Pour le r\u00e9seau HOME, dit r\u00e9seau rouge :<\/p>\n\n\n\n
- 1 routeur Asus RT-AC86U en mode routeur<\/li>
- 1 routeur Asus RT-AC68U en mode r\u00e9p\u00e9teur mesh<\/li><\/ul>\n\n\n\n
Pour l’Appliance firewall pfSense :<\/p>\n\n\n\n
- Un mini PC Protectli <\/a>Firewall Appliance (Quad Core Celeron,AES-Ni,8Gb Ram,120Go, 4xIntel Ports Gigabit)<\/li><\/ul>\n\n\n\n
La vue r\u00e9seau <\/h3>\n\n\n\n
![\"\"](\"https:\/\/tex.fr\/wp-content\/uploads\/2019\/10\/plan-reseau-segment\u00e9-1024x843.jpg\")
Isolation des \u00e9quipements IOT sur un r\u00e9seau d\u00e9di\u00e9<\/figcaption><\/figure>\n\n\n\n Comme le montre cette vue, j’ai scind\u00e9 mon r\u00e9seau domestique en 2 r\u00e9seaux s\u00e9par\u00e9s.
Un r\u00e9seau rouge (1.1.0.0\/16 – SSID WIFI-HOME) sur lequel on trouve les \u00e9quipements contenant les donn\u00e9es sensibles \u00e0 prot\u00e9ger (PC, NAS, Smartphone). La t\u00eate de r\u00e9seau est constitu\u00e9 par un routeur Wifi configur\u00e9 en mode AP et connect\u00e9 au port LAN du firewall. Ce routeur est relay\u00e9 par un n\u0153ud mesh wifi. Situ\u00e9 dans une autre pi\u00e8ce le n\u0153ud mesh sert de point d’acc\u00e8s \u00e0 un PC. Un NAS est attach\u00e9 \u00e0 l’AP principale. Ce NAS est accessible par toutes les machines du r\u00e9seau rouge. Il sert de backup et de serveur multim\u00e9dia. <\/p>\n\n\n\nUn r\u00e9seau bleu (1.2.0.0\/16 – SSID WIFI-IOT) sur lequel on trouve les \u00e9quipements potentiellement vuln\u00e9rables et qui ne contiennent aucune donn\u00e9es sensibles (TV, Cam\u00e9ra, Enceinte connect\u00e9e, \u2026). La t\u00eate de ce r\u00e9seau est constitu\u00e9 par un routeur Wifi configur\u00e9 en mode AP et connect\u00e9 au port OPT1 du firewall. Ce routeur est relay\u00e9 par un n\u0153ud mesh wifi. Situ\u00e9 dans une autre pi\u00e8ce le n\u0153ud mesh sert de point d’acc\u00e8s \u00e0 un ensemble d’\u00e9quipements multim\u00e9dia. Une r\u00e8gle firewall autorise les \u00e9quipements du r\u00e9seau bleu \u00e0 pouvoir \u00e9tablir une connexion sur le port du serveur multim\u00e9dia qui est localis\u00e9 dans le r\u00e9seau rouge.<\/p>\n\n\n\n
Le wifi de la box ADSL a \u00e9t\u00e9 laiss\u00e9 actif. C’est un troisi\u00e8me r\u00e9seau (192.168.1.0\/24) qui sert de wifi guest. Les invit\u00e9s disposent ainsi d’une possibilit\u00e9 d’acc\u00e8s internet sans pour autant acc\u00e9der aux 2 r\u00e9seaux priv\u00e9s.<\/p>\n\n\n\n
Vous aurez pu noter l’existence d’une exception \u00e0 l’isolation des \u00e9quipements IOT. En effet un imprimante est pr\u00e9sente sur le r\u00e9seau rouge alors qu’id\u00e9alement elle devrait \u00eatre sur le r\u00e9seau bleu. La raison c’est que les capacit\u00e9s de connectivit\u00e9 de cette imprimante sont limit\u00e9es. Elle est incapable de fonctionner correctement avec des clients situ\u00e9s dans une autre zone r\u00e9seau que la sienne. J’ai donc d\u00fb me r\u00e9soudre \u00e0 int\u00e9grer cette imprimante au sein du r\u00e9seau rouge mais tout en ajoutant des r\u00e8gles firewall strictes qui bloquent toute connexion vers le LAN dont elle serait \u00e0 l’origine. <\/p>\n\n\n\n
Installation de pfSense<\/h3>\n\n\n\n
Le firewall pfSense est \u00e0 installer sur le mini pc protectli. Si un OS \u00e9tait install\u00e9 sur le mini pc il sera remplac\u00e9 par celui de pfSense . L’installeur est \u00e0 t\u00e9l\u00e9charger ici https:\/\/www.pfsense.org\/download\/<\/a> . <\/p>\n\n\n\n
Le plus simple consiste \u00e0 r\u00e9aliser l’installation depuis une cl\u00e9 USB en connectant le mini pc \u00e0 un \u00e9cran et \u00e0 un clavier le temps de r\u00e9aliser l’installation initiale. D\u00e8s que l’interface wan aura \u00e9t\u00e9 configur\u00e9e via la console, le firewall sera alors accessible depuis le r\u00e9seau. La suite de la configuration pourra se faire en remote en utilisant l’interface Web.<\/p>\n\n\n\n
De tr\u00e8s bon tutoriaux existent sur le sujet, comme ceux disponibles sur le site Protectli https:\/\/protectli.com\/kb\/how-to-install-pfsense-ce-2-4-on-the-vault-2\/<\/a><\/p>\n\n\n\n
Configuration des routeurs<\/h3>\n\n\n\n
Isoler son r\u00e9seau IOT demande 2 ensembles de routeurs. Chaque ensemble comprend un routeur Wifi configur\u00e9 en mode Access Point et un ou plusieurs routeurs relais configur\u00e9s en mode mesh. Chacun des deux routeurs principaux est \u00e0 relier physiquement via un c\u00e2ble dans un des ports du firewall pfSense. Les routeurs relais sont \u00e0 disposer dans votre maison au gr\u00e9 de vos besoins. Ces routeurs mesh servent \u00e0 la fois de r\u00e9p\u00e9teurs et de points d’acc\u00e8s aux \u00e9quipements d\u00e9pourvus de Wifi. On configurera le premier ensemble pour \u00e9mettre le Wifi sur le SSID WIFI-HOME, ce sera votre r\u00e9seau domestique. Le second pour \u00e9mettre sur le SSID WIFI-IOT, ce sera votre r\u00e9seau IOT.
<\/p>\n\n\n\nConnexions du mini-pc firewall<\/h3>\n\n\n\n
Pour le firewall, vous aurez pris le soin d’acheter un mini pc disposant d’au moins 3 ports r\u00e9seau. En g\u00e9n\u00e9ral les ports des appliances firewall sont d\u00e9nomm\u00e9s WAN, LAN, OPT1, OPT2, etc..<\/p>\n\n\n\n
![\"\"](\"https:\/\/tex.fr\/wp-content\/uploads\/2019\/10\/ports.png\")
<\/p>\n\n\n\nLe port WAN du firewall est \u00e0 connecter \u00e0 un port RJ 45 de votre box internet.
Le port LAN du firewall est \u00e0 connecter au port WAN du routeur Wifi principal HOME.
Le port OPT1 du firewall est \u00e0 connecter au port WAN du routeur Wifi principal IOT.<\/p>\n\n\n\nCr\u00e9ation des interfaces du firewall pfSense<\/h3>\n\n\n\n
Pour les 3 connexions physiques, vous devez d\u00e9finir dans pfSense 3 interfaces correspondantes . Les interfaces se configurent et se cr\u00e9es depuis le menu Interfaces<\/i>. Par d\u00e9faut pfSense aura d\u00e9j\u00e0 cr\u00e9\u00e9 les interfaces Wan et Lan, il vous reste n\u00e9anmoins \u00e0 les configurer selon vos besoins.<\/p>\n\n\n\n
L’interface WAN<\/strong> : Cette interface doit avoir une adresse IP conforme au r\u00e9seau de votre box internet, par exemple 192.168.1.30 si l’adresse de votre box est 192.168.1.1. Dans la page configuration pfsense, vous pouvez choisir de donner une adresse statique ou demander une adresse dynamique qui sera allou\u00e9e par le DHCP de votre box internet.
General Configuration
– Enable : \u2713
– Description : WAN
– IP V4 : DHCP
– IP V6 : None
– Mac Address : laisser la valeur par d\u00e9faut
– MTU : vide
– MSS : vide
– Speed and Duplex : Default
DHCP Client Configuration
– laisser vide
Reserved Networks
– Block private networks : \u2713
– Block bogons networks : \u2713<\/p>\n\n\n\nL’interface LAN<\/strong> :
General Configuration<\/em>
– Enable : \u2713
– Description : LAN
– IP V4 : Static IPv4
– IP V6 : None
– Mac Address : laisser la valeur par d\u00e9faut
– MTU : vide
– MSS : vide
– Speed and Duplex : Default
Static IPv4 Configuration <\/em>
– IPv4 Address : 10.1<\/strong>.1.100 \/ 16
Reserved Networks <\/em>
– Block private networks : \u2713
– Block bogons networks : \u2713<\/p>\n\n\n\nL’interface IOTLAN<\/strong> (OPT1<\/em>):
Dans pfSense les interfaces logiques qui correspondent aux ports physiques, WAN, LAN, OPT1, OPT2 … ont pour identifiants respectifs igb0<\/em>, igb1<\/em>, igb2<\/em>, igb3<\/em>…
L’interface logique igb1 <\/em>qui correspond au port OPT1 n’existe pas par d\u00e9faut, vous devez la cr\u00e9er.
Pour cela :
– ouvrez le menu Interface\/Interfaces Assignments<\/em>
– dans la liste Available network ports<\/em> <\/strong>s\u00e9lectionnez igb1<\/em>
– puis cliquez sur + ADD<\/em>
L’interface OPT1 est alors cr\u00e9\u00e9e. Pour la configurer cliquez sur le lien OPT1 qui vient d’apparaitre dans la page, puis saisissez :
General Configuration<\/em>
– Enable : \u2713
– Description : IOTLAN
– IP V4 : Static IPv4
– IP V6 : None
– Mac Address : laisser la valeur par d\u00e9faut
– MTU : vide
– MSS : vide
– Speed and Duplex : Default
Static IPv4 Configuration <\/em>
– IPv4 Address : 10.2<\/strong>.1.100 \/ 16
Reserved Networks
– Block private networks : \u2713<\/em>
– Block bogons networks : \u2713<\/p>\n\n\n\nR\u00e8gles firewall pour l’acc\u00e8s internet<\/h3>\n\n\n\n
Les r\u00e8gles par d\u00e9faut du firewall n’autorisent que les communications au sein d’un m\u00eame r\u00e9seau. Ainsi par d\u00e9faut , les machines et \u00e9quipements du r\u00e9seau LAN peuvent communiquer entre eux, tout comme ceux du r\u00e9seau IOTLAN peuvent le faire entre-eux. Par contre les communications entre les 2 r\u00e9seaux sont bloqu\u00e9es, ainsi que les acc\u00e8s vers le r\u00e9seau WAN, c’est \u00e0 dire vers le r\u00e9seau internet puisque si vous avez suivi ce tutorial votre port WAN est connect\u00e9 \u00e0 votre box internet.<\/p>\n\n\n\n
Autoriser sur LAN les connexions sortantes \u00e0 destination d’internet<\/strong> :
Afin que les \u00e9quipements et les machines du r\u00e9seau LAN puissent acc\u00e9der \u00e0 internet vous devez ajouter la r\u00e8gle firewall qui autorise les flux \u00e0 sortir de LAN vers WAN.
Pour ce faire :
Ouvrez la page Firewall\/Rules<\/em>
Cliquez sur LAN
Dans la page Firewall\/Rules\/LAN <\/em>qui s’affiche:
Cliquez sur ADD (fl\u00e8che vers le bas)
Dans la page Firewall\/Rules\/Edit <\/em>qui s’affiche, saisissez :
Edit Firewall Rule :<\/em><\/p>\n\n\n\n- Action : Pass<\/li>
- Disabled : vide<\/li>
- Interface : LAN<\/li>
- Adresse Family : IPv4<\/li>
- Protocol : Any<\/li><\/ul>\n\n\n\n
Source <\/em>:
S\u00e9lectionnez la valeur LAN net<\/em><\/p>\n\n\n\nDestination <\/em>
laissez les valeurs par d\u00e9faut (any<\/em>)<\/p>\n\n\n\nCliquez sur le bouton Display Advanced<\/em>, dans la section qui s’affiche :
– Pour le param\u00e8tre Gateway <\/em>s\u00e9lectionnez Interface WAN <\/em>
– laissez les valeurs par d\u00e9faut dans le reste de la section.<\/p>\n\n\n\nTerminez la cr\u00e9ation de la r\u00e8gle par Save<\/em><\/p>\n\n\n\n
Au final vous devez obtenir une nouvelle r\u00e8gle assez similaire \u00e0 celle -ci :
<\/p>\n\n\n\n![\"\"](\"https:\/\/tex.fr\/wp-content\/uploads\/2019\/10\/lanrule-1.png\")
<\/figure>\n\n\n\nImportant : Bien \u00e9videmment la r\u00e8gle que nous venons de cr\u00e9er n’autorise que les flux vers internet dont la connexion a \u00e9t\u00e9 initi\u00e9e depuis le r\u00e9seau LAN. Les flux qui seraient initi\u00e9s depuis internet \u00e0 destination du LAN restent heureusement totalement bloqu\u00e9s. Dans le cas o\u00f9 vous voudriez autoriser un flux internet entrant \u00e0 acc\u00e9der \u00e0 une machine de votre r\u00e9seau, il vous faudrait cr\u00e9er une r\u00e8gle firewall de type Redirection de port <\/em>(Port Forward)<\/p>\n\n\n\n
Autoriser sur IOTLAN les connexions sortantes \u00e0 destination d’internet <\/strong> :
Ouvrez la page Firewall\/Rules<\/em>
Cliquez sur IOTLAN
Dans la page Firewall\/Rules\/LAN <\/em>qui s’affiche:
Cliquez sur ADD (fl\u00e8che vers le bas)
Dans la page Firewall\/Rules\/Edit <\/em>qui s’affiche, saisissez :
Edit Firewall Rule :<\/em><\/p>\n\n\n\n- Action : Pass<\/li>
- Disabled : vide<\/li>
- Interface : IOTLAN<\/li>
- Adresse Family : IPv4<\/li>
- Protocol : Any<\/li><\/ul>\n\n\n\n
Source <\/em>:
S\u00e9lectionnez la valeur IOTLAN net<\/em><\/p>\n\n\n\nDestination <\/em>
laissez les valeurs par d\u00e9faut (any<\/em>)<\/p>\n\n\n\nCliquez sur le bouton Display Advanced<\/em>, dans la section qui s’affiche :
– Pour le param\u00e8tre Gateway <\/em>s\u00e9lectionnez Interface WAN <\/em>
– laissez les valeurs par d\u00e9faut dans le reste de la section.<\/p>\n\n\n\nTerminez la cr\u00e9ation de la r\u00e8gle par Save<\/em><\/p>\n\n\n\n
Au final vous devez obtenir une nouvelle r\u00e8gle assez similaire \u00e0 celle -ci :<\/p>\n\n\n\n
![\"\"](\"https:\/\/tex.fr\/wp-content\/uploads\/2019\/10\/rulesiot-1.png\")
<\/figure>\n\n\n\nConfiguration du service DHCP<\/h3>\n\n\n\n
Derni\u00e8re \u00e9tape, pour que vos 2 r\u00e9seaux soient pleinement fonctionnels vous devez configurer le serveur DHCP qui alimentera en adresse IP les machines et \u00e9quipements de vos 2 r\u00e9seaux internes.<\/p>\n\n\n\n
Configuration du DHCP pour le r\u00e9seau LAN:<\/u><\/em>
Cliquez dans le menu Services\/DHCP Server<\/i>
S\u00e9lectionner la premi\u00e8re interface LAN<\/i>.
Dans la section G\u00e9n\u00e9ral Options<\/em>,
contentez vous de cochez la case Enable DHCP server on LAN interface<\/i>
puis d’indiquer un range, comme par exemple :
– From : 10.1.3.100
– To : 10.1.3.254
Laissez vide les options de toutes les sections suivantes.
Pour faciliter la gestion des vos \u00e9quipements, je vous conseille de d\u00e9clarer des adresses statiques et en particulier celles de vos routeurs .
Pour cela :
Dans la section Save DHCP Static Mappings for this Interface<\/i>,
cliquez sur +Add<\/em>
puis dans le formulaire qui s’ouvre saisissez :<\/p>\n\n\n\n- Mac Adress : l’adresse mac de votre \u00e9quipement<\/li>
- IP Adress : L’adresse IP choisie pour votre \u00e9quipement<\/li>
- Hostname : un nom de host pour votre \u00e9quipement<\/li>
- Description : la description texte de votre \u00e9quipement<\/li>
- Ignorez les autres champs<\/li>
- terminez votre saisie en cliquant le bouton Sav<\/em>e<\/li><\/ul>\n\n\n\n
Remarque : certains \u00e9quipement, tels que les routeurs, disposent de plusieurs adresses mac, une pour le r\u00e9seau LAN, une pour le Wifi 5Ghz et une autre pour le r\u00e9seau Wifi 2Ghz. Dans un tel cas il vous faudra d\u00e9clarer dans la table de mapping statique jusqu’\u00e0 3 fois la m\u00eame adresse IP, une fois pour chacune des 3 adresses mac.<\/p>\n\n\n\n
Configuration du DHCP pour le r\u00e9seau IOTLAN:<\/u><\/em>
Cliquez dans le menu Services\/DHCP Server<\/em> et s\u00e9lectionner la seconde interface IOTLAN<\/i>, puis r\u00e9p\u00e9tez la m\u00eame op\u00e9ration que pr\u00e9c\u00e9demment en ajustant simplement le range d’adresses IP \u00e0 la plage 1.2.0.0\/16 utilis\u00e9e sur ce r\u00e9seau.
<\/p>\n\n\n\nPour finir<\/h3>\n\n\n\n
Si vous avez plus ou moins suivi les \u00e9tapes pr\u00e9c\u00e9dentes pour isoler votre r\u00e9seau IOT, vos 2 r\u00e9seaux devraient \u00eatre pleinement fonctionnels et prot\u00e9g\u00e9s avec la configuration par d\u00e9faut du firewall pfSense. Vous pouvez dores et d\u00e9j\u00e0 connecter vos PC, smartphones, NAS, tablettes sur le r\u00e9seau LAN et les objets connect\u00e9s (smart tv, enceintes, cam\u00e9ra, imprimantes…) sur le r\u00e9seau IOT. Si vos \u00e9quipements sont param\u00e9tr\u00e9s pour obtenir automatiquement une adresse IP, le serveur DHCP du firewall pfSense devrait leur en fournir une en conformit\u00e9 de la plage d’adresse du r\u00e9seau o\u00f9 ils se trouvent.
A noter qu’avec cette configuration initiale, les serveurs DNS utilis\u00e9s seront ceux de votre fournisseur d’acc\u00e8s internet. En effet, l’interface WAN est param\u00e9tr\u00e9e pour demander une adresse IP aupr\u00e8s le DHCP de votre box internet ainsi que l’adresse IP du serveur DNS \u00e0 utiliser . Ce serveur DNS se trouve \u00eatre la box elle-m\u00eame, box qui en d\u00e9finitive ne fait que transf\u00e9rer les requ\u00eates DNS vers les DNS de votre FAI. Dans un autre article je vous expliquerai comment configurer les 2 r\u00e9seaux pour que chacun utilise un DNS diff\u00e9rent, mais aussi comment utiliser pfSense pour qu’il endosse lui-m\u00eame le r\u00f4le de serveur DNS.<\/p>\n","protected":false},"excerpt":{"rendered":"Pr\u00e9ambule Avec la prise de conscience de tout un chacun d’\u00eatre une cible potentielle de tous les escrocs 3.0 de la plan\u00e8te, le niveau de s\u00e9curisation de nos PC a relativement augment\u00e9. Les \u00e9diteurs logiciel jouent aussi leur r\u00f4le dans cette am\u00e9lioration. Gr\u00e2ce \u00e0 une meilleur conception des d\u00e9fenses syst\u00e8mes, aux pr\u00e9-installations d’antivirus et de … Continue reading Prot\u00e9ger son r\u00e9seau des vuln\u00e9rabilit\u00e9s de l’IOT<\/span>
- Un mini PC Protectli <\/a>Firewall Appliance (Quad Core Celeron,AES-Ni,8Gb Ram,120Go, 4xIntel Ports Gigabit)<\/li><\/ul>\n\n\n\n