Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

[pfSense] Filtrer les adresses IP à risque

icon 29/03/2022 - Aucun commentaire

Dans cet article nous présentons une solution afin de filtrer les adresses IP publiques réputées à risques ou hébergeant des malwares ou des contenus malveillants.

Il s'agit d'une solution intéressante et très rapide à mettre en œuvre sur ses firewall.

Nous présenterons deux solutions : une gratuite et une payante.



Filtrer les IP à risque, pourquoi ?


Une bonne pratique de sécurité informatique est d'empêcher le trafic à destination ou provenant de sources réputées à risque. C'est-à-dire le trafic vers ou à destination de serveurs ou d'adresses IP hébergeant des virus, des malwares, du contenu malveillant ou aux mains de pirates informatiques.

Cela apporte une couche de sécurité pour le trafic internet sortant : en cas de détournement DNS ou d'infection par un vers ou un malware, du trafic est généralement émis ou redirigé vers des serveurs frauduleux. Essayer de détecter ces serveurs et de bloquer le trafic à leur destination est une bonne approche.

De la même manière, lorsqu'une entreprise héberge un service comme un accès OpenVPN ou un serveur web, il n'est généralement appliqué aucun filtrage sur les adresses IP publiques pouvant se connecter. Bloquer a minima le adresses IP connues pour être utilisées par des personnes malintentionnées est donc également une approche intéressante.

Pour être efficace, ces listes d'adresses IP à risque doivent être mises à jour très régulièrement afin de coller au plus près des menaces en cours. Elles doivent éviter de comporter des faux-positifs, c'est-à-dire ne pas répertorier des adresses IP qui sont en réalité parfaitement légitimes.
Si le taux de faux-positifs est trop fort, alors cela devient complètement inutilisable en production pour des TPE/PME.

C'est donc un subtile équilibre qu'il faut trouver pour d'une part être efficace et d'autre part ne pas bloquer du trafic légitime.

Le filtrage des adresses IP publiques réputées à risque fait partie d'une approche de sécurité de défense en profondeur.

Nous présenterons deux solutions :

Les listes DROP et eDROP de SpamHaus. Ce sont des listes gratuites sans risque de faux-positifs.
Les listes proposées par nos soins. Ce sont des listes payantes qui permettent un filtrage beaucoup plus fin et complet que SpamHaus tout en étant très attentif à éviter les faux-positifs.

L'implémentation se fera ensuite en deux étapes : créer un alias se chargeant de récupérer les listes d'adresses IP à bloquer, puis créer les règles de filtrage bloquant le trafic associé à ces alias.



SpamHaus - créer un alias contenant la liste des adresses IP à filtrer (gratuit)


The Spamhaus Project (SpamHaus) est une organisation internationale non gouvernementale dont l'objectif est de fournir une protection en temps-réel contre les pourriels.

SpamHaus fournit un certain nombre d'outils en ce sens, ainsi que plusieurs listes de filtrage d'adresses IP à risque.

Ces listes de filtrage nommées DROP (Don't Route Or Peer) et EDROP (Extended DROP) sont composées de blocs réseau qui sont "détournés" ou loués par des spammeurs professionnels ou utilisés à des fins cybercriminelles (diffusion de logiciels malveillants, téléchargement de chevaux de Troie, botnet, etc.).

Les listes DROP et EDROP n'incluent pas d'adresses IP uniques, mais seulement des blocs d'adresses IP. Ainsi, une adresse IP isolée connue pour être malveillante ne sera jamais bloquée par les listes SpamHaus. Seuls des blocs d'adresses IP attribués à des LIR seront bloqués par la liste DROP. La liste EDROP étend un peu le concept en bloquant des sous-réseaux plus fins.

Ainsi, c'est un filtrage grosse-maille qui est proposé par SpamHaus. Le gros intérêt est que le risque de faux-positif est théoriquement nul. L'inconvénient est que le filtrage manque de précision, ce qui réduit forcément la sécurité apportée par ces listes.

Les listes DROP et EDROP sont donc des solutions gratuites que nous recommandons fortement d'utiliser sur tous les firewall. Même si le filtrage n'est pas parfait, mieux vaut un filtrage grosse maille qu'aucun filtrage.

SpamHaus propose principalement 3 listes :

Nous allons créer trois alias : un pour chaque liste proposée par SpamHaus.

Nous nous rendons dans le menu Firewall > Aliases et cliquons sur le bouton "+ Add" :

Menu Firewall > Alias - pfSense - Provya


Les champs à compléter sont les suivants :
  • Name : le nom que nous souhaitons donner à notre alias
  • Type : choisir "URL Table (IPs)"
  • URL Table (IPs) : saisir l'url d'une des listes de SpamHaus. Le nombre après le slash indique la fréquence de mise en jour en nombre de jours. 128 signifie que le contenu du fichier sera téléchargé tous les 128 jours. Nous pouvons, par exemple, choisir "1", les listes de SpamHaus étant mises à jour moins une fois par semaine en moyenne.

Exemple de résultat obtenu pour la liste DROP :

Configuration de l'alias drop sous pfSense - Provya


Nous répétons l'opération pour chacune des trois listes. Ce qui nous donne le résultat suivant :

Alias des listes DROP et EDROP de SpamHaus - pfSense - Provya



Si vous êtes utilisateurs d'OPNsense, l'approche est exactement la même. Il faut se rendre dans le menu Pare-feu > Alias et cliquer sur le discret bouton "+" :

Configuration de la liste DROP de SpamHaus - OPNsense - Provya


Compléter les champs de la manière suivante :
  • Nom : le nom que nous souhaitons donner à notre alias
  • Type : URL Table (IPs)
  • Refresh Frequency : la fréquence de rafraîchissement. Une fois par jour est largement suffisant. Les listes de SpamHaus sont mises à jour plus ou moins toutes les semaines.
  • Contenu : saisir l'url d'une des listes de SpamHaus

Exemple de résultat obtenu pour la liste DROP :

Configuration de la liste DROP de SpamHaus - OPNsense - Provya


Nous répétons l'opération pour chacune des trois listes.

Nos alias sont prêts. Il nous reste à configurer nos règles de filtrage pour bloquer le trafic entrant provenant de ces adresses IP, ainsi que le trafic sortant à destination de ces adresses IP.



Provya - créer un alias contenant la liste des adresses IP à filtrer (payant)


Note : dans ce chapitre, nous présentons une solution commerciale payante. Si vous n'êtes pas intéressé, vous pouvez passer directement au chapitre suivant : Créer les règles de filtrage associées.

Nous avons décidé de créer notre propre liste de filtrage d'adresses IP malveillantes.

Pour cela, nous nous appuyons sur une trentaine de sources (dont SpamHaus) que nous traitons et que nous recoupons afin de comparer les adresses IP présentes. Cela nous permet de déterminer la fréquence d'apparition d'une adresse IP détectée. Plus une adresse IP est détectée et plus la probabilité que ce soit une adresse IP malveillante est forte. A contrario, plus la probabilité de rencontrer un faux-positif est faible.

Cela permet d'avoir une source unique très complète et efficace avec des sources fiables et recoupées, tout en conservant un risque de faux-positifs extrêmement faible.

Nous proposons trois listes :
  • strict : cette liste contient les adresses IP que nous avons détectées dans au mois deux sources de collectes différentes. La probabilité de rencontrer un faux-positif est faible.
  • main : cette liste contient les adresses IP que nous avons détectées dans au mois trois sources de collectes différentes. La probabilité de rencontrer un faux-positif est extrêmement faible. C'est cette liste que nous recommandons d'utiliser.
  • soft : cette liste contient les adresses IP que nous avons détectées dans au mois quatre listes de collectes différentes. La probabilité de rencontrer un faux-positif est théoriquement nulle.

L'accès à ces listes est payant sous la forme d'un abonnement mensuel ou annuel.

Si vous êtes intéressé, vous pouvez consulter notre boutique en ligne : Liste IP malveillantes.

Pour découvrir le service, nous proposons une offre de lancement à 1 € H.T. pour le premier mois.

Passons à l'implémentation. Pour cela, nous allons créer un alias en nous rendant dans le menu Firewall > Aliases et cliquons sur le bouton "+ Add" :

Menu Firewall > Alias - pfSense - Provya


Les champs à compléter sont les suivants :
  • Name : le nom que nous souhaitons donner à notre alias
  • Type : choisir "URL Table (IPs)"
  • URL Table (IPs) : saisir l'url de la liste que l'on souhaite télécharger (cf. paragraphe suivant). Le nombre après le slash indique la fréquence de mise en jour en nombre de jours. Nous indiquons "1".

Pour pouvoir télécharger la liste de votre choix, il faudra disposer d'une clef de licence valide. L'URL à saisir sera de la forme suivante : https://provya.fr/download/VERSION.txt?key=VOTRE_CLEF (en remplaçant VERSION par le fichier choisi et VOTRE_CLEF par la clef de licence que vous aurez reçu par e-mail).
Ce qui donne l'une des URLs suivantes à utiliser :

Exemple de résultat obtenu :

Configuration de la liste Provya - pfSense


Alias de la liste Provya - pfSense


Par défaut, pfSense ne propose une mise à jour des alias de type "URL Table" qu'au mieux une fois par jour. Ce qui est trop peu pour pouvoir disposer d'une liste réellement à jour. Nous recommandons de mettre à jour la liste toutes les heures ou toutes les deux heures.

Pour y remédier, nous suggérons d'installer le package "cron" afin d'effectuer des mises à jour plus fréquentes.

Pour cela, nous nous rendons dans le menu System > Package Manager, onglet "Available Packages". Nous faisons une recherche avec le mot-clé "cron" et cliquons sur l'icône d'installation :

Installer le package cron sous pfSense - Provya


Une fois le package "cron" installé, naviguer dans le menu Services > Cron :

Menu Services > cron - pfSense - Provya


Nous repérons la ligne rc.update_urltables et cliquons sur son icône de modification (crayon) :

Modifier un cron - pfSense - Provya


Nous suggérons d'effectuer la mise à jour toutes les heures ou toutes les deux heures. Il faut modifier le champ "Hour" :

Modifier le cron pour l'URL Table - pfSense - Provya

La mise à jour est ici effectuée toutes les deux heures



Si vous êtes utilisateurs d'OPNsense, l'approche est exactement la même. Il faut se rendre dans le menu Pare-Feu > Alias et cliquer sur le discret bouton "+" :

Configuration de la liste DROP de SpamHaus - OPNsense - Provya


Compléter les champs de la manière suivante :
  • Nom : le nom que nous souhaitons donner à notre alias.
  • Type : URL Table (IPs)
  • Refresh Frequency : la fréquence de rafraîchissement. Nous recommandons de faire un rafraîchissement une fois par heure ou une fois toutes les deux heures.
  • Contenu : saisir l'url de la liste que l'on souhaite télécharger (cf. paragraphe suivant).

