Solution de sécurisation de son réseau privé à domicile (Ordinateurs/Box Internet)
À l’instar de toutes les nouvelles mesures de protection et de sécurisation déployées par les éditeurs de logiciels antivirus sur le marché, l’utilisateur (particulier) public se trouve confronté aujourd’hui à un volume de menaces virales en constante augmentation sur son réseau privé et ses équipements informatiques. Conscient de l’atteinte frauduleuse et malveillante des données personnelles de l’utilisateur, un consensus international réunissant les autorités compétentes tente en vain de protéger la sphère privée de l’utilisateur de firmes numériques reconnues voire malveillantes. Un nouvel ordre digital initié par le biais d’une mécanique sociétale numérisée, communément appelée « Big Data », permet aujourd’hui d’actionner des mécanismes de collecte d’information personnelle totalement transparents à l’insu de l’utilisateur (public) connecté sur son réseau privé et à internet.
Le grand public doit prendre conscience que son éventuel manque de diligence, en matière de sécurisation de son réseau privé (Ordinateurs/Bon Internet) et de protection de ses données personnelles, le rend potentiellement responsable des tentatives de piratage de son environnement matériel et logiciel chez lui au regard de la justice. C’est pour cette raison que j’ai décidé de vous présenter synthétiquement une solution, plus précisément un principe de base, qui vous permettra de sécuriser et protéger votre réseau privé (Box Internet) et vos équipements informatiques.
La plupart des gens pensent qu’un fournisseur d’accès internet (FAI) chez qui l’on s’abonne fournit une sécurité et une protection efficace de son réseau privé, de toute évidence ce n’est pas le cas.
Beaucoup d’utilisateurs (particuliers) croient, à juste titre, qu’un logiciel antivirus protège à 100% un ordinateur connecté à internet, il est évident que non pour de multiples raisons.
Le schéma présenté en tête de cet article a pour but de vous présenter le principe de base d’une solution de sécurisation et de protection d’un réseau privé et des appareils informatiques connectés.
Évoquons dans un premier temps l’aspect utilisateur. Tout le monde comprend qu’une ISOLATION TOTALE de l’ordinateur utilisateur d’internet est une mesure de sécurité et de protection optimale. Si l’ordinateur personnel est coupé complètement d’internet, normalement il n’existe plus aucun risque, hormis celui de l’erreur humaine (mauvaise manipulation d’une clé USB infectée, ouverture d’un fichier inconnu infecté etc.)
La question que l’on peut se poser maintenant concerne le réseau Wi-Fi fourni par la Box Internet (FAI). Idéalement, la meilleure façon de sécuriser le réseau Wi-Fi à domicile est de le désactiver (éteindre) définitivement, afin d’éviter toute tentative d’intrusion par un « étranger » ou une personne malveillante désirant exploiter le réseau privé de l’utilisateur lambda. Évidemment, cela imposera des contraintes inévitables à l’utilisateur. Partons donc du principe d’un utilisateur qui choisit de laisser actif son réseau Wi-Fi (Box Internet) visible par tout le monde mais accessible uniquement à l’aide d’une clé de sécurité Wi-Fi. J’ai volontairement choisi de faire abstraction dans cet article du volet réseau Wi-Fi qui sera détaillé dans un prochain article. Rassurons-nous, malgré le réseau Wi-Fi activé cette solution de sécurisation et de protection fera très bien son travail ! Prenons le pire des cas, celui d’une personne malveillante qui parvient à casser la clé de sécurité Wi-Fi de votre Box Internet. Imaginez votre Box Internet équipé d’un « plateau tournant » à l’image d’un « plateau à fromage » posé sur une table ronde au milieu de vos invités. Par analogie, les « invités » correspondraient à tous les équipements informatiques (ordinateurs, imprimantes etc.). Le souci ici c’est qu’un « invité intrus » (pirate) à accédé à votre « plateau à formage » à votre insu, puisque l’intrus à réussi à récupérer un double de votre clé d’appartement (clé de sécurité Wi-Fi). Pour corser le tout, cet intrus est invisible !
A quelle solution très simple pensez-vous pour protéger la table et le « plateau à fromage » des invités intrus ? Pourquoi ne pas déplacer la table, les chaises et le plateau à fromage dans un autre endroit fermé et plus sécurisé où seuls vos invités (vos équipements connectés autorisés) auront accès ! Et bien c’est notamment le rôle d’un pare-feu logiciel, en l’occurrence celui figurant sur le schéma en tête de l’article, nommé « PFSENSE ». Seulement voilà, l’invité intrus est malin puisqu’il va tenter de se faire passer pour un vrai invité pour accéder à la nouvelle pièce sécurisée où se trouve la table, les chaises et le plateau à formage. Manque de pot pour lui, toutes ses tentatives de pénétrations transiteront par l’ancien « plateau à formage » toujours en place dans la Box Internet ! L’invité intrus verra donc tous les invités autorisés (équipements), sauf qu’il ne sait pas qu’ils sont en réalité dans une autre pièce fermée et sécurisée en train de savourer le « plateau à formage » sans lui !
