Netgate Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - jdh

Pages: [1]
1
Français / Documents de l'ANSSI
« on: March 07, 2018, 11:16:11 am »
Un document récent (janvier 2018) rédigés par l'ANSSI, que je vous recommande de lire :

https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf

Cela représente les recommandations de l'état Français pour les entreprises.
Vous trouvez les bons schémas, des réponses à des questions qui reviennent sans cesse, ...

Bonne lecture.

2
Français / Sortir de la gestion des certificats sur pfSense
« on: January 23, 2018, 12:36:27 pm »
Bonjour,

Une question sans respect du formulaire (et pour cause).


pfSense intègre une gestion de certificats X509 simple et intuitive.
Il y a ce qu'il faut : création d'une CA, création de certificats serveurs et clients, export des certificats sous plusieurs formats, révocation et certificat .crl.
C'est simple et efficace.

Mais parfois on quitte pfSense, ou on veut gérer plus que 15 certificats, ou on se dit que ce n'est pas top d'avoir la gestion des certificats sur le firewall !

Qui a installé une appli de PKI sur un serveur interne et avec quel résultat ?

Merci de vos REX.

NB : quelques solutions de PKI opensource connues : EJBCA, EasyCA (avec OpenVpn), OpenCA, XCA, OpenTrustPKI (IDNomic), ...


3
Français / NAT port forward au travers d'un VPN
« on: January 20, 2018, 05:36:55 am »
Bonjour

Contexte :Milieu professionnel, Système et Réseaux au sein d'un groupe constitué de plusieurs PME plus ou moins autonomes.

Besoin :(non spécifique pfSense même s'il y a encore quelques pfsense).
Un site central ferme mais son infra serveurs doit continuer à tourner dans des locaux vides d'occupants.
Cette infra fait tourner des EDI donc avec des arrivées Internet.
Des personnes travaillent à distance sur les serveurs (VPN site à site).

La solution 'normale' est de déplacer les ip publiques sur un autre site et déplacer l'infra sur ce site.
L'autre solution 'normale' est de contacter tous les intervenants et les faire pointer vers de nouvelles ip publiques.
Mais c'est à préparer à l'avance ...

Le besoin est de déplacer l'infra, au plus vite, alors que les arrivées Internet ne sont pas encore déplacées.

Schéma :
Actuel :
site central : Internet <-> (WAN) firewall (LAN/DMZ) <-> Serveurs
avec des NAT Port Forward et des VPN depuis d'autres sites.

Pistes imaginées :
Schéma futur (et temporaire) :
site central       : Internet <-> (WAN) firewall (nouveau LAN)
site hebergent  : Internet <-> (WAN) firewall (LAN site central)

Un nouveau VPN est créé entre le site central et le site herbergent (d'où changement de LAN sur le site central)
Les 'NAT port forward' du site central restent en place mais les serveurs cibles sont accessibles via VPN sur le site herbergent.

Autre piste imaginée :
site central      : Internet <-> (WAN) firewall (nouveau LAN) <-> 1 serveur
site hébergent : Internet <-> (WAN) firewall (LAN site central)

Un nouveau VPN est créé ...
Mais sur le site central, chaque 'NAT port Forward' est renvoyé vers un seul et même serveur Linux (Debian) qui va faire tourner autant de boucle  suivantes que de port forward :

boucle en shell (valable pour tcp) :
while true
do
  nc -l -p $port_ecoute -c "nc $serv_distant $port_distant";
done &

nc est la commande netcat.
avec -l netcat écoute, et avec -c exécute une commande : ici avec un autre netcat le trafic est reporté vers le serveur distant !

Question :
Avez vous été confronté à la même problématique ?
Avez vous attendu le transfert d'ip publiques ?
Avez vous déjà fait du 'NAT port forward vers un serveur non local ?

NB :
La boucle netcat proposé fonctionne mais oblige à laiser un serveur, et sera ce suffisant ?

4
Français / Problème de perf VPN IPSEC
« on: October 17, 2017, 10:41:58 am »
Contexte : milieu pro, niveau expertise de l'administrateur : bonne (assez bonne ?), age de la solution firewall : ~5 ans, version actuelle 2.3.4-RELEASE-p1 (amd64)

Besoin : améliorer la perf des tunnels IPSEC, disymétrie de la perf

Schéma : concerne 3 sites avec pfsense et 2 sites avec d'autres firewall

Site H : pfsense + lien fibre SFR 20 Mb + lien adsl (central)
Site N : pfsense + lien fibre SFR 20 Mb + lien adsl (satellite)
Site R : pfsense + lien fibre (Maroc) + lien adsl (satellite)
Site G : fortinet 60D + lien fibre SFR 20 Mb (satellite)
Site M : cyberoam + lien fibre Orange 200 Mb (satellite)

Config type :  WAN1 : fibre / WAN2 : adsl (le cas échéant) / LAN + DMZ + autres (le cas échéant) (L'adressage n'a pas d'importante : respecte RFC1918)

Les 3 pfSense sont identiques : DELL serveur R210 II (2012) :
- Pentium G620 / 4G mém / 500G disque sata 7200t
- 2 ports broadcom (BCM5716) + carte quad ports broadcom (BCM5709) : (toutes gigabit), toutes vues via le driver 'bce'
Les seuls packages ajoutés sont : Darkstat (activé à la demande), NTopng (activé à la demande), Zabbix 2 et FTP_Client_Proxy (inévitable).
La charge cpu est minimale : Load Average 0.05, 0.08, 0.05 (valeur pfsense) (valeur Zabbix : processeur load 1m/5m/15m : 0.08,0.05,0.03)
(NB : G620 ne supporte pas AES-NI ... hélas !)

Règles NAT : (pas d'importance)

Règles Firewall : pour l'onglet IPSEC : règles 'full laxiste' : any to any entre les 2 côtés des tunnels IPSEC

Les tunnels IPSEC sont variés en phase 1 et phase 2 : dépendent notamment des autres firewall :
H <-> N : mode : main : phase 1 : blowfish128 / sha256 : phase 2 : ESP / blowfish128 / sha256
H <-> G : mode : aggressive : phase 1 : 3des / md5 : phase 2 : ESP / 3des / md5
H <-> M : mode : main : phase 1 : aes128 / md5 : phase 2 : ESP / aes128 / md5

H <-> R : mode : main : phase 1 : blowfish128 / sha1 : phase 2 : ESP / blowfish128 / sha1

Je me suis intéressé surtout au débit entre H et G, et H et M, avec comme référence H et N.
J'observe que
- entre H et N (pfsense à pfsense), j'obtiens dans les 2 sens environ 4 Mb (sur 20)
- entre H et G (pfsense à fortinet), j'obtiens de H vers G environ 5 Mb (sur 20) et de G vers H environ 10 Mb (sur 20)
- entre H et M (pfsense à cyberoam), j'obtiens les mêmes résultats que H vers G
De plus j'ai regardé
- entre N et G : même observations que H et G : 5 Mb en envoi contre 10 en réception

Nb : sur les sites H, N et G, j'ai bien observé un débit HTTP de 20 Mb via mire adsl par exemple


Je conclue que
- la perf d'un pfSense est très moyenne en émission/réception vers un autre pfsense : dû à l'absence de AES-NI alors que pas de charge proc !
- le pfsense est capable de recevoir depuis un autre firewall plus vite qu'il est capable d'envoyer !

Je m'attendais à
- des débits symétriques (et non disymétriques) d'environ 16 Mb par Ipsec sur fibre 20 Mb.

J'ai bien conscience que le matériels est ancien (2012 / Pentium non AES-NI) mais les appliances Fortinet/Cyberoam ne doivent pas disposer d'un processeur meilleur (quoique peut-être AES-NI).
Et surtout il est illogique que pfsense puisse recevoir 2 fois plus vite qu'il émet !


Qu'en pensez-vous ?

(Merci de m'avoir lu).








5
Français / Quel client OpenVPN Windows ?
« on: August 22, 2016, 12:21:19 pm »
Attention un peu hors sujet pfSense !

Contexte : milieu pro (groupe), expertise de l'admin : bonne, objectif production


Besoin : Les firewall des différents sites du groupe doivent fournir un accès VPN à chaque site.
Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.
Le client 'classique' inclut dans la version communautaire est 'OpenVPN Gui' et il nécessite d'être administrateur.
Or je ne veux plus avoir d'utilisateur administrateur local !

Schéma : Classique : WAN <-> pfsense <-> DMZ + LAN

WAN : typiquement un accès fibre

LAN : typiquement une zone 'SERVEUR' (seule accédée en VPN), plus une zone 'DMZ', plus quelques LAN et un WIFI (GUEST)

DMZ : oui mais non visé

WIFI : oui mais non visé

Autres interfaces : oui mais non visé (rôles variés : ToIP, Atelier, ...)

Règles NAT : non concerné

Règles Firewall : à établir ... : alias NetVPN -> NetSERVEUR

Packages ajoutés : Test infructueux de 'ClientExport', donc génération directe des fichiers de conf du client (user par user)


Question : déduit du besoin : quels clients OpenVPN pour Windows utilisez vous ? Et arrivez vous à fonctionner en non admin ?

Pistes imaginées : J'ai testé
- OpenVPN Gui (inclus dans communautaire) : semble limité à un tunnel VPN, donc inadapté.
- OpenVPN MI Gui : nécessite de modifier les fichiers de conf d'origine, pas testé complétement.
- Secure Point SSL Client : sait importer un .ovpn, fonctionne (en admin), pas encore testé en non admin.

Recherches : Quelques liens trouvés
- http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.html (doc ancienne avec 2 possibilités mais limité à un seul tunnel ?)
- https://www.reddit.com/r/OpenVPN/comments/46t665/openvpn_in_windows_10_as_unprivileged_non_admin/ (m'a fait découvrir 'mi' ...)

Logs et tests : en cours ...


Merci de vos retours pratiques ...

6
Français / Mise en place de WPAD
« on: January 21, 2016, 11:21:02 am »
WPAD est un protocole de découverte de proxy : Web Proxy Auto Discover protocol.


Principes :
Chaque navigateur doit connaitre le proxy à utiliser pour accéder à Internet.
Soit on le configure (manuellement ou automatiquement), soit on ajuste pour que le navigateur trouve tout seul le proxy.

Sites de référence :
- https://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol (forcément Wikipedia ! la version française est moins complète)
- http://irp.nain-t.net/doku.php/220squid:050_wpad : Christian CALECA (forcément), un peu vieilli
- http://findproxyforurl.com/ : excellente doc, idéale pour la mise en place

Fonctionnement général :
Les navigateurs vont utiliser
- soit une info DNS
- soit une info DHCP
pour trouver un serveur web qui va leur fournir un script (en javascript) qui, en fonction d'une URL, retournera soit 'proxy=http://serveur:port' soit 'direct'.

Comme tout n'est pas totalement standard,
il est à conseiller de paramétrer
- le DNS et le DHCP pour fournir les 2 formats d'informations
- les 2 (ou 3) noms de script (wpad.dat, proxy.pac, wpad.da)
Enfin vous devrez faire une mini configuration des navigateurs.

Il est à conseiller de faire des tests minutieux lors de l'implantation.
Bien sur, la qualité du script conditionnera le résultat : pensez simple !

Le site http://findproxyforurl.com/ donne tout les détails de mise en oeuvre.
Il est de bon ton de savoir configurer
- un serveur (service) dhcp
- un serveur (service) dns
- un serveur web (iis ou apache)
- écrire un petit script javascript : partir des examples et adapter

NB : il est judicieux, en multi-site mais mono-domaine dns, de savoir donner des valeur différentes à wpad.domaine.local selon le site.


NB : le site http://findproxyforurl.com/ ne mentionne pas un petit détail : les serveurs DNS Windows (à partir de 2008) ne fournissent pas nativement wpad.domain.local (blocké). Il est alors nécessaire d'ajuster la 'globalqueryblocklist', cf https://technet.microsoft.com/fr-fr/library/cc995158.aspx


Conseils pratiques :
Démarrer par la config DNS et DHCP.
Bien vérifier qu'un simple 'nslookup wpad' donne bien l'adresse ip du serveur web que vous allez créer.
Pour le serveur web, il est nécessaire de bien configurer le mime-type pour .dat et .pac
Ecrivez votre script et tester http://wpad/wpad.dat ou proxy.pac : recevez vous bien le script ?
Ajustez votre config d'autodécouverte pour IE, Chrome, Firefox
Testez si le serveur web fournit bien les scripts (cf fichier access.log pour Apache)


A la fin, on se demande comment avait on fait sans ...

Merci de commentez pour des questions pratiques, et non sur le fond (parce qu'il n'y a rien à dire ici) ...

7
Français / Plusieurs réseaux 'LAN'
« on: June 27, 2015, 07:50:45 am »
Une fois n'est pas coutume, je pose une question !


Contexte : Environnement professionnel, site de PME avec plus de 250 adresses @ip.

Le site regroupe bureau et atelier.
Bureau = pc classique + serveurs + copieurs ...  = adressage 192.168.X.0/24
Atelier = ensemble de machines à commande numérique + pc classique, terminaux, ... = adressage 192.168.Y.0/24

Toutes les machines de l'atelier sont définies manuellement en ip statique.
Les PC des bureaux sont en DHCP et récupèrent une adresse en 192.168.X.0/24

Le schéma 'normal' serait d'avoir 2 cartes réseaux LAN1/LAN2 : LAN1 en .X.0, LAN2 en .Y.0, les règles qui vont bien entre les 2 réseaux.

Mais il ne peut y avoir qu'un seul DHCP !
Et c'est un 'gaspillage' que d'utiliser 2 cartes réseau réelles (même si mes fw ont 6 interfaces !).

NB : en terme de VLAN, il y a juste le Wifi invité : j'utilise des points d'accès qui émettent plusieurs SSID et associe à chaque signal un VLAN.

Besoin :
Eviter d'avoir 2 interfaces réseaux physiques.
Permettre un DHCP qui affectent sur 2 réseaux.

Schéma : non significatif

Pistes imaginées :
Naturellement les VLAN : p.e. Bureau = VLAN 1 (= pas de VLAN), Atelier = VLAN 2, (Téléphone IP = VLAN 3, Wifi Invité = VLAN 4)
Mais comment affecter le VLAN2 ? par le réglage de chaque prise de switch + étiquette ronde sur prise pour dire 'cette prise sera VLAN 2'

8
Français / Borne Wifi avec accès Guest
« on: April 17, 2013, 08:43:36 am »
Pour une PME, j'ai un réseau LAN standard.
J'ai ajouté 2 bornes wifi (WPA/PSK-AES+clé "longue") afin de permettre aux nomades (= équipé d'ordi portables) de rester connecté même hors de leur bureau.

Mais, nous recevons des visiteurs !
J'aimerais donc créer un signal wifi supplémentaire (car il est hors de question de fournir la clé = réservée aux internes de l'entreprise).

Y a-t-il des expériences avec des routeurs wifi  avec double signal et, en fonction, un VLAN ?
Mon idée est dd-wrt qui sait fournir 2 signaux sur à peu-près n'importe quel routeur wifi.
Mais il faut isoler le flux d'où VLAN.


9
Installation and Upgrades / Upgrade a cluster of fw
« on: December 17, 2009, 09:31:27 am »
Hi !

I have 2 cluster of 2 firewall pfSense 1.2.2 using CARP ...

I'm considering the upgrade of these firewall.
The howto is perfect for a single firewall but doesn't describe the procedure for a CARP cluster.

Which method is better (or only successfull) :
- upgrade the master firewall then the slave firewall,
- upgrade the slave firewall then the master firewall,
- save the config, break the carp, upgrade the slave (without network), restore the config, plug the slave on network, upgrade the "master" and redefine carp.

Do you have experiences on this ?
Thanks.

10
Firewalling / multiples gateways
« on: January 21, 2009, 02:46:20 am »
Hi !

Is it possible to have differents gateways dependant on kind of traffic ?

I explain my goal :
- I have a pfsense firewall (WAN+LAN+OPT1=DMZ),
- On DMZ, I have a server (more powerfull than the firewall) able to do transparent proxy cache (Squid), transparent proxy ftp (frox), transparent proxy pop3 (p3scan),

If I try to use a NAT rule (source interface LAN, address any), the ip address is changed to the DMZ server.
If I try to use a "policy based rules", the traffic goes from the WAN of firewall.

The idea is to be able to change de "defaut gateway" (as a routeur) depending of the protocol.
For exemple, when I use a routeur the mac address is set to the routeur and not the ip address.

A example for Linux/iptables (in french) is http://irp.nain-t.net/doku.php/100iproute:start

Pages: [1]