Regle firewall wan pour interface web



  • Bonjour,

    Wan pfsense : 192.168.199.249

    Je veut autoriser l'administration côté WAN que pour 192.168.199.253

    Le problème c'est que lorsque je configure le pare-feu n'importe quelle adresse en 192.168.199.x peut accéder à l'interface…
    source : 192.168.199.253/24
    destination : 192.168.199.249/24

    Merci et bonne journée



  • source : 192.168.199.253/24 !

    source : 192.168.199.253/32

    Sur le fond la méthode est très contestable d'un point de vue sécurité. Il est préférable d'établir une connexion VPN SSL ou à la rigueur PPTP (très moyen) puis de se connecter en SSL évidement à l'interface LAN.



  • Merci pour votre réponse

    Justement, j'ai une autre petite question sur le ssl coté lan :
    Voila mon architecture est sécuriser avec une clé wpa2-psk en plus du portail captif. Est ce vraiment nécessaire d'activer le HTTPS alors que la clé crypte déjà les échanges ?



  • Cela appelle plusieurs observations importantes.

    mon architecture est sécurisée avec une clé wpa2-psk

    L'architecture n'est pas sécurisée. La seule chose dont vous puissiez être certain est que la machine qui parvient à se connecter est une machine sur laquelle la clé PSK a été ajoutée. C'est tout. A bien y réfléchir ce n'est pas grand chose. Je vous laisse méditer la question.

    WPA2 va vous permettre de chiffrer les échanges entre le poste Wifi et le point d'accès. Au delà et donc sur toute la partie filaire, vous revenez à un contenu en clair.

    SSL va permettre de sécuriser l'ensemble des transactions http, c'est à dire https.

    Comme vous le voyez les deux situations sont bien différentes.



  • Merci pour toutes vos précisions,

    En fait je suis stagiaire et je travail sur une architecture visant a donné a des personnes externes tel que des commerciaux qui viennent présentés des produits… un accès internet et un serveur de fichiers par connexion wifi. Mes tuteurs m'ont demandé de faire quelque chose qui puisse surtout authentifier avec un mot de passe et un nom d'utilisateur et que se soit rapide à mettre en place et pas contraignant pour ces utilisateurs  d'où l'intérêt que j'ai porté à pfsense et son portail captif…
    Suite à cela, j'ai cloisonné la patte LAN de mon pfsense (avec dhcp activé) et les bornes d'accès dans un VLAN puis la patte WAN du pfsense dans un autre VLAN dans lequel se trouve un serveur de fichier et une passerelle permettant d'accéder à un autre VLAN ou se trouve la connexion internet qui passe avant par un proxy , pareil pour le DNS, tout fonctionne.

    Voila pourquoi j'utilise une clé wpa2-psk pour "crypter" un minimum les données entre la borne et le client car cela ne nécessite pas de configurations particulières. Parfois, il faut savoir joué sur le ratio simplicité/sécurité.

    Vous en pensez quoi ?



  • rapide à mettre en place et pas contraignant pour ces utilisateurs

    "La sécurité coûte, si vous n'avez pas les moyens vous n'aurezas de sécurité" - Bruce Schneier.

    Elle coûte financièrement et elle impose des contraintes. Je ne connais pas de systèmes sécurisé (réellement, pas ceux qui en donne l'illusion) qui ne soit pas contraignat parce que l'utilisateur est une partie du système de sécurité.

    Après cette généralité, une précision, car je n'ai pas compris un point. Ces personnes qui doivent se connecter sont elles des collaborateurs de l'entreprise ?

    j'utilise une clé wpa2-psk pour "crypter" un minimum les données entre la borne et le client car cela ne nécessite pas de configurations particulières

    Il faut quand même distribuer la clé et gérer la révocation.

    Petit détail de vocabulaire :
    On parle de cryptographie et de chiffrement, mais pas de cryptage.

    Parfois, il faut savoir joué sur le ratio simplicité/sécurité.

    Je pense que c'est un mauvais raisonnement. L'arbitrage se fait entre le risque, sa probabilité de réalisation et son coût si le risque se réalise. Lisez les livres de Bruce Schneier, regardez les sites de HSC, du Clusif par exemple. Vous verrez que ce n'est pas ainsi que l'on aborde les questions de sécurité. L'approche n'est pas bonne, vous débutez, vous ne pouvez pas tout savoir, c'est normal. Ces gens ont passé des années ou des dizaines d'années à forger une approche cohérente. En second lieu votre première question WPS - SSL et la confusion qui s'y rapporte montre que vous ne pouvez pas facilement apprécier le diviseur de votre ratio.

    En conclusion provisoire je ne sais pas encore vous dire si WPA-PSK est satisfaisant dans votre cas. Dites en plus sur la nature des personnes devant se connecter et leur activités. Je n'ai pas de recettes toutes faites.



  • Merci pour vous réponses,

    En fait ce sont des personnes de passages qui viendront au sein de nos locaux. Ces gens sont par exemple des personnes diverses comme :
    Un commercial voulant présenté un produit, une personne de la ville voulant présenté un projet…
    Par conséquent et pour faciliter les choses j'ai instaler des bornes wifi dans les salles de réunion et mis en place un serveur pfsense + portail captif + authentification local (le compte ne sera plus valable après la réunion... j'ai joué pour cela avec l'option "expiration date").
    A cet effet, j'ai ensuite mis en place coté WAN du pfsense un petit serveur de fichier pour le dépôt ou la récupération de documents (un devis par exemple...). Ensuite j'ai mis à sa disposition un accès internet qui passe par un proxy si par hasard cette personne veut nous présentez des ressources disponible sur le site sa société par exemple...



  • Dans votre cas la meilleure solution serait de séparer le réseau de l'entrepris et le réseau invité.
    La solution courante consiste à utiliser deux vlans (au moins) un pour le réseau entreprise, l'autre pour le réseau invité.
    Chaque vlan sera accessible par un SID distinct. Celui du réseau interne ne sera pas broadcasté.
    Pour les collaborateurs de l'entreprise utilisant le réseau wifi (y en a t il ?) la solution wpa-psk ne convient pas pour les raisons que j'ai expliqué plus haut (distribution de la clé, révocation, …). L'argument du compromis ne tient pas. Il faudrait utiliser une solution 802.1X
    Pour les personnes externes, ce n'est pas indispensable. Un portail captif suffirait éventuellement si les ressources accédées (internet, serveur de fichiers dédié) sont sur un réseau différent (vlan). Si le serveur de fichiers est accédé via un protocole comme smb, ce sera un peu plus compliqué. L'idéal serait de tout passer en https. Ce serait le plus simple pour les invités.



  • Bonjour,

    Comme je l'ai dit plus haut j'ai fais mon architecture dans des VLAN : Le LAN du pfsense (avec dhcp) avec les points d'accès dans le VLAN 97 et le WAN dans le VLAN 99 qui possède en plus un serveur de fichiers pour les raisons que je vous est expliquez plus haut. Seul le DNS (qui est dans le VLAN 98) et le Proxy (VLAN 2) sont utilisé pour la résolution des noms et le surf sur internet grâce au routage entre ces VLAN.
    Il n' y aucun autre accès réseaux.



  • Pouvez vous poster un schéma. J'aimerai être certain avant de vous répondre.

    Il n' y aucun autre accès réseaux.

    Et l'administration PFsense ?



  • Voici les screens :




    ![Maquette sécurisation du hotspot wifi avec portail captif.jpg](/public/imported_attachments/1/Maquette sécurisation du hotspot wifi avec portail captif.jpg)
    ![Maquette sécurisation du hotspot wifi avec portail captif.jpg_thumb](/public/imported_attachments/1/Maquette sécurisation du hotspot wifi avec portail captif.jpg_thumb)


Log in to reply