PfSense + autre pare feu

vdkazerty

Bonjour,
je suis actuellement en stage dans le service informatique d'une entreprise et on m'a demandé de configurer pfSense pour interdire les ports sortant (Emule, site pour adulte (oui oui on en apprend beaucoup dans certains services ^^), tout ce qui ne sert pas à travailler pour faire plus simple.)

Mais il y a un déjà un pare feu installé par une entreprise externe qui s'occupe du réseau, mais voilà, nous n'avons pas accès à ses options de configuration.

Le "schéma" réseau ressemble à ceci :
internet = pare feu géré par l'entreprise externe = pfSense = intranet

Est-ce possible d'installé pfSense à ce niveau et de lui affecter 2 adresses IP interne malgré que l'on ne peut définir qu'une adresse LAN et une WAN ?
Et si vous aviez une piste pour moi bloquer les ports gênant je suis prenant.

En attente de vous lire.
Merci !

ccnet

La première chose qu'il faut comprendre est que nombre de ces applications indésirables utilise le protocole http tout simplement. Il y a donc à mon sens une erreur de conception, à la base, sur la solution à mettre en oeuvre. Un second firewall au sens strict ne permettra pas de résoudre le problème posé. L'ensemble des trafics indésirables étant transportés via http, il faut donc se mettre à la recherche d'une solution capable d'analyser les contenus. Une partie de ce travail peut être réalisé via un proxy et l'utilisation de blacklists. Il en existe de toutes faites qui sont régulièrement maintenues.
En premier lieu il s'agit donc de repenser correctement votre analyse du problème. A titre d"exemple, je ne vois pas comment en bloquant un port TCP ou autre il serait possible d'empêcher l'accès à "grosseins.com" par exemple. Il faut aussi peut être vous pencher à nouveau sur vos cours, les choses ne sont manifestement pas assimilées entièrement.
Il est possible d'installer un package proxy sur Pfsense (Squid) mais ce n'est peut être pas la meilleurs chose à faire. Ce n'est en tout cas pas ce que je ferai.
Vous ne pourrez pas intégrer cette solution au réseau de production sans l'aide du prestataire gestionnaire du réseau et placer un second firewall entre celui qu'il gère et le réseau interne est une très mauvaise idée.

vdkazerty

Merci de m'avoir expliquer tout çà.
J'aimerai bien me pencher sur mes cours mais faudrait il encore qu'ils en parlent =s

Bon maintenant reste à voir avec mon tuteur ce que nous allons faire.

Encore merci !

vdkazerty

C'est re moi !
Est il possible d'ajouter une carte réseau virtuelle sur pfSense ?
J'ai essayé plusieurs commandes mais rien…
J'ai demandé à mon tuteur pourquoi il ne contacte pas l'entreprise qui leur a installé le pare feu pour d'avoir des droits dessus, çà représenterai un coût en plus.

Merci !

Juve

Pour la partie filtrage de contenu/URL je ne conseil pas l'installation de cette brique sur un firewall mais sur une (ou plusieurs, en cluster) machine dédiée à ce rôle.
Ensuite, pour la partie blocage des applications P2P et autres @#!à$#&! je pense qu'il faudrait s'assurer de la bonne configuration du pare feu déjà présent. Dans une situation normale, aucun flux interne<->externe ne devrait être possible, les flux autorisés devant passer par un proxy applicatif (http,smtp,pop,dns etc.) spécialement conçu et configuré pour lutter contre les détournement de flux applicatifs.
Quoi qu'il en soit, il restera très,très,très difficile de contrôler/protéger les navigations sécurisées par SSL (HTTPS). La désactivation du mode CONNECT peut parfois se trouver inévitable.

Bonne chance.

ccnet

@vdkazerty:

C'est re moi !
Est il possible d'ajouter une carte réseau virtuelle sur pfSense ?
J'ai essayé plusieurs commandes mais rien…

Il y a quelque chose qui s'appelle les vlans. Pfsense supporte les vlans sur les interfaces physiques.

J'ai demandé à mon tuteur pourquoi il ne contacte pas l'entreprise qui leur a installé le pare feu pour d'avoir des droits dessus, çà représenterai un coût en plus.
Merci !

J'aime beaucoup cette "vision" des questions de sécurité …

Moi aussi je vous souhaite bonne chance.

vdkazerty

J'ai quand même tenté de rajouter une carte réseau sur le poste de pfSense, mais celui bloque au démarrage dorénavant =/

Merci beaucoup pour vos explications !

ccnet

Avant de choisir un élément du hardware, il est important de consulter ceci, afin de vérifer qu'il est effectivement pris en charge par Pfsense : http://www.pfsense.org/index.php?option=com_content&task=view&id=46&Itemid=51

vdkazerty

ha merci ! mais la carte ne correspond pas.

Je vais me rediriger vers le proxy, mais est ce possible de bloquer tous les ports et en autoriser seulement certains sur un proxy ? (Google mon ami ! me voilà =p)

Encore merci.
Mes salutations.

ccnet

A priori vous n'avez pas bien compris comment fonctionne un proxy et ce qu'il fait. On en bloque pas de ports sur un proxy. Regardez le site de Squid : www.squid-cache.org