Pour pouvoir télécharger la liste de votre choix, il faudra disposer d'une clef de licence valide. L'URL à saisir sera de la forme suivante : https://provya.fr/download/VERSION.txt?key=VOTRE_CLEF (en remplaçant VERSION par le fichier choisi et VOTRE_CLEF par la clef de licence que vous aurez reçu par e-mail).
Ce qui donne l'une des URLs suivantes à utiliser :

Exemple de résultat obtenu :

Configuration de la liste Provya - OPNsense



Avantage d'OPNsense sur pfSense : il est possible de préciser un taux de rafraîchissement aussi bien en jours qu'en heures (contre uniquement en jours pour pfSense). Toute l'étape liée à la gestion du cron décrite pour pfSense n'est donc pas nécessaire sur OPNsense !

La configuration de notre alias est terminée. Il nous reste à configurer nos règles de filtrage pour bloquer le trafic entrant provenant de ces adresses IP, ainsi que le trafic sortant à destination de ces adresses IP.



Créer les règles de filtrage associées


Se rendre dans le menu Firewall > Rules et ajouter sur l'interface WAN (ou d'une façon générale sur les interfaces de vos connexions à Internet) une règle en haut de liste en cliquant sur le bouton Ajouter en haut de liste - pfSense.

Configurer la règle avec les paramètres suivants :
  • Action : Block
  • Protocol : Any
  • Source : "Single host or alias" et saisir le nom de l'alias créé à l'étape précédente
  • Destination : any

Exemple d'une règle de filtrage côté WAN - pfSense - Provya


Il faut bien sûr adapter avec le nom de l'alias utilisé à l'étape précédente.

Si vous utilisez une liste Provya, une seule liste doit être utilisée (strict, main ou soft). Il est également inutile d'utiliser une liste SpamHaus en complément car les adresses IP fournies par SpamHaus sont déjà incluses dans les listes Provya.

Si vous utilisez SpamHaus, il faudra créer une règle pour chaque alias (DROP et EDROP). Si vous utilisez la liste DROPv6, il faudra bien penser à choisir IPv6 pour le champ "Address Family" de votre règle de filtrage.

Enfin, nous créons également une règle sur l'interface LAN (ou d'une façon plus générale sur toutes nos interfaces locales qui disposent d'un accès vers Internet) que nous plaçons en haut de liste en cliquant sur le bouton Ajouter en haut de liste - pfSense.

Les paramètres à saisir sont les suivants :
  • Action : Block
  • Protocol : Any
  • Source : LAN net
  • Destination : "Single host or alias" et saisir le nom de l'alias créé à l'étape précédente

Exemple d'une règle de filtrage côté LAN - pfSense - Provya


Il faudra bien sûr adapter avec le nom de l'alias utilisé à l'étape précédente.
Si vous utilisez SpamHaus, il faudra encore une fois créer autant de règles que vous avez créé d'alias.

Voilà, le filtrage des adresses IP à risque est en place.
Il s'agit d'un élément de sécurité essentiel et vraiment simple à mettre en œuvre afin d'apporter un niveau de sécurité supplémentaire pour le trafic passant par notre firewall.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.6.0 est disponible

icon 15/02/2022 - 9 commentaires

Lundi 14 février 2022 est sortie la dernière version de pfSense. La version 2.6.0.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Filtrage / NAT


Plusieurs modifications / corrections apportées, dont notamment :
  • Ajout du support d'IPv6 pour les règles easyrule.
  • Possibilité d'utiliser un alias pour le champ destination des règles de NAT 1:1
  • La copie d'une règle de redirection de port (Port Forward) tient maintenant compte de la configuration existante pour l'association d'une règle de filtrage (Filter Rule Association).
  • Ajout d'une icône permettant de visualiser le sens du filtrage pour les règles de l'onglet "Floating".
  • Lorsque le nom d'un groupe d'interfaces commençait par un chiffre, cela générait un XML invalide. C'est corrigé.



IPsec


Cette version apporte plusieurs modifications importantes à IPsec. Ce sont des modifications portant sur la stabilité et les performances.

Le nom des interfaces IPsec VTI (IPsec routé) a changé. Les configurations existantes seront mises à jour automatiquement dans la mesure du possible pour utiliser les nouveaux noms.

Une fois la mise à jour vers pfSense 2.6.0 réalisée, il est conseillé de vérifier que les noms des instances VTI configurées ont correctement été repris pour l'assignation des interfaces. Cette vérification s'opère depuis le menu Interfaces > Assignments.

Il y a énormément de corrections de petits bugs spécifiques apportés à cette version de pfSense. Il est compliqué de tous les lister, mais en résumé, si vous avez des problèmes avec IPsec, mettez à jour !



ZFS


Plusieurs modifications mineures ont été apportées. Notamment le nom du pool ZFS et les ensembles de données ont été mis à jour.

Ces modifications ne sont pas appliquées lors de la mise à jour pour les pfSense déjà installés avec ZFS.
Ces changements ne sont pris en compte que pour les nouvelles installations.

Autre changement concernant ZFS : la compression pour les rotations des fichiers de journalisation est maintenant désactivée, car ZFS effectue sa propre compression.
Encore une fois, ce paramètre s'applique uniquement pour les nouvelles installations, mais pas pour les mises à jour. Aussi, si vous êtes sur un système de fichiers ZFS et que vous mettez à jour, il est conseillé de désactiver la compression pour les rotations des fichiers de journalisation. Cette opération s'effectue depuis le menu Status > System Logs, onglet "Settings".

Pour rappel, ZFS permet, entre autre, de créer des points de restauration permettant de réaliser des retours en arrière très simplement et très rapidement en cas de besoin.



Sécurité


  • Le format de hachage des mots de passe pour les utilisateurs locaux a été modifié de bcrypt à SHA-512.
  • Plusieurs corrections ont été apportées à l'interface graphique qui présentait des vulnérabilités potentielles à des attaques de type cross-site scripting (XSS).
  • Désactivation de l'accès ssh pour les comptes admin et root lorsque le compte admin est désactivé sur l'interface web.



Bugs / Améliorations


  • Il est enfin possible de configurer l'adresse IP WAN avec un /32 depuis le menu de la console (très utile pour des serveurs pfSense hébergés, par exemple).
  • Diverses améliorations sur la page et sur le processus de déconnexion du portail captif.
  • Correction de plusieurs bugs sur la validation du formulaire de configuration d'un serveur OpenVPN. Certains paramètres (notamment les paramètres NCP permettant une négociation des paramètres cryptographiques entre le client et le serveur) n'étaient pas correctement appliqués.
  • Correction d'une erreur qui apparaissait lorsqu'un alias de type "URL Table" était rechargé mais qu'il était vide.
  • Correction de plusieurs bugs qui existaient sur l'imbrication d'alias (c'est-à-dire un alias faisant référence à un autre alias).
  • Correction de bugs d'affichage.
  • Le service AutoConfigBackup a été amélioré sur plusieurs points, dont : amélioration des informations liées à la restauration, précisions sur l'emplacement des sauvegardes, amélioration de la performance générale du service.
  • Plusieurs corrections liées à CARP. Ces corrections portent principalement sur le fait de pouvoir modifier le VHID d'une adresse VIP déjà créée (la mise à jour n'était pas correctement appliquée ou diffusée).
  • Corrections de problématiques d'encodage de caractères UTF-8 pour les certificats créés localement sur pfSense.
  • Amélioration de la stabilité d'Unbound qui avait tendance à crasher facilement sur les installations personnalisées comportant des erreurs.
  • Il n'était plus possible d'utiliser le protocole de priorisation de trafic CBQ sur les interfaces VLAN (cela plantait). C'est corrigé.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.6.0 New Features and Changes [EN]



Pour aller plus loin


[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité

icon 08/02/2022 - 3 commentaires

Dans cet article nous présentons l'intérêt de l'utilisation du système de fichiers ZFS et de ses instantanés lors des mises à jour de pfSense.
Il s'agit d'une solution très efficace pour gérer ses mises à jour et ses possibilités de retour arrière vers des points de restauration très facilement.



ZFS, c'est quoi ? Quel intérêt ?


ZFS est un système de fichiers et un gestionnaire de volume open source.

ZFS offre de très nombreuses fonctionnalités. Nous ne les détaillerons pas dans cet article, nous proposons la consultation de la page Wikipédia qui lui est dédiée : ZFS.

Pour des firewall tournant sous pfSense, ZFS présente deux gros intérêts : la facilité d'installation de deux disques en haute-disponibilité (Raid) et la possibilité de réaliser des instantanés (snapshot).

Dans cet article, nous nous intéressons particulièrement à l'intérêt des snapshot ZFS lors des mises à jour de pfSense.

En effet, il peut arriver qu'une nouvelle version de pfSense comporte des bugs et que ceux-ci ne soient pas corriger immédiatement (ex : les versions 2.5.0 et 2.5.1 qui étaient catastrophiques) ; ou qu'il y ait une incompatibilité matérielle suite à une mise à jour (aucun risque si vous prenez votre matériel chez Provya ;-) ).

Dans ce cas, il peut être pratique de disposer d'un point de restauration pour pouvoir faire un retour-arrière rapide vers la version précédente de pfSense (ex : 2.4.5-p1).

Dans cet article, nous présentons comment créer un point de restauration grâce aux instantanés. Comment procéder à une restauration si besoin. Et comment supprimer le point de restauration si la mise à jour s'est bien passée.

Cette stratégie est applicable aussi bien à pfSense qu'à OPNsense.



Instantané, snapshot, qu'est-ce que c'est ?


Un instantané est une copie en lecture seule d'un système de fichiers ou d'un volume.

La création d'un instantané est quasiment immédiate.

Initialement, un instantané ne consomme pas d'espace disque supplémentaire. Toutefois, à mesure que les données contenues dans le jeu de données actif changent, l'instantané consomme de l'espace disque en continuant à faire référence aux anciennes données et empêche donc de libérer de l'espace disque.

