Yahoo refuse tous les emails du site. Si vous avez une adresse chez un autre prestataire, c'est le moment de l'utiliser ;)

En cas de soucis, n'hésitez pas à aller faire un tour sur la page de contact en bas de page.

Assembler soi-même un pare-feu pfSense simple et fonctionnel

Entrée sur invitation uniquement

Image d'entête

par skywodd | | Licence (voir pied de page)

Catégories : Projets | Mots clefs : DIY Pare-feu Firewall pfSense Qotom


Dans ce projet, je vous propose de reprendre la main sur la sécurité de votre réseau informatique (personnel et/ou professionnel) en assemblant vous même un pare-feu pfSense DIY, simple, propre et fonctionnel.

Sommaire

Bonjour à toutes et à tous !

Depuis quelques semaines, j'envisage de déployer IPv6 sur le réseau de l'atelier, ainsi que sur les serveurs du TamiaLab. J'ai donc fait quelques recherches pour me documenter sur le sujet, histoire de ne pas faire de bêtise. J'ai ainsi pu dissiper pas mal d'idées reçues que j'avais sur IPv6 et entrevoir un chemin clair pour déployer cette technologie sans prendre de risques.

La conclusion de mes recherches est simple : IPv6 c'est l'avenir. J'en ferai surement un article dédié, car le sujet est vraiment intéressant. Cependant, IPv6 c'est aussi l'obligation de sécuriser son réseau. En IPv6, tous les périphériques sont directement reliés à internet. Il n'y a pas de traitement intermédiaire. C'est certes plus rapide et plus performant, mais c'est aussi plus dangereux si on ne prend pas le temps de s'informer et de protéger son réseau. Contrairement à IPv4, il n'y a pas de garde-fou.

On va donc voir dans cet article comment assembler un pare-feu professionnel à moindre coût pour protéger son réseau des menaces venant du sacro-saint internet, mais aussi de l'intérieur de ce même réseau.

Avant de commencer : définition

Exemple de règles d'un pare-feu

Un exemple de pare-feu logiciel

Un pare-feu est une machine, voir simplement un logiciel, qui filtre les données entrantes et sortantes d'un système ou d'un réseau.

Le but d'un pare-feu est d'empêcher des personnes extérieures à un réseau ou à un système de communiquer avec les machines ou services de celui-ci. C'est aussi généralement une protection contre les menaces sortantes ou venant directement de l'intérieur du réseau.

Dans le cas d'un réseau universitaire ou d'une entreprise par exemple, on utilisera un pare-feu - en complément d'autres appareils réseau - pour séparer chaque salle, étage ou utilisateur dans un réseau cloisonné. Cela permet d'empêcher des comportements dangereux, volontaires (sabotage, piratage, etc.) ou involontaires (virus, etc.).

De plus, un pare-feu permet en général de filtrer certains sites web, protocoles de communication, ou de spécifier des autorisations d'accès à une machine ou à un service.

Au bord de la falaise : le vide

Pourquoi je vous parle d'IPv6 en introduction ? Et bien parce qu'en faisant mes recherches, j'ai découvert un truc qui va vous faire pleurer de rire, ou juste pleurer : la plupart des "box internet" des différents fournisseurs d'accès, ainsi que les divers routeurs WiFi grand publique n'ont pas de pare-feu IPv6. En réalité, ils n'ont pas de pare-feu du tout.

Ce que beaucoup de fabricants de matériels réseau appellent à tord un "pare-feu" n'est en réalité que la technologie NAT qui permet de "cacher" un réseau privé derrière une unique adresse IPv4. Les fournisseurs d'accès à internet utilisent systématiquement cette technologie dans leurs "box internet".

Dans les faits, la technologie NAT ressemble fortement à un pare-feu minimaliste, mais ce n'est qu'une illusion, un simple effet de bord. De plus, le problème avec la technologie NAT, c'est qu'elle n'est valable qu'avec IPv4 (l'ancienne version du protocole IP que IPv6 doit remplacer à terme). Cette fonctionnalité n'a jamais été conçue pour des raisons de sécurité. Cette fonctionnalité existe à l'origine pour pallier un manque d'adresses disponibles.

Avec IPv6, il n'y a pas de NAT. C'est un des points clefs d'IPv6 : tous les périphériques sont connectés les uns aux autres directement via internet. Du coup, on peut se demander légitimement qu'est-ce qui empêche un chinois à l'autre bout de la planète d'accéder à votre NAS, à vos caméras de vidéosurveillance ou à votre imprimante. Actuellement, en l'état des choses, rien.

La plupart des box internet et autres routeurs WiFi du commerce ne disposent tout simplement pas des fonctionnalités de filtrage nécessaire au bon déploiement d'IPv6.

