Dossier réseau du projet
Download
Report
Transcript Dossier réseau du projet
PAGE DE GARDE
PPE 4-1
BTS SIO SISR
Contenu: (Partie Support Réseaux)
* Etude des solutions de sécurisations d'un réseau
* Mise en place d'une DMZ
* Mécanisme de NAT / PAT
* Règles de filtrage firewall ( Cisco )
F.Le Sehan, D.Legall, T.Vernichon, S.Masson
Mars 2014
Sommaire
I.
Cahier des charges et descriptif des objectifs. ........................................................................ 3
Conception des infrastructures réseau. ............................................................................ 3
Définition du besoin .......................................................................................................... 3
Travail à réaliser ................................................................................................................ 3
II.
Identifier les risques associés à une interconnexion avec le réseau Internet. ........................ 4
Comment identifier les risques associés à une interconnexion avec le réseau Internet ? 4
III.
Démarche de limitation des risques : ...................................................................................... 6
IV.
Définir la problématique de l’accès au réseau Internet à partir d’un réseau privé. ............... 7
Mécanisme NAT / PAT : ..................................................................................................... 8
Différents types de NAT :................................................................................................... 8
V.
Concevoir un politique de filtrage conformément au cahier des charges .............................. 9
Notre réponse au cahier des charges : ............................................................................ 10
VI.
Tableau récapitulatif des règles mises en places sur le routeur de la maison des ligues. .... 12
VII.
Maquette Packet Tracert....................................................................................................... 13
I.
Cahier des charges et descriptif des objectifs.
Conception des infrastructures réseau.
Lors des PPE2 et PPE3, vous avez réalisé la mise en place de l’architecture réseau interne du
site de la Maison des Ligues de Lorraine. Le DSI souhaite maintenant interconnecter le
réseau de l’entreprise avec le réseau Internet.
Les bénéfices sont multiples, mais ce vaste réseau et les technologies qui lui correspondent
ont ouvert la porte à un nombre croissant de menaces relatives à la sécurité contre
lesquelles l’entreprise doit se prémunir.
Maintenant, plus que jamais, il est impératif que l’entreprise intègre la sécurité au sein de
son architecture réseau afin de limiter les risques.
Définition du besoin
Le DSI désire faire une étude générale sur les risques attachés à l’accès au réseau Internet et
souhaite prendre en compte les éléments de sécurité ci-dessous :
Mise en place d’un réseau de type DMZ dans lequel on trouve un ensemble de
serveurs accessibles depuis l'extérieur, spécifiquement le serveur web.
L'environnement du réseau interne M2L doit être accessible aux seuls acteurs de
l'entreprise.
L'entreprise a choisi d'héberger en interne les serveurs exécutant les applications et
besoins de la M2L.
Un accès à l’Internet est autorisé aux collaborateurs à partir du réseau interne.
Les utilisateurs du réseau Wifi Visiteurs ont un accès uniquement au réseau Internet.
Travail à réaliser
1.
2.
3.
4.
5.
Identifier les risques associés à une interconnexion avec le réseau Internet.
Déterminer une démarche de limitation de ces risques.
Définir la problématique de l’accès au réseau Internet à partir d’un réseau privé.
Concevoir la politique de filtrage conformément au cahier des charges.
Adapter la maquette Packet Tracer en fonction de votre solution.
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
3
II.
Identifier les risques associés à une interconnexion avec le réseau
Internet.
Dans le cadre du projet PPE 4, Il nous a été demandé par la Maison de Ligues de mettre en
place une politique de sécurité efficace suite à la connexion du réseau de la Maison des
Ligues à Internet. Pour rappel, la maison des ligues héberge elle même ses services et donc
ses serveurs internet etc..
Elle a donc une "porte" ouverte vers internet et autorise donc les internautes à entrer sur
ses serveurs web. Il y a donc des risques de divers types suite à cette ouverture sur
l'extérieur.
