UNIVERSITÉ CHEIKH ANTA DIOP DE

DAKAR
Département de Mathématiques et Informatique

Section Informatique

Master 1 RETEL

PROJET DE SÉCURITÉ RÉSEAU

Implémentation et Renforcement de la sécurité réseau avec pfSense

Présenté par :

Cheikh Massamba THIAW & El Hadji Macoumba NIANG

Année universitaire 2024 - 2025

pg. 1
Table des matieres
Introduction ........................................................................................................................ 5
Contexte du projet .............................................................................................................. 5
Objectifs visés ..................................................................................................................... 5
Intérêt de la sécurité réseau ............................................................................................... 5
Méthodologie adoptee ....................................................................................................... 6
Chapitre 1 : Présentation de pfSense ................................................................................. 7
1.1 Définition de pfsense .......................................................................................... 7
1.2 Rôle et fonctionnalités principales ..................................................................... 7
1.3 Avantages par rapport à d’autres solutions. ...................................................... 8
Chapitre 2 : mise en place de l’architecture réseau sécurisée ........................................... 9
2.1 Présentation générale de l’architecture ................................................................... 9
2.2 Description détaillée des composantes .................................................................... 9
2.3 Schéma de l’architecture ........................................................................................ 10
2.4 Règles de sécurité appliquées................................................................................. 10
Chapitre 3 : Installation et Configuration Initiale ............................................................. 11
3.1 Prérequis matériels et logiciels ............................................................................... 11
3.2 Processus d'installation........................................................................................... 11
3.3 Configuration des interfaces réseau ....................................................................... 15
3.4 Configuration des services DHCP ............................................................................ 15
3.5 Configuration DNS................................................................................................... 17
3.6 Mise à jour du système ........................................................................................... 18
Chapitre 4 : Règles de Sécurité et NAT ............................................................................. 19
4.1 Principes de sécurité appliqués .............................................................................. 19
4.2 Configuration des règles de filtrage........................................................................ 19
........................................................................................................................................... 20
4.3 Configuration du NAT ............................................................................................. 21
Chapitre 5 : Mise en place d'un VPN sécurisé .................................................................. 22

pg. 2
5.1 Choix du protocole VPN .............................................................................................. 22
5.2 Configuration de l'Autorité de Certification ............................................................... 22
5.3 Configuration du serveur OpenVPN ....................................................................... 23
5.4 Règles de filtrage pour le VPN ................................................................................ 27
5.6 Mise en place de l'authentification multi-facteurs................................................. 28
Chapitre 6 : IDS/IPS avec Snort ......................................................................................... 29
6.1 Introduction aux systèmes de détection et prévention d'intrusion ....................... 29
6.2 Installation et configuration de Snort ..................................................................... 29
6.3 Gestion des règles de détection ............................................................................. 30
6.4 Intégration avec pfBlockerNG ................................................................................. 33
Chapitre 7 : Proxy Web Filtrant ........................................................................................ 36
7.1 Introduction au filtrage web ................................................................................... 36
7.2 Installation et configuration de Squid .................................................................... 36
7.3 Configuration du filtrage avec SquidGuard ............................................................ 39
Chapitre 8 : Monitoring et Logs ........................................................................................ 42
8.1 Stratégie de monitoring réseau .............................................................................. 42
8.2 Configuration de NetFlow ....................................................................................... 42
8.3 Centralisation des logs avec syslog ......................................................................... 43
8.4 Configuration des alertes et notifications .............................................................. 44
8.5 Intégration avec des outils externes (ELK, Graylog) ............................................... 46
Chapitre 9 : Tests et Validation ......................................................................................... 48
9.1 Méthodologie de test ............................................................................................. 48
9.2 Tests fonctionnels par service................................................................................. 48
9.3 Tests de connectivité .............................................................................................. 49
9.4 Tests de sécurité (Pentest)...................................................................................... 51
Chapitre 10 : Recommandations et Perspectives ............................................................. 53
10.1 Bilan de l'implémentation ..................................................................................... 53
10.2 Recommandations d'amélioration ....................................................................... 53
10.2.1 Améliorations de sécurité .............................................................................. 53

pg. 3
 10.2.2 Améliorations de performance ...................................................................... 53
10.3 Plan de maintenance ............................................................................................ 53
Conclusion ......................................................................................................................... 55

pg. 4
 Introduction
À l’ère du numérique, la sécurité des réseaux informatiques est devenue un enjeu
crucial pour les entreprises, les institutions et même les particuliers. La multiplication
des menaces telles que le piratage, les malwares ou les fuites de données exige des
solutions robustes pour protéger les infrastructures informatiques. Ce projet s’inscrit
dans cette dynamique de renforcement de la sécurité en proposant la conception et la
mise en œuvre d’une architecture réseau sécurisée basée sur le pare-feu pfSense,
intégrant un réseau local (LAN), une zone démilitarisée (DMZ) et un accès VPN pour les
utilisateurs distants.

