PPE 4-1 m0n0wall
Download
Report
Transcript PPE 4-1 m0n0wall
KOS INFO
PPE 4
Firewall
Groupe 1: Alexis, David et Lawrence
19/02/2014
KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le
réseau de M2L. Ce projet s'appuiera sur le logiciel M0n0wall.
Table des matières
**INTRODUCTION** ............................................................................................................................. 3
I.
M0n0wall ....................................................................................................................................... 4
II.
Les flux de passage de la DMZ ............................................................................................... 7
1)
Flux entre LAN et WAN .......................................................................................................... 7
2)
Flux entre DMZ et WAN ......................................................................................................... 8
3)
Flux entre LAN et DMZ ........................................................................................................... 8
III.
Les règles de filtrage.................................................................................................................. 9
IV.
La NAT (Network Address Translation) ............................................................................ 10
V.
Procédure d'installation et de configuration de M0n0wall.......................................... 11
1.
Installation de M0n0wall ..................................................................................................... 11
2
**INTRODUCTION**
Suite à notre mission de l'installation de la nouvelle architecture réseau de l'association M2L, nous
poursuivons notre projet en établissant des mécanismes de sécurité par la mise en place d'un
firewall. Ce dispositif sera une barrière disposant de 3 interfaces réseaux correspondant au réseau
WAN, DMZ et LAN. Notre objectif à atteindre est donc de filtrer les paquets entrant et sortant de ce
pare feu.
De ce fait, commencerons d'abord établir un bref descriptif du logiciel déployé afin de réaliser nos
tests sur nos maquettes virtuelles.
Nous allons par la suite exposer par une procédure l'installation et la configuration de M0n0wall.
Enfin nous allons finir par étudier l'intérêt de la NAT pour un réseau privé désirant aller vers un
réseau public.
3
I.
M0n0wall
M0n0wall est un logiciel de licence libre ayant la fonction pare-feu, capable de tenir sur une clé USB,
un CD-ROM ou un disque dur.
Même de par son aspect très léger, il fait office de pare-feu très efficace et possède de nombreux
avantages pour peu d’inconvénient.
Avantage :
-
Il possède une mise en place très rapide
Disponible en licence libre
Il ne demande que peu de besoin de performance
Il est administrable à distance en interface web et explicite
Inconvénient :
-
Limitation NAT sur interface LAN, ce qui ne permet donc pas de translater les adresses
venant du Wan.
Pas de redondance possible du pare-feu.
M0n0wall possède également de nombreuses fonctions :
-
802.1Q Vlan support permet de configurer l'encapsulation des Vlans afin de faire connaitre
au pare feu les Vlans virtuels et de les laissez passer.
4
-
-
IPSec VPN tunnels utilise des algorithmes permettant le transport de données sécurisé sur un
réseau IP.
PPTP VPN est un protocole de tunnel point-à-point d'encapsulation PPP sur IP conçu par
Microsoft. Il permet de mettre en place des réseaux privés virtuels (VPN) au-dessus d'un
réseau public.
NAT (Network Address Translation) est une translation d'adresse du réseau privé au réseau
public.
DHCP client et DHCP Relay sont pris en charge par le pare-feu, permettant de créer une
étendue DHCP et gérée par le pare-feu.
5
6
II.
Les flux de passage de la DMZ
Voici ci-dessous l'architecture réseau de M2L:
WAN
172.16.0.0/16
Nous distinguons alors 3 interfaces correspondant aux Gateway du réseau LAN, DMZ et WAN.
L'intérêt de la DMZ est d'isoler les serveurs accessibles depuis l'Internet sans compromettre la
sécurité du réseau privé interne. Cette zone isolée comprendra des applications mise à disposition du
public.
La politique de sécurité établit sur la DMZ sera alors la suivante:
-
Trafic du réseau WAN vers la DMZ autorisé;
Trafic du réseau WAN vers le LAN interdit;
-
Trafic du réseau LAN vers la DMZ autorisé;
Trafic du réseau LAN vers le WAN autorisé;
-
Trafic de la DMZ vers le LAN interdit
Trafic de la DMZ vers le WAN autorisé.