Snapshot est le terme anglais pour instantané. Les termes "instantané" et "snapshot" désignent donc la même chose.



Pré-requis


1/2. Disposer d'un accès au firewall


Il faut disposer d'un accès en mode console au firewall. Il existe trois possibilités : utiliser la console présente dans l'interface web de pfSense, activer le serveur SSH de pfSense ou activer le port console (si le firewall est équipé d'un port console).


Utiliser la console de l'interface web

Il s'agit de la solution la plus simple. pfSense dispose d'un accès console depuis l'interface web. Pour y accéder, se rendre dans le menu Diagnostics > Command Prompt :

Invite de commande depuis le webui de pfSense - Provya


Il sera possible de saisir les commandes indiquées et de cliquer sur le bouton "Execute" pour les exécuter. Le résultat de la commande sera affiché à l'écran.

OPNsense n'offre pas d'accès console depuis son interface web. Ceci pour des raisons de sécurité.


Activer le serveur SSH de pfSense

La deuxième possibilité est de se connecter au firewall via son serveur SSH.
Par défaut, le serveur SSH est désactivé.

Pour l'activer, se rendre dans le menu System > Advanced :

Menu System > Advanced - pfSense - Provya


Descendre au niveau de la section "Secure Shell" et cocher la case "Enable Secure Shell".
Il est également possible de paramétrer la méthode d'authentification (mot de passe ou certificat) et le port d'écoute (22 par défaut).

Activer le serveur SSH de pfSense - Provya


Il faudra aussi potentiellement créer une règle de filtrage côté LAN pour autoriser la connexion sur le port 22 (ou sur le port choisi à l'étape précédente, s'il a été personnalisé).

Exemple de règle :

Règle de firewall pour l'accès SSH - pfSense - Provya


Pour OPNsense, le principe est le même : il faut activer le serveur SSH du firewall. La configuration s'opère depuis le menu Système > Paramètres > Administration.

Au niveau de la section "Shell Sécurisé", cocher la case "Activer le Shell sécurisé", autoriser potentiellement le compte root à se connecter si l'on ne possède pas un autre compte administrateur, autoriser (ou non) l'authentification par mot de passe et choisir le port d'écoute.
Il est également possible de personnaliser un certain nombre de paramètres de sécurité.

Activer serveur SSH - OPNsense - Provya



Activer le port console de pfSense

La troisième et dernière possibilité est de se connecter au firewall par son port console (ou port série).
Le port console est désactivé par défaut.
Il faudra bien sûr que le firewall soit équipé d'un port console.

Se rendre dans le menu System > Advanced et descendre jusqu'à la section "Serial Communications".
Cocher la case "Enable serial port" et cocher la case "Password protect the console menu" afin de protéger la console par un mot de passe.

Par défaut, lorsque le port console est activé, n'importe qui peut se brancher directement sur le firewall et disposer d'un accès root. Ce qui représente un risque en terme de sécurité.

Activer port console - pfSense - Provya



Pour OPNsense, la configuration s'opère depuis le menu Système > Paramètres > Administration :

Activer port console - OPNsense - Provya




2/2. Disposer d'un système de fichiers ZFS



Dernier pré-requis, il faut bien sûr que notre firewall soit installé avec le système de fichiers ZFS.

Pour savoir si notre système de fichiers est ZFS, saisir la commande suivante :

zfs list

S'il s'agit d'un système de fichiers ZFS, nous devrions obtenir un résultat du type :

NAME                 USED  AVAIL  REFER  MOUNTPOINT
zroot                900M  12.2G    88K  /zroot
zroot/ROOT           886M  12.2G    88K  none
zroot/ROOT/default   886M  12.2G   886M  /
zroot/tmp            192K  12.2G   192K  /tmp
zroot/var           11.4M  12.2G  11.4M  /var

Autrement, nous obtenons un résultat du type :

no datasets available



Procédure


Dans cet article, nous prenons comme exemple la mise à jour de pfSense de la version 2.5.2 vers la version 2.6.0 (non, la version 2.6.0 n'est pas encore sortie, mais ce n'est plus qu'une question de jours / semaines ;-) )

Les étapes à suivre sont les suivantes.

1. Voir les environnements de démarrage actuels avec la commande bectl list.

Si nous n'avons jamais trifouillé ces options, nous devrions obtenir quelque chose comme ceci :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE      Active Mountpoint Space Created
default NR     /          886M  2021-12-17 16:21

  • N signifie actif actuellement (Now)
  • R signifie actif au prochain redémarrage (Reboot)


2. Ajouter un nouvel environnement de démarrage que l'on appelle "pfsense-2.5.2" (ce sera notre point de restauration en cas de besoin) :

bectl create pfsense-2.5.2

3. Pour plus de lisibilité, renommer l'environnement de démarrage actuel (default) en "pfsense-2.6.0" :

bectl rename default pfsense-2.6.0

Une fois ces commande saisies, nous obtenons les environnements de démarrage suivants :

BE            Active Mountpoint Space Created
pfsense-2.5.2 -      -          8K    2022-02-07 17:56
pfsense-2.6.0 NR     /          886M  2021-12-17 16:21

On peut voir que notre nouvel environnement de démarrage ne prend que très peu d'espace disque à ce stade (8 Ko).

4. Réaliser un instantané des partitions /var et /tmp :

zfs snapshot zroot/var@pfsense-2.5.2
zfs snapshot zroot/tmp@pfsense-2.5.2

Les partitions /var et /tmp ne sont pas sur le même pool. Il faut donc les sauvegarder via un instantané. C'est ce que nous venons de faire.

Il est possible d'afficher la liste des instantanés ZFS avec la commande suivante :

zfs list -t snapshot

Le résultat ressemblera à ceci :

NAME                                             USED  AVAIL  REFER  MOUNTPOINT
zroot/ROOT/pfsense-2.6.0@2022-02-07-17:56:35-0      0      -   886M  -
zroot/tmp@pfsense-2.5.2                           64K      -   192K  -
zroot/var@pfsense-2.5.2                           88K      -  11.4M  -

Encore une fois, on voit que les instantanés ne consomment pratiquement pas d'espace disque supplémentaire au moment de leur création.

C'est tout !

Nous avons créé un deuxième environnement de démarrage (qui est une copie du premier à ce stade) et un instantané des partitions /var et /tmp.

À ce stade, nous pouvons lancer la mise à jour de pfSense (ou d'OPNsense) de manière tout à fait classique.

On peut aussi tester la branche de développement, installer des packages, tester des configurations, etc. En cas de pépin, nous pourrons très rapidement revenir à notre point de restauration.

Dans notre cas, et pour l'exemple, nous décidons de tester la version 2.6.0 de pfSense :

Tester pfSense 2.6.0 Release Candidate - Provya


Pour mettre à jour notre serveur, n'hésitons pas à nous appuyer sur notre article dédié : [pfSense] Mettre à jour son serveur pfSense



La mise à jour s'est bien passée, comment supprimer l'instantané ?



Si notre mise à jour s'est bien passée. Nous conseillons de ne toucher à rien durant les premiers jours / semaines, le temps de s'assurer qu'il n'y ait pas d'effets de bord et que tous les services fonctionnent tel qu'attendu.

Si c'est le cas, alors nous pouvons supprimer notre point de restauration et nos instantanés, ce qui permettra de libérer de l'espace sur le disque-dur.

En effet, là où notre point de restauration de notre environnement de démarrage ne prenait que 8 Ko à sa création, il en consomme maintenant bien plus :

[2.6.0-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE            Active Mountpoint Space Created
pfsense-2.5.2 -      -          777M  2022-02-07 17:56
pfsense-2.6.0 NR     /          1.74G 2021-12-17 16:21

Notre point de restauration de notre environnement de démarrage consomme maintenant 777 Mo d'espace sur le disque-dur.

Idem pour les instantanés de /var et /tmp :

[2.6.0-RELEASE][root@pfSense.home.arpa]/root: zfs list -t snapshot
NAME                                             USED  AVAIL  REFER  MOUNTPOINT
zroot/ROOT/pfsense-2.6.0@2022-02-07-17:56:35-0   777M      -   886M  -
zroot/tmp@pfsense-2.5.2                          160K      -   192K  -
zroot/var@pfsense-2.5.2                         5.05M      -  11.4M  -


Pour supprimer le point de restauration et les instantanés, les trois commandes à saisir sont les suivantes :

bectl destroy pfsense-2.5.2
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

C'est tout.



Je souhaite faire un retour-arrière, comment faire ?



Si la mise à jour s'est mal passée ou si nous souhaitons revenir à l'état antérieur, il suffit de restaurer les instantanés ZFS et de modifier l'environnement de démarrage pour choisir notre point de restauration.

Pour activer notre point de restauration au prochain démarrage, la commande à saisir est la suivante :

bectl activate pfsense-2.5.2

Nous obtenons un message de confirmation. Il est également possible de vérifier la bonne prise en compte de la configuration via la commande bectl list :

BE            Active Mountpoint Space Created
pfsense-2.5.2 R      -          886M  2022-02-07 17:56
pfsense-2.6.0 N      /          893M  2021-12-17 16:21

Le marqueur R a bien basculé sur notre environnement de démarrage pfsense-2.5.2.

Et pour rétablir les instantanés, les commandes à saisir sont les suivantes :

zfs rollback -R zroot/var@pfsense-2.5.2
zfs rollback -R zroot/tmp@pfsense-2.5.2

Il reste à redémarrer le firewall pour que les changements soient totalement pris en compte.

Le redémarrage peut être lancé depuis l'interface web ou depuis la ligne de commande. La ligne de commande à saisir sera :

shutdown -r now


Une fois redémarré, on pourra supprimer les instantanés et l'environnement de démarrage qui ne sont plus utilisés, soit dans notre exemple :

bectl destroy pfsense-2.6.0
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

On peut vérifier que les commandes ont bien été prises en compte en listant les instantanés ZFS :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: zfs list -t snapshot
no datasets available

Les instantanés ont bien été supprimés.


Puis, en vérifiant les environnements de démarrage disponibles :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE            Active Mountpoint Space Created
pfsense-2.5.2 NR     /          886M  2022-02-07 17:56


Enfin, pour se remettre totalement dans la situation d'origine, on pourrait renommer l'environnement de démarrage en "default" avec la commande suivante :

bectl rename pfsense-2.5.2 default

Voilà, nous avons fait le tour des éléments à connaître pour créer des points de restauration super facilement sur pfSense et OPNsense.
C'est une approche que nous recommandons fortement de suivre avant de lancer la mise à jour de nos firewall.



