Multiple problémes PFSENSE
-
Bonjour, je fais appel à vous pour éclaircir un certains point d'ombre sur pfsense
Contexte : Je suis dans milieu pro dans le cadre d'une entreprise possédant déjà un réseau. Je dois donc installer un PFSENSE en machine virtuelle(ESXI) complétement coupé du réseau de l'entreprise , pas de pépin au niveau réseau. Il s'agit là d'une nouvelle solution que je met en place. Je suis alternant dans le cadre du licence sécurité des réseaux
Besoin : Le besoin de l'entreprise est d'avoir un portail captif pour les visiteurs. Tout en ayant un suivi des logs dans le cadre de la loi, avec bien sur un filtrage de certains site (Facebook,youtube).
Schéma :
WAN (modem/routeur/box) : 1 partie WAN avec une adresse public celle de la box, la partie WAN est fermé dans un VLAN spécifique, malheureusement, je ne peux vous divulguer les adresses.
LAN : 1 Partie LAN qui elle aussi est fermé dans son propre VLAN, cette partie fait DHCP et mon PFSENSE fait office de DNS
DMZ : Aucune DMZ
WIFI : Lié à mon LAN, en effet je transmet l'accès au portail via des bornes wifi qui sont des client léger et relier à un contrôleur wifi Cisco.
Autres interfaces : Aucune
Règles NAT : Aucune
Règles Firewall : règles de base de PFSENSE
Packages ajoutés :
Squid:
interface:Lan
Allow users on interface
Transparent proxy
Log rotate 1
Proxy port:3128
et dans la partie access Control mon réseauSquidguard:
Enable
Enable GUI log
Enable log
Enable log rotation
Blacklist celle de shallalistdans l'onglet common ACL , j'ai juste mis en deny le porno pour l'instant
Sarg:
Proxy Server:squid
date format:EuropeanJ'ai ensuite créer un Schedule fréquence tout les 1 jours
Autres fonctions assignées au pfSense :
Portail captif:
Sur l'interface LAN
Pas de redirection
Authentification: local userQuestion : Problème précis rencontré et questions posées, …:
Alors j'ai rencontré plusieurs soucis
Déjà le plus important , mon PFSENSE était bien réglé , le portail fonctionnait, le proxy aussi ,
ainsi que la remonté des logs et le filtrage URL aussi, or lors du redémarrage de ma machine
virtuelle , tout c'est mise en vrac , plus rien ne fonctionne , le squidguard ne veut plus s'activer ,
les logs ne remonte plus et le portail après authentification à du mal à marcher , ma question il y
a t'il des soucis avec la virtualisation de PFSENSE, dois je passer par une machine physique car
un de mes amis a eu le même soucis en virtuelle et depuis qu'il est en physique aucun soucis....
Ensuite autre question lorsque mes utilisateurs se connecte à internent , ils doivent être
automatiquement rediriger vers la page du portail sur IE cela fonctionne car la page d'accueille est
en http , si je passe sur Firefox ou chrome, je dois taper une adresse en http pour être rediriger
vers ce dernier n'existe t'il pas une solution ?
Et pour finir , je désire faire du filtrage , les blacklists sont bien mais ne permettent que du filtrage
en http , pour ce qui est du https cela ne fonctionne pas , existe t'il une solution autre que les
alias et un blocage au niveau du pare-feu ou faut il utiliser des certificats ?
Pistes imaginées
Recherches : Aucune
Logs et tests : Aucun
Voilà messieurs, dame , je vous remercie en avance , en espérant avoir été le plus clair possible dans mes demandes.
-
Je ne te réponds que sur la partie filtrage, laissant le soin à d'autres de traiter les aspects qui leur tienne à cœur.
Squid, au travers de Squidguard, ne peut pas filtrer, comme aucun redirecteur Squid d'ailleurs, le contenu des pages en HTTPS.
Pour cela, il faut activer SSL Bump (MITM) au niveau de Squid.Mais Tu peux tout à fait faire du filtrage au niveau des domaines puisque le domaine (la partie gauche de l'URL) passe en clair dans la commande CONNECT.
Donc ça dépend de ton besoin : si c'est pour interdire un domaine (bien que cette dénomination soit, de mon point de vue erronée), même en HTTPS, c'est possible.
Si c'est pour interdire des URL, sans SSL Bump, pas de solution, et l'approche DNS (alias) est équivalente, en terme de scope, à la notion de domaine, donc ce n'est pas une alternative. -
ma question il y a t'il des soucis avec la virtualisation de PFSENSE
Pour répondre à la première question, la réponse est : oui.
Il est reconnu qu'un environnement virtualisé n'est pas adapté pour une solution telle que pfSense. Souvent utilisé dans un environnement de test, il s'avère que cela peut fausser certains tests, certaines fonctionnalités peuvent avoir des comportements aléatoires ou ne pas fonctionner du tout. Pour de multiples autres raisons les VMs sont à proscrire dans un environnement de production.
-
Je n'ai pas le temps de vous répondre en détail. Compte tenu de votre activité actuelle, je signalerai ce qui est à mon sens contraire aux bonnes pratiques sécurité. Je n'expliquerai pas pourquoi. Je l'ai fait un grand nombre de fois sur ce forum et je ne vais pas recommencer à chaque fois.
Je suis alternant dans le cadre du licence sécurité des réseaux
L'accumulation de package sur Pfsense est une fausse bonne idée.
Le cumul de toutes ces fonctionnalités sur une même machine (entendez sur un firewall) est aussi une mauvaise idée.
La virtualisation du firewall est une mauvaise idée.
Mettre en place un filtrage sur les flux https sortant (c'est très différent dans le sens entrant) est une problématique délicate qui soulève des problèmes juridiques et engage potentiellement la responsabilité de l’entreprise. Elle compromet totalement la sécurité de l'internaute. Il existe des situations que le justifient mais manifesement pas la votre.
La présence d'un portail captif suggère l'utilisation d'un réseau wifi. Mais on devine aussi qu'il n'y a pas que du wifi mais aussi du filaire. Or vous ne mentionnez que l'existence d'une interface lan sur Pfsense. J'en déduis que les deux réseaux, filaire et wifi, ne sont pas séparés. C'est un problème de sécurité réel. Autant dire que sans autre mesure votre firewall ne sert pas à grand chose. Et aussi une mauvaise pratique.Mon conseil, pour le futur, est de vous documenter, de lire, par exemple, les ouvrages de Bruce Schneier. Il y a longtemps que je n'en avais pas parlé. C'est peut être son actualité qui me fait y penser.
http://www.lemondeinformatique.fr/actualites/lire-rachat-de-resilient-le-gourou-du-chiffrement-bruce-schneier-rejoint-ibm-64068.html
Bon courage pour le futur car il vous reste du travail. Mais c'est normal vous débutez, rien d'anormal.