client(invité)                                          Switch--------Server Windows 2008
                                                                                          .
                                                                                          .
                                                                                          .
                                                                              PC(entreprises)

                    1 Reply Last reply Reply Quote 0
                    • J
                      jerrynho
                      last edited by

                      @ccnet:

                      point d'accès–------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
                                                                                            .
                            .                                                            (LAN)
                            .                                                              .
                            .                                                              .
                            .                                                              .
                        client(invité)                                          Switch--------Server Windows 2008
                                                                                            .
                                                                                            .
                                                                                            .
                                                                                PC(entreprises)

                      Je vais opter pour cette solution!! Je monte une 3e carte réseau pour configurer la DMZ!!
                      J'ai exactement la réponse à mes questions. Grand à vous tous!!!
                      Cordialement!!!

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Attention, çà reste une configuration très basique.

                        1 Reply Last reply Reply Quote 0
                        • C
                          chris4916
                          last edited by

                          @ccnet:

                          Attention, çà reste une configuration très basique.

                          Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
                          Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque.

                          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                          1 Reply Last reply Reply Quote 0
                          • C
                            ccnet
                            last edited by

                            L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux.  En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi)  … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.

                            1 Reply Last reply Reply Quote 0
                            • J
                              jerrynho
                              last edited by

                              @ccnet:

                              L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux.  En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi)  … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.

                              Parfois aussi y a le coût de déploiement!! Il est vrai que la sécurité n'a pas de prix mais pour une petite entreprise, il faut proposer des solutions en fonction du budget aussi. Ce qui explique mon choix de 3e carte réseau. Elle est peut etre basique mais je crois que actuellement elle peut convenir à l'entreprise. Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.

                              1 Reply Last reply Reply Quote 0
                              • J
                                jerrynho
                                last edited by

                                @chris4916:

                                @ccnet:

                                Attention, çà reste une configuration très basique.

                                Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
                                Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque.

                                Oui exactement!! Si le réseau "guest" est isolé sur une DMZ, le réseau local sera sécurisé tant que la connexion se fait en wireless à partir du point d'accès!

                                1 Reply Last reply Reply Quote 0
                                • C
                                  ccnet
                                  last edited by

                                  @ccnet:

                                  C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.

                                  je ne saurai être plus clair.

                                  Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.

                                  Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    jerrynho
                                    last edited by

                                    @ccnet:

                                    Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.

                                    Oui c'est vrai!! C'est une erreur de ma part de penser ainsi. On peut avoir un petit réseau mais avec des données très sensibles qui nécessitent une protection maximum, donc un niveau de sécurité plus élevé.

                                    Merci pour votre éclaircissement @ccnet

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.