Oui mais ! Si l’invité intrus a réussi à casser la clé de sécurité du réseau Wi-Fi, comment faire pour l’empêcher de « casser » de nouveau l’accès à la porte d’entrée de la nouvelle pièce sécurisée ? C’est ici que tout devient clair et limpide comme l’eau de roche, car chaque invité autorisé possède sa propre et unique carte d’identité « soudée » à un siège invité précis (chaise) que seul le pare feu logiciel connaît puisqu’il fait offre de « maître d’hôtel ». Ce dernier est le seul à connaître le plan de table, les invités autorisés et le nombre de chaises nécessaires et authentifiées. Par analogie, en langage informatique la « carte d’identité » est appelée « Adresse MAC » (MAC Address en anglais), le « siège invité autorisé » est intitulé « Adresse IP » (IP Address) et le « plan de table » est nommé « Table ARP » (ARP Table). Au final le « plateau à formage » est accessible uniquement aux invités identifiés et autorisés à s’asseoir à table sur une chaise authentifiée !
Continuons avec notre « plateau à formage » tournant au milieu de la table des invités. J’ai dit « tournant », à quoi ce mot vous fait-il penser ? Vous l’avez peut-être deviné, c’est le rôle notamment du routeur logiciel « PFSENSE » affiché sur le schéma en tête de l’article. C’est en quelque sorte lui qui va « distribuer » et « router », en fonction de la demande des invités (clients, équipements etc.), les données sous forme de paquets grâce au protocole de communication très connu appelé « TCP/IP ». Ce dernier représente de façon générale l’ensemble des règles de communication sur internet pour permettre l’acheminement des données sur l’ensemble du réseau.
Brièvement je vais expliquer synthétiquement la signification de deux termes techniques qui seront évoqués plus loin: « WAN » (Wide Area Network) et « LAN » (Local Area Network). Pour faire simple le « WAN« est tout le réseau situé hors du domicile c’est-à-dire l’ensemble des équipements (routeurs, commutateurs, serveurs informatiques, firewall ect.) administrés par le fournisseur d’accès internet (FAI). Il est donc localisé après la Box Internet côté extérieur du réseau privé de l’utilisateur. Le « LAN » concerne uniquement le réseau privé de l’utilisateur à son domicile, c’est-à-dire tous les équipements informatiques connectés sur la Box Internet chez lui. Rassurez-vous ces termes techniques ont peu d’importance pour la compréhension de cet article mais sont utiles pour savoir de quoi nous parlons.
Abordons la partie « ordinateurs virtuels ». Pour simplifier ce volet-là, je vous invite à suivre mon article dédié à l’initiation à la virtualisation ici. Vous l’aurez compris, vous aurez besoin d’apprendre à installer une solution de virtualisation. Le mot peut faire peur à certains, je l’admets, mais vous verrez que c’est relativement simple à assimiler et à mettre en place. Je vous conseille de prendre le temps de lire ce tutoriel intitulé: « VMWARE WORKSTATION PRO: Initiation à la virtualisation » avant d’aller plus loin. Pour ceux et celles qui ont déjà installé « VMWARE WORKSTATION PRO », poursuivons !
Afin de faire le lien avec le contenu de cet article, il m’a semblé nécessaire d’exposer le réseau privé que j’ai utilisé pour rédiger cet article. Le choix d’opérateur FAI est totalement transparent, étant donné que les principes techniques abordés ici seront les mêmes.
Note importante: Il est à noter que tout ce qui concerne le routeur/firewall PFSENSE n’est pas nécessaire pour atteindre l’objectif de cet article. Les lectrices et les lecteurs souhaitant seulement sécuriser et ISOLER TOTALEMENT leur machine physique d’internet et de leur réseau privé, pour ensuite naviguer en toute sécurité sur le Net, pourront simplement se concentrer sur la partie ‘I’ et ‘X’ de cet article. Le volet PFSENSE sera développer plus en détail dans un prochain article dédié. J’ai souhaité ici vous faire découvrir et vous familiariser à cet outil très performant nommé « routeur/firewall PFSENSE ».
I. Inventaire des équipements connectés et autorisés sur un réseau privé (FAI Orange) pour cette installation:
-
- 3 ordinateurs physiques nommés: « Arthur-PC », « Ferdine-Z11 », « LeBlogDuHacker »
-
- 2 machines virtuelles nommées: « DESKTOP-I31U5H4 », « ADMIN »
-
- 1 Décodeur TV nommé: « PC_MLTV_IHD92 »
-
- 1 Plug TV Wi-Fi nommé: « inconnu«
-
- 1 Interface WAN Routeur/firewall PFSENSE nommée: « BlogduHacker-FirewallRouter »
- 1 appareil Smartphone Android nommé: « android-9ad7a58606bbaaa6«
La console d’administration de la Box Internet est accessible simplement en connectant un câble réseau standard (RJ45) à un ordinateur branché derrière la Box Internet. Il suffit ensuite d’ouvrir un navigateur internet et de taper dans la barre d’adresse la passerelle par défaut du réseau privé qui est généralement 192.168.1.1 ou 192.168.0.1 (votre Livebox) L’identifiant par défaut est ‘admin‘ et le mot de passe ‘admin‘ EDIT: « Le mot de passe d’administrateur pour livebox Orange n’est plus Admin, mais les 8 premiers caractères de la clé Wifi », merci à Christelle Beck.