Rappel :
Internet est un ensemble de réseaux informatiques privés et publics interconnectés grâce à
un protocole de communication commun. Son principe a été conçu par les milieux
américains de la défense et de la recherche, à la fin des années 1960, puis il s'est
progressivement généralisé au domaine civil et commercial. Limité à un millier environ en
1985, le nombre d’utilisateurs d’internet est passé à plus de 2 millions en 1994 et à près de
1,250 milliard en 2007.
Comment identifier les risques associés à une interconnexion avec le réseau Internet ?
La plupart des programmes malveillants sont déposés sur des sites web. Une entreprise
connectée à Internet et ne limitant pas les accès a donc des risques d’être infectées par un
virus ou un programme de prise de contrôle. Ces programmes peuvent infiltrer les
ordinateurs de plusieurs façons. La plus courante étant lors des téléchargements et
l'exécution de logiciels mais aussi lors de la lecture de mails douteux, ou de l'ouverture de
pièces jointes.
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
4
Risques Identifiés :
La récupération des données confidentielles (fichiers clients, devis, business plans...) par un
logiciel espion est plus facile et plus fréquente aussi lorsque l’on utilise une connexion
Internet non sécurisé. Voici les intrusions les plus courantes venant d’Internet :
Virus : Petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on
l'exécute, se charge en mémoire et exécute les instructions que son auteur a
programmé.
Vers : Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en
utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou
logique, il est aussi appelé virus de réseau.
Cheval de Troie : c'est un programme informatique effectuant des opérations
malicieuses à l'insu de l'utilisateur.
Spyware : C'est un programme chargé de recueillir des informations sur l'utilisateur de
l'ordinateur sur lequel il est installé afin de les envoyer à son auteur qui le diffuse pour
lui permettre de dresser le profil des internautes.
Phishing : C'est une technique frauduleuse utilisée par les pirates informatiques pour
récupérer des informations auprès d'internautes.
Spams : Le spam consiste à envoyer plusieurs e-mails identiques à un grand nombre de
personnes sur internet. Ces mails peuvent recueillir des informations sur la personne qui
l’ouvre.
La connexion au réseau internet, étant donné les risques encourus par l'entreprise n’est
donc pas anodine et demande un minimum de connaissances et de réflexion pour
déterminer une démarche de limitation de ces risques via une politique de sécurité efficace.
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
5
III.
Démarche de limitation des risques :
Afin de limiter ces risques. Une bonne politique de sécurité devra être appliquée :
- Notamment par l'information des utilisateurs sur les bonnes pratiques d'utilisation des
systèmes d'information, et de la connaissance de qu'ils ont le droit ou non de faire avec.
- Par la mise en place d'une bonne protection au niveau des postes (Antivirus et / ou firewall)
- Par une stratégie de sécurité au niveau du réseau par la mise en place d'une solution
matériel de filtrage et donc de règles définissants les autorisation et interdiction de trafic
liées au réseau. ( Firewall...)
- Elle peut aussi passer par la mise en place d'un Mécanisme IDS écoutant le trafic réseau de
manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi
d'avoir une action de prévention sur les risques d'intrusion. Un N-IDS nécessite un matériel
dédié et constitue un système capable de contrôler les paquets circulant sur un ou plusieurs
lien(s) réseau dans le but de découvrir si un acte malveillant ou anormal a lieu.
- Enfin, un politique visant à maintenir en permanence les systèmes (Firmware, Systèmes
d'exploitations etc.. ) à jour par l'application de toutes les mises à jours nécessaires publiées
par les éditeurs des matériels et Systèmes d'exploitation / logiciels.
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
6
IV.
Définir la problématique de l’accès au réseau Internet à partir
d’un réseau privé.
La principale problématique posée par l'accès d'un réseau privé vers le réseau internet
provient du fait que les adresses IP utilisés par les réseaux privés ne sont pas routables sur
internet.
