Recherche de site Web

Installation et configuration du routeur pare-feu pfSense 2.4.4

Internet est un endroit effrayant de nos jours. Presque quotidiennement, un nouveau jour zéro, une faille de sécurité ou un ransomware se produit, laissant de nombreuses personnes se demander s'il est possible de sécuriser leurs systèmes.

De nombreuses organisations dépensent des centaines de milliers, voire des millions de dollars pour essayer d'installer les solutions de sécurité les plus récentes et les plus performantes afin de protéger leur infrastructure et leurs données. Les utilisateurs à domicile sont cependant désavantagés financièrement. Investir ne serait-ce qu'une centaine d'euros dans un pare-feu dédié dépasse souvent la portée de la plupart des réseaux domestiques.

Heureusement, il existe des projets dédiés dans la communauté open source qui font de grands progrès dans le domaine des solutions de sécurité pour les utilisateurs domestiques. Des projets comme IPfire, Snort, Squid et pfSense offrent tous une sécurité de niveau entreprise au prix des produits de base !

PfSense est une solution de pare-feu open source basée sur FreeBSD. La distribution est gratuite à installer sur son propre équipement ou la société derrière pfSense, NetGate, vend des appliances de pare-feu préconfigurées.

Le matériel requis pour pfSense est très minime et, généralement, une ancienne tour domestique peut facilement être transformée en un pare-feu pfSense dédié. Pour ceux qui cherchent à construire ou à acheter un système plus performant pour exécuter davantage de fonctionnalités avancées de pfSense, voici quelques suggestions de matériel minimum :

Configuration matérielle minimale

  • Processeur 500 MHz
  • 1 Go de RAM
  • 4 Go de stockage
  • 2 cartes d'interface réseau

Matériel suggéré

  • Processeur 1 GHz
  • 1 Go de RAM
  • 4 Go de stockage
  • 2 cartes d'interface réseau PCI-e ou plus.

Suggestions matérielles sérieuses pour les utilisateurs domestiques (et les entreprises)

Dans le cas où un utilisateur domestique souhaite activer de nombreuses fonctionnalités et fonctions supplémentaires de pfSense telles que Snort, l'analyse Anti-Virus, la liste noire DNS, le filtrage de contenu Web, etc., le matériel recommandé devient un peu plus impliqué.

Pour prendre en charge les packages logiciels supplémentaires sur le pare-feu pfSense, il est recommandé de fournir le matériel suivant à pfSense :

  • Processeur multicœur moderne exécutant au moins 2,0 GHz
  • 4 Go+ de RAM
  • 10 Go+ d'espace HD
  • 2 cartes d'interface réseau Intel PCI-e ou plus

Installation de pfSense 2.4.4

Dans cette section, nous verrons l'installation de pfSense 2.4.4 (dernière version au moment de la rédaction de cet article).

La configuration du laboratoire

pfSense est souvent frustrant pour les utilisateurs novices en matière de pare-feu. Le comportement par défaut de nombreux pare-feu consiste à tout bloquer, bon ou mauvais. C'est formidable du point de vue de la sécurité, mais pas du point de vue de la convivialité. Avant de commencer l'installation, il est important de conceptualiser l'objectif final avant de commencer les configurations.

Téléchargement de pfSense

Quel que soit le matériel choisi, l'installation de pfSense sur le matériel est un processus simple mais nécessite que l'utilisateur porte une attention particulière aux ports d'interface réseau qui seront utilisés dans quel but (LAN, WAN, sans fil, etc.).

Une partie du processus d'installation consistera à inviter l'utilisateur à commencer à configurer les interfaces LAN et WAN. L'auteur suggère de brancher uniquement l'interface WAN jusqu'à ce que pfSense ait été configuré, puis de terminer l'installation en branchant l'interface LAN.

La première étape consiste à obtenir le logiciel pfSense sur https://www.pfsense.org/download/. Plusieurs options sont disponibles en fonction de l'appareil et de la méthode d'installation, mais ce guide utilisera le « Programme d'installation du CD (ISO) AMD64 ».

À l’aide du menu déroulant sur le lien fourni précédemment, sélectionnez un miroir approprié pour télécharger le fichier.

Une fois le programme d'installation téléchargé, il peut être gravé sur un CD ou copié sur une clé USB avec l'outil « dd » inclus dans la plupart des distributions Linux.

Le processus suivant consiste à écrire l'ISO sur une clé USB pour démarrer le programme d'installation. Pour ce faire, utilisez l'outil « dd » sous Linux. Tout d’abord, le nom du disque doit être localisé avec « lsblk ».


lsblk

Avec le nom de la clé USB déterminé comme « /dev/sdc », l'ISO pfSense peut être écrite sur la clé avec l'outil « dd ».