Voici un exemple concret : ma box internet (une Freebox révolution v6) permet d'utiliser IPv6, ce qui est un bon point pour Free ! Tous les opérateurs ne proposent pas IPv6 pour le moment. Cependant, la Freebox ne dispose d'aucun pare-feu IPv6. Activer IPv6 sur une Freebox revient donc à rendre tous ses périphériques et ordinateurs accessibles depuis n'importe où via internet, sans aucune forme de sécurité. Aie.

Si votre box internet est compatible IPv6 et que vous avez activé l'option adéquate (ou quelle est activée par défaut), prenez le temps de vous questionner sérieusement sur votre sécurité réseau.

Posez-vous la question suivante : qu'est-ce qui empêche un internaute à plusieurs milliers de kilomètres d'utiliser votre imprimante ou de fouiller dans votre NAS ?

Vous risquez d'être surpris pas la réponse à cette question ;)

Pourquoi vouloir assembler son propre pare-feu ?

On pourrait être tenté de simplement désactiver (ou de ne jamais activer) IPv6. C'est ce que font beaucoup de personnes actuellement (moi y compris) et c'est ce que je recommande de faire pour le moment.

Activer IPv6 n'est pas anodin, dans les faits, cela revient à faire rentrer internet dans votre réseau local. Sans sécurité adéquate et sans les connaissances nécessaires, c'est la catastrophe assurée.

Cependant, se mettre la tête dans le sable n'a jamais été une bonne solution. Surtout quand on fait l'autruche sur une plage pendant que la marée monte. Il va arriver un moment où IPv4 va s'effondrer. Ne pas prévoir IPv6, c'est garder la tête dans le sable, au risque de se noyer, sans rien voir venir, quand la marée sera haute.

Alors que faire ? Activer IPv6 et se retrouver à poil sur internet ? Désactiver IPv6 et faire comme si tout aller bien ? Rien de tout ça, comme souvent, la solution reste d'investir dans du matériel adéquat.

Ceci dit, la grande majorité des routeurs WiFi et autres box internet sont de véritables horreurs informatiques. Ce sont ni plus ni moins que des condensés de mauvaises pratiques, d'erreurs grossières de programmation et de marketing débridé prenant souvent le dessus sur la raison et la sécurité. J'ai eu beau chercher encore et encore, je n'ai pas trouvé le moindre routeur WiFi dans le commerce qui soit un minimum "propre" techniquement parlant.

J'ai eu la chance (ou plutôt la malchance ?) d'utiliser plusieurs marques de routeurs WiFi, ainsi que les box internet de divers fournisseurs d'accès. À chaque fois, j'ai fait le même constat : l'interface web est lent, moche et peu sécurisé (voir pas du tout), la sécurité informatique est minime voir inexistante et le support logiciel ne dure pas plus de deux ans maximum. Certaines box internet ou routeurs WiFi "haut de gamme" s'en sortent mieux que les autres, mais globalement, c'est juste horrible.

J'ai donc personnellement choisi la voie du DIY. Après tout on est bien servi que par soi même !

Assembler son propre routeur / pare-feu à partir de pièces informatiques standards, c'est s'assurer un support technique viable dans le temps et un niveau de qualité contrôlée.

La liste de courses

Matériel pour pare-feu pfSense DIY

Le matériel requis

Matériel pour pare-feu pfSense DIY (suite)

Le matériel requis (suite)

Pour mon routeur / pare-feu, j'ai choisi d'utiliser du matériel informatique "classique" :

  • Mini PC QOTOM Q190G4-S02 (version OEM sans RAM / SSD) – ~168€

  • Disque SSD Kingston SSDNow mS200 mSATA (version 120Go) – ~60€

  • Mémoire RAM Kingston DDR3L 1600MHz KVR16LS11/4 (version 4Go) – ~33€

Total : 261€

QOTOM Q190G4-S02 (1/2)

Mini PC QOTOM Q190G4-S02

QOTOM Q190G4-S02 (2/2)

Mini PC QOTOM Q190G4-S02

Le coeur de mon routeur est un mini PC Qotom de référence Q190G4-S02. Il s'agit ni plus ni moins que d'un PC classique avec un processeur x86 standard, mais en format compact.

Ce mini PC est idéal pour un routeur / pare-feu, car il dispose de quatre ports Ethernet Gigabit, avec un contrôleur réseau Intel (très stable et compatible avec Linux).

Le processeur embarqué dans ce mini PC est un Intel Celeron J1900 (Quad-Core 2 GHz) qui ne consomme qu'une dizaine de Watts à pleine puissance. Celui-ci est largement suffisant pour un routeur / pare-feu et ne chauffe quasiment pas.

N.B. Le processeur n'a pas de coprocesseur cryptographique. Cela peut être embêtant si vous comptez utiliser le serveur VPN intégré dans le logiciel pfSense. Cependant, même sans coprocesseur cryptographique, le serveur VPN fonctionne très bien avec quelques utilisateurs et une connexion ADSL classique.

Pour la mémoire RAM, ce mini PC utilise des barrettes de RAM SODIMM DDR3L 1333/1600MHz (1,35 volt) standard pour ordinateur portable. J'ai choisi d'utiliser une barrette de 4Go, mais si vous le souhaitez vous pouvez aller jusqu'à 8Go au maximum.

N.B. Le fabricant recommande d'utiliser des barrettes de RAM de marque Samsung ou Kingston.

Pour le système d'exploitation, j'utilise un SSD mSata de 120Go, ce qui est largement suffisant pour installer le logiciel pfSense (voir chapitre suivant pour les détails).

À noter qu'il est possible d'installer un disque 2,5" avec la version S02 de ce mini PC, que ce soit à la place du disque mSata ou en complément. Il est aussi possible d'ajouter un module WiFi pcie/USB half-size, mais je ne le conseille pas (pfSense ne supporte pas très bien ce genre de module).

PS La version que j'ai reçue dispose d'un lecteur de carte SIM, ainsi que de quatre ports USB au lieu de deux. Apparemment, il y a eu une mise à jour du hardware récemment.

Installation de pfSense

pfSense est un système d'exploitation open-source pour routeur et pare-feu réseau professionnel. C'est le standard de facto en industrie dans le domaine des pare-feu open source.

Pour installer pfSense sur le mini PC, il convient d'abord d'aller sur la page https://www.pfsense.org/download/ puis de choisir les options suivantes :

  • Type de fichier : Install,

  • Architecture : AMD64,

  • Plateforme : USB Memstick Installer,

  • Console : VGA

Une fois le fichier téléchargé, il vous faudra 7-zip pour décompresser le fichier binaire de l'installateur et Rufus pour copier l'installateur sur une clef USB d'au moins 2Go.

Ecran de BIOS du QOTOM Q190G4-S02

Ecran du BIOS

Une fois la clef USB prête, branchez un écran sur le port VGA, ainsi qu'un clavier sur un des ports USB. Démarrez ensuite le mini PC en appuyant sur le bouton d'alimentation et immédiatement après, appuyez frénétiquement sur la touche échap du clavier pour entrer dans le BIOS.

N.B. Ce mini PC est conçu pour faire office de routeur / pare-feu, contrairement à un PC classique, l'écran de démarrage du BIOS est très court (moins de deux secondes). Pour rentrer dans le menu du BIOS, il faut avoir le bon timing.

Une fois dans le menu du BIOS, configurez l'heure du système et sauvegardez les nouveaux paramètres.

Branchez ensuite la clef USB d'installation de pfSense dans un port USB libre du mini PC et redémarrez le mini PC avec le bouton d'alimentation. L'installateur pfSense devrait se lancer automatiquement au redémarrage.

Menu de l'installateur pfSense

Menu de l'installateur pfSense

Après une grosse minute d'attente, vous devriez tomber sur le menu de l'installateur pfSense.

Avec les flèches droite / gauche / entrer du clavier, choisissez les options suivantes :

  • paramètre par défaut,

  • quick install

  • kernel standard

  • reboot

Une fois l'installation terminée, retirer la clef USB quand l'installateur vous y invite.

N.B. La documentation pfSense inclut des captures d'écrans de chaque étape, si jamais vous êtes perdu ;)

Ecran de démarrage de pfSense

Ecran de démarrage de pfSense

Au redémarrage du mini PC, vous devriez tomber sur un menu d'administration vous permettant de faire diverses actions sur le système.

Noter l'adresse IP du routeur / pare-feu (interface LAN), c'est via cette adresse que vous allez pouvoir configurer le routeur / pare-feu au moyen d'un simple navigateur web.

Interface web pfSense

Interface web pfSense

Pour configurer le pare-feu, il suffit de brancher un PC au port Ethernet n°2 au moyen d'un câble Ethernet, puis d'ouvrir un navigateur web pointant sur l'adresse précédemment notée.

L'utilisateur par défaut est admin avec comme mot de passe pfsense. Lors de la première connexion, un assistant de configuration devrait vous inviter à configurer le système. Suivez simplement le guide.

Une fois la configuration initiale terminée, vous avez accès à toute une panoplie de fonctionnalités réseau de niveau professionnel pour sécuriser votre réseau. Oui c'est technique. Oui la documentation n'est pas très claire pour certaines choses. Mais, hé, bienvenue dans le monde fabuleux des administrateurs systèmes et réseaux. N'hésitez pas à demander de l'aide sur internet, pfSense est une vraie religion en informatique ;)

Conclusion

Voilà qui conclut ce projet.

Si ce projet vous a plu, n'hésitez pas à le commenter sur le forum, à le partager sur les réseaux sociaux et à soutenir le site si cela vous fait plaisir.