Comment cacher pfSense ?



  • Salut à tous,

    Pour des raisons de sécurité évidentes, je trouve particulièrement débile le fait d'afficher clairement le type de Firewall que l'on utilise dès lors qu'une personne se connecte sur l'interface d'accueil :

    –--------------------------------------
    Logo de pfSense

    Login to pfSense
    Username :
    Password :

    pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. All Rights Reserved. [view license]
    –--------------------------------------

    Cette page d'accueil est semble-t-il à cet endroit : /usr/local/www/vpn_openvpn_client.php

    Comment la modifier pour n'avoir QUE le strict minimum sans aucune indication, à savoir :

    login :
    password :

    Merci!



  • Pour des raisons non moins évidentes je trouve "délicat" de laisser l'interface d.administration d'un firewall comme de n'importe quel élément d'infrastructure accessible depuis le reseau "utilisateur". Toutes ces interfaces ne devraient être accessibles que par le reseau d'administration dédié qui utilisera le chiffrement (VPN) et un schéma d'authentification forte.
    Déguiser la page de login est une illusion. Nmap permet sans difficulté d'identifier l'os et par déduction …



  • Merci mais je veux quand même savoir comment faire pour modifier cette page, quelqu'un d'autre sait comment ?



  • La lecture de index.php vous serait probablement utile ainsi que le parcours de /images/misc. Ensuite vous faites comme vous le souhaitez.

    Pour ceux qui s’intéresseraient au sujet je pense que cette modification est inutile d'un point de vue sécurité. J'ai indiqué plus haut quelles vraies mesures de sécurité pouvaient être mises en place. Au surplus on peut ajouter que le remplacement du certificat installé par défaut avec Pfsense est une nécessité. L'utilisation d'un mot de passe fort reste une priorité bien plus utile. Tout comme limiter le nombre de connexions simultanées et verroullier al console par mot de passe.
    Par ailleurs aucun fournisseurs de produits de sécurité ne se livre à ce genre d'opération, que ce soit Cisco (la présence d'ADSM suffit à identifier l'emploi de produits Cisco) et les autres. Tous présentent une page de login affichant leur marque.



  • La demande est, en effet, très surprenante.

    Aux remarques de sécurité proposées par ccnet (qui sont de bon sens … comme on peut s'en convaincre aisément), j'ajouterai celle de ne pas permettre un accès extérieur en https : un accès d'abord par vpn puis administration en https 'comme local'.
    En sus on peut aussi limiter l'accès https sur l'ip interne à certaines ip bien définies : protection légère mais c'est toujours ça.

    Pour continuer, parmi les règles édictées par l'ANSSI, on trouve celle de placer les équipements actifs dans un adressage non accessible en standard et la recommandation d'utiliser un poste d'administration dédié et n'ayant pas accès à Internet.
    Cela doit être possible en ajoutant une ip alias dans un réseau distinct du lan et des règles spécifiques d'interdiction.
    Mais je n'en suis pas encore là.



  • Un des moyens de "protéger" les interfaces d'administration, c'est de les mettre dans un VLAN qui est accédé via un portail captif. L'utilisateur qui doit se connecter aux interfaces d'administration des équipements se connecte au portail captif qui autorise, pour les administrateurs uniquement, leur adresse IP à être routée vers le VLAN d'admin.

    Même si ça existe, n'utiliser qu'une machine dédiée "administration" n'est souvent pas très pratique ni très réaliste sur un petit réseau car cela signifie n'administrer que depuis un seul point sur le réseau tout en créant une architecture dédiée à cet usage.
    C'est comme ça que fonctionnent pourtant beaucoup de data center cependant  ;)



  • @ccnet:

    La lecture de index.php vous serait probablement utile ainsi que le parcours de /images/misc. Ensuite vous faites comme vous le souhaitez.

    J'ai bien regardé mais malheureusement, je ne connais rien au PHP (nécessaire dans la dernière version 2.3).
    C'est pour cette raison que je demande une aide sur ce forum.

    @ccnet:

    Pour ceux qui s’intéresseraient au sujet je pense que cette modification est inutile d'un point de vue sécurité.