Bien évidemment les autorisations et l'interdiction seront strictement encadrées.
1) Flux entre LAN et WAN
Les utilisateurs de M2L auront besoin de naviguer sur le réseau Internet ainsi que consulter leur
messagerie. Notre rôle est d'encadrer les accès des utilisateurs du LAN vers le réseau WAN. Pour
rappel le réseau wifi visiteur de l'association ne dispose que d'un accès à Internet alors que le réseau
7
wifi interne peut accéder aux ressources de l'association. Nous pouvons alors imaginer un certain
nombre de règle de filtrage à mettre en œuvre.
2) Flux entre DMZ et WAN
Ici, nous disposons des serveurs qui devront être accessible depuis le réseau WAN. Les types de
serveurs implantés seront un serveur web ISS, un serveur SMTP et FTP. Il faudra donc laisser passer
les connexions vers ces serveurs tout en instaurant des règles strictes de communications pour ne
pas nuire à la DMZ.
3) Flux entre LAN et DMZ
Les règles de filtrage seront semblables à celle du LAN vers le WAN avec un peu plus de souplesse. En
effet, il faudra bien sûre de autorisations dédiées à une certaine classe d'utilisateurs pour:
-
Mettre à jour les serveurs,
-
Envoyer er recevoir des mails,
-
Mise à jour du contenu d'un serveur FTP.
En revanche, il ne devrait y avoir aucune raison qu'une connexion soit initiée vers le LAN depuis la
DMZ.
8
III.
Les règles de filtrage
9
IV.
La NAT (Network Address Translation)
Le NAT a été proposé en 1994 sous la RFC 1631 comme solution à court terme face au manque
d'adresses IP. Son objectif principal était de permettre aux adresses IP d'être partagées par un grand
nombre de périphériques réseau. En une dizaine d'années d'existence, il a donné le temps nécessaire
pour concevoir le nouveau protocole d'adressage IPv6 et, aujourd'hui, le début de son déploiement.
Le NAT est un mécanisme qui permet de transformer l'adresse privée d'une machine quelconque en
une adresse publique. Cette fonctionnalité se fait généralement sur le routeur qui relie le réseau
internet et le réseau privée afin de camoufler son adresse IP privée en sortant sur le web.
Le NAT plusieurs manières d'être utilisées :
NAT statique : Ce mode est utilisé pour changer une adresse unique en une adresse
souhaitée. (Très long si plusieurs postes à effectuer)
NAT dynamique : Ce mode permet de changer plusieurs postes automatiquement.
On peut utiliser le NAT dans différents cas :
On dispose d'une multitude d'hôtes avec une IP privée et on a une seule ou quelques
adresses IP globales (publiques). Le NAT est configuré sur un routeur en bordure d'un réseau
d'extrémité, étant identifié comme étant le côté interne (inside), qui connecte un réseau
publique comme l'Internet, identifié comme étant le côté externe (outside). Le NAT traduit
les adresses locales internes en une adresse globale unique avant d'envoyer les paquets vers
le réseau externe.
On veut rendre accessible des hôtes qui sont localement et globalement dans le même
adressage, autrement dit on permet une connectivité d'adresses qui se chevauchent
(overlapping) de part et d'autre du routeur NAT.
Il contribue à améliorer la sécurité des réseaux internes puisqu'il les cache.
Mais il a aussi ses limites :
Le NAT contredit le principe fondamental d'IP d'une communication de bout en bout (les
stations d'extrémité établissent et gèrent elle-même leur communication). Le NAT pose donc
des problèmes dans l'établissement de communications utilisant certains protocoles de
10
sécurité assurant une authentification et une encryption, des applications peer-to-peer et
autres tels que FTP.
En matière de sécurité, il n'est jamais qu'une option qui ne remplace pas un filtrage IP
pertinent.
Par ailleurs, son utilisation répandue rend opaque l'étendue réelle de l'Internet. Rappelons
que ce principe a été mis en place pour répondre de manière temporaire au manque
d'adresses IP.
