FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Comment créer des VLANs avec Proxmox et pfSense ?

13 septembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place des VLANs au sein de Proxmox, l’hyperviseur de type 1 en licence AGPL-3.0 (d) et le coupler au firewall Open Source pfSense qui lui est sous licence Apache 2.0.

Ce tutoriel n’abordera pas la mise en place de l’hyperviseur et sa sécurisation ou encore la création des machines virtuelles, ni même l’installation et le paramétrage du firewall pfSense. Il a pour but d’appréhender la façon particulière de créer des VLANs et la mise en place de ceux-ci au sein du firewall.

Note : ce tutoriel a été proposé et rédigé par Guilhem SCHLOSSER. Merci à lui pour sa contribution !

II. L'infrastructure : logiciel, matériel, VM

A. Proxmox et PfSense

Proxmox est un hyperviseur de type 1, qui est basé sur un système que vous connaissez surement : Debian. Pour ma part, je vais utiliser Proxmox 7.0-11 basé sur Debian 11 « Bullseye » et sur un noyau Linux 5.11.

Proxmox permet de créer des machines virtuelles, mais aussi des containers. Il permet en outre la mise en place du provisionnement de machines ou de containers. Cependant, cette opération reste assez complexe à mon sens.

En ce qui concerne pfSense, il s’agit d’un routeur/pare-feu basé sur le système FreeBSD. En plus d’être une solution open source, il dispose de plusieurs paquets installables permettant d’installer une solution IDS/IPS, ce qui en fait un firewall plutôt modulable et efficace. Pour ma part, je vais utiliser la version 2.5.2 dans le cadre de ce tutoriel.

B. La configuration matérielle

Maintenant que vous connaissez les outils logiciels que je vais utiliser, parlons de mon matériel. J’utilise un serveur « home made » confectionné par mes soins dont voici la configuration :

Une mini tour ATX, une carte mère B550M-ITX/AC, un processeur AMD Ryzen 7 3700x, 32 Go de RAM et une carte graphique ASUS GT 710.

Malheureusement pour moi, cette configuration n’est plus compatible avec VMware ESXi 7, que j’aurais bien aimé approfondir (qui sait peut-être que quelqu’un partagera une image contenant les drivers compatibles).

Je ne dispose que d’une seule carte réseau sur cette machine pour virtualiser l’ensemble de mon infrastructure et je n’utilise pas d’IPv6.

C. La liste des machines virtuelles

Dans un premier temps, je me concentre sur la création des machines virtuelles nécessaires à mon environnement. Celui-ci sera composé des VM suivantes :

  • Une machine d’administration (de rebond par VPN, etc… pour limiter les attaques).
  • Une machine faisant office de firewall (pfSense), un peu de documentation.
  • Une machine cliente (Linux ou Windows pour le test de mes VLANs et de connectivité).

D. Schéma de l’infrastructure

Je pense que le schéma suivant et les annotations permettront même à un néophyte de parvenir à mettre en place une telle architecture sans trop de mal, le reste est affaire de curiosité et de culture.

III. Mise en place du VLAN administratif

Lors de l’installation de l’hyperviseur, celui-ci a créé ses propres bridge (notés vmbrx, au pluriel, car certains d’entre vous pourraient avoir plusieurs cartes réseau sur leur serveur), la désignation de(s) carte(s) physique(s) est sous le type « enp2s0, enp2s1… ».

Je passe volontairement sur les différents types de connexion possible, la documentation officielle est bien faite et le forum officiel bien actif, avec un bon esprit.

Via le bandeau d’administration de Proxmox, nous créons donc une nouvelle interface « Linux Bridge » qui servira de « LAN d’administration ».

Cliquez sur le nom de votre serveur sous « Datacenter », puis sur « Network » et enfin sur « Create » pour créer une nouvelle interface « Linux Bridge ».

Complétez le formulaire de création de l’interface comme dans l’exemple ci-dessous.

Dans le bandeau supérieur, valider la configuration en cliquant sur « Apply configuration » (si vous rencontrez un souci, installez via apt l’outil « ifupdown2 »).

IV. Ajout de l’interface « Linux Bridge » à la VM pfSense

Sur la machine virtuelle pfSense, il est nécessaire d’ajouter le périphérique réseau que nous venons de créer sur l’hôte Proxmox.

Pour réaliser cette action : sélectionnez votre machine virtuelle pfSense, cliquez sur « Hardware » (matériel) puis cliquez sur « Add » et sélectionnez « Network Device » (périphérique réseau) et renseigner la nouvelle interface bridge (vmbr1).

Sélectionnez le « Bridge » créé précédemment, pour ma part « vmbr1 ». Choisissez un modèle de carte réseau virtuel : « Intel E1000 » fera l’affaire. Cependant, rien ne vous empêche de choisir un autre modèle de carte réseau virtuelle.

Retournez sur votre VM et si vous regardez la configuration, vous pourrez voir la nouvelle carte réseau que l’on vient d’ajouter.

Important :

Depuis la version 7.0 de Proxmox, il semble être nécessaire de fixer manuellement l’adresse MAC de la carte réseau dans le fichier /etc/network/interfaces sur l’interface WAN.

L’éditeur de texte « nano » étant installé nativement, cela n’est pas réellement compliqué.

On sélectionne le nœud de notre serveur Proxmox dans la partie gauche de l’interface graphique ou en SSH pour les puristes, puis un petit coup de « nano /etc/network/interfaces »

Recherchez le bloc correspondant à votre WAN (normalement il s’agit du 1er et ajoutez en dessous de la dernière ligne, après avoir effectué une tabulation, la valeur « hwaddress ma_mac_adresse ».

Si vous ne connaissez pas l’adresse MAC, vous pouvez l’obtenir avec la commande ip a dans le Shell, car elle vous remontera toutes les interfaces. À vous de retrouver la bonne correspondance. 😊

Exemple :

V. Installation de la VM pfSense

Il est temps de procéder à l’installation de pfSense sur la machine virtuelle du même nom (le tutoriel date un peu, mais vous ne devriez pas être trop dérouté). L’objectif étant de configurer les deux interfaces associées à cette VM..

Pour moi les interfaces se nomment em0 et em1. Cela est peut-être différent chez vous (vtnet0, vtnet1), il me semble que cela est dû au choix de la carte réseau installée sur la machine virtuelle. Le nom « vtnet » faisant référence à du para virtualisé.

Concernant mes interfaces elles sont donc configurées ainsi :

em0 = WAN à 192.168.1.X /24  (statique ou attribué par le DHCP du routeur de votre fournisseur, préférez attribuer une IP statique).

em1 = LAN à 10.0.0.1/32 (ce LAN ne servira qu’à une seule machine d’administration).

Attention, on ne définit pas de gateway (passerelle) pour le LAN.

Accès à l’interface d’administration de PfSense : pour ce qui est du choix HTTP ou HTTPS à vous de voir, mais je vous recommande le HTTPS bien sûr 😊.

Félicitation ! Vous avez installé votre pfSense ! À présent, il ne vous reste plus qu’à configurer celui-ci via le « Wizard », en accédant à l’URL que vous avez définie sur l’interface LAN. Mais avant cela, il va falloir préparer la machine d’administration. Pourquoi ? Tout simplement, car l’accès à l’interface de gestion de pfSense est interdit (par défaut) via le WAN, c’est aussi une sécurité supplémentaire (la documentation officielle vous en dira plus concernant les normes NFC).

Rappel :

- Si pour une raison ou une autre vous rencontrez un problème durant cette phase, il est toujours possible de modifier sa configuration.

- En cas d'erreur d'interface choix 1 afin de définir le rôle de chaque interface (WAN ou LAN).

- En cas d'erreur d'adressage choix 2 puis sélectionner le numéro de l'interface à reconfigurer, attention la notation est en CIDR (/24, mais sans le "/").

- Je vous rappelle également les identifiants par défaut pour s’authentifier sur l’interface pfSense :

  • login: admin
  • password: pfsense

VI. Configuration du réseau sur la machine d’administration

Sur la machine virtuelle dédiée à l’administration du pfSense et de votre infrastructure, ajoutez une nouvelle interface réseau et sélectionnez « vmbr1 ». Autrement dit, la même carte « Linux Bridge » que celle associée au « LAN » sur le PfSense pour que les deux machines puissent communiquer.

Démarrez la machine d’administration et définissez l’adressage IP tel que :

Pourquoi un tel masque de sous-réseau ? Je vous renvoie à vos cours de réseau et au calcul de masque de sous-réseau ? 😊

À ce stade-là, vous devriez être en mesure d’accéder à la page d’administration pfSense (via l’adresse IP de l’interface LAN) et donc de configurer le « Wizard », vos règles de firewall (DNS / DNS over TLS / HTTP / HTTPS / SSH / VPN).

VII. Ajout d’une nouvelle interface dédiée aux VLANs

Comme dans le chapitre précédent, effectuez la création d’un nouveau « Linux Brigde » (vmbr2) sur Proxmox. Nommez-le explicitement (pour moi ce sera « LAN_VLANs »), pas d’adressage ou autre…

Validez la création et appliquez la configuration au Proxmox.

Ajoutez à présent une nouvelle carte réseau à votre machine virtuelle pfSense et sélectionnez vmbr2. Vous savez comment faire puisque nous l’avons fait précédemment.

Cette interface permettra la création des VLANs.

Connectez-vous via la machine d’administration à votre interface web de gestion pfSense et rendez-vous dans l’onglet « Interfaces » puis « Interface Assignments ».

Ajoutez la nouvelle interface disponible, qui devrait apparaitre « +Add ». Sélectionnez la nouvelle interface (renommez-la si besoin en sélectionnant le nom de l’interface en bleu).

Activez l’interface en cochant « Enable interface » et ne modifiez rien d’autre. Cliquez sur « Save » en bas de page pour sauvegarder et comme d’habitude cliquez sur « Apply Changes » pour appliquer la nouvelle configuration.

Une fois cela effectué nous pouvons éteindre la machine d’administration et le pfSense (touche 6 dans la console) pour le moment afin de se concentrer sur l’étape suivante : les VLANs !

VIII. Ajout de VLANs dans Proxmox

Comme précédemment nous allons ajouter une interface à notre Proxmox, mais ce coup-ci, il s’agit d’une interface du type « Linux VLAN ». Effectuez le bon choix au moment de la création.

Je vous invite à créer vos VLANs. Pour ma part, je vais créer les VLANs présents sur le schéma que je vous ai montré au début du tutoriel.

Voici un exemple :

Répétez l’opération autant de fois que nécessaire pour créer vos différents VLANs. Attention, veillez à garder une certaine logique de nommage de vos VLANs.

Un détail et non des moindres, il est nécessaire de redémarrer l’hyperviseur lorsque l’on crée les VLANs. C’est nécessaire pour une raison que j’ignore… En tout cas, sans cette action cela ne fonctionne pas chez moi. C'est pour cette raison que je vous recommande de créer tout vos VLANs et de redémarrer, sinon il faudra redémarrer à chaque fois que vous souhaitez créer un VLAN. Si c'est en production, cela peut s'avérer très contraignant.

IX. Création de VLANs dans pfSense

Votre hyperviseur Proxmox est à présent redémarré. Je vous invite à démarrer également le pare-feu PfSense et la machine d’administration afin de poursuivre la configuration.

Connectez-vous à PfSense via son interface Web, toujours depuis la machine d’administration. Rendez-vous de nouveau dans l’onglet « Interfaces » et « Interfaces Assignments ».

Sélectionnez l’onglet du ruban nommé « VLANs ».

Cliquez-en bas à droite sur « +Add ». Sélectionnez l’interface parente (em2 chez moi, (autrement dit la vmbr2) initialement nommée Opt1)

Renseignez les différents champs, tels que le tag du VLAN (c’est-à-dire le numéro du VLAN), ainsi que la priorité si vous en avez la nécessité. Enfin, indiquez une description du VLAN, explicite comme toujours.

Sélectionnez « Save ».

Revenez sur l’onglet « Interface Assignments », sélectionnez le nouveau port disponible et cliquez sur « +Add ».

Sélectionnez l’interface VLAN en bleu (chez moi elle se nomme OPT2 (em2.10)).

Nous pouvons alors la renommer au choix (pour moi ce sera VLAN10 sur cette capture) et je coche « Enable Interface » pour l’activer.

Pour l’option « IPv4 Configuration Type », je passe en « Static IPv4 » et je n’ai pas d’IPv6 à la maison donc je n’active pas cette partie-là.

J’attribue une adresse IP à ma sous-interface du VLAN, ainsi que son masque de sous-réseau associé (en fonction de vos besoins et préférences, 1ère ou dernière adresse IP du réseau).

On ne définit pas de « IPv4 Upstream gateway » (le pare-feu se débrouillera par la suite avec vos règles). Validez.

Pour finir, on est invité à appliquer les changements.

X. Tests de bon fonctionnement

Remarque : Afin d’être sûr que tout fonctionne, je crée une règle « Open-bar » sur mon pare-feu dans l’onglet Firewall / Rules. De cette façon, s’il y a un souci on sait que ça ne vient pas des règles 😊. Soyons clairs : ce n’est pas une bonne pratique et supprimez cette règle juste après vos tests !

Créez ou utilisez une machine cliente que vous avez installée au préalable (Linux ou Windows).

Concernant la configuration matérielle de celle-ci, il faut bien configurer la carte réseau. En effet, il faut définir l’interface et attribuer le VLAN via le champ "VLAN Tag" (10,20,30 en fonction du VLAN souhaité).

L’adressage IP n’est pas distribué par le DHCP il vous faudra donc attribuer un adressage valide manuellement à votre machine cliente :

Ne restera dès lors que la configuration de votre DHCP Server, configurer le DNS Resolver ou forwarder au choix et créer vos règles de Firewall.

Vous disposez à présent d’une infrastructure sécurisée (ou presque 😊), il sera possible à présent de répéter l’opération afin d’étendre votre réseau, de permettre des échanges inter-VLAN ou d’isoler un VLAN spécifique.

The post Comment créer des VLANs avec Proxmox et pfSense ? first appeared on IT-Connect.

Puce TPM 2.0 : à quoi ça sert ? comment l’activer sur son PC ?

28 juin 2021 à 14:45

I. Présentation

Depuis que l'on connaît les prérequis pour installer Windows 11, les puces TPM font beaucoup parler d'elles. En effet, pour installer Windows 11, Microsoft impose qu'une puce TPM 2.0 soit présente dans votre machine. Mais alors, à quoi ça sert une puce TPM ? Est-ce que mon PC en a une et comment l'activer ? Je vais répondre à ces questions de manière synthétique pour vous aider à mieux comprendre cette notion.

Pour en savoir plus sur les prérequis de Windows 11, regardez ma vidéo :

II. Le rôle de la puce TPM

La puce TPM (Trusted Platform Module) est un module cryptographique intégré aux ordinateurs dans le but d'apporter une couche de sécurité supplémentaire. Le module TPM agit sur le chiffrement des données lorsque Bitlocker est actif sur votre machine, mais c'est également lui qui génère et gère les clés de chiffrement. Ces clés de chiffrement sont enregistrés directement dans la puce, c'est-à-dire dans la partie hardware, et non dans Windows directement. Ce qui permet de renforcer la sécurité de la machine.

La puce TPM est utile pour d'autres fonctionnalités, dont : Windows Hello, Windows Hello for Business, vTPM dans Hyper-V, Windows Defender System Guard, etc. Disons que la puce TPM va permettre de générer et de stocker des secrets de différents types pour du chiffrement, de l'authentification, etc.

Note : lorsque Bitlocker est actif sur une machine, les informations pour déchiffrer le disque sont obtenues grâce à la puce TPM, lors du démarrage de Windows.

Il existe deux versions de TPM : TPM 1.2 et TPM 2.0. La seconde version est plus sécurisée et elle prend en charge un plus grand nombre d'algorithmes de chiffrement et de hachage, comme le SHA-2 par exemple..

Il est à noter que TPM 2.0 existe depuis 2016 et que les ordinateurs sous Windows 10 doivent être compatibles avec cette norme de sécurité. Il s'agit d'une exigence de Microsoft : ce qui est rassurant vis-à-vis de la suite et de Windows 11, si votre machine est relativement récente.

III. Comment vérifier si la puce TPM est active ?

Windows intègre la console "Gestion de module de plateforme sécurisée" qui permet d'obtenir des informations sur la puce TPM de votre machine. Pour accéder à cette console sur votre machine (depuis Windows 10, par exemple), recherchez "tpm.msc" dans le menu Démarrer ou exécutez cette commande dans une invite "Exécuter".

La console va s'ouvrir et indiquer l'état de la puce TPM de votre machine. Le statut doit indiquer "Le module de plateforme sécurisée (TPM) est prêt à être utilisé." et en bas à droite vous devez avoir "Version de la spécification : 2.0". Si vous êtes en version 1.2, ce ne sera pas bon pour Windows 11.

Si vous avez une erreur "Module de plateforme sécurisée compatible introuvable" et que cette console ne renvoie pas l'état de la puce TPM :

  • Soit vous n'avez pas de puce TPM dans votre machine
  • Soit la puce TPM de votre machine n'est pas activée
Etat de la puce TPM sur Windows
Etat de la puce TPM sur Windows

A l'aide de PowerShell, on peut exécuter une commande en tant qu'administrateur pour obtenir des informations supplémentaires :

Get-Tpm

L'information "TpmPresent : True" est particulièrement intéressante car elle permet de voir qu'une puce TPM est bien présente dans la machine. Dans le cas où se serait "False", c'est que la machine n'a pas de puce TPM. Cela permet de voir si elle est présente mais non activée (TpmEnabled) : si c'est votre cas, rendez-vous dans le BIOS de la machine.

Exemple - Get-Tpm
Exemple - Get-Tpm

IV. Activer la puce TPM

Pour activer la puce TPM sur votre machine, je ne connais pas le chemin miracle à suivre dans les menus et qui fonctionne à tous les coups ! En fait, cela dépende de votre machine et de l'interface du BIOS.

Il faut savoir que sur une plateforme Intel, on parle de la fonction "Intel PTT" pour "Intel Platform Trust Technology" et que chez AMD, on parle d'AMD PSP (fTPM), c'est-à-dire "AMD Platform Security Processor". Ces termes devraient vous aider à trouver votre bonheur.

Voici trois exemples si cela peut vous aider à chercher :

Quand l'option sera activée dans le BIOS de votre PC, il suffira de le démarrer et de vérifier que la puce TPM est bien active. Pour cela, réutilisez ce que l'on a vu précédemment.

The post Puce TPM 2.0 : à quoi ça sert ? comment l’activer sur son PC ? first appeared on IT-Connect.
❌