Petit complément d’information au sujet du mot de passe d’administration de la Livebox:
Le mot de passe d’administration de la Livebox devient par défaut les 8 premiers caractères de la clé de sécurité Wi-Fi inscrite sur une étiquette blanche visible dessous la Livebox. Concernant les clients Orange (Livebox) qui ont déjà modifié le mot de passe d’administration de leur Livebox, avant cette mise à jour de sécurité (Livebox), les 8 premiers caractères de la clé de sécurité Wi-Fi deviennent automatiquement par défaut le mot de passe de réinitialisation de l’administration Livebox (dans le cas d’un oubli ou d’une modification accidentelle du mot de passe). Pour les utilisateurs clients d’un autre FAI, veuillez consulter la documentation technique de votre Box Internet ou bien contacter votre opérateur.
CHANGEZ TOUT DE SUITE LE MOT DE PASSE POUR PLUS DE SÉCURITÉ !
II. Information sur l’Administration du Routeur/Firewall PFSENSE
L’interface LAN du routeur/firewall PFSENSE ici a été configurée sur l’adresse IP 192.168.1.33, j’aurais pu choisir une autre adresse IP évidemment. Cette adresse IP LAN n’est pas visible et accessible à partir de la console d’administration de la Box Internet car elle est administrée en interne par le routeur/firewall PFSENSE. L’adresse IP LAN affectée à l’interface LAN du routeur/firewall PFSENSE est donc 192.168.1.33, elle fera office de nouvelle passerelle réseau du « Réseau Isolé » (LAN). En terme plus simple, lorsque nous devrons administrer le routeur/firewall logiciel PFSENSE via un navigateur internet (branché dans le LAN à domicile), il faudra taper dans la barre d’adresse http://192.168.1.33 qui est accessible UNIQUEMENT du réseau privé (domicile) mais pas du côté WAN à ce stade. Avant d’aborder l’installation du server routeur/firewall PFSENSE, voici un aperçu de la « Table ARP » Par analogie, souvenez-vous de la Table Invités, des chaises et du plateau à fromage, disons de façon imagée que la Table Invités ici c’est l’adresse IP LAN http://192.168.1.33 représentée par le routeur/firewall PFSENSE nommé » BlogduHacker-FirewallRouter.leblogduhacker.com « :
Note importante: Pensez à changer le mot de passe de la console d’administration de votre Box Internet.
III. Pour les plus curieux d’entre vous qui possèdent des connaissances techniques plus poussées:
Vous constaterez qu’aucun HOSTNAME (nom d’ordinateur) n’apparaît dans la table ARP ci-dessus. Rassurez-vous nous reviendrons sur cette « Table ARP » plus tard, c’est juste un aperçu que je vous propose pour bien comprendre la suite de cet article. Par habitude ancestrale, je désactive toujours le NetBios de mes machines, vu que je ne partage rien, hormis via des serveurs dédiés. Question de sécurité ! Oui mais ! Certains rétorqueront: « Diki, il existe un risque que ton interface LAN 192.168.1.33 soit sniffée ainsi que ton réseau privé! » Certes ! Allons-y, sniffons ! Il est à noter que j’ai utilisé « Advanced IP Scanner » pour scanner le réseau privé à partir de la machine physique ce qui explique l’affichage du HOSTNAME (nom de l’ordinateur) « LeBlogDuHacker » sur l’adresse IP 192.168.1.31. J’ai volontairement activé le NetBios des machines « Arthur-PC » et « Ferdine-Z11 » pour que vous puissiez voir la différence entre les NetBios ACTIVES et INACTIVES (l’intrus voit le nom de l’ordinateur avec le NetBios activé) A peu de chose près, c’est ce que détecterait un intrus ayant réussi à casser la clé de sécurité Wi-Fi de ce réseau privé, en l’occurrence les adresses IP internes et les adresses MAC associées.
Je rappelle que l’objectif de cette installation est d’ISOLER TOTALEMENT l’ordinateur utilisateur (machine physique) d’internet et du réseau privé ET de pouvoir utiliser une machine virtuelle (un ordinateur virtuel installé dans l’ordinateur physique de l’utilisateur).
Comme vous pouvez le constater sur l’invite de commandes ci-dessus à droite, la table ARP (commande: arp -a) de l’ordinateur physique (utilisateur) associe dynamiquement l’adresse IP à l’adresse MAC des machines qui échangent sur le réseau privé. Il existe une astuce très connue qui consiste à rendre statique le cache ARP de cette table ARP de façon à ce qu’aucun intrus ne puisse la modifier, et ainsi éviter qu’il capture les échanges de données entre les équipements informatiques situés dans le réseau privé et internet. Cette technique est relativement contraignante puisqu’elle contraint l’utilisateur (Administrateur) à appliquer cette action à chaque démarrage de tous les « ordinateurs/utilisateurs » connectés sur le réseau privé (purge du cache ARP, affectation statique IP/MAC), ET elle oblige à surveiller en permanence toute anomalie ou tentative d’intrusion dans le réseau privé (impossible à mettre en oeuvre dans un réseau d’entreprise)
IV. Prérequis d’installation du routeur/firewall PFSENSE. De quoi avons-nous besoin ?
- Une machine virtuelle « VMWARE WORKSTATION PRO » (512 Mo de mémoire vive, 20 Go d’espace disque dur) pour acceuillir le server « PFSENSE »: IP LAN 192.168.1.33 (ici)
- Une machine virtuelle « VMWARE WORKSTATION PRO » 2 Go de mémoire vive minimum connectée à internet via l’adresse IP LAN (192.168.1.33 ici) du routeur/firewall PFSENSE
- Un LiveCD PFSENSE (distribution FreeBSD) au format ISO ici
- Une interface réseau VMWARE « Bridged » dédiée à l’interface WAN du server PFSENSE (accès uniquement vers l’extérieur du réseau privé)
- Une interface réseau VMWARE « Bridged » dédiée à l’interface LAN du server PFSENSE (accès uniquement à l’intérieur du réseau privé)
V. Étapes d’installation du routeur/firewall PFSENSE (lancement du LiveCD iso):
L’installation du LiveCD PFSENSE s’effectue relativement vite sous « VMWARE WORKSTATION ».