Rappel des plages privées :
Classe A : 10.0.0.0 à 10.255.255.255
Classe B : 172.16.0.0 a 172.31.255.255
Classe C : 192.168.0.0 a 192.168.255.255
Ce sont des plages d'adresses que beaucoup de machines peuvent utiliser puisque chaque
réseau interne est susceptible de les utiliser pour ses machines. On ne peut donc pas les
router sur internet car elles sont attribuées à plusieurs machines simultanément dans des
réseaux différents et il serait donc impossible de joindre une machine en particulier. A
l'instar, les adresses publiques sont elles uniques au monde et attribués à des réseaux
privées par les Fournisseurs d'Accès à Internet ce qui permet via cette adresse de
communiquer avec les machines à IP publiques présentes sur internet. Mais comment faire
communiquer toutes les machines d'un réseau privé si l'on a qu'une ou quelques adresses IP
publiques utilisables et qu'on le peu attribuer une IP publique à chacun de nos machines
devant être présente sur Internet ?
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
7
Mécanisme NAT / PAT :
NAT : Network Adresse translation / Traduction d'adresses.
Il s'agit d'une solution mise en œuvre pour palier à la pénurie d'adresses IPV4.
Norme : RFC 1631 de 1994.
Fonctionnement : Niveau 3 du model OSI : Fonction de routage
Fonction principale : Effectuer la correspondance entre une IP publique et une IP Privé.
Le NAT permet donc de joindre depuis internet une machine qui se trouve dans un
réseau privé dont les adresses ne sont pas routables sur internet. Ce mécanisme de
traduction d’adresses intervient comme une fonctionnalité de routage d’extrémité de
site et détermine une correspondance entre des adresses privées (locales) et des
adresses publiques (globales). Il contribue à améliorer la sécurité des réseaux internes
puisqu'il cache le réseau privé et les machines qui s'y trouvent. On pourra donc rendre
accessible des hôtes qui sont dans des réseaux physiques distincts.
Différents types de NAT :
Le NAT Statique : qui consiste à mettre en place une correspondance un à un entre une
adresse IP d'un réseau interne et une adresse IP publique externe. Cette technique
permet de rendre accessible une machine du réseau interne depuis l'extérieur puisque
les trames qui sont envoyés vers l'IP externe sont redirigés vers l'adresse IP interne du
réseau privé.
Le NAT Dynamique : Il s'agit de la même technique à ceci près que cette fois ci on joue
avec un pool d'adresses que l'on met à disposition. On à donc un ensemble d'IP privés
que l'on utilisera dynamiquement pour une correspondance avec une adresse faisant
partie d'un Pool d'adresse IP publiques.
Le PAT : Il permet de mettre en œuvre une correspondance en prenant en compte non
seulement les adresses IP, mais également les ports sur lesquels les trames circulent.
Il est donc possible de rediriger le trafic qui arrive sur le port 80 de notre adresse IP
publique vers les ports 80 ou 8080 ou 443 de notre serveur Web d'entreprise selon
besoins. Jouer sur les ports va permettre de pouvoir multiplier les destinations possibles
dans notre réseau local.
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
8
V.
Concevoir un politique de filtrage conformément au cahier des
charges
Afin de sécuriser notre réseau de la Maison des ligues selon le cahier des charges, nous
allons mettre en place des ACL sur le routeur de la maison des Ligues.
Les ACL sont des règles de filtrages qui sont lu par le routeur à chaque paquet reçu. En
fonction de ce que les règles autorisent ou interdisent, les paquets sont rejetés ou bien sont
routés vers leur destination. Le principe est de créer une liste de règles, que l'on va ensuite
affecter à une interface d'un routeur. on précisera IN pour que ce soient les paquets
entrants dans le routeur qui soient filtrés ou bien en OUT afin que ce soient les paquets
sortant. (Après routage) qui soient filtrés.
Il existe deux types d'ACL : Les standards et les étendues.
Les ACL Standards : Elles se placent au plus près de la destination et ne peuvent gérer que
des réseaux IP.
Les ACL étendues : Elles se placent au plus près de la source et comme leur nom l'indique
elle ont des propriétés étendues qui permettent des filtrages beaucoup plus précis :
IP, Ports, Protocoles.
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
9
Notre réponse au cahier des charges :
Mise en place d'un réseau de type DMZ dans lequel on trouve un ensemble de
serveurs accessibles depuis l'extérieur, spécifiquement le serveur WEB.
Un réseau DMZ à déjà été mis en place sur une interface du routeur.
Elle à pour adresse de réseau 10.54.0.0 / 24. On y trouve le serveur web, le serveur
de messagerie et le serveur de gestion de configurations. Des règles de filtrage
permettent d'accéder au serveur WEB sur les ports 443 (Https) et 80 (Http) et ftp
(21).
Voici les règles mises en place pour filtrer ce qui entre dans le réseau de la maison
des ligues, depuis internet :
- Autorise l'accès depuis internet au serveur Web de la DMZ en port http
- Autorise l'accès depuis internet au serveur Web de la DMZ en port https
- Autorise l'accès depuis internet au serveur Web de la DMZ en port ftp
- Refuser l'accès a toute ressource du LAN M2L depuis internet
L'environnement du réseau interne ML2 doit être accessible aux seuls acteurs de
l'entreprise :
Fonctionnement normale en interne.
Au besoin, si un collaborateur à besoin d'accéder au réseau interne depuis l'extérieur
il faudra autoriser son adresse IP à entrer dans le réseau et uniquement son IP.
Pour le reste, en interne les règles permettent déjà aux acteurs de l'entreprise
d'accéder au réseau M2L, sauf règles mises en place précédemment (Séparation des
ligues par vlan etc.)
L'entreprise à choisi d'héberger en interne ses serveurs exécutants les applications
et besoins de la M2L :
Pas de réponse à ce paramètre. (Ou éventuellement mise en place de NAT / PAT)
L'accès à internet est autorisé aux collaborateurs à partir du réseau interne :
- Autoriser l'accès au protocole http (80) vers internet depuis le LAN depuis
172.16.0.0 / 16
- Autoriser l'accès au protocole https (443) vers internet depuis le LAN
172.16.0.0 / 16
Il faut cependant ajout une règle qui autorise le retour de ces requêtes
( established )
Les utilisateurs du réseau wifi visiteurs ont uniquement accès à internet :
- Refuser l'accès à toutes les ressources du LAN M2L
- Permettre l'accès au DHCP en autorisant les requêtes DHCP en Broadcast vers le
serveur DHCP
- Autoriser l'accès au serveur web DMZ sur port 443 (https)
- Autoriser l'accès au serveur web DMZ sur port 80 (http)
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
10
- Autoriser l'accès uniquement au serveur web DMZ sur port 21 (ftp)
- Autoriser l'accès à tous les autres réseaux ( INTERNET + DMZ )
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
11
VI.
Tableau récapitulatif des règles mises en place sur le routeur de la maison des ligues.
(Y sont également inscrites les traductions en configuration CISCO)
VII.
Maquette Packet Tracert
Voici la configuration du routeur de la maquette Packet Tracert , prenant en compte les
règles de filtrage. Les éléments faisant référence aux règles de filtrage sont écrits en rouge.
RT-M2L#sh run
Building configuration...
Current configuration : 6427 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname RT-M2L
!
enable password M2L
!
license udi pid CISCO2911/K9 sn FTX15246CAJ
!
vtp domain M2L
vtp mode transparent
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.7
encapsulation dot1Q 7
ip address 172.16.27.254 255.255.252.0
!
interface GigabitEthernet0/0.8
encapsulation dot1Q 8
ip address 172.16.31.254 255.255.252.0
ip helper-address 172.16.23.250
ip access-group 110 in
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 172.16.39.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.11
encapsulation dot1Q 11
ip address 172.16.43.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.12
encapsulation dot1Q 12
ip address 172.16.47.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.13
encapsulation dot1Q 13
ip address 172.16.51.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.14
encapsulation dot1Q 14
ip address 172.16.55.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.15
encapsulation dot1Q 15
ip address 172.16.59.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.16
encapsulation dot1Q 16
ip address 172.16.63.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.17
encapsulation dot1Q 17
ip address 172.16.67.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.18
encapsulation dot1Q 18
ip address 172.16.71.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.19
encapsulation dot1Q 19
ip address 172.16.75.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 172.16.79.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.21
encapsulation dot1Q 21
ip address 172.16.83.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.22
encapsulation dot1Q 22
ip address 172.16.87.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.23
encapsulation dot1Q 23
ip address 172.16.91.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.24
encapsulation dot1Q 24
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
14
ip address 172.16.95.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.25
encapsulation dot1Q 25
ip address 172.16.99.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.26
encapsulation dot1Q 26
ip address 172.16.103.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.27
encapsulation dot1Q 27
ip address 172.16.107.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.28
encapsulation dot1Q 28
ip address 172.16.111.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.29
encapsulation dot1Q 29
ip address 172.16.115.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.30
encapsulation dot1Q 30
ip address 172.16.119.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.31
encapsulation dot1Q 31
ip address 172.16.123.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.32
encapsulation dot1Q 32
ip address 172.16.127.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.33
encapsulation dot1Q 33
ip address 172.16.131.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.41
encapsulation dot1Q 41
ip address 172.16.163.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/0.42
encapsulation dot1Q 42
ip address 172.16.167.254 255.255.252.0
ip helper-address 172.16.23.250
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
15
!
interface GigabitEthernet0/0.63
encapsulation dot1Q 63
ip address 172.16.251.254 255.255.252.0
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 3
ip address 172.16.11.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 4
ip address 172.16.15.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/1.5
encapsulation dot1Q 5
ip address 172.16.19.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/1.6
encapsulation dot1Q 6
ip address 172.16.23.254 255.255.252.0
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/1.100
encapsulation dot1Q 100
no ip address
ip helper-address 172.16.23.250
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/2.100
encapsulation dot1Q 100
ip address 10.54.0.254 255.255.255.0
ip helper-address 172.16.23.250
!
interface Serial0/2/0
ip address 8.9.10.111 255.255.255.0
ip access-group 115 in
!
interface Serial0/2/1
no ip address
!
interface FastEthernet0/3/0
switchport mode access
!
interface FastEthernet0/3/1
switchport mode access
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
16
!
interface FastEthernet0/3/2
switchport mode access
!
interface FastEthernet0/3/3
switchport mode access
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 172.16.32.16 255.255.255.240 172.16.248.5
ip route 172.16.32.32 255.255.255.240 172.16.248.3
ip route 172.16.32.48 255.255.255.240 172.16.248.4
ip route 172.16.32.64 255.255.255.240 172.16.248.2
ip route 172.16.32.80 255.255.255.240 172.16.248.1
ip route 192.168.0.0 255.255.255.0 8.9.10.112
!
!
access-list 110 deny ip 172.16.28.0 0.0.3.255 172.16.0.0 0.0.255.255
access-list 110 permit udp any any eq bootps
access-list 110 permit tcp 172.16.28.0 0.0.3.255 host 10.54.0.10 eq 443
access-list 110 permit tcp 172.16.28.0 0.0.3.255 host 10.54.0.10 eq www
access-list 110 permit tcp 172.16.28.0 0.0.3.255 host 10.54.0.10 eq ftp
access-list 110 permit ip 172.16.28.0 0.0.3.255 any
access-list 115 permit tcp any host 10.54.0.10 eq 443
access-list 115 permit tcp any host 10.54.0.10 eq ftp
access-list 115 deny ip any 172.16.0.0 0.0.255.255
!
!
radius-server host 172.16.23.250 auth-port 1645 key reseauprive
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
PPE 4 - RESEAU - F.LE SEHAN, D.LEGALL, T.VERNICHON, S.MASSON
17