Sauvegarder et importer une configuration sous Pfsense

I. Présentation

Il est souvent conseillé lorsque l'on gère des éléments actifs comme des routeurs ou des serveurs d'avoir une sauvegarde de configuration régulière ou au moins un modèle basique pris à un instant T. Aujourd'hui nous allons voir comment sauvegarder une configuration Pfsense et comment la restaurer au besoin.

II.  Sauvegarde d'une configuration

Pour sauvegarder et exporter une configuration Pfsense, il faut se rendre dans le menu supérieur dans "Diagnostics" puis dans "Backup/Restore".

PFBackup04

On verra alors deux cadres, celui qui nous intéresse ici est le "Backup configuration". On pourra alors dans le "Backup area" sélectionner quelle partie de notre configuration nous souhaitons exporter. Cela peut être par exemple l'ensemble de la configuration (ALL) ou alors juste la partie DHCP, ou Load Balancer. C'est pratique dans le sens où l'on ne peut backuper qu'une partie de configuration lorsque l'on sait que l'on va faire une modification uniquement sur cette partie par exemple :

PFBackup03

Nous allons également indiquer si le fichier doit être chiffré ou non, si oui on devra indiquer un mot de passe.  On peut dire à notre Pfsense de ne pas inclure les données RDD qui sont les données de monitoring servant à grapher les données (bande passante par exemple), ce qui présente rarement un intérêt. On cliquera ensuite sur "Download configuration" pour avoir un fichier contenant notre configuration, chiffré ou non selon que l'on ait caché la case correspondante ou non.

III. Importer une ancienne configuration

Nous allons maintenant voir comment importer une configuration, ce qui peut être utile en cas de dysfonctionnement ou de simple erreur. La seule chose dont nous avons besoin est d'un accès à l'interface web, on peut très bien imaginer en cas de problème majeur mettre une IP temporaire au Pfsense via le terminal pour accéder à l'interface web par exemple.

Lorsque l'on a besoin de revenir en arrière, le backup d'une configuration ancienne et valide permet d'être sûr d'avoir un résultat similaire à celui avant modification plutôt que d'essayer de retourner en arrière "manuellement". On retourne donc dans notre menu "Diagnostics" puis "Backup/Restore" et on va cette fois-ci s'intéresser au deuxième bloc "Restore configuration" :

PFBackup01

On pourra à nouveau choisir une "area" qui sera une partie de la configuration à restaurer si on ne désire pas tout restaurer puis aller chercher notre fichier de configuration. A nouveau, on indiquera si le fichier de configuration doit être chiffré ou non, si oui, il faudra indiquer le mot de passe permettant de le déchiffrer

PFBackup02

Attention : Comme indiqué sur la page, le Pare-feu Pfsense redémarrera après l'importation de la configuration, prévoyez donc une coupure réseau.

Nous aurons donc au redémarrage de la machine une configuration correspondant à la situation à laquelle nous l'avons sauvegardé. Il est très important dans un contexte d'entreprise de faire des backup régulier, le plus sûr étant d'en faire à chaque modification majeure ou mineure. De plus, le chiffrement de ces sauvegardes permet d'accroître la sécurité lors du transfert de la configuration mais également lors de son stockage. Les informations de filtrages, de redirections, de load-balancing peuvent en dire long sur la structure d'un système d'information, c'est pourquoi ces informations sont à garder en lieu sûr.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael a publié 475 articles sur IT-Connect.See all posts by mickael

    Une réaction sur “Sauvegarder et importer une configuration sous Pfsense

    • 10/05/2016 à 18:41
      Permalink

      bonjour, j’ai besoin d’une aide pour la configuration de pfsense, si possible le fichier de configuration,merci.Mon mail est prinobel225@gmail.com

      Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *