>><\/mark><\/strong> Allez dans le Menu : Syst\u00e8me > Firmware > Mise \u00e0 jour > Onlget \u00ab\u00a0Statut\u00a0\u00bb<\/strong><\/p>\n\n\n\n La plupart du temps les mises \u00e0 jours mineurs se feront facilement. Cependant, dans le cycle de vie du logiciel, il vous arrivera d’avoir lors d’un changement important de version, des guides d\u00e9taill\u00e9es sur la m\u00e9thode de d\u00e9ploiement. G\u00e9n\u00e9ralement, ces op\u00e9ration peuvent \u00eatre facilement r\u00e9alis\u00e9es depuis l’interface web d’administration.<\/p>\n\n\n\n Vous pouvez \u00e9galement, depuis le menu Syst\u00e8me > Parm\u00e8tres > Cron<\/strong>, choisir d’automatiser les mises \u00e0 jours via une tache planifi\u00e9e. Puis s\u00e9lectionnez la commande \u00ab\u00a0Automatic fireware Update\u00a0\u00bb.<\/p>\n\n\n\n Cependant, je vous le d\u00e9conseille de cr\u00e9er une t\u00e2che planifi\u00e9e pour automatiser les mises \u00e0 jours. En effet, elles seront appliqu\u00e9es de fa\u00e7on transparentes. Et donc, vous passerez \u00e0 c\u00f4t\u00e9 des d’instructions qui vous informeront des notes importantes sur les changements notables de versions.<\/p>\n<\/blockquote>\n\n\n\n Cette v\u00e9rification est tr\u00e8s rapide et vous pouvez ais\u00e9ment l’inscrire dans vos t\u00e2ches quotidiennes lors de vos travaux r\u00e9guliers de maintient en condition op\u00e9rationnelle de vos syst\u00e8mes.<\/p>\n\n\n\n D\u00e9sactiver le compte ROOT<\/a> >>><\/p>\n\n\n\n\n\n\n\n Je vous conseille aussi de d\u00e9sactiv\u00e9 le compte ROOT <\/strong>par d\u00e9faut pour le remplacer par celui que vous voulez. Vous pouvez ajouter \u00e9galement un deuxi\u00e8me compte sans les droits d’admin, ce qui vous permettra de voir la configuration du firewall sans risque de modification.<\/p>\n\n\n\n >><\/mark><\/strong> Allez dans le Menu : Syst\u00e8me > Acc\u00e8s > Utilisateurs <\/strong>Et cliquer sur le +<\/strong><\/mark> pour rajouter un nouveau compte. >><\/mark><\/strong> Pour ce nouveau compte nous allons faire au plus simple<\/strong> : <\/p>\n\n\n\n >><\/mark><\/strong> Enfin reconnectez vous \u00e0 l’interface d’administration avec votre nouveau compte et d\u00e9sactiver le compte ROOT par d\u00e9faut.<\/p>\n\n\n\n Ne supprimez pas le compte root car c’est le seul \u00e0 avoir l’acc\u00e8s complet \u00e0 la console Shell FreeBSD.<\/p>\n<\/blockquote>\n\n\n\n Les comptes sont diff\u00e9renci\u00e9s par pictogramme de couleurs diff\u00e9rentes. Nous avons donc, un compte standard, un compte admin et le compte root que nous avons d\u00e9sactiv\u00e9s.<\/p>\n\n\n\n En Option :<\/mark><\/strong><\/p>\n\n\n\n Si vous souhaitez que le nouveau compte d’admin que vous venez de cr\u00e9er ait acc\u00e8s \u00e0 l’interface Shell, il faudra autoriser la commande sudo depuis le menu Syst\u00e8me > Param\u00e8tres > Administration.<\/strong><\/p>\n\n\n\n Une fois connecter \u00e0 la console en direct ou en openssh, vous aurez acc\u00e8s au menu via la commande :<\/p>\n\n\n\n sudo opnsense-shell.sh<\/mark><\/p>\n\n\n\n <<< R\u00e9aliser les mises \u00e0 jour\u00a0<\/a><\/p>\n<\/div>\n\n\n\n Remplacer le certificat auto-sign\u00e9<\/a> >>><\/p>\n<\/div>\n<\/div>\n\n\n\n\n\n\n\n Par d\u00e9faut OPNsense fourni un certificat auto-sign\u00e9. La bonne pratique serait de le remplacer par un certificat valide reconnu par une autorit\u00e9 de certification internet. <\/p>\n\n\n\n Je vous d\u00e9conseille \u00e9galement de cr\u00e9er certificat \u00e0 partir d’une autorit\u00e9 de certification interne \u00e0 votre r\u00e9seau LAN que ce soit via OpenSSL ou via l’ADCS, Microsoft Active Directory Certificate Services. En effet, nous avons besoin d’un certificat pour un firewall connect\u00e9 directement ou indirectement \u00e0 Internet.<\/p>\n\n\n\n Dans ce cas, vous avez 2 possibilit\u00e9s : <\/strong><\/p>\n\n\n\n Dans tous les cas de figure, je vous conseille \u00e9galement depuis le menu : Sur chaque page de configuration de l’interface web d’administration d’OPNsense, caract\u00e9ris\u00e9 par un bouton sur le coin sup\u00e9rieure droit, vous pouvez obtenir l’aide compl\u00e8te pour chaque rubrique. Je vous recommande de l’activer car c’est un source d’information indispensable.<\/p>\n<\/blockquote>\n\n\n\n <<< D\u00e9sactiver le compte ROOT\u00a0<\/a><\/p>\n<\/div>\n\n\n\n Activer la r\u00e8gle RFC 1918<\/a> >>><\/p>\n<\/div>\n<\/div>\n\n\n\n\n\n\n\n Cette norme permet de ne pas router sur internet les adresses IP qui sont r\u00e9serv\u00e9es pour les r\u00e9seaux locaux, il s’agit pour l’IPV4 des plages d’adresses en 192.168.0.0\/16, 172.16.0.0\/12 et 10.0.0.0\/8. <\/p>\n\n\n\n A la maison ou dans les Petites Entreprise, vous aurez probablement une adresse IP qui commence par 192.168. Les 2 autres plages sont g\u00e9n\u00e9ralement utilis\u00e9es par des d’entreprises qui ont des r\u00e9seaux plus dense. <\/p>\n\n\n\n Je vous renvois \u00e0 cette excellent article <\/a>sur Wikip\u00e9dia qui vous expliquera tr\u00e8s bien cette norme.<\/p>\n\n\n\n Depuis le menu : Interfaces > WAN<\/strong>, qui d\u00e9signe le port Ethernet sur lequel arrive votre internet. Vous allez pouvoir emp\u00eacher, pour des r\u00e8gles de s\u00e9curit\u00e9 \u00e9videntes, que des IP en RFC 1918 aient acc\u00e8s \u00e0 votre routeur (IN<\/mark><\/strong>). Il suffit juste d’activ\u00e9 la case : \u00ab\u00a0Bloquer les r\u00e9seaux priv\u00e9s\u00a0\u00bb.<\/p>\n\n\n\n Cependant, cela n’emp\u00eachera pas \u00e0 vos machines qui sont dans votre LAN d’acc\u00e9der \u00e0 ces adresses. Comme dans le cas d’un home lab avec le routeur placer en DMZ. Les Machines qui sont dans mon Home Lab ont acc\u00e8s \u00e0 toutes les adresses du r\u00e9seau de ma Freebox.<\/p>\n\n\n\n DMZ<\/strong> —— WAN <\/strong>(Internet en 192.168) — FIREWALL OPENSENSE<\/strong> — LAN<\/strong> (r\u00e9seaux local du lab en 172.16) <\/mark><\/p>\n\n\n\n Enfin de renforcer la s\u00e9curit\u00e9, nous allons donc configurer une nouvelle r\u00e8gle de pare-feu qui bloquera vos machines plac\u00e9es dans votre LAN d’acc\u00e9der aux plages d’adresses priv\u00e9s (OUT<\/mark>)<\/strong>.<\/p>\n\n\n\n Cette r\u00e8gle peut-\u00eatre utile \u00e9galement en Entreprise pour vous pr\u00e9munir d’un acte de malveillance ou d’une erreur humaine.<\/p>\n<\/blockquote>\n\n\n\n Pour commencer et enfin d’\u00e9viter de configurer 3 r\u00e8gles, une pour chaque plage d’adresse. Nous allons dans un premier temp cr\u00e9er un alias :<\/p>\n\n\n\n >><\/mark><\/strong> Aller dans le menu : Interfaces > Alias<\/strong> et comme d’habitude le petit +<\/mark><\/strong> de cr\u00e9ation.<\/p>\n\n\n\n >><\/mark><\/strong> Puis, nous allons rajouter \u00a0\u00bb+<\/mark><\/strong>\u00a0\u00bb une r\u00e8gle flottante qui va permettre \u00e9galement d’\u00e9viter de cr\u00e9er plusieurs r\u00e8gles de pare-feu pour chaque interface. Allez dans le menu : Pare-feu > R\u00e8gles > Flottant<\/strong><\/p>\n\n\n\n A partir de ce moment, dans le cadre de votre Home Lab, il ne vous sera plus possible d’acc\u00e9der \u00e0 l’interface web d’administration c\u00f4t\u00e9 WAN. Dans mon cas, j’ai les pc qui sont connect\u00e9s au switch de la baie et j’ai mis en place \u00e9galement en points d’acc\u00e8s wifi s\u00e9curis\u00e9 dans le r\u00e9seaux du lab.<\/p>\n<\/blockquote>\n\n\n\n A not\u00e9, qu’il y a encore d’autres r\u00e8gles qu’on peut ajouter comme l’IDS et l’IPS, cependant ces derni\u00e8res sont li\u00e9es \u00e0 des services payant via des fournisseurs comme ZenArmor<\/a>.<\/p>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Update-1.jpg\")
<\/figure>\n<\/div><\/div>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Update_Progress-1.jpg\")
<\/figure>\n<\/div><\/div>\n<\/div>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_update_Instruction-1.jpg\")
<\/figure>\n<\/div><\/div>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Update_Change-2.jpg\")
<\/figure>\n<\/div><\/div>\n<\/div>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Update_Kernel-1.jpg\")
<\/figure>\n<\/div>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Update_Reboot-1-1024x445.jpg\")
<\/figure>\n<\/div>\n<\/div>\n\n\n\n\n
D\u00e9sactiver le compte ROOT :<\/h3>\n\n\n\n
<\/p>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Account_ADD-1.jpg\")
<\/figure>\n\n\n\n\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Account_ADD_Indenth-1.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Account_ADD_UserGroups-1.jpg\")
<\/figure>\n\n\n\n\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_Account_list-1.jpg\")
<\/figure>\n\n\n\nRemplacer le certificat auto-sign\u00e9<\/h2>\n\n\n\n
\n
Installer un Certificat Let\u2019s Encrypt sur OPNsense avec l\u2019API Token de CloudFlare.<\/a><\/li>\n<\/ul>\n\n\n\n
Syst\u00e8me > Param\u00e8tres > Administration<\/strong><\/p>\n\n\n\n\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_HTTPS_Strict-1.jpg\")
<\/figure>\n\n\n\n\n
Activ\u00e9 la r\u00e8gles RFC 1918 (In et Out)<\/h3>\n\n\n\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_RFC_1918_IN-1.jpg\")
<\/figure>\n\n\n\n\n
\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_RFC_1918_Alias-1.jpg\")
<\/figure>\n\n\n\n\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_RFC_1918_Floating_Rule_TOP-1.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_RFC_1918_Floating_Rule_MED-1.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_RFC_1918_Floating_Rule_BOT-1.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2024\/09\/OPN_RFC_1918_Floating_Rule_apply-1.jpg\")
<\/figure>\n\n\n\n\n
Voil\u00e0 !<\/mark><\/strong><\/h2>\n\n\n\n