Multiple problémes PFSENSE



  • Bonjour, je fais appel à vous pour éclaircir un certains point d'ombre sur pfsense

    Contexte : Je suis dans milieu pro dans le cadre d'une entreprise possédant déjà un réseau. Je dois donc installer un PFSENSE en machine virtuelle(ESXI) complétement coupé du réseau de l'entreprise , pas de pépin au niveau réseau. Il s'agit là d'une nouvelle solution que je met en place. Je suis alternant dans le cadre du licence sécurité des réseaux

    Besoin : Le besoin de l'entreprise est d'avoir un portail captif pour les visiteurs. Tout en ayant un suivi des logs dans le cadre de la loi, avec bien sur un filtrage de certains site (Facebook,youtube).

    Schéma :

    WAN (modem/routeur/box) :  1 partie WAN avec une adresse public celle de la box, la partie WAN est fermé dans un VLAN spécifique, malheureusement, je ne peux vous divulguer les adresses.

    LAN : 1 Partie LAN qui elle aussi est fermé dans son propre VLAN, cette partie fait DHCP et mon PFSENSE fait office de DNS

    DMZ : Aucune DMZ

    WIFI : Lié à mon LAN, en effet je transmet l'accès au portail via des bornes wifi qui sont des client léger et relier à un contrôleur wifi Cisco.

    Autres interfaces : Aucune

    Règles NAT : Aucune

    Règles Firewall : règles de base de PFSENSE

    Packages ajoutés :

    Squid:
    interface:Lan
    Allow users on interface
    Transparent proxy
    Log rotate 1
    Proxy port:3128
    et dans la partie access Control mon réseau

    Squidguard:
    Enable
    Enable GUI log
    Enable log
    Enable log rotation
    Blacklist celle de shallalist

    dans l'onglet common ACL , j'ai juste mis en deny le porno pour l'instant

    Sarg:

    Proxy Server:squid
    date format:European

    J'ai ensuite créer un Schedule fréquence tout les 1 jours

    Autres fonctions assignées au pfSense :

    Portail captif:
    Sur l'interface LAN
    Pas de redirection
    Authentification: local user

    Question : Problème précis rencontré et questions posées, …:

    Alors j'ai rencontré plusieurs soucis

    Déjà le plus important , mon PFSENSE était bien réglé , le portail fonctionnait, le proxy aussi ,

    ainsi que la remonté des logs et le filtrage URL aussi, or lors du redémarrage de ma machine

    virtuelle , tout c'est mise en vrac , plus rien ne fonctionne , le squidguard ne veut plus s'activer ,

    les logs ne remonte plus et le portail après authentification à du mal à marcher , ma question il y

    a t'il des soucis avec la virtualisation de PFSENSE, dois je passer par une machine physique car

    un de mes amis a eu le même soucis en virtuelle et depuis qu'il est en physique aucun soucis....

    Ensuite autre question lorsque mes utilisateurs se connecte à internent , ils doivent être

    automatiquement rediriger vers la page du portail sur IE cela fonctionne car la page d'accueille est

    en http , si je passe sur Firefox ou chrome, je dois taper une adresse en http pour être rediriger

    vers ce dernier n'existe t'il pas une solution ?

    Et pour finir , je désire faire du filtrage , les blacklists sont bien mais ne permettent que du filtrage

    en http , pour ce qui est du https cela ne fonctionne pas , existe t'il une solution autre que les

    alias et un blocage au niveau du pare-feu ou faut il utiliser des certificats ?

    Pistes imaginées

    Recherches : Aucune

    Logs et tests : Aucun

    Voilà messieurs, dame , je vous remercie en avance , en espérant avoir été le plus clair possible dans mes demandes.



  • Je ne te réponds que sur la partie filtrage, laissant le soin à d'autres de traiter les aspects qui leur tienne à cœur.

    Squid, au travers de Squidguard, ne peut pas filtrer, comme aucun redirecteur Squid d'ailleurs, le contenu des pages en HTTPS.
    Pour cela, il faut activer SSL Bump (MITM) au niveau de Squid.

    Mais Tu peux tout à fait faire du filtrage au niveau des domaines puisque le domaine (la partie gauche de l'URL) passe en clair dans la commande CONNECT.

    Donc ça dépend de ton besoin : si c'est pour interdire un domaine (bien que cette dénomination soit, de mon point de vue erronée), même en HTTPS, c'est possible.
    Si c'est pour interdire des URL, sans SSL Bump, pas de solution, et l'approche DNS (alias) est équivalente, en terme de scope, à la notion de domaine, donc ce n'est pas une alternative.



  • @Punished:

    ma question il y a t'il des soucis avec la virtualisation de PFSENSE

    Pour répondre à la première question, la réponse est : oui.

    Il est reconnu qu'un environnement virtualisé n'est pas adapté pour une solution telle que pfSense. Souvent utilisé dans un environnement de test, il s'avère que cela peut fausser certains tests, certaines fonctionnalités peuvent avoir des comportements aléatoires ou ne pas fonctionner du tout. Pour de multiples autres raisons les VMs sont à proscrire dans un environnement de production.



  • Je n'ai pas le temps de vous répondre en détail. Compte tenu de votre activité actuelle, je signalerai ce qui est à mon sens contraire aux bonnes pratiques sécurité. Je n'expliquerai pas pourquoi. Je l'ai fait un grand nombre de fois sur ce forum et je ne vais pas recommencer à chaque fois.

    Je suis alternant dans le cadre du licence sécurité des réseaux

    L'accumulation de package sur Pfsense est une fausse bonne idée.
    Le cumul de toutes ces fonctionnalités sur une même machine (entendez sur un firewall) est aussi une mauvaise idée.
    La virtualisation du firewall est une mauvaise idée.
    Mettre en place un filtrage sur les flux https sortant (c'est très différent dans le sens entrant) est une problématique délicate qui soulève des problèmes juridiques et engage potentiellement la responsabilité de l’entreprise. Elle compromet totalement la sécurité de l'internaute. Il existe des situations que le justifient mais manifesement pas la votre.
    La présence d'un portail captif suggère l'utilisation d'un réseau wifi. Mais on devine aussi qu'il n'y a pas que du wifi mais aussi du filaire. Or vous ne mentionnez que l'existence d'une interface lan sur Pfsense.  J'en déduis que les deux réseaux, filaire et wifi, ne sont pas séparés. C'est un problème de sécurité réel. Autant dire que sans autre mesure votre firewall ne sert pas à grand chose. Et aussi une mauvaise pratique.

    Mon conseil, pour le futur, est de vous documenter, de lire, par exemple, les ouvrages de Bruce Schneier. Il y a longtemps que je n'en avais pas parlé. C'est peut être son actualité qui me fait y penser.
    http://www.lemondeinformatique.fr/actualites/lire-rachat-de-resilient-le-gourou-du-chiffrement-bruce-schneier-rejoint-ibm-64068.html
    Bon courage pour le futur car il vous reste du travail. Mais c'est normal vous débutez, rien d'anormal.