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

OPNsense 22.1 est disponible

icon 27/01/2022 - Aucun commentaire

Jeudi 27 janvier 2022 est sortie la dernière version d'OPNsense. La version 22.1.

Il s'agit d'une mise à jour importante, avec notamment la migration d'HardenedBSD vers FreeBSD 13.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.


logo OPNsense




OS : passage d'HardenedBSD à FreeBSD


Il s'agit là d'un changement important : OPNsense s'appuyait jusqu'à présent sur le système d'exploitation HardenedBSD. OPNsense 22.1 s'appuie dorénavant sur FreeBSD.

HardenedBSD est un fork de FreeBSD visant à améliorer la sécurité du système en implémentant des technologies d'atténuation et de durcissement contre l'exploitation de vulnérabilité informatique.

Beaucoup d'améliorations proposées par HardenedBSD ont été réintégrées à FreeBSD, notamment FreeBSD 13.

Enfin, lorsque certaines bugs spécifiques à HardenedBSD étaient rencontrés, ils étaient parfois difficiles à résoudre car la communauté HardenedBSD est beaucoup plus petite que la communauté FreeBSD.

Les équipes de développement d'OPNsense ont donc jugé qu'il était préférable de s'appuyer directement sur FreeBSD.

Autre point notable par rapport au système d'exploitation : il y a une amélioration de la gestion du système de fichiers ZFS.



Gestion des logs


La journalisation circulaire (circular log) a été retirée.

De manière simplifiée, la journalisation circulaire permet de définir une taille maximale par fichier de journalisation (ex : 100 Ko) et un nombre maximal de fichiers de journalisation à conserver (ex : 30 fichiers).

La journalisation se définit maintenant en nombre de jours de rétention : un fichier est conservé par jour et par type de services. On peut choisir la durée de conservation des fichiers de journalisation.

Le format de stockage des fichiers de journalisation est le suivant :
/var/log/<application>/<application>_[YYYYMMDD].log

Il était déjà possible de désactiver la journalisation circulaire depuis OPNsense 20.7. Elle est donc maintenant supprimée.


Nouveau fichier de journalisation "latest.log"

Le fichier latest.log contient les derniers logs toutes catégories confondues.

L'utilisation de ce fichier peut être très pratique pour gagner en efficacité lors de ses sessions de dépannage / troubleshooting, il évite d'avoir à passer d'un fichier de journalisation à l'autre pour chaque service.


Support de la RFC 5424

Les fichiers de journalisation sont maintenant tous compatibles avec le format syslog et offrent la possibilité de filtrer par gravité.



Gestion des interfaces


Plusieurs améliorations, dont :
  • Amélioration de la gestion des interfaces PPP en environnement haute-disponibilité : possibilité de désactiver l'interface PPP lorsque CARP passe en mode backup.
  • Meilleure granularité sur le choix de l'adresses MAC pour une interface donnée : le spoof d'adresse MAC s'applique maintenant uniquement sur l'interface sélectionnée et pas à ses parents ou enfants : avant, par exemple, le spoof s'apliquait sur l'interface parente et sur toutes les interfaces vlan configurées dessus, maintenant, la configuration se fait uniquement sur l'interface logique choisie.
  • Uniformisation et amélioration de la configuration des interfaces bridge (pont réseau) lorsqu'elles sont connectées au réseau.
  • Il est maintenant possible d'associer une adresse IP virtuelle (VIP) à une interface qui n'est pas configurée ; cette configuration peut s'avérer très utile dans certains environnements spécifiques comme par exemple la possibilité d'avoir un cluster de firewall OPNsense avec une interface WAN qui ne possède qu'une seule adresse IP.



Pare-feu / Alias


  • Suppression de l'option obsolète "kill states on gateway failure". Cette action est effectuée automatiquement pour les passerelles qui sont surveillées.
  • Ajout du support des alias d'hôtes IPv6 dynamiques.
  • Il est maintenant possible d'utiliser des alias dans la gestion des Router Advertisements pour IPv6.
  • Priorisation de trafic : ajout de l'option Gbit/s lors de la configuration des pipes (avant, pour 1 Gbit/s, il fallait saisir 1 000 Mbit/s).



IPsec


  • Lors de la création de nouvelles phases 1 et 2, certains paramètres de sécurité par défaut ont été remplacés par des paramètres plus modernes et sécurisés.
  • Suppression de certains algorithmes de chiffrement qui ne sont plus supportés par FreeBSD 13 (dans le détail : MD5, Blowfish, DES, 3DES et CAST128 ne sont plus pris en charge pour la phase 2).



Traductions


Amélioration de la traduction pour plusieurs langues dont le français (sont concernés dans le détail : français, allemand, italien, japonais, norvégien, espagnol et turc).

A contrario, l'italien a été rétrogradé au rang de "en cours de développement" à cause de son faible niveau de traduction.

Il est à noter que la traduction de l'interface d'OPNsense en français est vraiment très bonne (surtout si on compare à pfSense...).



Plugins


Plusieurs plugins ont été mis à jour dont ACME , bind, haproxy, zabbix, ...



Problèmes connus et points d'attention


  • OPNsense 22.1 contient une nouvelle version majeure du système d'exploitation. Les mises à jour doivent donc être effectuées avec prudence. Malgré tous les tests qui ont pu être effectués, il peut toujours subsister des anomalies ou des changements modifiant le comportement par défaut.
  • L'évolution du support des algorithmes de hachage ou de chiffrement sous FreeBSD 13 peut avoir des impacts sur les VPN IPsec déjà configurés. Si vous utilisez l'un des algorithmes de hachage obsolètes (MD5, Blowfish, DES, 3DES ou CAST128), il faut modifier la configuration de votre tunnel IPsec avant de lancer la mise à jour.
  • Si vous utilisez des cartes réseau Realtek (notamment avec des ports 2,5 Gbps), il est recommandé d'installer le plugin os-realtek-re avant de lancer la mise à jour. En effet, le pilote propriétaire Realtek n'est pas fourni par défaut sous FreeBSD 13, ce qui a pour conséquence que certaines cartes Realtek ne sont pas supportées par défaut.
  • L'usurpation (spoof) d'adresse MAC ne concerne maintenant que l'interface configurée et non les autres VLAN configurés sur la même interface ou l'interface parent. Il faut donc modifier la configuration de ses interfaces nécessitant une adresse MAC usurpée avant de faire la mise à jour.
  • Les valeurs par défaut du service NTPD ont été modifiées pour exclure l'option "iburst" par défaut. Le paramètre "limited" a été détaché de l'option "kod". Il faut donc vérifier ces points avant de mettre à jour si vous êtes concernés.
  • Le support GRE link1 a été supprimé et nécessite une route statique pour fonctionner.
  • La prise en charge de la journalisation circulaire a été supprimée. Aucune action n'est requise.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Pensez à faire une sauvegarde avant de lancer la mise à jour.

Si votre système de fichiers est ZFS, pensez également à créer un point de restauration.

Vous pouvez vous appuyer sur notre tuto écrit pour pfSense, mais facilement adaptable pour OPNsense : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : OPNsense 22.1 released [EN]



Pour aller plus loin


[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

[pfSense] La gestion des passerelles (gateway)

icon 05/10/2021 - Aucun commentaire

Dans cet article nous traitons de la gestion des passerelles réseaux (gateway) sous pfSense.



Passerelle - la clé de voûte du routage


Une passerelle réseau (gateway) est un dispositif permettant de donner accès d'un réseau à un autre réseau.

La passerelle la plus connue est la passerelle par défaut (default gateway) ; c'est celle qui nous permet d'accéder à Internet ou à tout autre réseau inconnu d'une façon plus générale.

Généralement, les passerelles disposent d'une adresse IP dans chaque sous-réseau qu'elles permettent de joindre. Si ce n'est pas le cas, elles posséderont alors, à leur tour, une passerelle par défaut.

Il existe une exception notable avec les interfaces point à point, comme celles utilisées avec les protocoles PPP. Ces interfaces ont souvent des adresses IP de passerelle dans un autre sous-réseau car elles ne sont pas utilisées de la même manière.

Pour une introduction plus complète, nous proposons la consultation de la page Wikipédia Passerelle (informatique).

Nous allons voir comment pfSense gère ses passerelles et les possibilités de configuration qui nous sont offertes.



Passerelle - IPv4 et IPv6


Les principes de routage et de fonctionnement des passerelles sont les mêmes avec IPv4 et IPv6.
Cependant, il n'est pas possible de mélanger les deux types d'adresses IP dans ses configurations. Par exemple, un réseau IPv4 devra avoir une passerelle disposant d'une adresse IPv4 ; une route ne peut pas être créée en utilisant une passerelle IPv6 pour un réseau IPv4.

De la même façon, lorsque l'on travaille avec des groupes de passerelles (dont nous verrons la configuration plus loin dans cet article), il n'est pas possible de mixer des passerelles IPv4 et IPv6 au sein d'un même groupe.



Gestion des passerelles


La gestion des passerelles s'effectue depuis le menu System > Routing :

menu System > Routing - pfSense - Provya



Depuis ce menu il est possible de modifier une passerelle existante, ajouter/supprimer une passerelle, définir des routes statiques, créer des groupes de passerelles et choisir sa passerelle par défaut.

Certaines passerelles sont obtenues automatiquement via DHCP ; dans ce cas, il n'est pas possible de les supprimer. Il est cependant possible des les personnaliser.

Dans la suite de cet article nous passons en revue les configurations possibles pour les passerelles.


Création / Modification d'une passerelle


L'ajout d'une nouvelle passerelle se fait en cliquant sur le bouton "+ Add" depuis l'onglet "Gateways" (onglet par défaut).
La modification se fait en cliquant sur l'icône en forme de crayon modification se trouvant sur la ligne de la passerelle.
Enfin, il est possible de dupliquer une passerelle en cliquant sur l'icône associée duplication.

