Comment sécuriser son réseau après connexion pfsense?

jerrynho

Bonjour
Je me souviens qu'une question m'avait été posée par le jury lors de ma soutenance en 2014 sur pfsense, portail captif que malheureusement je n'avais pas pu repondre!!!
Question: Après connexion au serveur pfsense (même sans s'etre authentifié) l'utilisateur a deja accès au réseau de l'entreprise, quelles sont les mesures mises en place pour protéger votre réseau?? Si quelqu'un voudrait le pirater vue que le point d'accès n'est protéger par un mot de passe!!

Sur le coup, j'y avais pas vraiment penser à cette possibilité. Après je me disais pourquoi pas mettre un firewall hardware entre pfsense et mon routeur? Mais pfsense aussi est un firewall? Donc j'étais perdu ;D ;D

Selon ma compréhension et mes recherches, pfsense joue aussi le role de firewall. Lorsqu'on se connecte on a accès au réseau mais pas à internet tant qu'on ne s'authentifie pas. Une personne mal intentionnée peut se connecter et s'introduire dans mon réseau du moment que son but n'est pas de naviguer.

J'ai lu un peu un sujet qui parlait un peu du firewall pour mieux comprendre mais je n'y trouve pas de reponse concrètement dit avec les configurations qu'on peut faire soit dit en passant les alias au niveau du firewall….
https://forum.pfsense.org/index.php?topic=118738.msg657316#msg657316

Donc pour reprendre un peu la question de mon jury, comment faire pour protéger mon réseau après s'être connecté à pfsense même sans être authentifié?

Cordialement!!

ccnet

@jerrynho:

Bonjour
Je me souviens qu'une question m'avait été posée par le jury lors de ma soutenance en 2014 sur pfsense, portail captif que malheureusement je n'avais pas pu repondre!!!
Question: Après connexion au serveur pfsense (même sans s'etre authentifié) l'utilisateur a deja accès au réseau de l'entreprise, quelles sont les mesures mises en place pour protéger votre réseau?? Si quelqu'un voudrait le pirater vue que le point d'accès n'est protéger par un mot de passe!!

Sur le coup, j'y avais pas vraiment penser à cette possibilité. Après je me disais pourquoi pas mettre un firewall hardware entre pfsense et mon routeur? Mais pfsense aussi est un firewall? Donc j'étais perdu ;D ;D

Selon ma compréhension et mes recherches, pfsense joue aussi le role de firewall. Lorsqu'on se connecte on a accès au réseau mais pas à internet tant qu'on ne s'authentifie pas. Une personne mal intentionnée peut se connecter et s'introduire dans mon réseau du moment que son but n'est pas de naviguer.

Vaste sujet ! Plusieurs éléments de réponse :
1. Pfsense est d'abord un firewall.
2. Il y a ensuite un problème de définition du besoin de sécurité. Ce point est totalement ignoré dans la question. L'accès à internet via un portail captif suppose, a priori, que la population l'utilisant ne fait pas partie des effectifs de l'entreprise. Il s'agit dans ce cas d'invités à qui on offre une possibilité d'accès à internet. Et a qui on veut ne rien proposer d'autre et surtout pas d'accès au SI de l'entreprise. Mais est-ce bien le cas à traiter ?
En répondant à cette question vous aurez un début de formalisation du besoin de sécurité à satisfaire. C'est par là que l'on aborde la sécurité des SI. Admettons que ce soit le cas même si il y a bien d'autres cas de figures possibles.
3. Vous ne dites pas si on parle de connexion filaire ou wifi ou les deux. Souvent le portail captif sous entend "wifi" mais c'est une habitude et pas une contingence.

Le premier élément de solution vient de l'architecture en regardant les points suivants (liste non exhaustive) :

• Le lien wan est il partagé ? Si oui, il y des aspects juridiques qui engagent l'entreprise.
• L'entreprise dispose d'une ou plusieurs ip wan ?
• La séparation des réseaux "invités" et entreprise doit être complète au moins au niveau logique voire au niveau physique. Tout dépend des enjeux de sécurité. Selon que le choix est une séparation logique ou physique, les solutions ne sont pas les mêmes, en tenant compte des variantes wan partagé ou pas.
  Je ne vais pas traiter tout cela ici : je ne suis pas payé pour, comme c'est en principe le cas. Aussi je me limiterai au cas du wan partagé et du cloisonnement logique. Il y donc engagement de la responsabilité de l'entreprise puisque fourniture d'un moyen de télécommunication électronique (pour reprendre les termes de la jurisprudence découlant du CPTE  (code des postes et télécommunications électroniques). Il est donc souhaitable d'authentifier les utilisateurs même de façon minimaliste et de mettre en place un proxy sur les connexions http des invités. Il ne s'agit pas de protéger le réseau de l'entreprise seulement, mais bien l’entreprise elle même sur différents type de risques.

Au passage :

quelles sont les mesures mises en place pour protéger votre réseau?? Si quelqu'un voudrait le pirater vue que le point d'accès n'est protéger par un mot de passe!!

L'existence d'un mot de passe sur le portail captif (c'est ce que vous voulez dire je suppose ?) ne protège en rien le réseau de l'entreprise. Bref, mot de passe ou pas, il faut mettre en place une solution de cloisonnement entre le wifi invité et le reste du SI de l'entreprise. Là encore plusieurs solutions.
Idéalement portail captif mais pas sur le firewall de l'entreprise mais sur un équipement dédié, comme un second Pfsense (ou autre chose). Cet équipement sera connecte à une interface dédiée (logique, vlan, ou physique) du firewall. Donc un réseau IP réservé aux invités. Un filtrage, au niveau du firewall, qui bloque tous les flux vers tous les sous réseaux de l'entreprise. Et inversement d'ailleurs. Si plusieurs ip wan sont disponibles on fera du policy routing. Une ip wan étant dédiée au trafic invité sortant.

Mais il se peut que l'entreprise utilise aussi un wifi pour ces besoins propres (autres que les invités) . Alors on utilisera un SSID spécifique, distinct de celui du réseau invités. Éventuellement on authentifiera les machines de l'entreprise avec une solution de NAC (Network Access Control) à base de certificats pour interdire tout accès, au delà des commutateurs, à une machine n'appartenant pas à l'entreprise. La liaison pourrait être en vpn pour chaque machine.
Cela vous semble excessif ? Je connais des entreprises qui utilisent ce type de configuration.
D'autres entreprises on fait le choix de sous traiter le wifi invités à Orange par exemple. Pas d'adhérence avec le SI de l'entreprise.

Tout cela pour vous montrer qu'il n'y a pas une solution mais des solutions et que le choix dépend d'une réflexion amont, d'un contexte qu'il s'agit de bien établir avant de se jeter sur le clavier du pc connecté à Pfsense !

chris4916

@jerrynho:

Donc pour reprendre un peu la question de mon jury, comment faire pour protéger mon réseau après s'être connecté à pfsense même sans être authentifié?

Je partage les commentaires de ccnet: pfSense est un firewall.
personne ne se "connecte à pfSense" en tant que tel. Sauf que, et c'est souvent un objet de polémique ici, si tu fais tourner d'autres services sur pfSense, par exemple un portail captif, alors il y a un risque lié à la présence de ces services et aux failles de sécurités potentielles que la présence de ce service représente.

Ceci étant dit, que fait le portail captif ?

Sur éventuellement authentification de l'utilisateur, ou tout autre action de validation, le portail captif ouvre les ports réseau pour l'utilisateur (généralement du HTTP et assimilés)
Donc avant validation les utilisateurs "bloqués par le portail captif" ne sont pas sur le réseau de l'entreprise, sauf erreur de design  :P

Mais c'est juste une des utilisations du portail captif. ce type de service (portail captif) peut également juste être utilisé pour afficher une notification aux utilisateurs de l'entreprise. Dans ce cas, le portail captif n'est pas utilisé comme composant de sécurité.

Donc, et je rejoins encore ccnet, il faut préciser un peu ta question et son contexte.

jerrynho

@ccnet:

Vaste sujet ! Plusieurs éléments de réponse :
1. Pfsense est d'abord un firewall.
2. Il y a ensuite un problème de définition du besoin de sécurité. Ce point est totalement ignoré dans la question. L'accès à internet via un portail captif suppose, a priori, que la population l'utilisant ne fait pas partie des effectifs de l'entreprise. Il s'agit dans ce cas d'invités à qui on offre une possibilité d'accès à internet. Et a qui on veut ne rien proposer d'autre et surtout pas d'accès au SI de l'entreprise. Mais est-ce bien le cas à traiter ?

Voici l'architecture de mon réseau

point d'accès–----(LAN)Pfsense(WAN)-----Routeur
      .                                                              .
      .                                                              .
      .                                                              .
  client(invité)                                          Switch--------Server Windows 2008
                                                                      .
                                                                      .
                                                                      .
                                                          PC(entreprises)

Mon point d'accès ne me permet pas de créer un autre SSID pour invité sauf pour le cas du routeur mais à ce niveau ca ne règle pas le problème.

3. Vous ne dites pas si on parle de connexion filaire ou wifi ou les deux. Souvent le portail captif sous entend "wifi" mais c'est une habitude et pas une contingence.

En effet il s'agit ici d'une connexion sans fil via un point d'accès non sécurisé (absence de mot de passe).

Le lien wan est il partagé ? Si oui, il y des aspects juridiques qui engagent l'entreprise.

Le lien WAN n'est pas partagé

L'entreprise dispose d'une ou plusieurs ip wan ?

L'entreprise dispose d'une seule IP WAN

Ca demande encore plus de reflexion pour savoir ce que je veux vraiment et quelle solution choisir.

Merci pour votre intervention et vos precisions @ccnet

Cordialement!!

jerrynho

@chris4916:

Donc avant validation les utilisateurs "bloqués par le portail captif" ne sont pas sur le réseau de l'entreprise, sauf erreur de design  :P

Je n'ai pas bien compris cette phrase ::)
Serais t-il un problème lié à une mauvaise configuration du services firewall dans pfsense?

Donc, et je rejoins encore ccnet, il faut préciser un peu ta question et son contexte.

Disons que j'aimerais éviter que ceux qui se connectent au point d'accès, donc le portail captif (authentifié ou non) ait systématiquement accès au réseau local de l'entreprise.

ccnet

point d'accès–----(LAN)Pfsense(WAN)-----Routeur

Dans ce schéma partiel, qu'est ce que routeur ?

L'entreprise dispose d'une seule IP WAN

Celle ci est probablement située derrière "Routeur" sur le schéma ?
Dans ce cas wan est partagé.

En effet il s'agit ici d'une connexion sans fil via un point d'accès non sécurisé (absence de mot de passe).

Lier sécurité du point d'accès et validation par mot de passe passe pour autoriser l'accès est une vision erronée. D'ailleurs sécurité du point d'accès qu'est ce cela signifie ?

Disons que j'aimerais éviter que ceux qui se connectent au point d'accès, donc le portail captif (authentifié ou non) ait systématiquement accès au réseau local de l'entreprise.

La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …

jerrynho

@ccnet:

Dans ce schéma partiel, qu'est ce que routeur ?

point d'accès–----(LAN)Pfsense(WAN)-----Modem/Routeur------Internet
      .                                                              .
      .                                                              .
      .                                                              .
  client(invité)                                          Switch--------Server Windows 2008
                                                                      .
                                                                      .
                                                                      .
                                                          PC(entreprises)

La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …

1. Les utilisateurs(invités) pour se connecter à internet doivent passer par le portail captif avec authentification.
2.Que ce soit avant ou après l'authentification, les utilisateurs qui se connectent au point d'accès ne doivent pas pouvoir accéder au réseau local de l'entreprise!! c'est à dire isolés les utilisateurs invités.
3.Je veux isoler le réseau de l'entreprise de celui des invités (utilisateurs externes)!! Dois-je forcement mettre en place une DMZ?

Est-ce que avec les infrastructures (cités sur le schémas) dont je dispose tout cela est possible?

J'espère avoir été un peu plus precis maintenant??

Merci
Cordialement

ccnet

C'est mieux. D'après le schéma on ne voit pas comment le réseau interne est protégé. Si c'est par le modem routeur, c'est insuffisant car c'est, le plus souvent, un équipement appartenant au fournisseurs d'accès donc un équipement non maitrisé. On ne peur faire reposer la sécurité sur un élément non maitrisé.
En ce sens l'architecture est impropre à offre le niveau de protection souhaité.
Oui le point d'accès doit être connecté à une interface dédié du firewall qui devrait exister. Donc plutôt cela :

point d'accès–----(LAN)Pfsense(WAN)-----Firewall---------Modem/Routeur------Internet
      .                                                              .
      .                                                              .
      .                                                              .
  client(invité)                                          Switch--------Server Windows 2008
                                                                      .
                                                                      .
                                                                      .
                                                          PC(entreprises)

Ou bien

point d'accès--------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
                                                                      .
      .                                                            (LAN)
      .                                                              .
      .                                                              .
      .                                                              .
  client(invité)                                          Switch--------Server Windows 2008
                                                                      .
                                                                      .
                                                                      .
                                                          PC(entreprises)

jerrynho

@ccnet:

point d'accès–------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
                                                                      .
      .                                                            (LAN)
      .                                                              .
      .                                                              .
      .                                                              .
  client(invité)                                          Switch--------Server Windows 2008
                                                                      .
                                                                      .
                                                                      .
                                                          PC(entreprises)

Je vais opter pour cette solution!! Je monte une 3e carte réseau pour configurer la DMZ!!
J'ai exactement la réponse à mes questions. Grand à vous tous!!!
Cordialement!!!

ccnet

Attention, çà reste une configuration très basique.

chris4916

@ccnet:

Attention, çà reste une configuration très basique.

Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque.

ccnet

L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux.  En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi)  … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.

jerrynho

@ccnet:

L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux.  En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi)  … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.

Parfois aussi y a le coût de déploiement!! Il est vrai que la sécurité n'a pas de prix mais pour une petite entreprise, il faut proposer des solutions en fonction du budget aussi. Ce qui explique mon choix de 3e carte réseau. Elle est peut etre basique mais je crois que actuellement elle peut convenir à l'entreprise. Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.

jerrynho

@chris4916:

@ccnet:

Attention, çà reste une configuration très basique.

Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque.

Oui exactement!! Si le réseau "guest" est isolé sur une DMZ, le réseau local sera sécurisé tant que la connexion se fait en wireless à partir du point d'accès!

ccnet

@ccnet:

C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.

je ne saurai être plus clair.

Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.

Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.

jerrynho

@ccnet:

Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.

Oui c'est vrai!! C'est une erreur de ma part de penser ainsi. On peut avoir un petit réseau mais avec des données très sensibles qui nécessitent une protection maximum, donc un niveau de sécurité plus élevé.

Merci pour votre éclaircissement @ccnet