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Important : La commande ci-dessus nécessite les privilèges root, utilisez donc « sudo » ou connectez-vous en tant qu'utilisateur root pour exécuter la commande. De plus, cette commande Supprimera TOUT sur la clé USB. Assurez-vous de sauvegarder les données nécessaires.

Installation de pfSense

Une fois que « dd » a fini d’écrire sur la clé USB ou que le CD a été gravé, placez le support dans l’ordinateur qui sera configuré comme pare-feu pfSense. Démarrez cet ordinateur sur ce support et l'écran suivant sera présenté.

Sur cet écran, laissez le temps s'écouler ou sélectionnez 1 pour procéder au démarrage dans l'environnement du programme d'installation. Une fois le démarrage du programme d'installation terminé, le système vous demandera toutes les modifications souhaitées dans la disposition du clavier. Si tout s'affiche dans une langue maternelle, cliquez simplement sur « Accepter ces paramètres ».

L'écran suivant offrira à l'utilisateur l'option d'une « Installation rapide/facile » ou d'options d'installation plus avancées. Pour les besoins de ce guide, il est suggéré d'utiliser simplement l'option « Installation rapide/facile ».

L'écran suivant confirmera simplement que l'utilisateur souhaite utiliser la méthode « Installation rapide/facile » qui ne posera pas autant de questions lors de l'installation.

La première question susceptible d’être posée concernera le noyau à installer. Encore une fois, il est suggéré que le « Standard Kernel » soit installé pour la plupart des utilisateurs.

Lorsque le programme d'installation aura terminé cette étape, il vous demandera de redémarrer. Assurez-vous également de retirer le support d'installation afin que la machine ne redémarre pas dans le programme d'installation.

Configuration de pfSense

Après le redémarrage et le retrait du support CD/USB, pfSense redémarrera dans le système d'exploitation nouvellement installé. Par défaut, pfSense choisira une interface à configurer comme interface WAN avec DHCP et laissera l'interface LAN non configurée.

Bien que pfSense dispose d'un système de configuration graphique basé sur le Web, il ne fonctionne que du côté LAN du pare-feu, mais pour le moment, le côté LAN ne sera pas configuré. La première chose à faire serait de définir une adresse IP sur l'interface LAN.

Pour le faire, suivez ces étapes:

  • Tapez 'n' et appuyez sur la touche 'Entrée' lorsque vous êtes interrogé sur les VLAN.
  • Tapez le nom de l'interface enregistré à la première étape lorsque vous êtes invité à indiquer l'interface WAN ou passez à l'interface appropriée maintenant. Encore une fois dans cet exemple, « em0 » est l'interface WAN car ce sera l'interface face à Internet.
  • L'invite suivante vous demandera l'interface LAN, tapez à nouveau le nom de l'interface approprié et appuyez sur la touche 'Entrée'. Dans cette installation, 'em1' est l'interface LAN.
  • pfSense continuera à demander plus d'interfaces si elles sont disponibles, mais si toutes les interfaces ont été attribuées, appuyez simplement à nouveau sur la touche 'Entrée'.
  • pfSense vous demandera maintenant de s'assurer que les interfaces sont correctement attribuées.

  • Si les interfaces sont correctes, tapez 'y' et appuyez sur la touche 'Entrée'.


    • La prochaine étape consistera à attribuer aux interfaces la configuration IP appropriée. Une fois que pfSense est revenu à l'écran principal, tapez '2' et appuyez sur la touche 'Entrée'. (Assurez-vous de garder une trace des noms d'interface attribués aux interfaces WAN et LAN).

    *NOTE* Pour cette installation, l'interface WAN peut utiliser DHCP sans aucun problème, mais il peut y avoir des cas où une adresse statique serait requise. Le processus de configuration d'une interface statique sur le WAN serait le même que celui de l'interface LAN qui est sur le point d'être configurée.

    Tapez à nouveau '2' lorsque vous êtes invité à indiquer quelle interface définir les informations IP. Encore une fois, 2 est l'interface LAN dans cette procédure pas à pas.

    Lorsque vous y êtes invité, saisissez l'adresse IPv4 souhaitée pour cette interface et appuyez sur la touche 'Entrée'. Cette adresse ne doit être utilisée nulle part ailleurs sur le réseau et deviendra probablement la passerelle par défaut pour les hôtes qui seront connectés à cette interface.

    L'invite suivante demandera le masque de sous-réseau dans ce que l'on appelle le format de masque de préfixe. Pour cet exemple de réseau, un simple /24 ou 255.255.255.0 sera utilisé. Appuyez sur la touche « Entrée » lorsque vous avez terminé.

    La question suivante portera sur une « Passerelle IPv4 en amont ». Puisque l'interface LAN est actuellement configurée, appuyez simplement sur la touche « Entrée ».

    L'invite suivante vous demandera de configurer IPv6 sur l'interface LAN. Ce guide utilise simplement IPv4, mais si l'environnement nécessite IPv6, il peut être configuré maintenant. Sinon, appuyez simplement sur la touche « Entrée » pour continuer.

    La question suivante portera sur le démarrage du serveur DHCP sur l'interface LAN. La plupart des utilisateurs à domicile devront activer cette fonctionnalité. Encore une fois, cela devra peut-être être ajusté en fonction de l'environnement.

    Ce guide suppose que l'utilisateur souhaite que le pare-feu fournisse des services DHCP et alloue 51 adresses à d'autres ordinateurs pour obtenir une adresse IP du périphérique pfSense.

    La question suivante demandera de rétablir le protocole HTTP de l’outil Web de pfSense. Il est fortement encouragé à NE PAS le faire car le protocole HTTPS fournira un certain niveau de sécurité pour empêcher la divulgation du mot de passe administrateur de l'outil de configuration Web.

    Une fois que l'utilisateur appuie sur « Entrée », pfSense enregistrera les modifications de l'interface et démarrera les services DHCP sur l'interface LAN.

    Notez que pfSense fournira l'adresse Web pour accéder à l'outil de configuration Web via un ordinateur branché du côté LAN du périphérique pare-feu. Ceci conclut les étapes de configuration de base pour préparer le périphérique pare-feu à davantage de configurations et de règles.

    L'interface Web est accessible via un navigateur Web en accédant à l'adresse IP de l'interface LAN.

    Les informations par défaut pour pfSense au moment d'écrire ces lignes sont les suivantes :

    
Username: admin
Password: pfsense

    Après une première connexion réussie via l'interface Web, pfSense exécutera une configuration initiale pour réinitialiser le mot de passe administrateur.

    La première invite concerne une inscription à l'abonnement pfSense Gold qui présente des avantages tels que la sauvegarde automatique de la configuration, l'accès aux supports de formation pfSense et des réunions virtuelles périodiques avec les développeurs pfSense. L’achat d’un abonnement Gold n’est pas obligatoire et l’étape peut être ignorée si vous le souhaitez.

    L'étape suivante demandera à l'utilisateur plus d'informations de configuration pour le pare-feu, telles que le nom d'hôte, le nom de domaine (le cas échéant) et les serveurs DNS.

    L'invite suivante sera de configurer le Network Time Protocol, NTP. Les options par défaut peuvent être laissées à moins que des serveurs de temps différents ne soient souhaités.

    Après avoir configuré NTP, l'assistant d'installation de pfSense invitera l'utilisateur à configurer l'interface WAN. pfSense prend en charge plusieurs méthodes de configuration de l'interface WAN.

    La valeur par défaut pour la plupart des utilisateurs à domicile consiste à utiliser DHCP. Le DHCP du fournisseur de services Internet de l’utilisateur est la méthode la plus courante pour obtenir la configuration IP nécessaire.

    L'étape suivante vous demandera de configurer l'interface LAN. Si l'utilisateur est connecté à l'interface Web, l'interface LAN a probablement déjà été configurée.

    Cependant, si l'interface LAN doit être modifiée, cette étape permettrait d'effectuer des modifications. Assurez-vous de vous rappeler quelle est l'adresse IP du réseau local, car c'est ainsi que
    L'administrateur accédera à l'interface Web !

    Comme pour tout ce qui concerne le monde de la sécurité, les mots de passe par défaut représentent un risque de sécurité extrême. La page suivante invitera l'administrateur à modifier le mot de passe par défaut de l'utilisateur « admin » vers l'interface Web de pfSense.

    La dernière étape consiste à redémarrer pfSense avec les nouvelles configurations. Cliquez simplement sur le bouton « Recharger ».

    Après le rechargement de pfSense, il présentera à l'utilisateur un dernier écran avant de se connecter à l'interface Web complète. Cliquez simplement sur le deuxième « Cliquez ici » pour vous connecter à l'interface Web complète.

    Enfin, pfSense est opérationnel et prêt à configurer les règles !

    Maintenant que pfSense est opérationnel, l'administrateur devra définir et créer des règles pour autoriser le trafic approprié à travers le pare-feu. Il convient de noter que pfSense a une règle d’autorisation totale par défaut. Pour des raisons de sécurité, cela devrait être modifié, mais c'est encore une fois la décision de l'administrateur.

    Lire aussi : Installer et configurer pfBlockerNg pour la liste noire DNS dans le pare-feu pfSense

    Merci d'avoir lu cet article TecMint sur l'installation de pfSense ! Restez à l'écoute des prochains articles sur la configuration de certaines des options les plus avancées disponibles dans pfSense.