    Je ne suis pas du tout du même avis.
    Je comprends bien que cela fait de la pub à pfSense et que vous teniez (les modérateurs du forum) à ce que tout le monde affiche la marque et le copyright (la vraie raison à mon avis) mais je pense qu'il vaut mieux pour une sécurité optimum que chacun modifie cette page en la remplaçant avec celle d'un routeur ou d'un autre Firewall, par exemple.
    Je n'ai pas l'intention d'indiquer aux hackers le type de Firewall que j'utilise, l'un d'entres eux peut toujours tomber sur cette page.
    En outre, pfSense est américain et je ne serais pas étonné qu'une backdoor soit prévue spécialement pour la NSA.
    En affichant la couleur, ils n'ont même pas besoin de chercher !

    @ccnet:

    Par ailleurs aucun fournisseurs de produits de sécurité ne se livre à ce genre d'opération, que ce soit Cisco (la présence d'ADSM suffit à identifier l'emploi de produits Cisco) et les autres. Tous présentent une page de login affichant leur marque.

    Quoi d'étonnant ?? Ils ne vont bien entendu pas afficher la marque du concurrent!!!
    Je ne suis pas un mouton, je veux changer cette page.



  • Je ne peux que confirmer ce qu'écrit ccnet : tous les matériels de type firewalls, switchs, routeurs, modems de marque ou opensource que j'ai pu installer ou configurer affichent dans l'interface http d'administration la marque, le modèle et, bien souvent, la version du système installé. Etonnant que les Cisco, Hp, Ibm, Dlink, Netgear, Zyxell, Avaya, Apple … affichent leurs marques sans vergogne, et qu'aucun ait pensé que cela fournit un renseignement supplémentaire à l'attaquant ...

    Il est probable que, de toute façon, un attaquant sait déjà beaucoup de choses rien qu'avec l'empreinte de la pile IP du matériel : il est assez facile de distinguer une pile de Windows, d'une de Linux, d'une autre de Bsd ...

    Les conseils qui vous ont été donné, vont dans un seul sens : éloigner l'interface d'administration d'Internet voire de votre réseau local. C'est l'élément important !

    Vous allez être bien seul, et sans compétence, sur votre idée ...
    NB : le fork de pfSense fait, hélas, de même : l'interface précise la marque

    NB : un projet originalement opensource et free, y compris aux US, me semble plutôt à l'abri de la NSA.
    D'ailleurs, si beaucoup se sont félicité du refus d'Apple de permettre un accès à un iPhone, très peu ont manifesté que le FBI y soit arrivé, sans l'aide d'Apple, mais avec une société externe et non américaine : la situation est bien pire : tous les iphone du même niveau sont maintenant accessibles !



  • Merci pour votre réponse mais elle ne répond pas à ma demande initiale.

    Soyez gentil de bien vouloir éviter de tenter de me décourager dans ma recherche svp, quand j'ai une idée en tête je ne la lâche pas.
    "Vous allez être bien seul, et sans compétence, sur votre idée …"

    Je trouverai comment faire, soyez-en certain, cela prendra le temps qu'il faut.

    Quelqu'un d'autre sait comment modifier cette page d'accueil ?

    Merci !



  • Sur le principe, vu de très loin, ton idée initiale n'est pas complètement stupide.
    Il est assez courant d'anonymiser les supports des services exposés sur internet. C'est souvent le cas des MTA, dans une moindre mesure des serveurs web etc…

    Cela a t-il du sens pour un service tel que l'interface web de pfSense ?
    Probablement pas car ce n'est pas une interface supposée être exposée à des environnement hostiles.

    Le leurre qui consisterait à faire un revamping pour que ça ressemble, par exemple, à du CheckPoint ne résiste pas 5 minutes à quiconque à une intention agressive.
    Le point d'attaque n'est pas que ce soit pfSense ou CheckPoint ou F5 Networks mais que le serveur qui supporte l'interface soit Apache, Nginx, Lighttpd etc... ou que l'OS soit Debian, FreeBSD etc...  ou que ce soit du PHP et pour cacher ça, il faut bien plus que du revamping de la page d'accueil.

    nmap est très bavard, la lecture du code source des pages web également.

    Bref, c'est probablement une parte de temps car pour obtenir un masquage un minimum efficace, le travail est considérable, surtout si tu ne connais pas PHP. (lequel, au passage,va disparaître dans les versions futures).



  • Merci.  Quelqu'un sait comment modifier cette page d'accueil ?



  • @dplat:

    Comment la modifier pour n'avoir QUE le strict minimum sans aucune indication, à savoir :

    login :
    password :

    En me basant sur la demande initiale, et sur le contenu du fil, j'en déduis que ce qui est recherché ici c'est la modification de la partie html/css.

    Je n'ai pas étudié en profondeur la partie web de pfsense, mais depuis longtemps maintenant les webmasters utilisent des templates html pour s'éviter la répétition de ligne de codes, et il est à parier qu'il en est de même ici. Avec la version 2.3 et l'introduction du bootstrap de twitter c'est même une certitude.

    En somme, il suffit en fait de faire un template perso, qui impactera l'ensemble du webgui mais qui répondra au besoin initial. Alors ce n'est pas en soit quelque chose d'irréalisable, mais c'est souvent long et fastidieux. Vu le travail à réaliser comparé à l'enjeu, je doute fortement qu'il existe quelqu'un pour se lancer dans un tel projet, et la démarche elle-même ne me semble vraiment pas du tout la bonne.

    A la limite, le plus simple et le plus rapide serait de commencer par supprimer le(s) fichier(s) .css utilisé(s), et encore une fois n'ayant pas regardé en détail la partie web de pfsense (et perso je n'en ai aucune envie particulière) ce n'est même pas sûr que cela suffise à anonymiser l'interface web.

    Bref, même si ccnet et jdh ne répondent effectivement pas à la question initiale, ils ont en revanche la bonne méthodologie de travail, à savoir repenser la méthode de sécurisation de l'interface web. Et une fois n'est pas coutûme je suis aussi d'accord avec chris, un revamping du site est long, fastidieux, et la majeure partie du temps inutile.



  • Vous allez être bien seul, et sans compétence, sur votre idée …

    Ce n'est évidemment qu'un constat, froid et objectif. Et vous ne pourrez pas dire que personne ne vous aura informé de l'inutilité de la démarche.

    Un attaquant, avant même de s'attaquer à la page index, connait déjà l'os (bsd), le serveur web (apache), la distribution firewall, et sans doute la version de celle-ci (version de l'os, du serveur web -> version de pfsense).
    Normalement, il aura déjà sous la main, l'iso de la même version et en connaitra les défauts.

    A minima, il faut comprendre que l'administration web de pfSense (et de tout matériel) s'appuie sur :

    • un serveur web, et donc un emplacement racine (vous l'avez) et la page initiale (index.php)
    • un moteur de 'dynamisme' web : dans le cas de pfSense, c'est php : le code php génère de l'html !

    Il faut donc être compétent en mise en place de serveur web, en php, en html/css, en javascript, (en jquery).

    Attention à bien considérer qu'il ne suffit pas de supprimer le logo, ou de modifier juste l'allure de la page principale !

    Comme souligné par ccnet 'la lecture de index.php vous serait probablement utile', j'ajoute que, juste pour commencer, vous pouvez en avoir le résultat avec 'code source de la page' : vous verrez que javascript y est très présent ...
    Il est probable que la simple modification avec suppression de tout javascript est inutile car une partie du code est nécessaire à la sécurité de la page ...



  • Merci, bon je vais aller voir sur les forums ou dans les newsgroups Usenet américains de programmeurs puisque personne ne semble être suffisamment compétent pour modifier ces PHP sur ce forum



  • @dplat:

    Merci, bon je vais aller voir sur les forums ou dans les newsgroups Usenet américains de programmeurs puisque personne ne semble être suffisamment compétent pour modifier ces PHP sur ce forum

    C'est effectivement une bonne idée.
    Ce qui serait bien, c'est qu'ensuite tu reviennes ici pour faire un retour d'expérience  ;)

    Tu peux également poser la question dans la section anglaise de ce forum mais j'ai bien peur que la réponse ne diffère pas vraiment.



  • personne ne semble être suffisamment compétent

    Ah non, alors là, pas d'accord !! Vous êtes très loin d'avoir le niveau pour porter ce type de jugement !

    Personne, ici et probablement sur le forum anglais aussi, ne juge cela utile, ce n'est absolument pas pareil !

    Terminé pour moi !


Log in to reply