- Vérifier que l’interface WAN a bien été détectée automatiquement. Normalement vous devriez voir sur la section affichant « WAN » une adresse IP DHCP attribuée dynamiquement par la Box Internet. Sur cette installation l’adresse IP WAN est 192.168.1.22 . L’adresse IP LAN apparaîtra vide car elle devra être configurée manuellement avec l’option ‘2’. Il se peut que votre installation ait attribuée une IP LAN automatiquement, ce n’est pas grave car vous pourrez la modifier à partir de ce menu ci-dessous.
- Comme vous pouvez le voir il est possible de « souder » statiquement l’adresse MAC de l’interface réseau WAN avec son IP (ici 192.168.1.22) à partir de la console d’administration de la Box Internet comme ceci:
- Sélectionner l’option ‘2’ pour configurer le LAN et lui affecter une adresse IP statique, ici l’adresse IP LAN est 192.168.139.55/24 je l’ai modifié par la suite par 192.168.1.33 comme prévu au début. Notez bien que si vous configurez une plage DHCP dédiée au LAN via l’option ‘2’, vous utiliserez le DHCP du serveur PFSENSE qui collera à la plage IP fournie par la Box Internet. Dans cette installation, dans l’option ‘2’, j’ai donc répondu « Non » (je n’ai pas activé le serveur DHCP de PFSENSE). Vous devrez valider le CIDR de l’adresse IP du LAN, ici ‘/24‘. L’installation vous demandera ensuite de revenir et d’activer l’accès HTTP WebGUI pour pouvoir administrer le serveur routeur/firewall PFSENSE répondez « oui » (y), ci-dessous j’ai répondu « non » (n) car j’avais auparavant configuré cette étape.
- Terminez la configuration avec l’option ‘99‘ pour installer sur le disque dur virtuel toute l’installation PFSENSE. Le processus d’installation sur le disque dur virtuel vous demandera de sélectionner un Kernel (standard ici), acceptez une configuration rapide, validez la configuration puis l’installateur vous demandera de redémarrer, STOP! NON ! Démontez avant le LiveCD du lecteur CDROM VMWARE puis modifiez l’ordre de démarrage du « Boot » (Bios) sur le disque dur virtuel et redémarrez votre server PFSENSE (Menu VMWARE: « Power On To Firmware »). Personnellement j’ai fait un « Shut Down » de la VM puis j’ai déconnecté le LiveCD PFSENSE pour ensuite modifier via le Bios de la VM (Power On to Firmware) la séquence de démarrage sur le disque dur virtuel (VMware Virtual Hard Drive)
Phase de redémarrage de la machine virtuelle dédiée au server routeur/firewall PFSENSE à partir du menu « Power On Firmware » sous « VMWARE »
Note importante: ci-dessus à travers le menu « Boot » du Bios de la machine virtuelle « Server_Routeur_Firewall-PFSENSE » apparaît les deux interfaces réseaux « WAN » et « LAN » (E1000, E1000#2). Lorsque vous supprimez une interface réseau VMWARE veillez à redémarrer la VM avant d’ajouter une nouvelle interface réseau, afin que le Bios de la VM puisse mettre à jour ces éléments réseau. Si vous supprimez une interface réseau et ajoutez dans la foulée une nouvelle interface réseau sous « VMWARE WORKSTATION », le Bios de la VM n’associera pas la nouvelle interface réseau créée !
- L’installation de PFSENSE est terminée ! Enfin presque ! Passons à la phase de configuration à travers la console WebGUI d’administration. Ouvrez un navigateur internet et tapez: http://ipLAN ci-dessous j’ai saisi l’adresse IP LAN vu précédemment: « http://192.168.139.55″. Le login par défaut est ‘admin’ et le mot de passe par défaut est ‘pfsense‘. Pour vous ce sera certainement une autre adresse IP LAN du style: 192.168.1.xy ou 192.168.0.xy… (‘xy’ doit-être remplacé par un chiffre ! humour)
- Le premier accès à la console WebGUI d’administration (via un navigateur internet) va vous demander de paramétrer quelques éléments génériques, c’est à vous de les renseigner. Vous pouvez laisser les champs DNS vides ou bien poster les DNS de Google 8.8.8.8 ou ceux de votre FAI si besoin. Pensez à modifier le mot de passe par défaut d’accès à la console d’administration WebGUI (IP LAN: http://192.168.x.y ici 192.168.139.55)
Courage ! Nous arrivons au bout, enfin je veux dire au bout de cette petite installation ! (humour)
VI. Configuration d’un port dédié à la connexion ‘HTTPS’, et non plus en HTTP:
- Nous allons maintenant configurer un port d’écoute dédié ici ‘5555‘ à la connexion HTTPS pour l’accès à l’Administration WebGUI (console Web Admin de PFSENSE), sécuriser à un seul processus d’accès WebGUI (administration PFSENSE HTTPS), désactiver la redirection de l’accès HTTPS du WebGUI, activer la sécurisation du Shell et activer la protection du mot de passe de la console menu (WebGUI HTTPS), sauvegardez en cliquant sur « Save« . Normalement vous allez être déconnecté de votre connexion au LAN (WebGUI) ici http://192.168.139.55 pour vous reconnectez en https://192.168.1.139.xy:port ici https://192.168.1.139.55:5555 (Souvenez-vous que je vais changé l’adresse IP LAN plus tard en 192.168.1.33 avec le port: 3333)
VII. Association des adresses IP/MAC « WAN » et « LAN » soudées aux interfaces réseau « VMWARE WORKSTATION »:
- Vous avez dû remarquer que je suis du genre « paranoïaque » (humour). Je vous propose maintenant de « souder » les adresses MAC des deux interfaces réseau LAN et WAN de VMWARE via la console WebGUI HTTPS de PFSENSE. Rendez-vous sur l’onglet « Interfaces » de la console et appliquez la configuration ci-dessous pour chaque interface réseau WAN et LAN. Normalement la première interface réseau VMWARE « bridged » (Network Adaptater) correspond au WAN (192.168.1.22 pour cette installation) et « Network Adaptater 2 » est le LAN (192.168.1.139.55 pour cette installation)
!!! Note importante !!! Sur l’interface LAN ne JAMAIS bloquer les réseaux privés sinon vous ne pourrez plus accéder à votre server PFSENSE via l’interface d’administration WebGUI (ici https://192.168.1.55) !