Contexte du projet
Avec la démocratisation du travail à distance, des services web hébergés en interne et
des échanges numériques sensibles, les besoins en protection réseau se sont multipliés.
Un simple réseau local sans sécurité expose les systèmes à de nombreuses failles. Dans
ce contexte, pfSense, en tant que pare-feu open-source performant, est utilisé pour
structurer et protéger le réseau de manière fine et évolutive.

Le projet consiste à concevoir une infrastructure réseau sécurisée qui sépare clairement
les zones sensibles (LAN), les services exposés (DMZ), tout en offrant un accès sécurisé
via VPN pour les utilisateurs distants.

Objectifs visés
Les objectifs de ce projet sont multiples :

• Concevoir une architecture réseau complète intégrant WAN, LAN, DMZ et VPN.

• Mettre en œuvre un pare-feu pfSense pour assurer le filtrage et la sécurisation

des flux.

• Segmenter le réseau afin de limiter la propagation des attaques et protéger les

données internes.

• Permettre un accès distant sécurisé via un tunnel VPN chiffré.

• Documenter chaque étape afin de permettre une réplicabilité et une facilité de

maintenance.

Intérêt de la sécurité réseau

La sécurité réseau vise à garantir :

pg. 5
 • La confidentialité : éviter que des personnes non autorisées accèdent aux
données.

• L’intégrité : s'assurer que les données ne sont pas altérées.

• La disponibilité : permettre aux utilisateurs légitimes d'accéder aux ressources

sans interruption.

• La traçabilité : journaliser les accès et les activités pour détecter les intrusions.

Dans ce projet, ces principes sont mis en œuvre grâce à des composants comme :

• Le pare-feu pfSense pour le filtrage des flux,

• La DMZ pour isoler les services exposés (Web, FTP, Mail),

• Le VPN pour chiffrer les communications des utilisateurs distants.

Méthodologie adoptee
La méthodologie suivie s’est articulée en plusieurs étapes :

1. Analyse des besoins : Identifier les éléments du réseau à sécuriser et les accès
nécessaires.

2. Conception du schéma réseau : Définir les interfaces (WAN, LAN, DMZ, VPN) et
leur rôle.

3. Installation de pfSense : Mettre en place le pare-feu et configurer les interfaces

réseau.

4. Configuration de la DMZ : Isoler les services publics tout en les rendant

accessibles depuis Internet.

5. Mise en place du VPN : Assurer un accès distant chiffré aux ressources internes.

6. Tests et validation : Vérifier la connectivité, la sécurité et la performance de

chaque zone.

7. Documentation : Rédiger le rapport, schémas et guides d’utilisation.

pg. 6
Chapitre 1 : Présentation de pfSense

1.1 Définition de pfsense

pfSense est un système d'exploitation libre basé sur FreeBSD, spécialement conçu pour
agir comme pare-feu (firewall) et routeur. Développé et maintenu par Netgate, pfSense
est accessible en open source et s’utilise principalement pour sécuriser les réseaux,
segmenter le trafic et établir des connexions sûres via des protocoles comme VPN.

Il est souvent installé sur des machines physiques dédiées, des machines virtuelles, ou
utilisé via des appliances commerciales proposées par Netgate. Grâce à son interface web
intuitive, pfSense permet une configuration fine du réseau sans nécessiter de fortes
compétences en ligne de commande.

1.2 Rôle et fonctionnalités principales

pfSense ne se limite pas à la fonction de pare-feu. Il regroupe une large gamme de
fonctionnalités avancées, qui en font une véritable solution UTM (Unified Threat
Management). Voici ses rôles principaux :

Fonctionnalités principales :

➢ Pare-feu (Firewall) : Filtrage du trafic entrant et sortant selon des règles définies
par l’administrateur.

➢ Routage : Support du routage statique et dynamique (OSPF, BGP avec des

extensions).

➢ NAT (Network Address Translation) : Traduction d’adresses privées en adresses

publiques.