Les éléments configurables sont les suivants :

  • Disabled : permet de désactiver une passerelle.
  • Interface : l'interface sur laquelle la passerelle est joignable. Dans une configuration classique pour une accès vers Internet, il s'agit de l'interface "WAN".
  • Address Family : IPv4 ou IPv6.
  • Name : le nom que l'on souhaite donner à notre passerelle. Ce nom ne peut contenir que des caractères alphanumériques ou underscore ; pas de caractères spéciaux, ni d'espace.
  • Gateway : l'adresse IP de la passerelle ; cette adresse IP doit être dans le même sous-réseau que celui configuré sur l'interface choisie (WAN, dans notre exemple). Si ce n'est pas le cas, il faudra cocher la case "Use non-local gateway" dans les options avancées.
  • Gateway Monitoring : cocher la case permet de désactiver la supervision de la passerelle. Ainsi, la passerelle sera considérée comme étant toujours joignable. Sauf si vous avez une bonne raison, cette case ne devrait pas être cochée.
  • Gateway Action : cocher cette case permet de considérer que la passerelle est toujours joignable. Cette option peut être pratique si l'on souhaite superviser l'état de la passerelle sans pour autant laisser pfSense modifier le routage automatiquement en cas d'injoignabilité de la passerelle. Sauf bonne raison, cette case devrait rester décochée.
  • Monitor IP : l'adresse IP qui sera pinguée afin de déterminer si la passerelle est joignable ou non-joignable. Par défaut, si ce champ est laissé vide, c'est l'adresse IP de la passerelle elle-même qui sera pinguée. Il peut être pratique de choisir une autre adresse IP si la passerelle ne répond pas aux PING ou si on préfère pinguer une adresse IP sur Internet plutôt que l'adresse IP de la BOX de l'opérateur, par exemple.
  • Force state : cocher cette case permet de forcer l'état de la passerelle à "injoignable" ; ainsi, elle ne sera pas utilisée par pfSense. Ce peut être une option pratique si on rencontre du bagot (instabilité) sur une passerelle ; cela permet alors de la désactiver sans avoir besoin de la supprimer.
  • Description : un champ description.

Exemple de résultat obtenu :

Configuration d'une passerelle sous pfSense - Provya


On peut également, si on le souhaite, personnaliser les options avancées de la passerelle en cliquant sur le bouton "Display Advanced". Les paramètres avancés que l'on peut configurer sont les suivants :

Weight
Le poids de la passerelle. Cette valeur est utilisée dans les groupes de passerelle pour répartir le trafic de manière inéquitable entre deux passerelles. Par exemple, si nous avons 2 accès à Internet : WAN1 avec 10 Mbps de bande-passante et WAN2 avec 20 Mbps de bande-passante, alors nous pouvons configurer la passerelle de WAN1 avec un poids de 1 et celle de WAN2 avec un poids de 2 ; ainsi pour 3 trafics sortant, 2 passeront par WAN2 et 1 passera par WAN1 (répartition 1/3 - 2/3). Le poids donné peut aller de 1 à 30.

Data Payload
Par défaut, le ping envoyé vers la passerelle a une taille de payload à 0 (aucune donnée n'est contenue dans la requêtes ICMP). Dans de très rares circonstances, cela peut poser des problèmes (routeur intermédiaire refusant les paquet avec un payload à 0) ; dans ce cas, passer le payload à 1 devrait corriger le problème.

Latency thresholds
Permet de configurer les seuils d'alerte pour la latence de la passerelle.
Les valeurs sont exprimées en millisecondes.
Le premier seuil définit le seuil d'alerte : lorsqu'il est atteint, une alerte est générée, mais la passerelle est considérée comme étant toujours joignable. Par défaut, cette valeur est de 200 ms.
Le second seuil définit le seuil maximal de tolérance : lorsqu'il est atteint, la passerelle est considérée comme n'étant plus joignable. Par défaut, cette valeur est de 500 ms.

Packet Loss thresholds
Permet de configurer les seuils d'alerte pour le taux de perte de paquets de la passerelle.
Les valeurs sont exprimées en pourcentage (0 signifie 0% de perte de paquets, 100 signifie 100% de perte de paquets).
Le premier seuil définit le seuil d'alerte : lorsqu'il est atteint, une alerte est générée, mais la passerelle est considérée comme étant toujours joignable. Par défaut, cette valeur est de 10%.
Le second seuil définit le seuil maximal de tolérance : lorsqu'il est atteint, la passerelle est considérée comme n'étant plus joignable. Par défaut, cette valeur est de 20%.

Probe Interval
La valeur du champ "Probe Interval" détermine la fréquence à laquelle une requête ping est envoyée vers l'adresse IP de la passerelle (ou l'adresse IP à superviser, si elle a été personnalisée), en millisecondes. Par défaut, une requête ping est envoyée deux fois par seconde (500 ms).

Loss Interval
La durée au bout de laquelle les PING restés sans réponse sont considérés comme perdus. La valeur par défaut est 2000 ms (2 secondes).
Cette valeur doit être supérieure ou égale au seuil maximale toléré pour la latence.

Time Period
La durée sur laquelle les résultats du ping sont moyennés. La valeur par défaut est 60000 ms (60 secondes, une minute).
Saisir une durée plus longue mettra ainsi plus de temps pour que la latence ou la perte déclenche une alarme ; en revanche, elle sera moins susceptible d'être affectée par un comportement erratique dans les résultats de ping.

La durée choisie doit être supérieure à deux fois la somme de Probe Interval et de Loss Interval, autrement les résultats retournés peuvent être incohérents.

Alert interval
L'intervalle de temps, en millisecondes, entre deux vérifications de la présence d'une alerte. La valeur par défaut est 1000 ms (1 seconde).
Cette valeur devrait être supérieure ou égale à la valeur de Probe Interval, car il n'est pas possible qu'une alerte soit déclenchée entre deux mesures distinctes (c'est la nouvelle mesure qui peut potentiellement déclencher une alerte si les seuils configurés ont été atteints).

Use non-local gateway
Cocher cette option permet une configuration non-standard où l'adresse IP de la passerelle n'est pas dans le même sous-réseau que celui configuré sur l'interface de pfSense. Il reste très rare d'avoir besoin d'activer cette option ; cependant avec la pénurie d'IPv4, un certain nombre d'opérateurs ont, semble-t-il, tendance à recourir à cet artifice pour économiser le nombre d'adresses IP publiques consommées par client.


Création d'un groupe de passerelles


Un groupe de passerelles est une solution efficace pour mettre en place de la redondance (une passerelle primaire, une secondaire) ou de la répartition de charge (deux passerelles primaires).

La configuration d'un groupe de passerelles est utile dans un environnement multi-WAN, par exemple.

La création ou la modification d'un groupe de passerelles s'opère depuis l'onglet "Gateway Groups" du menu System > Routing.

Les éléments configurables sont les suivants :

Group Name
Le nom du groupe de passerelles. Ce nom ne peut contenir que des caractères alphanumériques ou underscore ; pas de caractères spéciaux, ni d'espace.
La longueur maximale est de 32 caractères.

Gateway Priority
Cette liste contient toutes les passerelles disponibles. Pour chaque passerelle, deux éléments de configuration sont à définir :

Tier : l'ordre de priorité de la passerelle ; il y a cinq niveaux de priorité de Tier 1 (le plus prioritaire) à Tier 5 (le moins prioritaire). Si deux passerelles sont configurées avec deux niveaux de priorité différente, alors seule la passerelle avec le niveau de priorité le plus fort sera utilisée.

Pour bien comprendre, c'est-à-dire que ce sont les passerelles disposant du niveau de priorité Tier 1 qui seront utilisées exclusivement ; s'il n'y pas ou plus de passerelles Tier 1 de disponibles, alors ce seront les passerelles disposant d'une priorité Tier 2 qui seront utilisées exclusivement ; etc.

Si deux passerelles sont configurées avec le même niveau de priorité, alors le trafic sera réparti sur ces deux passerelles en fonction de leur poids respectif (configurable dans les options de la passerelle - champ "Weight" des options avancées).

Enfin, il est possible de choisir "Never" pour ne pas inclure la passerelle en question dans le groupe.

Virtual IP : l'adresse IP à utiliser. Par défaut, il s'agit de l'adresse IP de pfSense sur l'interface concernée, mais cela pourrait aussi être une adresse IP virtuelle, par exemple.

Trigger Level
Ce champ permet de définir selon quelle condition une passerelle doit être exclue du groupe. 4 valeurs sont possibles :

Member Down : exclu la passerelle que si elle est considérée comme non-joignable.
Packet Loss : exclu la passerelle si le taux de perte de paquet atteint la valeur du seuil d'alerte de Packet Loss thresholds de la passerelle (10% par défaut).
High Latency : exclu la passerelle si la latence atteint la valeur du seuil d'alerte de Latency thresholds de la passerelle (200ms par défaut).
Packet Loss or High Latency : exclu la passerelle si la latence ou le taux de perte de paquets atteint le seuil d'alerte de la passerelle.

Description
Un champ description.

Exemple configuration :
Configuration d'un groupe de passerelles sous pfSense - Provya


Sur la capture d'écran ci-dessus, la configuration est la suivante : uniquement la passerelle "WAN_Gateway_1" sera utilisée (c'est la seule en Tier 1) ; si elle devient injoignable, alors les deux passerelles "WAN_Gateway_2" et "WAN_Gateway_3" seront utilisées en répartition de charge (toutes les deux sont en Tier 2).
Dès que la passerelle "WAN_Gateway_1" sera de nouveau joignable, alors le trafic rebasculera exclusivement sur celle-ci.


Configuration d'une route statique


Les routes statiques sont utilisées lorsque des hôtes ou des réseaux sont accessibles par un routeur autre que la passerelle par défaut.
Le firewall connaît les réseaux qui lui sont directement rattachés et il atteint tous les autres réseaux selon les indications de la table de routage ; c'est-à-dire via sa passerelle par défaut ou via une route statique.
Ainsi, dans les réseaux où un routeur interne connecte des sous-réseaux internes supplémentaires, une route statique doit être définie pour que ces réseaux soient accessibles.

Pour ajouter une nouvelle route, se rendre dans l'onglet "Static Routes" du menu System > Routing.

Les éléments configurables sont les suivants :

Destination network
L'adresse IP ou le réseau de destination.
Ce peut être une adresse IPv4, un préfixe IPv6 ou un alias.
Nous déconseillons très fortement l'utilisation d'un alias car la table de routage n'est pas mise à jour quand un alias est mis à jour. Il s'agit donc d'une solution totalement déconseillée.

Gateway
La passerelle par laquelle le réseau sera joignable.

Disabled
Permet de désactiver une route sans pour autant la supprimer.