!!! NOTE IMPORTANTE !!! FAITES DÈS MAINTENANT UN SNAPSHOT SOUS « VMWARE WORKSTATION » DE VOTRE VM « PFSENSE »
VIII. La partie magique de cette installation, le Firewall PFSENSE !
Il est évident que je ne pourrais pas aborder la totalité des fonctionnalités du Firewall, car l’objectif de cet article reste basique. Je vais donc exposer tout d’abord un exemple générique de configuration des règles du Firewall PFSENSE pour le besoin d’un utilisateur lambda en rapport avec l’objectif de cet article. Voici le résultat pour commencer:
-
VIII.1. Principe de base de fonctionnement d’un Firewall:
Quel est l’un des principes de base de fonctionnement d’un Firewall ? Comment ça ! Vous ne savez pas ? Oubliez le pare-feu Windows ! (humour)
Il faut comprendre qu’un Firewall appliquera toutes les règles définies (exemple ci-dessus) dans un ordre préétabli et hiérarchisé en procédant notamment par la première règle configurée, puis la seconde, la troisième etc. jusqu’à la dernière règles du tableau. Ci-dessus la dernière règle BLOQUE TOUS LE TRAFIC DU LAN de l’interface Administration « WebGUI Admin » dans le cas ultime ou aucune règle du Firewall n’a été respectée. La troisième règle a été établi pour REJETER TOUTS LES AUTRES HOSTS (IP/MAC) POUR MANAGER LES PORTS.
C’est une mesure de sécurité LOGIQUE évidemment. Pourquoi ? Il existe plusieurs raisons, mais pour faire simple je vous ai donné un indice en début de cet article ! Je vous laisse réfléchir… Vous me donnerez votre réponse en commentaire… Ne vous inquiétez pas je vous donne la configuration des règles de blocage et de rejet plus bas! (humour)
La première règle ci-dessus est un classique du genre, c’est l’Anti-Louckout. C’est quoi ce truc !?! Restons zen… C’est une règle Firewall élémentaire qui se traduit familièrement par « éviter de se couper la main ». Comme vous pouvez le voir en l’éditant, elle a été générée automatiquement durant la configuration de l’interface d’administration WebGUI, afin de toujours autoriser l’adresse IP LAN qui est ici https://192.168.1.33:3333 Au tout début de l’article c’était 192.168.1.139.55:5555, je l’ai changé. Pourquoi ? Pour vous embêter ! (humour) Non en vérité j’avais deux serveurs PFSENSE qui se sont battus en duel fratricide et j’ai du régler le problème de façon arbitraire, c’est mon droit ! (humour)
La deuxième règle intitulée « AdministrationAccess » est un impératif que je recommande de suivre fortement ! Voici comment elle se décompose:
- Création d’un Alias « Network »
- Création d’un Alias « Ports »
- Création de la règle associée à l’Alias « Network » et « Ports »
-
VIII.2. Création des « Aliases » via le Firewall PFSENSE:
Pour vous donner une idée de l’intérêt de créer des Alias, il est beaucoup plus facile de gérer des « Aliases » lorsque l’on souhaite définir une grande quantité de règles spécifiques en fonction des besoin du réseau privé (IP/Ports) et des utilisateurs (clients), notamment pour le cas FaceBook ! Celui-là, je me le réserve pour un prochain article dédié (Wi-Fi, Server DHCP/NAT, VPN, Firewall… sous Server PFSENSE) ! Yes !!! Continuons…
Création des « Aliases« :
Configuration de l’Alias intitulé « AdministrationAccess » à partir du menu « Firewall/Aliases« :
Configuration de l’Alias intitulé « ManagementPorts » à partir du menu « Firewall/Aliases« :
-
VIII.3. Création des « Règles » (Rules) via le Firewall PFSENSE:
Création de la règle Firewall intitulée « Autorise l’Admin HOST à manager les ports »:
Association des Aliases « AdministrationAccess » et « ManagementPorts » à la règle via le menu « Firewall/Rules« :
Création de la règle Firewall intitulée » !BLOQUE TOUT LE TRAFIC LAN ! « :
BLOCAGE DE TOUT LE TRAFIC
Création de la règle intitulée » BLOQUE LES AUTRES HOSTS ET PORTS A L’ADMIN ACCESS « :
BLOCAGE DE L’ACCÈS A L’ADMINISTRATION A TOUS LES AUTRES HOSTS ET PORTS :
Note importante: Étant donné que cette installation n’a pas besoin de se connecter de l’extérieur côté WAN vers le réseau privé LAN, nous laisserons la configuration des règles par défaut de l’interface WAN. L’objectif de cette installation est d’ISOLER TOTALEMENT L’ORDINATEUR UTILISATEUR (HOST) D’INTERNET, c’est pour cette raison que j’ai appliqué trois règles génériques intitulées « Autoriser Trafic HTTPS 443 », « Autoriser Trafic HTTP 80 » et « Autoriser Trafic SSH 22 » à l’ensemble du réseau privé constitué des machines virtuelles. Ces dernières évidemment pourront utiliser librement les ports 44,80 et 22. En revanche l’ordinateur utilisateur (machine physique HOST) sera TOTALEMENT ISOLÉ D’INTERNET ET DE LA COUCHE TCP/IPv4-v6 dans ses propriétés réseau.
