TP Sécurisation Réseau avec pfSense

Ce TP a pour objectif d’initier à la mise en œuvre pratique de mesures de sécurisation

réseau à l’aide de pfSense. L’environnement virtualisé repose sur trois machines : un
pare-feu pfSense, un client interne (LAN) et un client externe (simulateur WAN).
L’objectif est d’être amené à configurer le filtrage, le NAT, le VPN, un IDS/IPS et
l’analyse réseau.

1. Architecture réseau
Machines nécessaires : - pfSense : 2 interfaces (WAN : [Link]/24 ; LAN :
[Link]/24) - Client Interne : [Link] (accès LAN) - Client Externe : [Link]
(accès WAN) Passerelles : - Client LAN  [Link] - Client WAN  [Link]

2. Configuration initiale de pfSense

Configurer les interfaces : - Interface WAN : IP statique [Link]/24 - Interface LAN : IP
statique [Link]/24 Activer DHCP sur LAN : - Range : [Link] –
[Link]

3. Règles de pare-feu (Firewall)

Objectif : autoriser le trafic nécessaire et bloquer le reste. a) Sur l’interface LAN : -
Passer le trafic sortant vers HTTP (TCP port 80) b) Sur l’interface WAN : - Bloquer tout
par défaut - Autoriser uniquement les règles spécifiques comme le VPN ou un port
HTTP redirigé

4. NAT et redirection de port (port forwarding)

But : publier un service web sur la machine interne. Étapes : - NAT > Port Forward > Add -
Interface
: WAN, Port : 80 - IP de redirection : [Link] - Ajouter une règle associée -
Restreindre l’accès à l’IP source [Link] Tester : curl [Link] depuis la
machine externe.

5. Mise en place d’un VPN (OpenVPN)

- Accéder au wizard OpenVPN dans pfSense - Créer CA, certificat serveur,
utilisateurs - Tunnel VPN : [Link]/24 - Exporter la configuration .ovpn avec le
package client-export - Tester la connexion depuis le client externe Vérifier la
connectivité entre 10.8.0.x  192.168.1.x

6. Détection d'intrusion (IDS) avec Suricata

- Installer Suricata via le gestionnaire de paquets - Activer sur l’interface WAN -
Télécharger les règles (Emerging Threats) - Activer IPS si supporté - Simuler un scan
avec nmap depuis l’extérieur Observer les alertes dans Logs > Suricata
Correction complète du TP Sécurisation Réseau avec pfSense

1. Architecture réseau
Description
 pfSense : machine virtuelle avec deux interfaces réseau
o WAN : IP statique [Link] /24
o LAN : IP statique [Link] /24
 Client Interne (LAN) : IP [Link], passerelle [Link]
 Client Externe (WAN) : IP [Link], passerelle [Link]

2. Configuration initiale de pfSense

Étapes
1. Accéder à l’interface web pfSense (habituellement [Link] depuis un client
LAN).
2. Configurer les interfaces réseau :
o WAN :
 Interface WAN → Configuration statique
 IP : [Link]
 Masque : [Link] (/24)
 Passerelle : aucune (car c’est la passerelle vers l’extérieur)
o LAN :
 Interface LAN → Configuration statique
 IP : [Link]
 Masque : [Link] (/24)
3. Activer DHCP sur LAN :
o Services → DHCP Server → LAN
o Activer le serveur DHCP
o Range d’adresses : [Link] à [Link]
4. Vérification
o Le client LAN doit pouvoir obtenir une IP dynamique dans la plage via DHCP.
o Le client externe doit pouvoir pinger [Link].

3. Règles de pare-feu (Firewall)

a) Interface LAN
 Objectif : autoriser uniquement le trafic sortant HTTP (port TCP 80).
 Configuration :
o Aller dans Firewall → Rules → LAN
o Supprimer toutes les règles existantes sauf la règle par défaut (si besoin)
o Ajouter une nouvelle règle :
 Action : Pass
 Interface : LAN
 Protocol : TCP
  Source : LAN subnet ([Link]/24)
 Destination : any (ou [Link]/0)
 Port destination : 80 (HTTP)
o Ajouter une règle « Block all » en fin pour bloquer tout le reste (optionnel si
aucune règle par défaut)
b) Interface WAN
 Objectif : bloquer tout par défaut sauf les exceptions.
 Configuration :
o Aller dans Firewall → Rules → WAN
o Supprimer toutes les règles existantes (ou s’assurer qu’aucune règle autorise)
o Par défaut, pfSense bloque tout sur WAN.
o Ajouter une règle spécifique pour autoriser le port HTTP vers pfSense (WAN port
80) si besoin.
o Ajouter une règle pour autoriser le trafic VPN (port UDP 1194 par défaut pour
OpenVPN).
o Ne pas oublier d’avoir une règle explicite pour laisser passer ces ports, sinon tout
est bloqué.

4. NAT et redirection de port (port forwarding)

Objectif
Publier le serveur web interne ([Link]) sur le port 80 de l’interface WAN.
Étapes
1. Aller dans Firewall → NAT → Port Forward → Add
2. Configurer la règle :
o Interface : WAN
o Protocol : TCP
o Destination port range : 80 → 80
o Redirect target IP : [Link]
o Redirect target port : 80
o Description : "Port Forward HTTP vers serveur interne"
o Filter rule association : cocher « Add associated filter rule »
3. Restriction IP source :
o Modifier la règle firewall automatique créée par le port forwarding
o Dans Firewall → Rules → WAN, éditer la règle associée
o Source : IP [Link] (client externe autorisé uniquement)
o Enregistrer
4. Test
o Depuis client externe ([Link]), lancer :
5. curl [Link]
o On doit recevoir la page web servie par le serveur interne ([Link]).

5. Mise en place d’un VPN (OpenVPN)

Étapes
1. Lancer le wizard OpenVPN :
o Aller dans VPN → OpenVPN → Wizards
2. Créer la CA (Autorité de Certification) :
o Choisir « Create a new Certificate Authority »
o Remplir les informations demandées (nom, pays...)
3. Créer un certificat serveur :
o Utiliser la CA créée
o Définir un nom (ex : pfSense_Server)
o Configuration de la clé (taille recommandée 2048 bits ou plus)
4. Configurer le tunnel VPN :
o Tunnel Network : [Link]/24 (réseau VPN)
o Local Network : [Link]/24 (permet d’accéder au LAN interne via VPN)
o Port UDP 1194 par défaut
5. Créer un utilisateur VPN :
o Aller dans System → User Manager
o Ajouter un nouvel utilisateur avec certificat utilisateur
6. Exporter la configuration .ovpn :
o Installer le package « OpenVPN Client Export Utility » via System → Package
Manager → Available Packages
 o Une fois installé, aller dans VPN → OpenVPN → Client Export
o Sélectionner l’utilisateur VPN et exporter la configuration
7. Tester la connexion depuis client externe :
o Importer la config .ovpn dans un client OpenVPN
o Connecter
o Vérifier que l’IP VPN est bien dans la plage 10.8.0.x
o Tester la connectivité, [Link].:
8. ping [Link]
o Cela doit réussir, prouvant l’accès au LAN via VPN.

6. Détection d'intrusion (IDS) avec Suricata

Installation
1. Aller dans System → Package Manager → Available Packages
2. Rechercher Suricata et installer.
Configuration
1. Aller dans Services → Suricata
2. Ajouter une interface :
o Interface : WAN
o Activer le mode IDS (Intrusion Detection System)
o Cocher « Enable IPS » si votre matériel le supporte (Intrusion Prevention System)
3. Télécharger les règles :
o Aller dans Update → Download Rules
o Sélectionner « Emerging Threats » ou une autre source
o Appliquer
4. Démarrer Suricata sur l’interface WAN
Test
1. Depuis le client externe ([Link]), lancer un scan nmap :
2. nmap -sS [Link]
3. Observer dans pfSense :
o Aller dans Logs → Suricata → Alerts
o Vous devez voir les alertes générées par la détection d’un scan réseau

Résumé des tests finaux

Test Résultat attendu
Client LAN reçoit IP
DHCP LAN fonctionne
192.168.1.x
Client LAN accède à HTTP externe Oui, via règle firewall LAN
Client externe curl vers pfSense OK, via NAT port forwarding
Client externe VPN OpenVPN
OK, obtient IP 10.8.0.x
connecte
Client VPN ping LAN interne OK, ping [Link]
Suricata détecte scan externe Alertes visibles dans logs

7. Synthèse des compétences visées

Compétence Description
Filtrage réseau Création de règles selon les flux et priorités
Port Forwarding Exposition contrôlée de services internes
VPN Mise en œuvre d’accès distant chiffré
IDS/IPS Détection et réaction face à des menaces réseau
Analyse réseau Observation des flux et comportements suspects