➢ VPN (Virtual Private Network) : Prise en charge de OpenVPN, IPsec, L2TP pour
établir des connexions chiffrées.

➢ DHCP Server / Relay : Attribution dynamique d’adresses IP aux clients du réseau.

➢ DNS Forwarder / Resolver : Résolution de noms en IP, avec possibilité de mise

en cache.

➢ Portail captif : Pour contrôler l’accès des utilisateurs sur un réseau invité ou
public.

➢ QoS (Quality of Service) : Gestion de la bande passante et priorisation du trafic.

➢ IDS/IPS (Suricata, Snort) : Systèmes de détection et de prévention d’intrusion.

pg. 7
 ➢ Logs et monitoring : Suivi en temps réel des connexions, des menaces et de
l’état du système.

1.3 Avantages par rapport à d’autres solutions.

pfSense se distingue par un excellent rapport puissance/flexibilité/coût. Voici quelques

atouts clés :

Critère Avantages de pfSense

Gratuité Solution open source, sans coût de

licence.
Interface Web complète Facile à configurer même sans expertise
avancée.
Communauté active Nombreux tutoriels, forums et plugins
disponibles.
Modularité
Ajout de paquets comme Snort,
pfBlockerNG, etc.
Support du VPN Intégration native de OpenVPN, IPsec,
L2TP.
Haute performance Optimisé pour les environnements
professionnels.
Personnalisation
S’adapte à tout type de topologie réseau.

pg. 8
Chapitre 2 : mise en place de l’architecture réseau sécurisée

2.1 Présentation générale de l’architecture

L’architecture réseau mise en œuvre dans ce projet repose sur les principes de sécurité
périmétrique et de segmentation. Elle est structurée autour de quatre zones
fonctionnelles bien distinctes :

- WAN (Wide Area Network) : Point d’entrée vers Internet.

- LAN (Local Area Network) : Réseau local interne sécurisé pour les utilisateurs et
serveurs internes.
- DMZ (Demilitarized Zone) : Zone tampon hébergeant les services accessibles depuis
l’extérieur (Web, Mail, FTP...).
- VPN (Virtual Private Network) : Accès distant sécurisé pour les utilisateurs nomades ou
télétravailleurs.

Cette topologie repose sur le pare-feu pfSense, qui assure la gestion du trafic entre les
différentes zones tout en appliquant des règles de sécurité strictes.

2.2 Description détaillée des composantes

WAN

• - Fournit l’accès à Internet.

- Protégé par pfSense, qui filtre les connexions entrantes.
- Serveur VPN OpenVPN configuré : UDP4/1194.

LAN

• - Contient les postes de travail, serveurs internes, et équipements de l'organisation.

- Accès restreint aux utilisateurs internes ou connectés via VPN.
- Possibilité de sous-réseaux pour isoler les services.

DMZ

• - Héberge les serveurs accessibles depuis Internet (Web, FTP, Mail).

- Protégée par NAT et des règles de filtrage strict.
- Pas de communication directe avec le LAN sauf exceptions spécifiques.

VPN (OpenVPN)

• - Implémenté via pfSense : VPN > OpenVPN > Servers.

- Protocole : UDP4, Port : 1194

pg. 9
 - Tunnel VPN : 192.168.169.0/24
- Accès distant sécurisé et chiffré au LAN.

2.3 Schéma de l’architecture

Le schéma ci-dessous illustre de manière claire et détaillée l’architecture réseau mise en
œuvre :

2.4 Règles de sécurité appliquées

- Filtrage par IP source, destination, protocole et port.
- Accès DMZ limité à HTTP, HTTPS, FTP, SMTP...
- Aucune communication directe entre la DMZ et le LAN.
- Authentification VPN forte avec certificats et/ou login/mot de passe.
- Journaux d’activité et alertes activés sur les connexions sensibles.
- Possibilité d’intégrer un IDS/IPS tel que Snort.

pg. 10
Chapitre 3 : Installation et Configuration Initiale

3.1 Prérequis matériels et logiciels

Pour l'installation de pfSense dans notre environnement, nous avons respecté les
prérequis suivants :
• Matériel : Machine virtuelle avec 4 Go de RAM, 40 Go d'espace disque et 3 CPU.
• Interfaces réseau : 3 interfaces virtuelles (WAN, LAN, DMZ).
• Image d'installation : Version stable de pfSense téléchargée depuis le site officiel
(pfsense.org).
• Logiciel de virtualisation : VirtualBox/VMware pour l'hébergement de la
machine virtuelle pfSense.
Ces spécifications garantissent des performances optimales pour notre environnement
de test tout en offrant la flexibilité nécessaire pour notre architecture multi-zones.

3.2 Processus d'installation

L'installation de pfSense s'est déroulée en plusieurs étapes :
1. Création de la VM : Configuration d'une machine virtuelle avec les
caractéristiques recommandées.
2. Configuration des interfaces réseau : Attribution des adaptateurs réseau pour
WAN, LAN et DMZ.
3. Démarrage sur l'ISO : Boot sur l'image d'installation de pfSense.
4. Installation du système : Sélection du disque cible et configuration du
partitionnement.
5. Configuration post-installation : Redémarrage et attribution des interfaces
physiques.

pg. 11
pg. 12
pg. 13
pg. 14
3.3 Configuration des interfaces réseau
Pour chaque interface, nous avons effectué les opérations suivantes :
• Activation de l'interface dans l'onglet Interfaces
• Attribution de l'adresse IP statique correspondante
• Configuration du masque de sous-réseau
• Définition de la passerelle (uniquement pour le WAN)

3.4 Configuration des services DHCP

Pour faciliter l'attribution d'adresses IP aux clients, nous avons configuré le service DHCP
sur les interfaces LAN et DMZ :
Configuration DHCP pour le LAN :
• Plage d'adresses : 192.168.100.10 - 192.168.100.200
• Passerelle par défaut : 192.168.100.1
• Serveur DNS primaire : 192.168.100.1 (pfSense)

pg. 15
Configuration DHCP pour la DMZ :
• Plage d'adresses : 10.10.10.10 - 10.10.10.200
• Passerelle par défaut : 10.10.10.1
• Accès Internet contrôlé

pg. 16
3.5 Configuration DNS
La résolution de noms et la synchronisation horaire sont essentielles pour le bon
fonctionnement du réseau :
• Configuration DNS :
• Activation du service DNS Resolver
• Configuration du mode forwarding pour les requêtes externes
• Utilisation des serveurs DNS publics (1.1.1.1, 8.8.8.8)
• Activation du DNSSEC pour sécuriser les requêtes DNS

pg. 17
3.6 Mise à jour du système
Afin d'assurer une sécurité optimale, nous avons procédé à la mise à jour complète du
système pfSense :
1. Vérification des mises à jour disponibles via System > Update
2. Installation des derniers correctifs de sécurité
3. Mise à jour des paquets additionnels installés
Cette étape garantit que notre pare-feu bénéficie des dernières corrections de
sécurité et des améliorations de performances disponibles.

pg. 18
Chapitre 4 : Règles de Sécurité et NAT

4.1 Principes de sécurité appliqués

Notre politique de sécurité repose sur plusieurs principes fondamentaux :
• Principe du moindre privilège : Seul le trafic explicitement autorisé est permis.
• Défense en profondeur : Plusieurs couches de protection sont implémentées.
• Segmentation réseau : Isolation stricte entre les différentes zones (WAN, LAN,
DMZ).
• Protection des services internes : Accès limité aux ressources sensibles.

Ces principes ont guidé la création de nos règles de filtrage et la configuration du NAT.

4.2 Configuration des règles de filtrage

Nous avons mis en place des règles de filtrage spécifiques pour chaque interface :
• Règles WAN (Internet vers réseau interne) :
• Blocage par défaut de tout trafic entrant
• Autorisation uniquement des connexions établies
• Autorisation des services spécifiques vers la DMZ (80/TCP, 443/TCP, 21/TCP,
25/TCP)
• Autorisation du trafic VPN (UDP 1194)
• Règles LAN (Réseau interne vers Internet) :
• Autorisation du trafic sortant avec journalisation
• Blocage des connexions vers des sites malveillants connus
• Autorisation d'accès limité à la DMZ
• Règles DMZ :
• Autorisation des connexions depuis Internet vers les services publics
• Blocage des connexions depuis la DMZ vers le LAN
• Autorisation limitée des connexions nécessaires vers Internet

pg. 19
pg. 20
4.3 Configuration du NAT
La translation d'adresse réseau (NAT) joue un rôle crucial dans notre architecture.
Deux types de NAT ont été configurés :
• NAT sortant (Source NAT) :
• Configuration en mode automatique pour le LAN et la DMZ
• Translation des adresses privées vers l'adresse IP publique du WAN
• Masquage des adresses internes pour renforcer la sécurité
• NAT entrant (Destination NAT) :
• Redirection des ports pour les services dans la DMZ :
o Port 80/443 (HTTP/HTTPS) vers le serveur Web (10.10.10.10)
o Port 21 (FTP) vers le serveur FTP (10.10.10.12)
o Port 25 (SMTP) vers le serveur Mail (10.10.10.11)
• Ces règles NAT permettent d'exposer de manière sécurisée les services hébergés
dans la DMZ tout en protégeant le réseau interne.

pg. 21
Chapitre 5 : Mise en place d'un VPN sécurisé

5.1 Choix du protocole VPN

Pour notre infrastructure, nous avons choisi OpenVPN comme solution VPN principale
pour les raisons suivantes :
• Sécurité robuste : Utilisation de TLS/SSL avec chiffrement AES-256
• Compatibilité multiplateforme : Clients disponibles sur Windows, macOS, Linux,
iOS et Android
• Flexibilité de déploiement : Options de configuration étendues
• Performance optimale : Bon équilibre entre sécurité et vitesse de connexion
• Traversée NAT/Firewall : Capacité de fonctionner sur UDP et de traverser les
NAT
Ce choix offre le meilleur compromis entre sécurité, facilité d'utilisation et compatibilité
pour notre environnement.

5.2 Configuration de l'Autorité de Certification

Avant de configurer le serveur VPN, nous avons créé une Autorité de Certification (CA)
interne :
1. Accès à System > Cert. Manager > CAs
2. Création d'une nouvelle CA avec les paramètres suivants :
o Descriptive name: "pfSense-VPN-CA"
o Method: Create an internal Certificate Authority
o Key length: 4096 bits
o Digest Algorithm: SHA256
o Lifetime: 3650 jours (10 ans)
o Common Name: "pfSense-VPN-CA"
Cette CA nous a permis ensuite de générer les certificats serveur et clients nécessaires
pour l'authentification mutuelle.

pg. 22
5.3 Configuration du serveur OpenVPN
• La configuration du serveur OpenVPN a été réalisée via l'assistant intégré à pfSense :
1. Accès à VPN > OpenVPN > Wizards
2. Sélection du type "Remote Access Server"
3. Configuration des paramètres suivants :
o Interface d'écoute: WAN
o Protocole: UDP
o Port: 1194
o Description: "OpenVPN Server"
o Réseau VPN: 192.168.169.0/24
o Redirection du trafic client: Enabled
o Compression: Enabled
o Certificat serveur: Généré spécifiquement pour le VPN
o Algorithme de chiffrement: AES-256-GCM
o Type d'authentification: Certificat + User Auth (Multi-facteur)
Cette configuration garantit un tunnel VPN robuste et sécurisé entre les clients distants
et notre réseau interne.

pg. 23
pg. 24
pg. 25
pg. 26
 5.4 Règles de filtrage pour le VPN
Pour permettre l'accès VPN tout en maintenant la sécurité, nous avons des régles :
• Règles WAN pour le VPN :
• Autorisation du trafic UDP vers le port 1194 (OpenVPN)

Ces règles permettent aux utilisateurs VPN d'accéder aux ressources internes tout
en maintenant une trace des activités.
5.5 Création et distribution des certificats clients
• Pour chaque utilisateur VPN, nous avons créé un certificat client personnalisé :
1. Accès à System > Cert. Manager > Certificates
2. Création d'un certificat avec les paramètres :
o Method: Create an internal Certificate
o Descriptive name: "VPN-Server-Cert"
o Certificate Authority: pfSense-VPN-CA
o Key length: 2048 bits
o Digest Algorithm: SHA256
o Lifetime: 365 jours (renouvellement annuel)
o Certificate Type: User Certificate
• Une fois les certificats générés, nous avons utilisé l'exportateur de configuration
client OpenVPN pour créer des packages d'installation prêts à l'emploi pour chaque
plateforme (Windows, macOS, mobile).

pg. 27
5.6 Mise en place de l'authentification multi-facteurs
• Pour renforcer la sécurité du VPN, nous avons implémenté une authentification
multi-facteurs (2FA) :
1. Installation du package FreeRADIUS via System > Package Manager
2. Configuration d'un serveur RADIUS local
3. Configuration d'OpenVPN pour utiliser l'authentification RADIUS
Cette configuration oblige les utilisateurs à fournir :
• Un certificat valide (premier facteur)
• Un nom d'utilisateur et mot de passe (deuxième facteur)

pg. 28
Chapitre 6 : IDS/IPS avec Snort

6.1 Introduction aux systèmes de détection et prévention d'intrusion

Les systèmes IDS (Intrusion Detection System) et IPS (Intrusion Prevention System)
constituent une couche de protection essentielle dans notre architecture de sécurité. Ils
permettent de :
• Détecter les activités suspectes ou malveillantes sur le réseau
• Identifier les tentatives d'exploitation de vulnérabilités connues
• Alerter les administrateurs en cas de détection d'attaques
• Bloquer proactivement les attaques détectées (mode IPS)
Pour notre infrastructure, nous avons choisi d'implémenter Snort, un moteur IDS/IPS
open source performant qui s'intègre parfaitement à pfSense.

6.2 Installation et configuration de Snort

L'installation de Snort s'est déroulée en plusieurs étapes :
1. Installation du package via System > Package Manager
2. Configuration initiale via Services > Snort
3. Activation de Snort sur les interfaces critiques :
o WAN (pour surveiller le trafic entrant)
o DMZ (pour surveiller les communications entre la DMZ et les autres
zones)
o LAN (focus sur la détection des mouvements latéraux, des
comportements anormaux internes, et des compromissions de postes
utilisateurs)
• Pour chaque interface, nous avons configuré les paramètres suivants :
• Mode de blocage : IPS (blocage automatique des attaques détectées)
• Seuil d'alerte : Balanced (équilibre entre performance et sensibilité)
• Journalisation : Activée avec rotation des logs

pg. 29
6.3 Gestion des règles de détection
Nous avons adapté les catégories de règles activées selon les interfaces :
• WAN : toutes les catégories pertinentes pour les attaques externes
• DMZ : focus sur les règles de détection d'exfiltration de données et de
compromission de serveurs

pg. 30
pg. 31
pg. 32
6.4 Intégration avec pfBlockerNG
Pour renforcer notre sécurité, nous avons couplé Snort avec pfBlockerNG, un outil de
blocage d'adresses IP malveillantes :
1. Installation du package pfBlockerNG via System > Package Manager
2. Configuration des listes de réputation IP (feeds) :
o ET Compromised IPs
o Spamhaus DROP/EDROP
o Blocklist.de
o AbuseIPDB
Cette intégration permet de bloquer automatiquement les connexions provenant
d'adresses IP connues comme malveillantes avant même qu'elles n'atteignent notre
réseau.

pg. 33
pg. 34
pg. 35
Chapitre 7 : Proxy Web Filtrant

7.1 Introduction au filtrage web

Le filtrage web constitue une composante essentielle de notre stratégie de sécurité
réseau, offrant plusieurs avantages :
• Protection contre les sites malveillants ou à contenu inapproprié
• Contrôle de l'utilisation d'Internet selon les politiques de l'organisation
• Optimisation de la bande passante par mise en cache des contenus
fréquemment consultés
• Inspection du trafic HTTPS pour identifier les menaces dissimulées
• Journalisation des accès pour analyses de sécurité et conformité
Pour mettre en œuvre cette fonctionnalité, nous avons déployé la combinaison Squid
(proxy) et SquidGuard (filtrage de contenu).

7.2 Installation et configuration de Squid

L'installation et la configuration du proxy Squid ont été réalisées selon les étapes
suivantes :
1. Installation du package via System > Package Manager
2. Configuration générale via Services > Squid Proxy Server
3. Paramètres de base :
o Port d'écoute : 3128
o Interface : LAN
o Taille du cache : 1 Go
o Objets maximum en mémoire : 8 Mo

pg. 36
pg. 37
pg. 38
7.3 Configuration du filtrage avec SquidGuard
Pour assurer un filtrage efficace du contenu web, nous avons déployé SquidGuard en
optant pour une méthode personnalisée de gestion des listes noires. Voici les
principales étapes de configuration :
• Installation du package SquidGuard via System > Package Manager.
• Au lieu d’utiliser les listes classiques comme Shalla ou MESD, nous avons
téléchargé manuellement une blacklist complète depuis l’URL suivante :

pg. 39
https://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz

pg. 40
pg. 41
Chapitre 8 : Monitoring et Logs

8.1 Stratégie de monitoring réseau

Une surveillance proactive du réseau est essentielle pour maintenir la sécurité et les
performances. Notre stratégie de monitoring s'articule autour de plusieurs axes :
• Monitoring en temps réel : Surveillance continue des interfaces, connexions et
services
• Analyse des tendances : Identification des modèles de trafic anormaux
• Alertes proactives : Notifications en cas de dépassement de seuils prédéfinis
• Centralisation des logs : Collection et analyse centralisée des journaux système
Cette approche nous permet d'identifier rapidement les problèmes potentiels et
d'intervenir avant qu'ils n'impactent le réseau.

8.2 Configuration de NetFlow

Pour une analyse approfondie du trafic réseau, nous avons implémenté NetFlow :
1. Installation du package Softflowd via System > Package Manager
2. Configuration des collecteurs NetFlow :
o Interface interne pour analyse locale
o Serveur externe pour stockage à long terme
3. Configuration des paramètres d'échantillonnage pour optimiser les
performances

NetFlow nous permet d'analyser les modèles de trafic, d'identifier les applications
consommant le plus de bande passante, et de détecter les anomalies de
communication.

pg. 42
8.3 Centralisation des logs avec syslog
La centralisation des journaux est cruciale pour une analyse efficace des événements de
sécurité :
1. Configuration du serveur syslog distant dans Status > System Logs > Settings
2. Sélection des journaux à transmettre :
o Logs système
o Logs du pare-feu
o Logs VPN
o Logs Snort
o Logs proxy
3. Configuration du format et du niveau de détail des logs
4. Mise en place de la rotation des logs locaux pour optimiser l'espace disque
Cette centralisation facilite l'analyse des incidents et la corrélation entre différents
événements.

pg. 43
8.4 Configuration des alertes et notifications
Pour permettre une réaction rapide aux incidents, nous avons configuré un système
d'alertes :

pg. 44
La configuration du système d’alerte a été réalisée avec succès. Toutefois, l’envoi
d’emails de notification vers des adresses comme outlook.com ou gmail.com n’est pas
fonctionnel. Cela est dû aux nouvelles restrictions de sécurité de Google, qui interdisent,
à partir de janvier 2025, l’utilisation de méthodes d’authentification classiques (nom
d’utilisateur et mot de passe) pour les applications jugées "moins sécurisées".

Voir la capture ci-dessous pour plus de détails :

pg. 45
8.5 Intégration avec des outils externes (ELK, Graylog)
Pour une analyse avancée des logs, nous avons intégré pfSense avec la stack ELK
(Elasticsearch, Logstash, Kibana) :
1. Configuration d'un serveur de collecte Logstash
2. Transmission des logs pfSense au format syslog vers Logstash
3. Indexation des données dans Elasticsearch
4. Création de tableaux de bord Kibana pour visualiser :
Cette intégration nous permet d'effectuer des recherches avancées, de créer des
visualisations personnalisées et d'établir des corrélations entre différents événements
de sécurité.

pg. 46
pg. 47
Chapitre 9 : Tests et Validation

9.1 Méthodologie de test

Pour garantir la robustesse de notre implémentation, nous avons adopté une
méthodologie de test structurée :
1. Tests fonctionnels : Vérification du bon fonctionnement de chaque service
(pare-feu, NAT, VPN, proxy, etc.)
2. Tests de connectivité : Validation des communications entre les différentes
zones
3. Tests de performance : Évaluation des débits et temps de réponse
4. Tests de sécurité : Recherche active de vulnérabilités et simulation d'attaques
5. Tests de résilience : Vérification du comportement en cas de défaillance
Cette approche méthodique nous a permis de valider chaque aspect de notre
infrastructure avant sa mise en production.

9.2 Tests fonctionnels par service

Nous avons effectué des tests fonctionnels pour chaque service déployé :

Ces tests ont confirmé que chaque service remplit correctement sa fonction dans
l'architecture globale.

pg. 48
 9.3 Tests de connectivité
Pour valider la segmentation du réseau et les règles de filtrage, nous avons effectué
des tests de connectivité exhaustifs :
1. Connectivité WAN-DMZ : Vérification de l'accès aux services publiés
2. Connectivité WAN-LAN : Confirmation du blocage des accès directs
3. Connectivité LAN-DMZ : Validation des accès autorisés
4. Connectivité DMZ-LAN : Vérification de l'isolation de la DMZ
Ces tests ont été réalisés avec des outils comme nmap pour vérifier l'état des ports et la
latence des connexions.

pg. 49
pg. 50
9.4 Tests de sécurité (Pentest)
Pour évaluer la robustesse de notre infrastructure face aux attaques, nous avons réalisé
plusieurs tests de pénétration à l’aide de Metasploit pour tenter d’exploiter des
vulnérabilités.

pg. 51
Dans le cadre du test d'intrusion, nous avons utilisé Metasploit Framework afin de
simuler une attaque sur un service hébergé sur une machine cible. Les
paramètres suivants ont été configurés :

set RHOST [IP de la cible]

set RPORT 21
run

L'exploit n’a pas réussi à compromettre la machine cible. Aucune session distante n’a
été ouverte et aucun shell ne s’est lancé.
Cela signifie que Le système de détection d’intrusion (Snort), activé sur l’interface
WAN, a détecté la tentative comme malveillante et a généré une alerte.

pg. 52
Chapitre 10 : Recommandations et Perspectives

10.1 Bilan de l'implémentation

L'implémentation de notre architecture réseau sécurisée avec pfSense a permis
d'atteindre plusieurs objectifs clés :
• Mise en place d'un pare-feu performant avec règles de filtrage avancées
• Segmentation du réseau en zones de sécurité distinctes (WAN, LAN, DMZ)
• Déploiement d'un accès VPN sécurisé pour les utilisateurs distants
• Intégration d'un IPS pour la détection et le blocage des attaques
• Configuration d'un proxy filtrant pour le contrôle de l'accès web
• Mise en œuvre d'un système de monitoring complet

Cette solution répond efficacement aux besoins de sécurité identifiés, tout en offrant
une flexibilité et une évolutivité adaptées aux futures évolutions.

10.2 Recommandations d'amélioration

Sur la base de notre expérience et des résultats des tests, nous proposons plusieurs axes
d'amélioration :

10.2.1 Améliorations de sécurité

• Déploiement d'une solution WAF (Web Application Firewall) pour les serveurs
web de la DMZ
• Renforcement de l'authentification multi-facteurs avec des tokens physiques
• Mise en place d'une PKI complète pour gérer les certificats de manière plus
structurée
• Implémentation de VLAN supplémentaires pour une segmentation plus fine
• Déploiement d'un EDR (Endpoint Detection and Response) sur les postes clients

10.2.2 Améliorations de performance

• Mise à niveau du matériel pour supporter davantage de connexions simultanées
• Configuration de la haute disponibilité avec un second pare-feu en cluster CARP
• Optimisation des règles de filtrage pour réduire la latence
• Utilisation d'un proxy transparent pour réduire l'impact sur les postes clients
• Mise en cache DNS avancée pour améliorer les temps de résolution

10.3 Plan de maintenance

Pour garantir la pérennité de la solution, nous recommandons la mise en place d'un plan
de maintenance structuré :

pg. 53
 Activité Fréquence Description

Mises à jour de Application des correctifs de sécurité

Mensuelle pfSense
sécurité

Revue des règles de Vérification et nettoyage des règles

Trimestrielle obsolètes
filtrage

Mise à jour des Actualisation des signatures de

Hebdomadaire détection
signatures IPS

Vérification de la capacité à
Tests de restauration Semestrielle restaurer la configuration

Analyse complète de la sécurité de

Audit de sécurité Annuelle l'infrastructure

Analyse des événements pour

Revue des logs Hebdomadaire détecter les anomalies

Ce plan de maintenance garantit que l'infrastructure reste sécurisée et performante

dans le temps.

pg. 54
Conclusion
Ce projet a permis de mettre en place une infrastructure réseau sécurisée, robuste et
évolutive basée sur pfSense. L'architecture implémentée répond aux objectifs initiaux
tout en offrant une flexibilité pour s'adapter aux besoins futurs.

La segmentation du réseau en zones distinctes (WAN, LAN, DMZ, VPN) associée à des
règles de filtrage strictes garantit un niveau de sécurité élevé. Les services
complémentaires comme l'IPS Snort, le proxy filtrant Squid et les outils de monitoring
offrent une protection multicouche contre les menaces.

Les tests effectués confirment la solidité de notre implémentation tant sur le plan
fonctionnel que sur le plan de la sécurité. Les performances mesurées correspondent
aux attentes et offrent une marge confortable pour absorber la croissance future des
besoins.

Les recommandations proposées constituent une feuille de route pour faire évoluer
cette infrastructure et maintenir son niveau de sécurité dans le temps. La mise en place
d'un plan de maintenance régulier et d'une documentation complète garantiront la
pérennité de la solution.

En conclusion, pfSense s'est révélé être un choix judicieux pour implémenter une
solution de sécurité réseau complète, alliant performances, flexibilité et facilité de
gestion. Cette implémentation constitue une base solide pour la protection des actifs
numériques de l'organisation.

pg. 55