En conclusion, le NAT peut être un véritable atout pour les entreprises mais ne doit pas être utilisé
comme une sécurité seule du réseau. En revanche, il ne faut pas oublier que l'utilité première du NAT
était de combler le manque d'adresse IP avant l'arriver de l'IPv6 donc de palier les lacunes de l'IPv4.
V.
Procédure d'installation et de configuration de M0n0wall
Tout d'abord nous allons commencer par créer les machines virtuelle sous VMware afin de simuler
le réseau de la maison des ligues.
Pré requis:
Nous devons disposer de 4 machines virtuelle afin de simuler le réseau M2L à savoir:
-
Une station externe qui représentera un utilisateur quelconque, elle sera nommée "Bob"
-
Un firewall qui se nommera "M0n0wall", il jouera le rôle de routeur et filtrage des parquets;
-
Un serveur Web qui s'intitulera "web", ce dernier sera situé dans la DMZ;
-
Une station hôte qui représentera une station du réseau LAN de M2L qui sera nommé
"Alice";
1. Installation de M0n0wall
La machine virtuelle M0n0wall devra disposer de 3 interfaces, c'est-à-dire 3 cartes réseaux composée
de:
-
Network adapter qui correspondra à l'interface de la passerelle de M0n0wall vers le WAN
(VMnet2);
Network adapter 2 qui correspondra à l'interface de la passerelle de la DMZ (VMnet3);
Network adapter 3 qui correspondra à l'interface de la passerelle du réseau LAN (VMnet4)
11
-
L'illustration ci-dessous démontre la console de réglage avec l'ajout des cartes réseau:
L'installation de M0n0wall est assez simpliste, la machine M0n0wall démarré, il suffira tout
simplement de l'installer sur le disque dur.
12
M0n0wall démarré, nous avons assigné une adresse IP à l'interface LAN qui correspondra à la
passerelle du réseau LAN de M2L.
L'installation maintenant terminé nous allons passer à l'étape suivante, la configuration de M0n0wall
par l'interface WEB. Afin de configurer M0n0wall via l'interface Web, il suffit simplement de saisir
l'adresse IP que nous avons assigné précédemment à savoir "172.16.1.254"Le login est "admin" et le
mot de passe est "mono"
13
Nous allons par la suite ajouter la carte réseau correspondant à la passerelle DMZ (VMnet3), il est
recommandé de redémarrer le firewall afin d'appliquer les modifications.
Nous avons renommé l'interface "OPT1" en "DMZ" et par la même occasion assignée l'adresse IP de
la passerelle de la DMZ (172.16.254.254/16)
14
Après avoir configuré la Gateway de la DMZ, c'est au tour de celle du réseau WAN ou nous allons
renseigner une adresse IP statique "10.54.0.254/24"
-
Penser à tester avant l’étape suivant d’ajout de règle, que les réseaux communiquent bien
ensemble. Que le serveur Web de la DMZ puise être accessible du réseau LAN comme du
réseau WAN.
Ensuite, la configuration des règles sont à ajouter, rendez-vous sur "Rules" et cliquez dessus ; une
fenêtre s’ouvre alors en donnant les interfaces disponibles et les règles existantes. Cliquez sur "+"
afin d’ajouter une règle.
15
La fenêtre d’édition des règles s’ouvre :
-
Action : Permet de bloquer, laisser passer ou ignorer.
-
Interface : Permet de choisir l’interface sur lequel doit s’appliquer la règle.
-
Protocol : Permet de choisir le protocol de la règle.
-
Source : Permet de choisir le réseau source de la règle.
-
Source port range : Permet de choisir le port source de la règle.
-
Destination : Permet de choisir le réseau destination de la règle.
-
Destination port range : Permet de choisir le port destination de la règle.
-
Description : Toujours compléter la description afin de ne jamais être perdu dans les règles.
16
Une fois suivit notre plan de règle de filtrage et toute appliquer, voilà à quoi ressemble le menus
"Rules" de M0n0wall.
17
18