Filtrage firewall
-
Sans schéma votre configuration reste pour le moins exotique.
WAN = 10.0.1.x/24 = réseau local de l'entreprise
Pour le moins curieux. Ne pas perdre de vue que tous les flux de lan (et toutes autres interfaces qui existeraient) à destination d'une adresse autre que lan (ou autres) vont être translatés avec l'ip du wan.
WAN IP = 10.0.1.207 + GW 10.0.1.254
On en déduit que les réseau "Wan" possède probablement 2 gateways … encore que ??
Je bloque les ports 67 et 68 pour éviter que les utilisateurs du WAN prennent un IP distribuée par le DHCP de pfSense.
Ne pas activer dhcp sur l'interface wan résoudrait le problème.
LAN : j'autorise tous les ports standards en TCP/UDP.
Que sont pour vous les ports standards en TCP/UDP ? Il y en a plusieurs centaines, voire milliers …
A la lecture des logs du proxy, je vois que le firewall bloque des ports (137, 138, 17500…)
Je ne comprend pas comment on voit dans les logs d'un proxy ce que bloque un firewall !!
Il est grand temps de décrire tout cela clairement avec une description fonctionnelle, un schéma et les fonctions de chaque machine.j'autorise le WAN subnet à se connecter aux ports 85 (HTTPS)
85 https vraiment ?
et 22 (pour l'administration).
l'administration de quoi ?
-
Pour schéma du réseau, je ne sais pas ce que vous voulez exactement. Voilà ce que je peux vous donner :
passerelle Internet : 10.0.1.254
|
|
LAN entreprise (10.0.1.x/24)
|
|________________________(10.0.1.207/24)_pfSense _(192.168.1.1/24)_______AP Wifi____Clients Wifi (192.168.1.x/24)Fonction du serveur pfSense : portail captif, filtrage URL.
Le WAN n'a qu'une seule passerelle.
Le DHCP n'est activé que pour le LAN. J'avais dû l'activer accidentellement au moment de mes tests.
Les ports que j'appelle "standards" sont ceux qui permettent de naviguer et de consulter ses mails. En l'occurrence, ce sont les ports 80, 443, 143, 993, 110, 995, 25, 587 et 465. Je laisse passer aussi 8000:8001 et 53. Est-ce logique pour vous ?
A la lecture des logs du firewall évidemment, pas du proxy !
Quant au port 85 qui est utilisé pour l'HTTPS, c'est une option prise dans la configuration pfSense de changer le port par défaut…
Le port 22 est activé pour le SSH mais c'est vrai que l'esprit de pfSense est vraiment tournée vers son interface graphique.L'objectif final est de fournir à nos clients un accès Wifi via un portail captif + que ça ne coûte rien à l'entreprise. Par contre, si dans mon schéma, il y a des erreurs ou des problèmes de sécurité, je suis preneur.
Merci encore
-
LAN entreprise (10.0.1.x/24)
"Subnetter" une classe A est juste une source de confusions et ou d'ennuis. 101.0.0/8 ou 192.168.x.0/24
Les ports que j'appelle "standards" sont ceux qui permettent de naviguer et de consulter ses mails. En l'occurrence, ce sont les ports 80, 443, 143, 993, 110, 995, 25, 587 et 465. Je laisse passer aussi 8000:8001 et 53. Est-ce logique pour vous ?
Voir commentaire de JDH que je partage.
Quant au port 85 qui est utilisé pour l'HTTPS, c'est une option prise dans la configuration pfSense de changer le port par défaut…
Si vous imaginez un quelconque avantage sur le plan de la sécurité vous vous trompez. Restez sur les standards.
Le port 22 est activé pour le SSH mais c'est vrai que l'esprit de pfSense est vraiment tournée vers son interface graphique.
Danger !
Enfin, le schéma retenu est inapproprié et dangereux. Les flux des invités traversent joyeusement le lan de l'entreprise. Une règle de base en sécurité réseau, c'est le cloisonnement des flux. De plux vous êtes contraint par ce schéma d'autoriser les flux retour à traverser votre lan. Suicidaire !
Un schéma de base acceptable est joint. Sous réserve d'investigation plus poussées. Ce qui nous ramène encore et toujours à l'analyse fonctionnelle.
Vos invités ne doivent en aucun vas traverser votre lan. Et inversement d'ailleurs. Tout cela doit être rigoureusement séparé. Je fais l'hypothèse que vous avez une exigence de sécurité limitée en confiant tout le trafic au même isp. C'est votre firewall qui fera le travail de cloisonnement. Attention au paramétrage !
DHCP sera fourni au lan par un autre équipement que Pfsense.
-
Merci pour vos éclairages mais à votre schéma, je vois un problème majeur : le firewall n'est pas chez nous mais chez l'opérateur !
Alors, dans ces conditions, quelles sont les alternatives pour sécuriser l'installation ?Concernant notre réseau, certes il est en classe A mais ce sont des tranches données par Oléane et nous y sommes contraint du fait de notre VPN. Quand il ne restera plus que ça… !
-
Un abonnement Free à 30 euros. Sinon c'est à Oleane qu'il faut poser la question. En attendant cela donne un bon exemple de ce que peut entrainer une externalisation, pour partie, de la sécurité du SI. Il y a bien un routeur chez vous ? Les solutions techniques ne manquent pas mais c'est Oleane qui va décider, selon ce qu'ils ont (ou pas ) au catalogue. Les connaissant, ce ne sera pas gratuit.
A part la Freebox dans un coin (et c'est une autre architecture qu'il faut réfléchir), vous ne pouvez de toute façon rien faire sans Oleane. Du moins rien de sérieux. -
D'accord. Merci.
Nous changeons d'opérateur très prochainement et nous devrions avoir un firewall dédié watch guard. Cela sera l'occasion de revoir notre sécurité. -
Je ne comprends guère : vous n'êtes pas capable de poser correctement votre problème : chaque post apporte un peu plus de précision … ce qu'il faudrait faire AU DEBUT !
Ensuite, une fois les réseaux posés, il faut parler en terme de besoin : quel besoin ?Orange (Oleane), SFR ont tendance à proposer des lignes pour relier plusieurs sites et fournir "depuis le central", l'accès "sécurisé" à Internet.
C'est une vaste fumisterie parce que vous ne pouvez plus avoir de firewall ou de proxyLan1 <-> Rtr1
Lan2 <-> Rtr2
et lien Rtr1 <-> Rtr2 et Rtr1 <-> Internet et Internet <-> Rtr2Cela n'est pas pratique du tout !
On arrive souvent à un schéma avec un LAN connecté à 1 firewall et accès à Internet + 1 routeur de lien vers un autre site équivalent.
Si vous ne gérez pas correctement les routes cela devient l'enfer : ajout du routage pour chaque matériel : fourni par le dhcp en automatique ou inscrit manuellement (route -p sous W). -
Je ne comprends guère : vous n'êtes pas capable de poser correctement votre problème : chaque post apporte un peu plus de précision … ce qu'il faudrait faire AU DEBUT !
Ensuite, une fois les réseaux posés, il faut parler en terme de besoin : quel besoin ?Désolé de ne pas avoir été plus clair dès le début :-\
L'évolution de notre offre Internet se profile vers une interconnexion de chaque site via un VPN IP MPLS et une sortie en cœur de réseau avec son filtrage dédié Watchguard.
Lan1 <-> Rtr1
Lan2 <-> Rtr2
et lien Rtr1 <-> Rtr2 et Rtr1 <-> Internet et Internet <-> Rtr2Cela n'est pas pratique du tout !
Je suis désolé, je n'ai pas vos compétences techniques, c'est évident mais en quoi ce n'est pas pratique ?
Quelle solution devrions-nous adopter alors ?Merci
-
MPLS et une sortie en cœur de réseau
Le discours marketing habituel (et bien rodé) !
Quelques minutes de réflexion :
- comment récupérer un flux entrant avec ce schéma ? Je veux créer un serveur ftp interne, comment je fais ? Je veux un serveur de mail interne et recevoir directement les mails ?
- puis-je avoir un firewall (sans perdre la connectivité réseau à réseau) ? seul un firewall en pont peut-être utilisé (avec les difficultés que cela pose).
- comment filtrer les flux sortants ? idem
- comment filtrer mon flux de navigation ? idem + proxy + règle d'autorisation du seul proxy
- comment gérer la passerelle par défaut si j'ajoute un adsl privé ?
(enfin, quid des stats d'utilisation des liens ?)
En général, je préviens, dès le début, le commercial de l'opérateur qu'il n'est pas question qu'il me parle de cette solution …
J'ai vu et revu, et maintenant je gère moi-même le vpn inter-sites (même si je perds en débit). -
Et après le discours, on a l'ouverture de port à la demande facturée 100,00 € HT. A moins qu'ils aient changé le tarif.