!!! FAITES DES MAINTENANT UN SNAPSHOT SOUS « VMWARE WORKSTATION » DE VOTRE VM « PFSENSE » !!!
IX. Configuration des propriétés réseau TCP/IPv4 de la machine virtuelle pour accéder à internet via le Routeur/Firewall PFSENSE:
Nous partons du principe que vous avez déjà installé une machine virtuelle sous Windows 10 Pro ou autre OS Windows. Ici la machine virtuelle se nomme « DESKTOP-I31U5H4″ (voir chapitre I plus haut), « Windows10x64 WIRESHARK » est un nom que j’ai donné sous VMWARE. Nous allons donc devoir ouvrir les propriétés TCP/IP de la machine virtuelle qui servira réellement à l’utilisateur (navigation internet, téléchargement etc.). Pour ce faire taper simultanément les touches du clavier « WINDOWS + R » et saisissez ‘ncpa.cpl‘ puis validez pas la touche « Entrée« , voici ce que vous devriez voir une fois que vous aurez fait un clic droit souris sur la carte réseau Ethernet (ici Ethernet0). Dans les propriétés TCP/IPv4 ci-dessous nous avons configuré en DHCP l’adressage IP de la machine virtuelle. Pour plus de stabilité du réseau privé, nous avions auparavant « soudé » l’adresse IP 192.168.1.35 de la machine virtuelle « DESKTOP-I31U5H4″ à l’adresse MAC de l’interface réseau LAN « VMWARE » via la Box Internet (voir chapitre I plus haut) ET sur le Routeur/Firewall PFSENSE (voir chapitre VII plus haut).
Observez que la passerelle par défaut n’est plus l’ancienne 192.168.1.1 mais celle de l’adresse IP LAN du routeur/firewall PFSENSE 192.168.1.33 !
En version courte pour ceux et celles qui n’auraient pas bien saisi mon paragraphe juste au-dessus: le but ici est d’avoir une Box Internet qui distribue en dynamique (DHCP) les adresses IP aux machines virtuelles via un « pont » (interface réseau ‘bridged’ VMWARE), sauf qu’ici elles auront TOUJOURS la même IP (statique) côté LAN (serveur PFSENSE), le tout sécurisé et stabilisé par un « soudage » des adresses IP/MAC des interfaces réseau VMWARE à partir de la console d’administration Web de la Box Internet ET de l’interface d’administration WEBGUI PFSENSE. Les machines virtuelles auront comme passerelle par défaut, ici, 192.168.1.33 (et non plus 192.168.1.1 ou 192.168.0.1)
Modification des propriétés TCP/IPv4 de la carte réseau de la machine virtuelle nommée « DESKTOP-I31U5H4″ (« Windows10x64 WIRESHARK« )
Note importante: Si vous avez installé un Client VPN sur votre machine virtuelle, il se peut que vos paramètres réseau appliquent à votre navigateur internet un script de configuration automatique du style « http://127.0.0.1:8446/sos.pac » (VPN) spécifique qu’il vous faudra désactiver pour que cette configuration TCP/IPv4 soit effective. Nous verrons dans un prochain article dédié le VPN sous PFSENSE et d’autres fonctionnalités.
X. Isolation TOTALE de l’ordinateur utilisateur (HOST) d’internet et du réseau privé:
Question pour un Champion ! Comment allons-nous procéder pour ISOLER TOTALEMENT l’ordinateur utilisateur (machine physique) d’internet et du réseau privé sans altérer le fonctionnement normal du serveur routeur/firewall PFSENSE ? Je suis persuadé que beaucoup se sont posé cette question en tout début de lecture de l’article ! Les premiers ont certainement pensé à débrancher le câble réseau RJ45 de l’ordinateur ? Non ! Voici comment nous allons faire, c’est très simple avec « VMWARE WORKSTATION PRO », nous allons tout simplement désactiver les propriétés TCP/IP v4 et v6 de la carte réseau Ethernet (physique) de l’ordinateur utilisateur (HOST), oui ! oui !:
Désactivation des propriétés TCP/IPv4-v6 de la carte réseau physique Ethernet de l’ordinateur utilisateur
Lorsque l’Administrateur de l’ordinateur utilisateur (HOST) devra accéder à l’administration de l’interface Web (ici HTTPS://192.168.1.33:3333), il lui suffira simplement de réactiver les propriétés TCP/IPv4 (voire v6 si besoin) de la carte réseau Ethernet (carte réseau physique). Il en va de même dans le cas de mises à jour à vérifier ou à réaliser (Windows, Applications…).
