BTS SIO SISR - Fabien LE SEHAN
Download
Report
Transcript BTS SIO SISR - Fabien LE SEHAN
PPE 4-1
BTS SIO SISR
Contenu: (Partie Support Systèmes)
* Présentation des principales fonctions du Firewall choisi
* Procédure d'installation et de configuration de la solution
* Règles de filtrages mise en place pour assurer la sécurité de Maison des Ligues.
* Explication sur le fonctionnement de la NAT et de ses possibilités.
F.Le Sehan, D.Legall, T.Vernichon, S.Masson
Février 2014
1
Sommaire
1.
Introduction................................................................................................................................ 1
2.
Pré-requis ................................................................................................................................... 1
3.
Schéma ....................................................................................................................................... 2
4.
Installation d'IPCOP .................................................................................................................... 3
5.
Accès à IPCOP en mode commande ......................................................................................... 11
6.
Accès a l'interface d'administration WEB ................................................................................. 13
7.
Nos règles mises en place sur IPCOP : ...................................................................................... 18
8.
La Nat ....................................................................................................................................... 22
9.
Conclusion ................................................................................................................................ 23
2
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
1. Introduction
Dans ce projet, nous allons mettre en place un serveur pare-feu, IPCop.
Mais qu’est-ce donc ? IPCop est une distribution Linux basée sur Linux From Scratch, faisant
office de pare-feu. Elle vise à fournir un moyen simple mais puissant pour configurer un
pare-feu sur une architecture type PC / SERVEUR. Elle peut protéger sur une telle
architecture un réseau familial ou de petites et moyennes entreprises. Elle offre la classique
Zone démilitarisée (DMZ) ainsi que les tunnels réseau privé virtuel (acronyme VPN en
anglais).
IPCop peut également servir de serveur mandataire (proxy), de serveur fournissant des
adresses IP dynamiquement aux postes (DHCP), de relais DNS, de serveur de temps (NTP).On
pourra également, en installant des greffons ou modules, ajouter des fonctionnalités :
contrôle de contenu, liste noire, liste d’accès, DNS Dynamique, contrôle de trafic (QOS), etc.
Le support des clients sans fils est aussi prévu par le biais d’une zone dédiée. A noter qu'une
machine très bas de gamme permet de le mettre en œuvre cette solution Firewall dans le
cadre d'une utilisation sur un petit réseau.
Prévoir une bonne configuration pour le processeur et la mémoire vive pour une utilisation
professionnelle.
2. Pré-requis
Connaitre au minimum le plan d’adressage coté LAN (voir schéma ci-dessous), et une
connaissance de la manipulation de fichiers sous Linux est un plus.
Disposer d’un ordinateur connecté et configuré sur le réseau LAN et disposant d’un
navigateur Internet.
La machine hôte doit disposer d’un minimum de 3 cartes réseau, afin de pouvoir configurer
les cartes réseaux : (Une quatrième carte serait nécessaire pour ajouter une zone WIFI)
IPCop, dans ses récentes versions, défini 4 ports Ethernets (donc 4 réseaux indépendants) :
1 Réseau ROUGE, relié à internet (réseau obligatoire)
1 Réseau VERT, relié au réseau local utilisateur (privé), très sécurisé (obligatoire bien
sûr)
1 Réseau ORANGE, relié à la D.M.Z. (zone « demilitarized » ou démilitarisée),
facultative. Cette zone contiendrait, par exemple les serveurs WEB, ou des caméras
I.P. ou autres dispositifs Ethernets accessibles (potentiellement !) depuis Internet.
1 Réseau BLEU, relié à des dispositifs « Wifi » ou pouvant servir de seconde D.M.Z.
Cette zone est spécialisée par le paramétrage possible de l’adresse MAC ou I.P. des
périphériques autorisés à s’y connecter (selon la configuration d’IPCop, bien sûr).
Le paramétrage général d’IPCop (réalisé en mode serveur WEB par exemple) permet de
gérer les flux autorisés entre ces différents zones/réseaux, et les exceptions. A son
installation IPCop fournit un paramétrage standard, bien souvent suffisant et totalement
fonctionnel.
1
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
3. Schéma
Voici un schéma du réseau, édité sous Microsoft Visio de la solution virtualisée que nous
allons mettre en place dans le cadre de ce projet personnel.
Installation du logiciel IPCOP 2.0 : Nous utiliserons une machine virtuelle avec une
configuration matérielle assez simple car IPCOP ne nécessite pas beaucoup de ressources
pour fonctionner sur un réseau de petite taille.
