En quelques semaines, les services publics du Costa Rica ont subi deux attaques informatiques différentes, une première par le ransomware Conti, et une seconde qui vient de se produire, par le ransomware Hive. Faisons le point.
Suite à une attaque informatique avec le ransomware Hive, tous les ordinateurs du réseau du service de santé publique du Costa Rica (CCCS) sont désormais hors ligne. Début Mai, le Costa Rica a déjà subi une attaque informatique par les membres du groupe Conti, et le CCCS faisait déjà partie des entités gouvernementales touchées même s'il y en avait d'autres tel que le ministère de la Finance, le ministère des Sciences, etc.
D'ailleurs, suite à cette première attaque, le nouveau Président du Costa Rica avait basculé le pays en état d'urgence, tout en prenant la décision de ne pas payer la rançon de 10 millions de dollars réclamée par le gang Conti. De son côté, les États-Unis ont apporté leur soutien en promettant une récompense pouvant atteindre 15 millions de dollars en échange de renseignements sur les leaders du groupe Conti.
Revenons à cette nouvelle attaque par le ransomware Hive, un logiciel malveillant qui fait régulièrement parler de lui et qui est disponible selon le modèle "ransomware-as-a-service".
Dans un premier temps, le CCCS a publié ce tweet pour informer de l'incident en cours : "La CCCS a été victime d'un piratage dès le début de la matinée de mardi. Le piratage a eu lieu aux premières heures du mardi 31 mai. Les analyses correspondantes sont en cours de réalisation. Les bases de données de l'EDUS, du SICERE, des salaires et des pensions n'ont pas été compromises". C'est tout de même rassurant en ce qui concerne une éventuelle fuite de données au sujet des Costaricains.
Sur site, les employés ont reçu la consigne d'éteindre leurs ordinateurs et de les débrancher du réseau, car lorsque l'attaque a commencé, toutes les imprimantes ont commencé à imprimer des dizaines et des dizaines de pages. Désormais, des opérations sont en cours pour tenter de restaurer les différents services les uns après les autres, mais le CCCS n'a pas donné de délais.
Il y a de très fortes chances pour que ces deux attaques soient liées, et certains membres du groupe Conti ont probablement recréé un petit groupe de cybercriminels qui est à l'origine de cette attaque avec le ransomware Hive. En tout cas, c'est une possibilité. D'ailleurs, Yelisey Boguslavskiy de chez Advanced Intel indique : "AdvIntel a identifié et confirmé avec un haut niveau de certitude que Conti travaille avec HIVE depuis plus de six mois - depuis au moins novembre 2021. Nous avons identifié des preuves solides de l'utilisation active par HIVE des accès initiaux fournis par Conti et des services des pentesters de Conti.", et il ajoute également : "Les mêmes personnes travaillaient à la fois pour Conti et pour HIVE, comme le montre la liste des victimes qui sont identiques sur les blogs de HIVE et de Conti.".
En espérant que le CCCS du Costa Rica parvienne à restaurer ses et à en finir avec cette série d'attaques, notamment en améliorant la sécurité des différents systèmes informatiques utilisés par l'ensemble des entités gouvernementales. Ce magnifique pays ne mérite pas ça !
Nous sommes en 2022, la sécurité des systèmes est au cœur des préoccupations, et pourtant, des chercheurs en sécurité ont trouvé un total de 3,6 millions de serveurs MySQL exposés sur Internet directement via le port par défaut.
Les chercheurs en sécurité de la Fondation Shadowserver ont effectué un scan d'Internet à partir de l'outil nmap et ils sont parvenus à identifier 3,6 millions de serveurs MySQL exposés sur Internet. Ces serveurs sont exposés publiquement et ils répondent aux requêtes sur le port par défaut (3306).
Sur ce total de 3,6 millions de serveurs, il y en a 2,3 millions (2 279 908 pour être précis) qui sont connectés via des adresses IPv4 et 1,3 million via des adresses IPv6 (1 343 993 pour être précis).
Admettons qu'un serveur de base de données MySQL soit accessible depuis Internet pour qu'un serveur Web puisse l'exploiter, cela peut se comprendre. Néanmoins, ce type de configuration nécessite de prendre des précautions, à commencer par utiliser un port d'écoute différent de celui par défaut (3306 en TCP), mais aussi surveiller les requêtes, restreindre les accès au strict minimum, etc...
