PFsense et la sécurité

on 1 comment
Aujourd'hui, j'aimerais vous parler de PFSense.

C'est un outil 'open source' qui permet de gérer la sécurité de notre réseau local.
Vous allez me dire. Ok mais pourquoi faire ? Je m'en moque...

Si vous n'êtes pas très regardant concernant la sécurité et vos données confidentielles, passez votre chemin ;) Sinon, cet outil est bien pratique.

Je vous l'accorde, il y a des outils beaucoup plus jolis mais pas aussi complets et efficaces à mon goût.


Mes besoins :

J'ai voulu mette un outil me permettant de :
Gérer les nombreuses adresses de mes périphériques réseaux et ne pas permettre à des 'inconnus' d'utiliser mon réseau et Internet.
Comptez les chez vous, le nombre monte vite. (téléphones, tablettes, TV, RPI, PC, Module WIFI, Consoles, liseuse etc...) Moi j'en suis à près de 70.

Comment j'utilise ce dernier ?

PFSense est installé en machine virtuelle sur mon ESX. Je peux ainsi à minima le sécuriser via des snapshot avant les upgrades et lui allouer autant de ressources que nécessaire.
Sur mon ESX, j'ai installé 2 cartes réseaux Gb supplémentaires (chez moi tout est en Giga, switch, carte réseau etc...) que j'ai lié à cette machine virtuelle.
J'ai donc directement connecté sur mon ESX et monté à mon pfsense un lien vers ma box et un autre lien vers mon réseau local.

Un rapide schéma réseau (fait avec ce que j'avais sous la main :) )


Je peux ainsi via cet outil :

  • Gérer le Firewall
    • Le firewall et ses règles permettent d'autoriser ou non certaines adresses (donc équipement) à discuter sur le réseau ou à sortir sur le net.
  • Avoir un vpn
    • Le VPN permet de se connecter chez moi comme si j'était à mon bureau.
  • Régler le DHCP.
    • Le DHCP permet d'attribuer les adresses du réseau à mes équipements. Je ne le laisse pas en automatique, je défini moi même qui peut se connecter ou non.
  • Avoir mes propres DNS.
    • Je n'utilise du coup pas les DNS de mon fournisseur d'accès. Ce qui permet de ne pas avoir de problèmes sur certains sites avec ce que l'on appel les DNS menteurs.
  • Voir les logs.
    • Il y a une page dédié au logs, ça aide pour débugger et pour savoir qui fait quoi. J'ai ainsi pu voir et bloquer mes prises connectées wifi qui effectuaient des appels vers un site 'internet'.
  • Je gère aussi mon Proxy WEB.
    • Un proxy permet d'avoir du cache sur les sites (ce qui accélère la navigation) mais surtout, je peux filtrer les urls. Bien pratique quand l'on a des enfants à la maison pour ne pas forcement utiliser les 'filtres parentaux'. Attention tout de même ;) ça ne filtre pas tout.
Avec ce type de réseau, je me retrouve donc complètement indépendant de ma box et de ses services réseaux. J'utilise uniquement le NAT pour rediriger 1 ou 2 ports.
J'ai grâce à cela pu changer d'opérateur Internet plusieurs fois sans changer nos habitudes mis à part le menu de la télévision fourni par la box :)

Vous trouverez des dizaines de tuto sur le net pour installer et configurer votre PFSense.
A vous de vous amuser.

Bab.
Babounx

1 commentaire:

  1. arnaud11 février 2019 à 06:17

    hello, bonne idée, je n y avais pas pensé ! Par contre, pourquoi 2 cartes réseaux supplémentaires ?

    RépondreSupprimer