Description
Un champ de description.


Que l'on ait créé ou modifié une passerelle, un groupe de passerelles ou une route statique, il faut penser à cliquer sur le bouton "Apply Changes" afin que les configurations soient prises en compte.



Choix de la passerelle par défaut


Le choix de la passerelle par défaut s'opère depuis l'onglet Gateways du menu System > Routing (en bas de page).

Il est possible de définir une passerelle par défaut pour IPv4 et une autre pour IPv6.
Par défaut, IPv6 aura la priorité sur IPv4.

Si l'on préfère qu'IPv4 ait la préférence sur IPv6, alors il faut cocher la case "Prefer IPv4 over IPv6" depuis l'onglet Networking du menu System > Advanced.

Préférer IPv4 à IPv6 sous pfSense - Provya


Pour le choix de la passerelle par défaut, les valeurs suivantes seront proposées :

  • Automatic : choix par défaut ; pfSense utilisera la première passerelle disponible dans la liste des passerelles configurées, en allant du haut vers le bas.
  • Choisir une passerelle : cette passerelle sera systématiquement utilisée comme passerelle par défaut par pfSense.
  • Choisir un groupe de passerelles : pfSense utilisera les passerelles du groupe dans l'ordre de priorité dans lequel elles ont été définies ; pour que cela fonctionne correctement, il faut qu'il n'y ait qu'une seule passerelle par priorité (il n'est pas possible de faire du load-balancing sur la passerelle par défaut).
  • None : aucune passerelle par défaut ne sera définie pour ce type d'adresse (IPv4 ou IPv6).



Ordre de priorité des règles de routage


L'ordre de priorité suivant lequel le routage se fera est le suivant :

  1. Règle de filtrage : si dans une règle de filtrage (menu Firewall > Rules), une passerelle a été choisie dans les options avancées de configuration de la règle, alors c'est vers cette passerelle que le trafic sera routé, quel que soit l'état de la table de routage de pfSense.
  2. Réseau attaché à une interface : si un sous-réseau est connu par pfSense car il est configuré sur une de ses interfaces, alors pfSense va router directement le trafic sans passer par une passerelle.
  3. Route statique : si la destination d'un trafic correspond à un route statique configurée, alors pfSense suivra cette route statique.
  4. Passerelle par défaut : enfin, si la destination n'est pas connue de pfSense, alors il routera le trafic vers sa passerelle par défaut.

Enfin, si un doute subsiste sur le routage que va suivre pfSense ou sur l'état de la table de routage, on peut s'appuyer sur notre article dédié : [pfSense] Comprendre et analyser ses règles de routage


Voilà, nous avons fait un tour complet des éléments à connaître pour la gestion de ses passerelles réseaux sous pfSense !



Pour aller plus loin


[pfSense] Comprendre et analyser ses règles de routage
[pfSense] Configurer un dual-WAN (plusieurs connexions Internet)
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.5.2 est disponible

icon 08/07/2021 - Aucun commentaire

English version: pfSense 2.5.2 now available

Mercredi 07 juillet 2021 est sortie la dernière version de pfSense. La version 2.5.2.

Il s'agit d'une mise à jour qui apporte principalement des corrections de bugs, ainsi qu'un timide retour de Wireguard.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Bugs / Améliorations


Concernant le routage, il existait deux bugs importants qui ont été corrigés :
  • Correction de l'énorme bug qui empêchait de mettre en œuvre des redirections de ports sur les WAN secondaires. Ce problème était apparu avec la version 2.5.1.
  • Correction d'un bug qui empêchait de faire du 1:1 NAT sur les VPN IPsec.

De nombreuses anomalies liées à l'interface web ou à PHP ont également été corrigées :
  • Dashboard / sonde de température : les valeurs retournées étaient vides ou fausses pour certains matériels.
  • Widget IPsec : uniquement la première phase 2 était affichée dans certain cas sur le tableau de bord.
  • La modification de Widget pouvait provoquer des avertissements PHP (Warning).
  • Le Widget NTP affichait des valeurs incorrectes ou incohérentes.
  • Affichage / code PHP : correction d'un certain nombre d'erreurs d'affichage ou d'erreurs PHP.
  • Corrections des erreurs PHP qui étaient affichées lorsque le fichier PHP_error.log était trop volumineux.

Les autres corrections notables sont les suivantes :
  • Portail captif : correction d'une faille de sécurité de type XSS qui permettait l'exécution de code javascript s'il était passé dans la variable redirurl ;
  • Résolveur DNS (Unbound) : retour vers Unbound 1.12.x car il y avait trop d'instabilité avec Unbound 1.13.x. C'est temporaire, les futures version de pfSense re-basculeront sur Unbound 1.13.x dès que cela aura été stabilisé ;
  • AES-NI (accélération cryptographique) : correction d'un bug sur le support de SHA1 et SHA-256 lorsqu'AES-NI est utilisé ;
  • IPsec : correction de nombreux bugs résiduels qui étaient apparus avec pfSense 2.5.0 et qui n'avaient pas été corrigés avec la version 2.5.1 ;
  • OpenVPN : correction de plusieurs petits bugs et mise à jour d'OpenVPN vers la version 2.5.2 ;
  • Interfaces réseaux : correction d'un bug qui empêchait de modifier la MTU si IPv4 et IPv6 étaient tous les deux actifs sur l'interface.


Enfin, plusieurs améliorations au niveau du système d'exploitation (FreeBSD) ont été ajoutées :
  • Ajout du pilote RTL8153 (qui est un adaptateur USB vers Ethernet) au noyau FreeBSD ;
  • Ajout du support pour la console Xen ;
  • Ajout de nouveaux algorithmes de contrôle de la congestion réseau.



Nouveautés


Il n'y a pas de grosses nouveautés pour cette version de pfSense.

On peut cependant noter l'ajout du support des fournisseurs de DNS dynamique suivant : Mythic-Beasts, one.com, Yandex PDD, NIC.RU et Gandi LiveDNS IPv6.

Dernier élément notable, le package WireGuard est réintroduit en tant que package expérimental.
À utiliser avec précaution, donc.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.5.2 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

[pfSense] Sauvegarder automatiquement son firewall avec un script

icon 29/06/2021 - 5 commentaires

English version: [pfSense] Making automatic backups with a script

Dans cet article, nous présentons une solution pour sauvegarder automatiquement son pfSense avec un script shell.

Nous nous appuyons sur le script shell bm-backup-pfsense proposé par le site Blogmotion.



Principe de fonctionnement


Le script va se connecter sur l'interface web du pfSense à sauvegarder et va "naviguer" dans les menus afin de déclencher le téléchargement du fichier de configuration (config.xml).

L'intérêt de ce script est qu'il passe par l'interface web de pfSense pour effectuer la sauvegarde. Ainsi, il n'y a pas besoin d'activer un accès SSH sur le serveur pfSense que l'on souhaite sauvegarder et l'on peut créer un compte utilisateur avec les droits strictement nécessaires pour effectuer la sauvegarde.

D'une façon générale, nous recommandons de se méfier des scripts ou applications qui nécessitent un accès SSH "root" sur les firewall pfSense ; cela représente un risque trop important en terme de sécurité.

Le script bm-backup-pfsense fonctionne très bien sous pfSense 2.4.x, 2.5.x et 2.6.x.



Création d'un compte utilisateur


Pour commencer, nous allons créer un compte utilisateur dédié à la sauvegarde.
Se rendre dans le menu System > User Manager :

Menu System > User Manager - pfSense - Provya


Depuis l'onglet "Users" (onglet par défaut), cliquer sur le bouton "+ Add".

Nous créons un nouvel utilisateur en précisant simplement un nom d'utilisateur (username) et un mot de passe (password). Les autres champs peuvent être laissés vides.

Exemple de résultat obtenu :

Création d'un utilisateur pour la sauvegarde - pfSense - Provya

Création d'un utilisateur dédié pour la sauvegarde


Pour en savoir plus sur la gestion des utilisateurs sous pfSense, consultez notre article dédié : [pfSense] La gestion des utilisateurs.


Nous pouvons maintenant modifier cet utilisateur afin de lui assigner les bons droits d'accès.
Pour cela, cliquer sur l'icône en forme de crayon se situant sur la ligne de l'utilisateur que nous venons de créer :

Modification d'un utilisateur pour la sauvegarde - pfSense - Provya



Descendre au niveau de la rubrique "Effective Privileges" et cliquer sur le bouton "+ Add" :

Ajout de droits à un utilisateur pour la sauvegarde - pfSense - Provya



Nous ajoutons le droit d'accès à la page de Sauvegarde / Restauration en sélectionnant la ligne "WebCfg - Diagnostics: Backup & Restore" :

Choix des droits pour un utilisateur pour la sauvegarde - pfSense - Provya



Nous validons notre choix en cliquant sur le bouton "Save", puis nous sauvegardons la modification de l'utilisateur en cliquant de nouveau sur le bouton "Save".

Ainsi, notre utilisateur "sauvegarde-auto" peut se connecter sur l'interface web de pfSense mais n'aura accès qu'à la page Backup & Restore :

Menu limité à la sauvegarde - pfSense - Provya

L'utilisateur sauvegarde-auto n'a accès qu'à une seule page de notre pfSense




Configuration du script


Le script bm-backup-pfsense doit pouvoir s'exécuter sur n'importe quelle distribution GNU/Linux ou serveur FreeBSD/pfSense.

Dans notre cas, nous exécuterons ce script depuis un serveur de sauvegarde Linux hébergé sur notre réseau local (LAN).

Nous téléchargerons le script pfmotion_curl.sh.

Il existe deux autres versions de bm-backup-pfsense : une version utilisant le programme wget et une version permettant de sauvegarder plusieurs pfSense (à condition que le nom d'utilisateur et le mot de passe soient identiques sur tous les pfSense à sauvegarder).

Le fichier pfmotion_curl.sh est très simple à paramétrer ; il suffit de compléter les variables suivantes :

  • PFSENSE_HOST (ligne 14) : l'adresse IP du serveur pfSense à sauvegarder
  • PFSENSE_USER (ligne 17) : le compte utilisateur pour se connecter à pfSense. Dans notre cas : sauvegarde-auto
  • PFSENSE_PASS (ligne 18) : le mot de passe associé au compte utilisateur
  • BACKUP_DIR (ligne 21) : le dossier de sauvegarde (par défaut, les sauvegardes seront enregistrées dans le dossier conf_backup du répertoire où est exécuté le script)

Exemple de résultat obtenu :

Configuration du script pfMotion-backup - pfSense - Provya


Il ne nous reste plus qu'à lancer le script :

Lancement du script pfMotion-backup - pfSense - Provya

Le script s'est déroulé avec succès. Sauvegarde effectuée


Nous pouvons automatiser le lancement de ce script, toutes les nuits par exemple, via une tâche cron.

Enfin, et pour être complet, nous proposons d'ajouter deux fonctionnalités complémentaires au script :

  • Une alerte par e-mail si la sauvegarde ne s'effectue pas correctement
  • La suppression des sauvegardes de plus de 30 jours


Alerte par e-mail si la sauvegarde ne s'effectue pas correctement


Il suffit d'ajouter le code suivant aux lignes 71 et 78 :

echo "Erreur lors de la sauvegarde de pfSense" | mail -s "Sauvegarde auto pfSense - ERREUR" mon@adresse.tld

Ce qui donnera quelque chose comme ceci :

Alerte par e-mail en cas de problème avec pfMotion-backup - pfSense - Provya


Il faut, bien-sûr, remplacer mon@adresse.tld par l'adresse e-mail destinée à recevoir les notifications.

Il faut également avoir préalablement configuré sur son serveur un programme d'envoi d'email tel que Postfix ou Sendmail.
Nous proposons un article succinct sur l'installation et la configuration de Postfix sur un serveur Ubuntu ou Debian : [Postfix] Installer et configurer Postfix pour envoyer ses e-mails depuis un serveur dédié


Suppression des sauvegardes de plus de 30 jours


Nous proposons d'ajouter le code suivant qui va s'occuper de rechercher et supprimer les fichier de plus de 30 jours se trouvant dans le dossier de sauvegarde.

# Suppression au dela de 30 jours
find "$BACKUP_DIR/" -type f -mtime +30 -exec rm {} \;

Ce code est à placer en fin de script, juste avant les deux dernières lignes :

echo
exit 0

Voilà, nous disposons d'une solution simple, pratique et efficace pour sauvegarder automatiquement notre serveur pfSense.
Merci à Mr Xhark du site Blogmotion pour sa réalisation et son partage.



Pour aller plus loin


[pfSense] Sauvegarder automatiquement sa configuration avec AutoConfigBackup
[Postfix] Installer et configurer Postfix pour envoyer ses e-mails depuis un serveur dédié
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors visitez notre boutique en ligne.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

[pfSense] La gestion des packages sous pfSense

icon 08/06/2021 - Aucun commentaire

English version: [pfSense] The package system in pfSense

pfSense propose l'installation de packages afin de pouvoir lui ajouter des fonctionnalités supplémentaires.

Dans cet article, nous présentons le fonctionnement des packages, leur gestion (installation, mise à jour, suppression), ainsi que les principaux packages.



Qu'est-ce qu'un "package"


Dans son installation par défaut, pfSense offre une large palette de fonctionnalités. Il est en plus possible de lui adjoindre des fonctionnalités supplémentaires par l'installation de packages. Ces packages peuvent offrir des services complémentaires ou des informations statistiques avancées.

Ces packages sont intégrés à pfSense. C'est-à-dire que leur utilisation se fait généralement via l'interface web de pfSense.
De même, la liste des packages disponibles est maintenue et vérifiée par Netgate, l'éditeur du logiciel pfSense, afin de s'assurer que les packages proposés soient correctement mis à jour et maintenus.

Les packages sont les seuls outils additionnels que l'on peut installer aisément sur un pfSense existant. En effet, le logiciel pfSense tournant sur une base FreeBSD modifiée, l'ensemble des packages ou logiciels habituellement disponibles sous FreeBSD (via pkg, par exemple, l'outil de gestion des paquets de FreeBSD) ne pourra pas forcément être installé sur pfSense (pour des problématiques de dépendances, principalement).

Enfin, il est important de rappeler que l'installation de packages sur pfSense doit se faire de manière mesurée et pragmatique ; pour des raisons de sécurité, il est recommandé de n'installer que les package strictement nécessaires.



Comment installer un package


L'installation d'un package s'opère depuis le menu System > Package Manager :

Menu System > Package Manager - pfSense - Provya


La gestion des packages est organisée sous la forme de deux onglets :

Gestion des packages - pfSense - Provya


Le premier onglet (Installed Packages) permet de visualiser les packages installés. Il est également possible depuis cet onglet de réinstaller un package ou de le mettre à jour.

Le deuxième onglet (Available Packages) permet de parcourir la liste complète des packages disponibles et pas encore installés.

Pour chaque package, les informations suivantes sont présentées :

  • Name : le nom du package ; un lien peut être présent sur le nom du package en priorité vers la page de documentation associée, vers la catégorie dédiée sur le forum pfSense ou vers le site de l'éditeur.
  • Version : la version installée ou installable.
  • Description : une description succincte en anglais du package.

Depuis l'onglet "Available Packages", il est également possible de lancer une recherche sur un mot clef.

Pour installer un package donné, il suffit de cliquer sur le bouton "Install" se situant sur la même ligne.

Installer un paquet - pfSense - Provya


Une confirmation nous sera demandée, il suffira de cliquer sur le bouton "Confirm" :

Installer un paquet - pfSense - Provya


Le processus d'installation se déroule et les informations d'installation sont affichées à l'écran. Une fois l'installation réalisée avec succès, un message d'information est affiché :

Installation réussie d'un paquet - pfSense - Provya


De la même façon, en cas d'erreur ou d'anomalie lors de l'installation d'un package, un message d'erreur explicite est affiché.



Gérer les mises à jour de package


Les packages disposent de leur propre rythme de mise à jour.
Aussi, lorsque l'on installe un package, il est important de maintenir ce dernier à jour.

Lorsqu'un package dispose d'une mise à jour, son nom apparaît en jaune et l'icône Icône de mise à jour d'un package sous pfSense - Provya est également affichée :

Mettre à jour un package sous pfSense - Provya

Les packages ntopng et openvpn-client-export peuvent être mis à jour


Pour lancer la mise à jour, il suffit de cliquer sur l'icône de mise à jour Icône de mise à jour d'un package sous pfSense - Provya.

Pour les packages à jour, l'icone affichée est la suivante : Icône d'un package à jour sous pfSense - Provya.

Icône d'un package à jour sous pfSense - Provya

Le package acme est à jour



Point d'attention concernant les mises à jour : lors de la sortie d'une nouvelle version de pfSense, les dépôts proposés par défaut sont mis à jour pour correspondre à la nouvelle version de pfSense ; ainsi les packages (et les mises à jour) proposés sont ceux correspondant à la nouvelle version de pfSense.
Si on n'utilise pas la dernière version de pfSense et que l'on souhaite installer ou mettre à jour un package, il faut modifier la branche de version utilisée pour les dépôts. Nous détaillons la procédure dans le paragraphe suivant.

Enfin, lors d'une mise à jour de pfSense, il faut d'abord mettre à jour pfSense, avant de mettre à jour les packages. Nous présentons la procédure complète pour mettre à jour son pfSense dans notre article dédié : [pfSense] Mettre à jour son serveur pfSense



Installer et mettre à jour des packages pour les anciennes versions de pfSense


Si une nouvelle mise à jour de pfSense est sortie et que l'on ne souhaite pas y passer, mais que l'on veut continuer à pouvoir installer/mettre à jour ses packages, il faut modifier les dépôts cibles.

Pour cela, il faut se rendre dans le menu System > Update :

Menu System > Update - pfSense - Provya


Se rendre sur l'onglet "Update Settings" et dans liste déroulante "Branch", choisir la branche correspondant à notre version de pfSense actuellement installée :

Changement branche mise à jour - pfSense - Provya


Il faut, bien-sûr, cliquer sur le bouton "Save" pour valider le changement.



Désinstaller ou réinstaller un package


Il peut parfois être utile de réinstaller un package lorsque celui-ci rencontre des problèmes de stabilité ou suite à une mise à jour qui ne s'est pas bien passée.

Il y a deux approches possibles : réinstaller le package ou désinstaller puis installer de nouveau le package.

Pour cela, deux icônes sont proposées pour chaque package installé ; la première icône permet de désinstaller le package Désinstaller un package sous pfSense - Provya, la seconde de le réinstaller Réinstaller un package sous pfSense - Provya.

Il faudra confirmer l'action choisie en cliquant sur le bouton "Confirm".

Gestion des packages sous pfSense - Provya




Présentation des principaux packages


Il existe plus ou moins une soixantaine de packages. Nous proposons ici de présenter succinctement les principaux :


ACME


Le paquet ACME (Automated Certificate Management Environment) permet la gestion des certificats auprès des fournisseurs supportant le protocole ACME, comme Let's Encrypt par exemple.


arping et arpwatch


Ces deux paquets permettent d'envoyer des requêtes ARP de type who-has et de surveiller / alerter dès qu'une nouvelle adresse MAC est détectée sur le réseau.


apcupsd


Ce paquet permet de contrôler tous les modèles d'onduleurs APC. Il peut surveiller et enregistrer l'état actuel de l'alimentation et de la batterie, effectuer un arrêt automatique et peut aussi fonctionner en mode réseau pour mettre hors tension d'autres hôtes sur le réseau.


BIND


Ce paquet fournit une interface graphique pour le serveur DNS BIND (permettant de mettre en place un serveur DNS faisant autorité ou un résolveur DNS).


Cron


Propose une interface graphique pour manipuler le programme cron (qui est un planificateur de tâches) de pfSense.


HAproxy


Installe le logiciel HAProxy qui est un reverse proxy et équilibreur de charge (load balancing) puissant.


LADVD et lldpd


Ces deux paquets offrent des fonctionnalités similaires et permettent la prise en charge des protocoles LLDP (Link Layer Discovery Protocol), CDP (Cisco Discovery Protocol), EDP (Extreme Discovery Protocol) et NDP (Nortel Discovery Protocol).


squid, squidGuard et Lightsquid


Ce paquets permettent d'installer le serveur proxy squid, de filtrage d'URL ou de noms de domaine squidGuard et l'analyseur de logs Lightsquid.


ntopNG


ntopNG agit comme une sonde réseau qui montre l'utilisation détaillée du réseau. ntopNG dispose d'un émetteur/collecteur NetFlow/sFlow.