Ce qui est intéressant, c'est qu'il y a une carte correspondante à l'emplacement de ces serveurs MySQL, avec une répartition par pays. Cette carte montre qu'en France, il y a 55 000 serveurs MySQL disponibles sur Internet via le port par défaut. À titre de comparaison, aux États-Unis, il y a plus de 740 000 serveurs, en Allemagne il y a 174 900 serveurs et en Pologne 207 800 serveurs.
Au total, la Fondation Shadowserver a identifié environ 5,3 millions de serveurs MySQL et 67% de tous les services MySQL trouvés sont accessibles depuis Internet, ce qui correspond au total de 3,6 millions de serveurs.
Les propriétaires de ces serveurs MySQL feraient mieux d'agir pour sécuriser leur instance (guide MySQL) car c'est une surface d'attaque intéressante pour les pirates informatiques. Reste à savoir si ces serveurs sont réellement utilisés et quelles sont les bases de données qu'ils hébergent, mais ça, la Fondation Shadowserver n'a pas cherché à le savoir.
Dans ce tutoriel, nous allons apprendre à utiliser les snapshots avec VirtualBox, ou plutôt les instantanés pour reprendre le terme officiel en français. Un snapshot va permettre de capturer l'état d'une machine virtuelle à un instant t, en conservant les données. Autrement dit, on sauvegarde l'état de cette VM à un instant précis. Ainsi, si l'on effectue une mauvaise manipulation sur la VM, on peut restaurer le snapshot afin de rétablir la VM dans l'état qu'elle était au moment où l'on a déclenché le snapshot.
Attention, le snapshot ne doit pas être confondu avec la notion de sauvegardes, car il ne sert pas à créer une sauvegarde de la VM, mais seulement à créer un point de référence (temporaire) sur lequel nous pourrons nous appuyer en cas de besoin. Généralement, on effectue un snapshot avant de réaliser une opération sensible afin de pouvoir revenir en arrière s'il y a un problème (mais cela ne doit pas être systématique, il faut tenir compte des spécificités de l'application qui tourne sur la VM). Si l'opération se déroule correctement, il conviendra de supprimer le snapshot pour que la VM continue sa vie.
Grâce à cet article, vous allez connaître l'essentiel lorsqu'il s'agit de prendre un instantané avec VirtualBox et de gérer cet instantané dans VirtualBox. Dans cet exemple, je vais prendre un snapshot avec l'installation d'un logiciel sur la VM.
Je vous recommande de lire les autres tutoriels au sujet de VirtualBox :
Pour prendre un snapshot, la machine virtuelle peut être démarrée ou éteinte. Ensuite, il suffit de cliquer sur "Machine" puis "Prendre un instantané" dans la fenêtre de la VM.
Une fenêtre apparaît. Il faut nommer cet instantané, ce qui est important, car on peut créer plusieurs instantanés sur une VM. Par exemple, je nomme ce snapshot "Instantané - Avant modification config". Ce nom va s'afficher dans le gestionnaire de snapshots que nous allons voir après. Cliquez sur "OK".
Lorsqu'un snapshot est créé, de nouveaux fichiers sont générés sur votre ordinateur. Chaque VM peut stocker ses snapshots à un emplacement différent. En accédant aux paramètres de la VM, dans l'onglet "Général" puis dans "Avancé", vous verrez l'option "Dossier des instantanés". Par défaut, le snapshot est stocké dans le dossier "Snapshosts" lui-même au sein du répertoire de la VM.
Si l'on se déplace dans ce dossier, on constate plusieurs fichiers, notamment un fichier "VDI" correspondant à un disque virtuel. En fait, VirtualBox a créé un nouveau disque virtuel de différenciation : il contient toutes les données écrites dans la VM à partir du moment où l'on a créé le snapshot. Ainsi, si l'on demande à VirtualBox qu'il restaure l'état initial de la VM, il pourra le faire facilement. Le fichier "SAV" contient l'état de la VM puisqu'elle était allumée, ce qui permettra de restaurer son état "en ligne" et le fichier "NVRAM" correspond à la mémoire.
III. Le gestionnaire de snapshots de VirtualBox
Dans l'interface de VirtualBox, si l'on clique sur le menu d'une VM et sur le bouton "Instantanés", on peut accéder à la gestion des snapshots de cette VM.
Dans cet exemple, nous pouvons voir que l'on est sur "État actuel (modifié)" cela signifie que la VM a été modifiée depuis que le snapshot a été créé. Notre snapshot, avec son nom, apparaît également. Différents boutons sont accessibles dans le menu, nous en parlerons par la suite.
IV. Modification de la VM
Pour simuler des modifications dans la machine virtuelle, j'installe Mozilla Firefox en premier lieu. À titre d'exemple, on peut créer un snapshot avant de faire une mise à jour majeure sur une application sensible.
Dans le même esprit, je peux ajuster la configuration de la machine virtuelle. Par exemple, passer de 2 processeurs virtuels à 4 processeurs virtuels. Ainsi, dans le gestionnaire de snapshots, on peut voir que la valeur "4" est soulignée dans les informations de la VM. Cela signifie qu'il y a eu un changement de valeur. Si je restaure la VM à un état antérieur (au moment du snapshot), le nombre de processeurs virtuels sera remis à 2.
Au fur et à mesure que j'utilise la machine virtuelle, le disque VDI du dossier "Snapshots" continue de grossir. D'ailleurs, un snapshot ne doit jamais être conservé pendant trop longtemps, car cela affecte les performances de la VM et le disque virtuel peut rapidement atteindre une taille importante (qui vient s'ajouter à la taille du disque principal de la VM).
V. Restaurer le snapshot VirtualBox
Oups, mon installation s'est mal déroulée et il est difficile de revenir en arrière ! Fort heureusement, mon snapshot est là ! Je vais pouvoir restaurer ma machine virtuelle dans son état au moment où j'ai pris le snapshot. Éteignez la VM puis accédez au gestionnaire de snapshot avant de suivre ces étapes :
1 - Sélectionnez le snapshot dans la liste.
2 - Cliquez sur le bouton "Restaurer".
3 - Décochez l'option "Créer un instantané de l'état actuel de la machine", car sinon un nouveau snapshot sera créé à partir de l'état actuel, mais dans ce cas, ça n'en finit plus.
4 - Cliquez sur le bouton "Restaurer" de la fenêtre "VirtualBox - Question" afin de restaurer la VM dans son état antérieur
Suite à cette manipulation, on peut voir que le disque VDI du dossier "Snapshots" est toujours là, mais qu'il fait 2048 Ko. C'est normal, car il est vide et avec VirtualBox, un disque virtuel vide a une taille de 2048 Ko (2 Mo). Le fichier SAV est toujours là pour mémoriser l'état en ligne de ma VM (c'est parce que le snapshot existe toujours).
En accédant à la gestion des supports de VirtualBox via le menu Outils, on peut voir que ce disque est lié au disque principal de la VM.
Dans les paramètres de la VM, le nombre de processeurs virtuels est revenu sur "2" et Firefox n'est plus installé sur la VM. Je suis bien revenu à l'état précédent !
Actuellement, nous venons de restaurer la VM en utilisant le snapshot mais ce dernier est toujours là. Il est indispensable de le supprimer pour que la VM retrouve son fonctionnement normal, à moins que vous souhaitiez retenter votre opération sur la VM.
Pour supprimer le snapshot, vous devez le sélectionner dans la liste (1) puis cliquer sur le bouton "Supprimer" (2). Confirmez l'opération en cliquant sur "Supprimer" une nouvelle fois (3).
Ainsi, notre VM n'a plus de snapshot à l'heure actuelle. Ici, le bouton "Prendre" permet de déclencher un snapshot sur la VM sans passer par le menu "Machine" comme nous l'avons vu précédemment.
Dans le répertoire "Snapshots" de la VM, le répertoire est vide puisque nous venons de supprimer le snapshot. De ce fait, VirtualBox va écrire les données sur le disque virtuel principal de la VM.
Note : le bouton "Cloner" permet de créer un clone d'une VM à partir d'un snapshot, ce qui peut être pratique à des fins de tests.
Dans une majorité de cas, le snapshot ne devra pas être restauré, car l'opération va bien se dérouler, en tout cas c'est ce que l'on souhaite. Pour conserver l'état actuel de la machine virtuelle et se débarrasser du snapshot, il suffit de le supprimer directement à partir du gestionnaire de snapshots sans passer par l'étape "Restaurer".
Voilà, nous venons de voir comment utiliser les snapshots avec VirtualBox. Je vous encourage à tester les snapshots sur une VM de test pour vous exercer.
Version originale de cet article : 11 octobre 2012
Microsoft s'est exprimé au sujet de la vulnérabilité zero-day qui touche la suite Office, et plus particulièrement l'outil MSDT, qui est actuellement exploitée dans le cadre d'attaques informatiques. Faisons le point.
Pour rappel, des chercheurs en sécurité ont fait la découverte d'un document Word malveillant qui est capable d'exécuter du code malveillant, en l'occurrence du PowerShell, sur une machine Windows même si les macros sont désactivées dans Microsoft Office. Pour parvenir, les pirates s'appuie sur l'outil de diagnostic nommé MSDT (Microsoft Support Diagnostics Tool).
Alors que Kevin Beaumont a surnommé cette vulnérabilité "Follina", elle dispose désormais d'une référence CVE officielle : CVE-2022-30190 et d'un score CVSS 3.0 de 7,8 sur 10. D'après le bulletin de sécurité de Microsoft, l'exploitation est confirmée sur les toutes dernières versions de Microsoft Office. Par ailleurs, les différents retournent confirment que plusieurs versions de la suite Office sont affectées : Microsoft Office 2013, Office 2016, Office 2019 et Office 2021.
En fait, Microsoft semblait déjà au courant de l'existence de cette vulnérabilité car elle a créditée Crazyman, un membre du groupe Shadow Chaser, à l'origine de la découverte d'un exploit qui ciblait les utilisateurs russes et qui aurait reporté la vulnérabilité le 12 avril 2022.
Pour le moment, il n'existe toujours pas de correctif pour se protéger contre cette faille de sécurité, mais Microsoft a tout de même mis en ligne une solution temporaire.
La firme de Redmond propose de désactiver les appels d'URL via l'outil MSDT en modifiant le Registre Windows.
Tout d'abord, il est recommandé de sauvegarder la clé de registre (qu'il faudra ensuite supprimer) :
Une fois que c'est fait, il faut supprimer la clé de Registre :
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Par la suite, le fichier .reg peut être réimporté pour annuler cette solution temporaire. Tous les détails techniques sont disponibles ici.
Microsoft confirme que le mode protégé de la suite Office est là pour protéger les utilisateurs contre l'exploitation de cette vulnérabilité. En tout cas, dans la configuration par défaut car les documents en provenance d'Internet sont ouverts en mode protégé. Tout dépend de la configuration éventuelle de la suite Office.
Dans ce tutoriel, nous allons apprendre à installer Pfsense au sein d'une VM VirtualBox dans le but de créer un lab grâce à cette VM qui assurera le rôle de routeur et pare-feu virtuel. Grâce à cette machine virtuelle Pfsense, vous allez pouvoir vous exercer sur différents sujets notamment : la gestion d'un pare-feu (autoriser ou refuser les flux du réseau local vers Internet, et inversement), faire du NAT, créer des règles de redirection de ports, monter un serveur DHCP, effectuer la mise en place d'un proxy, d'un reverse proxy, la création d'une DMZ, etc...
L'objectif va être de créer un réseau local virtuel, totalement isolé et correspondant au réseau 192.168.2.0/24, et qui pourra accéder à Internet par l'intermédiaire du pare-feu Pfsense. En effet, le pare-feu Pfsense va disposer de deux cartes réseau virtuelles : une carte connectée au réseau local virtuel (réseau interne) et une carte connectée au même réseau local que la machine physique afin de simuler l'évasion vers Internet (WAN).
Pour suivre ce tutoriel, vous avez besoin de plusieurs choses :
II. Créer une VM VirtualBox pour installer PfSense
Commençons par la création de la machine virtuelle qui va nous permettre d'accueil Pfsense. Ouvrez VirtualBox et cliquez sur le bouton "Nouvelle" pour lancer l'assistant.
Donnez un nom à cette VM, par exemple "Firewall PfSense" et choisissez le type de système "BSD" puis "FreeBSD (64-bit)" puisque PfSense est basé sur le système FreeBSD.
Choisissez la quantité de RAM. Disons que 1 Go ce sera suffisant pour faire tourner quelques services et héberger plusieurs VMs sur le réseau local virtuel. Vous pouvez ajuster dans le temps selon vos besoins et même partir sur 512 Mo dans un premier temps.
Créez un nouveau disque virtuel, au format VDI (ou un autre format selon vos préférences), alloué dynamiquement et de taille 16 Go à minima.
Poursuivez jusqu'à la fin.... Voilà, la machine virtuelle Pfsense est créée et enregistrée dans VirtualBox. Néanmoins, il faut que l'on ajuste la configuration... Sélectionnez la machine virtuelle dans l'inventaire et cliquez sur "Configuration".
Accédez à la section "Réseau", car nous devons configurer deux cartes réseau virtuelles sur notre pare-feu.
Commençons par "Adapter 1" que nous allons configurer en "Accès par pont" et qui correspondra à l'interface WAN de mon pare-feu, c'est-à-dire l'interface côté WAN (permettant d'atteindre Internet). Dans mon cas, le pont est monté sur la carte Wi-Fi "MediaTek Wi-Fi 6....", car elle est actuellement connectée à mon réseau local.
Ensuite, basculez sur l'onglet "Adapter 2" pour configurer la seconde interface réseau virtuelle correspondante à l'interface LAN. Choisissez le mode d'accès "Réseau interne" afin de créer un réseau local virtuel isolé, et nommez ce réseau interne "LAN_VM" (ou autrement).
C'est bon pour la partie réseau, mais nous devons encore faire une dernière chose : charger l'image ISO de PfSense. Cliquez sur "Stockage" puis sur le lecteur, et à droite utilisez le bouton en forme de CD pour ajouter cette image ISO (comme expliqué dans le tutoriel d'introduction à VirtualBox). Voici le résultat :
Il ne reste plus qu'à cliquer sur "OK", car cette fois-ci, la VM est prête !
III. Installer Pfsense dans la VM
Le système d'exploitation Pfsense doit être installé sur notre machine virtuelle fraîchement créée. Démarrez la VM... L'image ISO va se charger...
Vous arrivez sur le début de l'assistant d'installation de Pfsense. Appuyez sur "Entrée" pour valider. Lorsque vous allez cliquer dans la fenêtre de la VM, la souris sera capturée ! Pour relâcher la souris, appuyez simplement sur la touche "CTRL" de votre clavier.
Choisissez "Install" et validez avec Entrée. Si vous ne l'avez pas encore remarqué, toute l'installation s'effectue au clavier.
La première étape consiste à sélectionner la disposition du clavier. Vous pouvez prendre une disposition correspondante au français, mais au final, vous allez constater que le clavier sera en QWERTY tout de même. Positionnez-vous sur la ligne à sélectionner et appuyez sur Entrée.
Validez une seconde fois en étant positionné sur "Continue with fr.acc.kbd keymap".
Pour le partitionnement du disque, restez sur l'option par défaut à savoir "Auto (ZFS)" sauf si vous avez des besoins spécifiques. Sachez que ZFS est un système de fichiers open source plus moderne qu'UFS. Il va permettre de créer un pool de stockage logique.
Validez une nouvelle fois afin de procéder à l'installation dans les conditions par défaut.
Choisissez "stripe" afin de mettre en place le système uniquement sur notre disque, sans redondance, puisque notre VM dispose d'un seul et unique disque virtuel. Par l'intermédiaire de son système RAID-Z, le système de fichiers ZFS pourrait sécuriser le volume où Pfsense est installé sur plusieurs disques.
Appuyer sur la barre d'espace pour cocher la case "ada0" et sélectionner ce disque. Ensuite, appuyez sur Entrée pour valider.
Vous êtes sûr de vouloir écraser le contenu actuel du disque virtuel ? Oui, car il est vide, donc on sélectionne "Yes" et on appuie sur Entrée.
Patientez pendant l'installation de Pfsense...
Lorsque l'installation est terminée, sélectionnez "No" et validez, car nous ne souhaitons pas accéder au shell pour effectuer des opérations supplémentaires.
Validez pour redémarrer la machine virtuelle Pfsense !
Il y a des chances pour que la VM charge de nouveau l'image ISO.... Cliquez sur "Périphériques", puis sous "Lecteurs optiques" décochez l'ISO Pfsense afin de forcer son démontage. Forcez un redémarrage de la VM via VirtualBox si, effectivement, l'image ISO est de nouveau chargée.
La VM Pfsense démarre et lorsque le démarrage est terminé, un menu s'affiche comme sur l'image ci-dessous. Voyons comment configurer PfSense.
IV. Configuration de Pfsense
A. Configuration des interfaces LAN et WAN
Pour la configuration initiale de Pfsense, il y a la possibilité d'effectuer des tâches de base via la console depuis la VM en utilisant les différentes fonctions du menu. Néanmoins, Pfsense est un système qui se configure par une interface Web accessible depuis l'interface LAN, c'est-à-dire ici à partir d'une machine virtuelle connectée au réseau "LAN_VM".
Note : il existe plusieurs façons d'autoriser la gestion du pare-feu Pfsense depuis l'interface WAN, et donc depuis Internet, mais ce n'est pas recommandé.
Sur l'image ci-dessous, on peut voir que Pfsense a automatiquement affecté les deux cartes réseau de notre VM aux interfaces WAN et LAN. Dans le cas où l'affectation serait inversée, il faudrait utiliser l'option 1 (Assign Interfaces) pour inverser les deux cartes.
Pour ma part, c'est tout bon. Comment je le sais ? Et bien, l'interface WAN correspondante à "em0" (Adapter 1 de la VM) a obtenu l'adresse IP "192.168.1.29/24" via DHCP, ce qui signifie qu'elle est bien connectée au réseau en mode pont. Quant à l'interface LAN, elle bénéficie de l'adresse IP "192.168.1.1" qui est attribuée par défaut.
Nous allons changer l'adresse IP de l'interface LAN afin d'utiliser "192.168.2.1/24" donc choisissez l'option "2" et validez.
Afin de modifier l'interface LAN, indiquez "2" et validez, puis indiquez la nouvelle adresse IP. Ensuite, pour le masque, indiquez "24" et validez.
Pour la passerelle, laissez la vide, car on utilisera l'interface WAN pour accéder à Internet. Laissez vide également pour la partie IPv6. Enfin, VirtualBox vous demande si vous souhaitez activer le DHCP sur le LAN (faites-le en Web, c'est plus sympa) et si vous souhaitez définir le protocole HTTP comme protocole pour accéder à l'interface Web, indiquez "n" pour "non", car on va rester en HTTPS.
Pfsense nous indique que l'on peut accéder à l'interface Web de configuration via l'adresse suivante : https://192.168.2.1.
B. Accès à l'interface Web de Pfsense
Désormais, nous allons basculer sur la seconde machine virtuelle pour configurer Pfsense en mode Web.
Au même titre que l'interface LAN (Adapter 2) de notre pare-feu virtuel, la carte réseau de cette VM doit être configurée en mode "réseau interne" sur le réseau nommé "LAN_VM". Comme ceci :
Puis, sur cette même machine virtuelle, on configure une adresse IP fixe, car nous n'avons pas de serveur DHCP sur ce réseau interne. Il est indispensable d'utiliser une adresse IP sur le même réseau : 192.168.2.2/24, avec la passerelle 192.168.2.1, c'est très bien. Afin d'accéder à Internet, n'oubliez pas le DNS.
La bonne nouvelle, c'est que je parviens à effectuer un ping vers l'interface LAN de Pfsense.
À partir d'un navigateur, nous allons poursuivre la configuration de Pfsense en saisissant l'adresse IP dans la barre d'adresse. Par défaut, il faut s'authentifier avec l'utilisateur "admin" et le mot de passe "pfsense".
C. Configuration initiale via l'assistant Pfsense
Lors de la première connexion, un assistant s'exécute dans le but de configurer les options de base. Cliquez sur "Next".
Lors de cette seconde étape, plusieurs options sont proposées :
Hostname : le nom de l'hôte Pfsense
Domain : le nom de domaine, utilisez le même que votre nom de domaine Active Directory si vous envisagez de monter un annuaire
Primary DNS Server : serveur DNS primaire utilisé par le pare-feu (serveur externe)
Secondary DNS Server : serveur DNS secondaire utilisé par le pare-feu (serveur externe)
Voici un exemple :
À l'étape suivante, il est question de la date et de l'heure.
Time server hostname : sur quel serveur de temps faut-il se synchroniser ? Vous pouvez utiliser "fr.pool.ntp.org" qui est un ensemble de serveurs en France pour se synchroniser.
Timezone : le choix du fuseau horaire
À l'étape d'après, il est question de l'interface WAN. Par défaut, elle est configurée en DHCP et elle a pu obtenir une adresse IP via ma box puisqu'elle assure le rôle de serveur DHCP. En fonction de votre environnement et vos besoins, vous pourriez avoir envie d'utiliser une adresse IP statique sur cette interface WAN : c'est ici que ça se passe.
Avant de passer à l'étape suivante, il est indispensable de décocher les deux options suivantes : Block private networks and loopback addresses et Block bogon networks. Sinon, tout le trafic entrant sur l'interface WAN en provenance de réseaux privés (comme le réseau 192.168.1.0/24) sera bloqué, ce qui va nous poser problème dans le cadre de ce lab.
À l'étape suivante, c'est l'interface LAN. Il n'est pas nécessaire de modifier la configuration puisque nous avons déjà effectué la configuration de cette interface à partir de la console Pfsense.
Modifiez le mot de passe "admin" de Pfsense afin d'utiliser un mot de passe fort. Pour aller plus loin, je vous recommande de ne pas utiliser le compte admin par défaut et de créer plutôt un nouveau compte "admin".
Voilà, la configuration initiale de Pfsense est terminée !
Cliquez sur "Reload" afin de redémarrer Pfsense pour appliquer les changements.
Le pare-feu Pfsense est prêt et il ne demande qu'une chose : être exploité !
D. Règles de NAT et de pare-feu par défaut
La VM connectée au réseau interne "LAN_VM" et que nous utilisons pour administrer le pare-feu Pfsense dispose d'un accès à Internet. Cela s'explique par le fait que le NAT (via la méthode du PAT) est configuré par défaut sur le pare-feu Pfsense. Pour le vérifier, accédez au menu "Firewall" puis à "NAT".
Cliquez sur l'onglet "Outbound" pour visualiser l'état du NAT sur les flux sortants. Ici, on voit que le mode actif est "Automatic outbound NAT rule generation" donc il y a une règle de NAT créée automatiquement et qui permet d'accéder à Internet. Au sein de cette règle, nous pouvons voir que le réseau "192.168.2.0/24" est bien déclaré. Afin de récupérer la main sur la gestion du NAT et des règles, il faut passer en mode "Manual Outbound".
Maintenant, cliquez sur "Rules" dans le menu "Firewall". Ensuite, cliquez sur l'onglet "LAN" pour visualiser les règles de pare-feu appliquées sur l'interface LAN. Ici, on peut voir qu'il y a trois règles :
La première règle nommée "Anti-lockout Rule" sert à autoriser explicitement l'accès à l'interface de gestion du Pfsense, afin d'éviter de perdre la main si une règle trop restrictive est créée.
La deuxième règle sert à autoriser tous les flux du LAN vers le WAN, en IPv4
La troisième règle sert à autoriser tous les flux du LAN vers le WAN, en IPv6
Ainsi, par défaut, les machines virtuelles connectées au réseau local virtuel "LAN_VM" pourront utiliser tous les protocoles et tous les services en sortie du réseau, sans restriction. Il est préférable de brider les flux pour contrôler ce qui peut être fait ou non sur notre réseau local virtuel.
Le pare-feu virtuel Pfsense est prêt à l'emploi, tout comme notre lab VirtualBox dans son ensemble qui est prêt à accueillir de nouvelles VMs dans le réseau local virtuel "LAN_VM". À vous de jouer ! Pour aller plus loin avec Pfsense, je vous invite à consulter cette page : Tutoriels Pfsense.
