Mise en place d’un serveur proxy IPFIRE

KIMBENI SERGE ET FLORIAN QUANTIN SIO2 Introduction

Un pare-feu (de l'anglais firewall) est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique. Il surveille et contrôle les applications et les flux de données (paquets).

Installation ipfire

Booter une clé USB ou un CD d’installation

Accepter et continuer

Nous sélectionnons ensuite le disque sur lequel sera installé ipfire

Puis choisir toute la partition

Laisser par défaut le système de fichier ext4

Après quelques secondes, l’installation du système démarre

L’installation terminée, nous redémarrons le système.

Une fois redémarré, nous allons choisir le type de clavier qui sera pris en charge par le système ; nous prenons le clavier fr-latin9

• Le fuseau horaire : Europe/Paris puis ok • Nom de l’hôte de la machine : ipfire • Nom du domaine : laisser localdomain par défaut • Entrer le mot de passe et confirmer

Dans le dialogue suivant, nous allons choisir la configuration réseau avec 2 cartes correspondant aux couleurs :

Red : Rouge dont l’interface est paramétrée en DHCP (par où arrive internet)

Green : vert, l’interface de notre serveur ipfire

Ensuite, nous attribuons chaque couleur à une carte réseau

Nous allons par la suite configurer notre DHCP

Une fois terminé et validé, notre serveur redemarre. Au demarrage, login : root

Password : …..

Pour accéder à l’interface ipfire, ouvrez un navigateur et entrer l’adresse du serveur ipfire suivi du port 444 : htpps://192.168.1.16 :444

Allez dans l’onglet Pare-Feu -> Option du Pare-Feu

Mise en place de filtrage horaire, test.

Nous avons autorisé l’accès à internet en décochant le vendredi, de 00h à 24h. Ensuite valider et redémmarer le service. La connexion est donc autorisée, et le vendredi, toute la journée il n’y aura pas internet sur l’ensemble des machines.

test

Mise en place de limitation de débit pour les téléchargements, test.

Mise en place de filtrage d’adresse URL, test.

Mise en place d’une liste noire (UNIV-Toulouse par exemple), test.

Mise en place d’un cache, test.

Nous allons télécharger un logiciel, vlc

Si on télécharger pour la deuxième fois sur n’importe quel machine, le téléchargement est plus rapide que avant.

Personnalisation de la page affichée lors des refus, test.

Paramétrage d’un poste administrateur sans restriction, test.

Il suffit d’entrer l’adresse IP du poste pour lui donner accès et permission.

Regarder si votre solution permet des contrôles approfondis : restriction des navigateurs, quota de navigation, gestion par utilisateur, interfaçage avec l’annuaire (AD), DMZ, WIFI, journaux de navigation.

Quota

C’est le temps accorder à un utilisateur pour la conexion.

PFSENSE

PfSense est une distribution open-source basé sur FreeBSD (license BSD) utilisé principalement pour transformer un pc en pare-feu. C’est un fork de mOnOwall (qui est aussi une distribution aux fonctionnalités similaires). PfSense ne fait pas seulement office de firewall et de routeur, PfSense offre une multitude de fonctionnalités intéressantes comme par exemple :

• Pare-feu (sa fonction primaire) qui est le même que celui utilisé par la distribution FreeBSD (à savoir PacketFilter). • Table d'état qui contient les informations sur les connexions réseaux. • Traduction d'adresses réseaux (NAT) ce qui permet de joindre une machine situé sur le LAN à partir de l'extérieur. • VPN pour sécurisé les données transitant sur le réseau. • Serveur DHCP qui permet de distribuer automatiquement une configuration IP aux équipements présents sur le réseau. • Serveur DNS (statique ou dynamique) qui permet de communiquer avec les autres périphériques présents sur le réseau grâce à leurs adresses IP.

Après l’installation

Dans service choisir Captive Portal

Ajouter : +Add

Nommer la zone puis sauver

Activer le Portail Captif

Plus bas, rediriger vers…. « google » puis désactiver le filtrage mac

Notre portail est bien créé

Dans un hôte, on essaye de se connecter

Lui donner une adresse IP fixe, une passerelle (adresse du proxy) et un DNS (8.8.8.8 )

Aller dans le navigateur, taper l’adresse IP du proxy (172.16.16.100)

Login : par défaut : admin, mot de passe pfsense

Connexion à internet

On peut le voir sur notre portail

Et même son adresse IP

Filtrage

Allez dans System > Packages > et cliquez sur l’onglet Available Packages

Recherchez dans la liste des paquets celui dont le nom est « squidGuard » et « squid » et cliquez sur les petites icônes à coté de leurs description ( 1 et 2 sur l’image)

Plus bas, confirmer et confirmer

Mise en place du filtrage des URL

Le service démarre ; s’il ne démarre pas, activer dans service>Squid Proxy

Pour filtrer les urls nous allons utiliser cette blacklist :www.shallalist.de/Downloads/shallalist.tar.gz

Munis de ce lien allez dans Services>SquidGuard Proxy puis scroller vers le bas jusqu’a atteindre la partie « Blacklist Options », vous cochez la case a coté de « Blacklist » et entrer l’url de votre Blacklist au niveau du champ « Blacklist URL » et cliquez sur « save ».

Allez sur blackliste puis télécharger

Pour créer les utilisateurs, aller dans service>Gestionnaires d’usagers

Ajouter

Remplir les champs