OpenVPN Client Export


Ce paquet permet de générer des fichiers de configuration OpenVPN pré-configurés pour les clients, des installateurs de clients Windows pré-configurés et des bundles de configuration Viscosity.


pfBlockerNG


Installe le logiciel pfBlockerNG qui est un utilitaire très complet permettant de contrôler les connexions à travers le pare-feu sur la base de critères plus généraux que les règles du pare-feu elles-mêmes (par exemple, par pays, par nom de domaine, etc.).
pfBlockerNG gère des listes d'adresses IP dans des formats de type "Deny, Permit ou Match", permet d'accéder à la base de données GeoIP, gère des liste noire DNS (DNSBL), etc.


Siproxd


Ce paquet permet d'installer un proxy SIP pour la VoIP. Pour la plupart des configurations SIP modernes, ce type de logiciel n'est absolument plus du tout nécessaire. Le paquet Siproxd ne doit donc être installé / utilisé que si c'est vraiment utile.


Snort et Suricata


Ces paquets offrent des fonctionnalités très similaires. Ils permettent d'installer un système de prévention d'intrusion de type IDS/IPS.


System Patches


Ce paquet permet l'installation de correctifs (patches) personnalisés.


Zabbix-agent et Zabbix-proxy


Ces paquets permettent la collecte et la remontée d'informations de supervision vers un serveur Zabbix.


Nous avons fait le tour de la gestion des packages sous pfSense et listé les principaux d'entre eux.

Dans de prochains articles, nous présenterons plus en détail certains packages : leurs intérêts concrets et leurs utilisations détaillées.



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.5.1 est disponible

icon 15/04/2021 - 3 commentaires

English version: pfSense 2.5.1 now available

Mardi 13 avril 2021 est sortie la dernière version de pfSense. La version 2.5.1.

Il s'agit d'une mise à jour qui corrige principalement les très nombreux bugs apportés avec pfSense 2.5.0. Autre nouveauté importante : le logiciel WireGuard est retiré de pfSense.

Dans cet article, nous faisons un tour rapide des éléments marquants de cette mise à jour.



Nouveautés


Il s'agit de la seule nouveauté de pfSense 2.5.1, comme nous l'avions annoncé dans un précédent article, WireGuard est retiré de pfSense 2.5.1 pour des raisons de sécurité.

/!\ Attention : pour bénéficier de cette mise à jour, vous devez supprimer toutes configurations existantes de WireGuard : si vous avez configuré un VPN WireGuard sur votre pfSense, la mise à jour 2.5.1 ne pourra pas se faire.



Bugs / Améliorations


Les principaux bugs corrigés ou les principales améliorations apportées sont les suivantes :
  • Alias : il n'était plus possible de renommer un alias déjà en cours d'utilisation. C'est corrigé.
  • Authentification : correction d'un problème d'authentification LDAP pour les accès SSH à pfSense.
  • Certificats : plusieurs bugs ont été corrigés. Notamment des bugs portant sur le renouvellement de certificat.
  • Tableau de bord : correction de plusieurs indicateurs qui remontaient des valeurs incorrectes, notamment sur le processeur ou sur la table d'états.
  • Gateway : plusieurs bugs corrigés notamment sur la gestion de passerelles se trouvant sur un sous-réseau différent de l'interface WAN.
  • IPsec : énormément de bugs ont été corrigés (bugs qui avaient été introduits par la version 2.5.0).
  • OpenVPN : plusieurs bugs, plutôt mineurs, ou anomalies d'affichage ont été corrigés.
  • IPv6 : correction d'une anomalie sur la gestion des RA (Routeur Advertisements).
  • Notifications : certaines notifications (notamment via Telegram) ne respectaient pas la configuration du proxy. C'est corrigé.
  • Haute-disponibilité : correction d'erreurs de synchronisations avec XMLRPC.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Vous ne pourrez pas mettre à jour si vous utilisez un VPN WireGuard : la mise à jour vous sera proposée, mais elle échouera. Vous devez d'abord supprimer les configuration WireGuard existantes avant de pouvoir mettre à jour.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02.2/2.5.1 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

WireGuard est retiré de pfSense pour des raisons de sécurité

icon 23/03/2021 - Aucun commentaire

Netgate, l'éditeur du logiciel pfSense, a annoncé le 18/03/2021 que le logiciel WireGuard était retiré de pfSense 2.5.

Cette annonce fait suite à une annonce similaire de la part de l'équipe de base (core team) de FreeBSD : WireGuard sera retiré de FreeBSD 13, jusqu'à ce qu'une version plus mature puisse être ajoutée par la suite.

La raison de ce retrait est la présence de graves lacunes en terme de sécurité au niveau du code-source de la version de WireGuard livrée avec pfSense / FreeBSD.

Dans cet article, nous présentons ce qu'il s'est passé.



WireGuard, qu'est-ce que c'est ?


WireGuard est à la fois un logiciel open-source et un protocole de communication permettant de mettre en place un réseau privé virtuel (VPN).

Il s'agit d'une alternative à OpenVPN et IPsec.

La solution WireGuard se veut être une solution simple à mettre en oeuvre, à l'état de l'art en termes de développement, de fonctionnalités et de sécurité et offrir des performances réseaux particulièrement intéressantes.

WireGuard est développé par Jason A. Donenfeld et par les sociétés ZX2C4 et Edge Security.

WireGuard a, à l'origine, été développé et intégré au noyau Linux.



Implémentation de WireGuard sous FreeBSD / pfSense


Il s'agissait d'une des principales nouveautés de pfSense 2.5 : l'intégration de WireGuard au noyau de FreeBSD.

La plupart des distributions GNU/Linux supportent WireGuard depuis un petit moment déjà (car WireGuard a été intégré au noyau Linux 5.6), ainsi qu'OPNsense qui a intégré un support de WireGuard dans l'espace utilisateur (en attendant une intégration au noyau de FreeBSD).

Le développement de WireGuard pour FreeBSD a été assuré par des développeurs de Netgate (l'éditeur de pfSense). Le développement a duré pratiquement un an.

Le code a ensuite été intégré au noyau FreeBSD.

Malheureusement, il est vite apparu que le code intégré au noyau FreeBSD ne respectait pas les standards habituels de qualité et de sécurité.

Le fondateur du projet WireGuard, Jason Donenfeld (qui n'a pas participé au développement de la version présente dans pfSense 2.5) s'est penché sur le code ajouté au noyau de FreeBSD et a émis des critiques sévères que nous retranscrivons ici :

Ce code, c'est ce qui donne une mauvaise image au langage C !
Il y a des instructions "sleep" aléatoires pour corriger des problématiques d'accès concurrents, des fonctions de validation qui renvoient systématiquement "true", des vulnérabilités cryptographiques absolument catastrophiques, des pans entiers du protocole WireGuard non-implémentés, des "kernel panic", des contournements de sécurité, des dépassements de tampon, des "printf" arbitraires enfouis dans la partie cryptographique du code-source, et toute la litanie habituelle des choses horribles qui peuvent aller mal quand les gens ne font pas attention à ce qu’ils écrivent en C.

Il semblerait que cette déclaration soit légèrement exagérée (par exemple en employant le pluriel, là où un seul cas a été constaté). Cependant, toutes ces alertes de sécurité et de qualité du code sont bien réelles et confirmées par d'autres développeurs dont Kyle Evans qui est un guru FreeBSD et mainteneur du package WireGuard pour FreeBSD.

Des problématiques de sécurité sur les Jumbo frame ou d'élévation des privilèges ont également été rapportées.


Dans un premier temps Netgate a annoncé que l'implémentation de WireGuard ne posait pas de réels problèmes de sécurité pour les utilisateurs de pfSense, avant de finalement déconseiller son utilisation, puis enfin retirer le logiciel WireGuard de pfSense.



Peut-on utiliser WireGuard sous pfSense ou FreeBSD ?


Techniquement, la réponse est oui. Mais c'est totalement déconseillé.

Il vaut mieux éviter d'utiliser WireGuard pour le moment et privilégier d'autres solutions comme OpenVPN ou IPsec.

Si vous voulez ou devez à tout prix continuer à utiliser WireGuard sur votre pfSense, alors il est indispensable que celui-ci ne soit pas configuré sur une interface dont le MTU est supérieur à 1420.

Pour vérifier le MTU employé sur votre interface, rendez-vous dans le menu Status > Interfaces :

Menu Status > Interfaces - pfSense - Provya


La valeur du MTU sera indiquée pour chacune de vos interfaces.



Je suis utilisateur d'OPNsense, suis-je concerné ?


Non, pas directement. Le plugin WireGuard proposé sous OPNsense n'est pas celui implémenté avec le noyau FreeBSD.
Il s'agit d'une version tournant dans l'espace utilisateur.

Cependant, la version de WireGuard proposée sous OPNsense reste expérimentale : il reste déconseillé de l'utiliser en production.
Un avertissement est d'ailleurs présent dans la documentation d'OPNsense :

Avertissement WireGuard OPNsense - Provya


Pour notre part, nous déconseillons l'utilisation de WireGuard aussi bien sous pfSense que sous OPNsense.



Est-ce que WireGuard reviendra sous FreeBSD / pfSense ?


Oui, bien-sûr. Un nouveau développement complet, en repartant de l'implémentation de WireGuard réalisée pour OpenBSD, et auquel participe Jason Donenfeld (à l'origine du projet WireGuard), les équipes de Netgate et des développeurs de FreeBSD et d'OpenBSD a été lancé.

Il est fort probable que WireGuard fasse son retour pour la version FreeBSD 13.1 (ou une suivante).

La future implémentation de WireGuard pour FreeBSD promet d'être de haute qualité, ce qui est une très bonne nouvelle pour tous les utilisateurs de FreeBSD, pfSense et OPNsense.



Si vous souhaitez obtenir davantage d'informations sur le sujet (en anglais), vous pouvez consulter les liens suivants :

WireGuard est supprimé des logiciels pfSense® CE et pfSense® Plus

Suppression du support WireGuard de la base FreeBSD

Déclaration sur la controverse Wireguard

E-mail de Jason A. Donenfeld

Article d'Ars Technica - WireGuard intégré au noyau est en route vers FreeBSD et le routeur pfSense



Pour aller plus loin


[pfSense] Configurer un VPN IPsec site à site
[pfSense] Monter un accès OpenVPN site-à-site
[pfSense] Sécurisez l'accès distant de vos collaborateurs nomades avec OpenVPN
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :