Hardening et bonnes pratiques

Pourquoi durcir pfSense ?

Un pare-feu mal configuré ou laissé avec ses réglages par défaut crée une fausse sensation de sécurité. Le hardening consiste à réduire la surface d'attaque : fermer ce qui est inutile, changer ce qui est prévisible, surveiller ce qui reste ouvert.

pfSense et OPNsense sont solides — mais c'est toi qui dois activer les bonnes options. Ce sont des outils, pas des solutions magiques.

1. Changer les credentials par défaut

La première chose à faire après l'installation : changer le mot de passe admin par défaut (pfsense). C'est la première chose qu'un attaquant essaiera.

pfSense :
System → User Manager → clic sur admin → changer le mot de passe

OPNsense :
System → Access → Users → clic sur root → changer le mot de passe

Si ton infrastructure le permet, crée un compte admin secondaire avec un nom différent et désactive (ou supprime) le compte admin par défaut.

2. Sécuriser l'interface web

Forcer HTTPS

L'interface web doit être accessible uniquement en HTTPS. HTTP transmet les credentials en clair sur le réseau.

pfSense :
System → Advanced → Admin Access
→ Protocol : HTTPS
→ SSL/TLS Certificate : sélectionner un certificat valide

OPNsense :
System → Settings → Administration
→ Protocol : HTTPS

Changer le port par défaut

Le port 443 est le premier testé par les scanners automatiques. Changer le port ne remplace pas une vraie sécurité, mais réduit le bruit.

Exemple : passer sur le port 8443
System → Advanced → Admin Access
→ TCP port : 8443

Accès ensuite via :
https://192.168.1.1:8443

Restreindre l'accès par IP

C'est la mesure la plus efficace : seules certaines IP peuvent accéder à l'interface d'administration.

pfSense — règles de pare-feu sur l'interface LAN :
Firewall → Rules → LAN
→ Autoriser TCP port 8443 uniquement depuis 192.168.1.50
→ Bloquer tout le reste vers le port 8443

3. SSH : désactiver ou restreindre

SSH permet un accès puissant au système. Si tu n'en as pas besoin, désactive-le. Si tu en as besoin, utilise uniquement les clés SSH — pas les mots de passe.

pfSense :
System → Advanced → Admin Access
→ Enable Secure Shell : décocher si inutilisé
→ SSHd Key Only : Public Key Only (si activé)
→ SSH port : changer le port par défaut (22)

OPNsense :
System → Settings → Administration
→ Secure Shell → décocher si inutilisé
→ Login group : restreindre au groupe admins

Pour ajouter une clé publique SSH à un compte admin :

pfSense :
System → User Manager → clic sur le compte
→ Authorized SSH Keys : coller ta clé publique

Générer une paire de clés sur ta machine :
ssh-keygen -t ed25519 -C "admin-pfsense"

4. Mises à jour régulières

Les failles de sécurité sont corrigées dans les mises à jour. Un firewall non mis à jour, c'est une porte entrouverte.

pfSense :
System → Update
→ Branch : Latest stable version
→ Cliquer "Confirm" pour mettre à jour

OPNsense :
System → Firmware → Updates
→ Check for updates → Upgrade

Pour être notifié des nouvelles versions :

• pfSense : abonnement aux annonces sur forum.netgate.com ou flux RSS
• OPNsense : abonnement newsletter sur opnsense.org ou flux RSS des releases GitHub

5. Sauvegardes

La configuration de pfSense/OPNsense est l'actif le plus précieux de ton infrastructure réseau. Une sauvegarde régulière évite de tout reconfigurer de zéro en cas de panne.

pfSense — sauvegarde manuelle :
Diagnostics → Backup & Restore
→ Area : ALL
→ Download configuration as XML

OPNsense — sauvegarde manuelle :
System → Configuration → Backups
→ Download

AutoConfigBackup (pfSense)

pfSense Plus propose AutoConfigBackup, un service qui sauvegarde automatiquement la configuration dans le cloud Netgate à chaque modification :

Services → Auto Configuration Backup
→ Enable ACB : cocher
→ Encryption Password : définir un mot de passe fort
→ Save

6. Minimiser la surface d'attaque

Chaque service activé est une porte potentielle. Désactive tout ce que tu n'utilises pas activement.

Vérifier les services actifs :
Status → Services

Désactiver UPnP :
Services → UPnP & NAT-PMP
→ Enable UPnP & NAT-PMP : décocher

Protection anti-lockout — à ne pas désactiver :
System → Advanced → Admin Access
→ Anti-lockout Rule : garder activée (sinon risque de t'enfermer dehors)

7. Logging et alertes

Un pare-feu silencieux, c'est un pare-feu aveugle. Les logs te permettent de détecter les tentatives d'intrusion, les erreurs de config et les comportements anormaux.

Syslog distant

pfSense :
Status → System Logs → Settings
→ Enable Remote Logging : cocher
→ Remote log servers : 192.168.1.100:514 (IP de ton serveur syslog)
→ Remote Syslog Contents : cocher Firewall Events, DHCP, General

OPNsense :
System → Settings → Logging
→ Remote : activer + entrer l'adresse du serveur syslog

Notifications par email ou Telegram

pfSense — configurer les notifications email :
System → Advanced → Notifications
→ E-mail → SMTP server : ton serveur mail
→ From / To email addresses
→ Test SMTP Settings pour vérifier

Pour Telegram : utiliser un package ou un script cron
qui lit les logs et envoie via l'API Telegram Bot

8. Checklist hardening complète

─── Authentification ───────────────────────────────
✓ Mot de passe admin fort changé (pas "pfsense")
✓ Compte admin secondaire créé si nécessaire
✓ Authentification SSH par clé uniquement

─── Interface web ──────────────────────────────────
✓ HTTPS activé (pas HTTP)
✓ Port d'admin changé (pas 443)
✓ Accès restreint par IP depuis le LAN uniquement
✓ Aucun accès depuis le WAN

─── Services ───────────────────────────────────────
✓ SSH désactivé si inutilisé
✓ UPnP désactivé
✓ Services inutilisés arrêtés
✓ Protection DNS Rebinding activée

─── Maintenance ────────────────────────────────────
✓ pfSense/OPNsense à jour (dernière version stable)
✓ Packages tiers à jour
✓ Sauvegarde de la config effectuée

─── Supervision ────────────────────────────────────
✓ Syslog distant configuré
✓ Notifications email/alertes activées
✓ Logs pare-feu consultés régulièrement