XI. Paramétrage de la « Blacklist » via le Firewall PFSENSE:
Terminons notamment par un incontournable du Firewall, le paramétrage d’une « Blacklist » ! A quoi cela peut-il bien servir ? J’ai volontairement réduit ce volet à un seul exemple qui vous servira de base. J’ai posté 5 séquences imagées correspondant à la configuration pour simplifier la démarche. Bien évidemment, nous n’aborderons pas la totalité des fonctionnalités ici pour des raisons évidentes.
J’ai donc choisi de m’attaquer à la connexion ‘msnbot’ de Windows 10. C’est quoi ce truc bizarre ? Il en existe d’autres sur mon ordinateur ? Oh que oui ! (humour)
Pour faire simple, ceux et celles qui ont reçu automatiquement la petite icône Windows, en bas à droite de l’horloge les invitant à réserver leur mise à jour vers Windows 10, ont sans le vouloir autorisé Microsoft à collecter toute une panoplie d’information de leur ordinateur ! Si vous ne le saviez pas, je suis navré. Mais nous allons voir rapidement comment BLOQUER ce processus ‘msnbot‘ grâce au Firewall PFSENSE. Certains diront: « Diki, ça sert rien car on a déjà le Pare Feu Windows ou le Pare Feu d’un antivirus ! » Certes ! Sauf que votre pare feu Windows ou autre Firewall encapsulé dans des offres antivirus ne BLOQUENT PAS ce genre de processus ! Pourquoi ? Microsoft a imposé sa « loi planétaire » !
Voyons voir où se cache cette connexion ‘msnbot‘ ! Pour l’identifier nous allons lister les connexions actives à l’aide de la commande ‘netstat‘ en invite de commandes. Vous remarquerez son état « TIME_WAIT » qui veut dire que le délai d’attente de son port d’écoute est dépassé. Pourquoi ? C’est ce que nous allons découvrir puisque je vais vous expliquer comment BLOQUER cette connexion TCP où figure la chaîne de caractère ‘msnbot’ grâce au Firewall PFSENSE ! Dans un premier temps, vous allez devoir installer (télécharger) certains packages nécessaires à PFSENSE pour mettre en oeuvre ce FILTRAGE de type « Regular Expression ».
XI.1. Téléchargement et installation des packages (Squid, Squi3, SquidGuard) dans cet ordre:
-
- Squid
-
- Squid3
- SquidGuard
Téléchargement des packages « Squid » + « Squid3 » + « SquidGuard » via le menu « System/Packages » (se rendre dans l’onglet « Available Packages« )
XI.2. Configuration et téléchargement de la « Blacklist » (site reconnus malveillants ou dangereux) via le menu « Services / SquidGuardProxy / General Settings«
Il existe plusieurs sources de « Blacklist », en voici deux. Copier un lien « Blacklist » dans le champ « Blacklist URL » :
http://www.shallalist.de/Downloads/shallalist.tar.gz ou http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist et Sauvegarder
Valider le téléchargement et l’installation de la « Blacklist » avec le bouton « Download » (sites reconnus malveillants et potentiellement dangereux)
Création d’un filtre de type « Regular Expression » pour bloquer ‘msnbot’ via le menu « Services / SquidGuardProxy / Target Categories » et sauvegarder
Activer le blocage de ‘msnbot‘ via le menu « Services / SquidGuardProxy / Common ACL« et sauvegarder
XII. Complément d’information générique sur la configuration Proxy Server PFSENSE:
Sans rentrer dans le détail voici deux extraits de configuration générique via le menu « Services / Squid Proxy Server » pour que vous puissiez comparer avec votre paramétrage. Toutes les autres options ne sont pas nécessaires dans cette installation:
XIII. Mise à jour du Firmware Routeur/Firewall PFSENSE:
L’étape de mise à jour du Firmware « PFSENSE » est importante. Elle se réalise directement via la console du serveur PFSENSE avec l’option ‘13‘. Il se peut que vous ayez durant la mise à jour une erreur de fichier non trouvé, dans ce cas au terme de la mise à jour, réitérez une seconde fois la mise à jour du Firmware (option ‘13‘) . J’ai moi-même du refaire une seconde fois l’update du firmware PFSENSE durant cette installation.
XIV. Extinction du serveur Routeur/Firewall PFSENSE
Je termine par le plus important, l’extinction du serveur Routeur/Firewall PFSENSE. Oui ! Oui ! Ne faites JAMAIS un ‘Shut Down’ via VMWARE pour éteindre votre Routeur/Firewall PFSENSE car le résultat serait FATAL ! A partir de la console d’Administration WEBGUI (ici https://192.168.1.33:3333) allez sur l’onglet « Diagnostics » et cliquer sur « Halt System », ce qui aura pour effet une extinction effective et sécurisée de PFSENSE.
Arrêt en bon et du forme du serveur routeur/Firewall PFSENS: « HALT SYSTEM«
Conclusion:
Le résultat escompté est parfaitement atteint puisque l’ordinateur (HOST) utilisateur est totalement isolé d’internet. Ce qui bien évidemment se traduit par une protection et une sécurité optimale de toutes les données utilisateur ainsi que celle du système d’exploitation de la machine physique. Toute attaque de type « sniffer », « ARP Poisoning » ou autre technique d’intrusion (piratage informatique) de l’ordinateur utilisateur (HOST) sont vouées à l’échec ! Il réside malgré tout un risque, l’erreur humaine. Si besoin est, l’utilisateur (Administrateur machine HOST) pourra utiliser une machine virtuelle dédiée à la navigation sur le Net ou encore une autre machine virtuelle pour travailler sur des applications (Suite Office, Utilitaires, logiciels professionnels etc.).
Ci-dessous une analyse de la table ARP avec la commande ‘arp –a’ (invite de commandes), des ports ouverts avec la commande ‘netstat‘ et d’un Scan réseau à partir de l’ordinateur utilisateur (HOST). Cette analyse nous permet de vérifier que l’ordinateur utilisateur (HOST) est bien isolé ! Seule une adresse IP APIPA apparaît étant donné que la machine HOST ne trouve pas d’adresse IP alors elle décide de s’en attribuer une (APIPA) automatiquement. La commande ‘netstat‘ (invite de commandes) montre que seule l’ordinateur utilisateur (HOST) nommé « LeBlogDuHacker » est présent sur ses ports d’écoute sans pouvoir échanger avec le réseau privé et internet !
Nous découvrirons dans un prochain article dédié au serveur Routeur/Firewall PFSENSE des volets plus techniques et encore plus passionnants! (Server DHCP, Server Proxy/filter/blacklist, Server NAT/VPN, Wi-Fi…)
Dernières notes d’informations concernant d’éventuels problèmes techniques:
J’ai rajouté ce dernier dernier volet car j’ai été confronté à une problème technique de titan en fin d’installation. J’ai du déployer l’artillerie lourde pour comprendre puis résoudre un conflit technique que je ne vais pas vous détailler. L’envie de vous en expliquer les détails me brûle les doigts ! Mais bon ! Sachez simplement que si votre machine virtuelle (dans cet article elle se nomme: DESKTOP-I31U5H4) tourne sous Windows 10, alors il y a des risques de rupture de pont (bridged) entre l’interface réseau « VMWARE WORKSTATION PRO » et la Box Internet. Ces deux derniers équipements ne sont pas en cause ! Disons que l’OS Windows 10 a été conçu autour notamment d’une « politique » de sécurisation et de mise à jour extrêmement « compliquée », ce qui complique évidemment le terrain d’installation! (humour). Concernant les machines virtuelles tournant sous Windows Vista, Windows 7 et 8 tout est nickel chrome !
Assurez-vous donc que votre machine virtuelle Windwos 10 soit bien à jour. Évidemment, pour pouvoir effectuer une recherche de mise à jour de votre machine virtuelle, vous devrez modifier les propriétés TCP/IPv4 de votre carte réseau sous Windows 10 (voir chapitre IX) en DHCP (cochez « Obtenir une adresse IP automatiquement ») puisque la passerelle réseau « 192.168.1.33 » (ici) n’est pas reconnue… (pour faire simple)
Dans l’éventualité où en fin d’installation la connexion réseau Ethernet de votre machine virtuelle Windows 10 tomberait, voilà ce qu’il faut faire :
-
- Vérifiez que vous avez bien la mise à jour installée Windows 10: KB3140768 (OS Build 10586.164) + KB3140745 (OS Build 10240.16725) + KB3140743 (OS Build 10586.122) + KB3135173 (OS Build 10586.104) + KB3140745 (OS Build 10240.16725) + KB3135174 (OS Build 10240.16683)
- Vérifiez que vous avez bien la mise à jour installée Windows 10: KB3140768 (OS Build 10586.164) + KB3140745 (OS Build 10240.16725) + KB3140743 (OS Build 10586.122) + KB3135173 (OS Build 10586.104) + KB3140745 (OS Build 10240.16725) + KB3135174 (OS Build 10240.16683)
-
- Si vous avez un pare feu logiciel supplémentaire intégré dans un logiciel antivirus installé sur votre machine virtuelle Windows 10, désactivez le.
- Si vous avez un pare feu logiciel supplémentaire intégré dans un logiciel antivirus installé sur votre machine virtuelle Windows 10, désactivez le.
-
- Supprimez l’interface réseau VMWARE dans les « VM / Settings » de votre machine virtuelle Windows 10
-
- Ajoutez de nouveau une interface réseau « Bridegd » dans les « VM / Settings » de votre machine virtuelle Windows 10
-
- Redémarrez votre machine virtuelle Windows 10 normalement.
-
- Rendez-vous dans la Gestion des Périphériques de l’OS Windows 10 (machine virtuelle) et désinstallez le pilote de la carte réseau Ethernet
-
- Redémarrez la machine virtuelle Windows 10 normalement
-
- Rendez-vous dans les propriétés TCP/IP de votre carte réseau Ethernet sous Windows 10, et remettez l’adresse de la passerelle par défaut , ici, 192.168.1.33 (IP LAN PFSENSE) et l’adresse IP ici 192.168.1.35 (voir chapitre IX)
- Terminé ! (Il se peut que l’origine du souci chez vous vienne d’ailleurs!)
Dans l’attente de vos réactions et commentaires, je vous dis à très bientôt!
Diki
Article sous licence Creative Commons Attribution 2.0 FR