2
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
4. Installation d'IPCOP
Voici un tutoriel faisant apparaitre les principales étapes de l'installation du logiciel IPCOP
sur la machine.
Depuis cet écran, il est possible de démarrer l’installation en pressant « Entrée », les options
permettent soit de préciser certains paramètres liés au matériels soit de modifier des
paramètres tels que la langue d’installation, ou le partitionnement par défaut de
l’installation.
3
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Sur cet écran, choisir le clavier correspondant à votre disposition de clavier. Dans notre cas
nous choisissons « fr » puis validons.
Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.
4
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers,
sélectionner Ok puis valider.
A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première
étape de la configuration.
Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous avons
choisi « IPCOP JSFORMATION ».
5
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut
être de type FQDN, nous choisirons dans notre exemple m2l.com, puis validez.
Sur cet écran vous allez définir l’adresse IP de votre carte réseau Orange. Ce sera ici notre
DMZ.
Cette adresse doit être libre dans votre réseau DMZ, dans notre exemple nous choisirons
l’adresse : 172.16.100.254 avec un masque en /24.
6
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
7
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Sur cet écran vous allez définir l’adresse IP de votre carte réseau Verte. Elle sera l'interface
avec notre réseau privé (LAN).
Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons
l’adresse : 192.168.1.220 avec un masque en /24.
8
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Maintenant vous allez définir l’adresse IP de votre carte réseau Rouge.
(Elle devrait normalement être une adresse IP Publique.)
Cette adresse doit être libre dans votre réseau WAN, dans notre exemple nous choisirons
l’adresse : 10.20.30.6 avec un masque en /29.
Une fois les cartes configurées, le premier mot de passe que nous devons saisir est celui du
compte « root » à savoir le super utilisateur qui vous permet d’entrer en mode console sur
votre IPCOP, le second est le compte « admin » permet quant à lui d’administrer IPCOP
depuis l’interface Web, ces dernières n’ont pas été prise en impression d'écran.
9
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Le troisième compte pour lequel on demande un mot de passe est le compte qui sert pour la
gestion des sauvegardes.
IPCOP Reboot une fois l’installation terminé.
10
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
5. Accès à IPCOP en mode commande
(Administration possible pour administrateurs ayants les connaissances nécessaires en ligne
de commande.)
Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte
« root » dans notre cas : root - Itescia2014
11
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Vous pouvez alors relancer la configuration IPCOP en tapant la commande « setup »
Vous pourrez également effectuer les modifications nécessaires sur quelques paramètres et
quitter si besoin. (Utile en cas d'erreurs durant l'installation).
N’oubliez pas de fermer votre session sur IPCOP avec la commande « logout ».
12
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
6. Accès a l'interface d'administration WEB
Pour des raisons que nous ignorons nous avons constaté que l’affichage des menus était de
meilleures qualités avec Internet Explorer qu’avec Firefox.
Nous utiliserons donc dans ce tutoriel Internet Explorer.
Exécutez alors votre navigateur internet favori puis saisissez l’adresse IP GREEN de votre
IPCOP dans la barre d’adresse de votre navigateur en commençant impérativement par
Https:// suivie de :8443 comme ci-dessous :
Dans notre cas: Https://192.168.1.220:8443
Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité :
Saisir ici le login « admin » avec le mot de passe configuré auparavant. Nous arrivons alors
sur la page d’accueil d’IPCOP.
13
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Vous avez désormais accès à toutes les fonctions de votre IPCOP. Il nous faut maintenant
configurer les paramètres du pare feu.
Nous partons du principe que les serveurs de M2L.com sont fonctionnels et offrent leurs
services sans défauts.
Les serveurs présents dans la DMZ donnent accès aux ressources suivantes :
Site intranet : https://Intranet.M2L.com ou https://172.16.100.1:443
Site internet : http://Extra.M2L.com ou http://172.16.100.1:80
FTP : ftp://doc.M2L.com ou ftp://172.16.100.1:21.
14
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Pour permettre à ces services de fonctionner en parfaite harmonie avec IPCOP et sans
oublier les points essentiels de sécurité nous avons établie au préalable des règles de
filtrage :
15
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
N° de règle
1
2
3
3
4
Defaut
Adresse IP source
WAN
WAN
WAN
WAN
WAN
Tous
Port Source
HTTPS (443)
SFTP (115)
SSH (22)
RDS (61176)
Tous
Tous
WAN (rouge) vers DMZ (orange)
Adresse IP destination
Serveur WEb :172.16.100.1
Serveur WEb :172.16.100.1
Serveur WEb :172.16.100.1
Serveur WEb :172.16.100.1
Serveur Web :172.16.100.1
Tous
Port destination Protocole transport
HTTPS (443)
Tous
SFTP (115)
Tous
SSH (22)
TCP
RDS (61176)
TCP
HTTP(80)
Tous
Tous
Tous
Action
Autoriser
Autoriser
Autoriser
Autoriser
Refusé
Refuser
Autorise l'accés depuis l'exterieur vers SERVEUR WEB en HTTPS (443)
Autorise l'accés depuis l'exterieur vers SERVEUR WEB en SFTP (115)
Autorise l'accés depuis l'exterieur vers SERVEUR WEB en SSH (22)
Autorise l'accés depuis l'exterieur vers SERVEUR WEB en RDS(61176)
Refuse l'accés de l'exterieur vers SERVEUR WEB en HTTP(80)
Refuse tous autre accés venant du WAN vers la DMZ
N° de règle
1
2
3
3
4
Defaut
Adresse IP source
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Serveur WEb :172.16.100.1
Reseau DMZ : 172.16.100.0
Tous
Port Source
HTTPS (443)
SFTP (115)
SSH (22)
RDS (61176)
Tous
Tous
DMZ (orange) vers WAN (rouge)
Adresse IP destination
WAN
WAN
WAN
WAN
WAN
Tous
Port destination Protocole transport
HTTPS (443)
Tous
SFTP (115)
Tous
SSH (22)
TCP
RDS (61176)
TCP
HTTP(80)
Tous
Tous
Tous
Action
Autoriser
Autoriser
Autoriser
Autoriser
Refusé
Refuser
Autorise l'accés du SERVEUR WEB vers l'exterieur en HTTPS (443)
Autorise l'accés du SERVEUR WEB vers l'exterieur en SFTP (115)
Autorise l'accés du SERVEUR WEB vers l'exterieur en SSH (22)
Autorise l'accés depuis l'exterieur vers SERVEUR WEB en RDS(61176)
Refuse l'accés du SERVEUR WEB vers l'exterieur en HTTP(80)
Refuse tous autre accés venant de la DMZ vers le WAN
N° de règle
1
2
3
4
5
6
7
Defaut
Adresse IP source
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Port Source
HTTPS (443)
FTP(21)
KERBEROS(88)
HTTP(80)
LAN (Vert) vers DMZ (Orange)
Adresse IP destination
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Port destination Protocole transport
HTTPS (443)
Tous
FTP(21)
Tous
KERBEROS(88)
Tous
HTTP(80)
Tous
Action
Autoriser
Autoriser
Autoriser
Refusé
Autorise l'accés du SERVEUR WEB vers le réseau LAN en HTTPS (443)
Autorise l'accés du SERVEUR WEB vers le réseau LAN en FTP (21)
Autorise l'accés du SERVEUR WEB vers le réseau LAN en KERBEROS(88)
Refuse l'accés du SERVEUR WEB vers le réseau LAN en HTTP(80)
Tous
Tous
Tous
N° de règle
1
2
3
4
5
6
7
Defaut
Adresse IP source
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Port Source
HTTPS (443)
FTP(21)
KERBEROS(88)
HTTP(80)
Tous
Tous
Tous
N° de règle
1
2
Defaut
Adresse IP source
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Tous
Port Source
HTTPS (443)
HTTP (80)
Tous
LAN (Vert) vers WAN (rouge)
Adresse IP destination
WAN
WAN
Tous
Port destination Protocole transport
HTTPS (443)
Tous
HTTP (80)
Tous
Tous
Tous
Action
Autoriser
Autoriser
Refuser
Autorise l'accés du réseau LAN vers le WAN en HTTPS (443)
Autorise l'accés du réseau LAN vers le WAN en HTTP (80)
Refuse tous autre accés venant du LAN vers le WAN
N° de règle
1
2
Defaut
Adresse IP source
WAN
WAN
Tous
Port Source
HTTPS (443)
HTTP (80)
Tous
WAN (rouge) vers LAN (Vert)
Adresse IP destination
Reseau LAN : 192.168.1.0
Reseau LAN : 192.168.1.0
Tous
Port destination Protocole transport
HTTPS (443)
Tous
HTTP (80)
Tous
Tous
Tous
Action
Autoriser
Autoriser
Refuser
Autorise l'accés du réseau WAN vers le LAN en HTTPS (443)
Autorise l'accés du réseau WAN vers le LAN en HTTP (80)
Refuse tous autre accés venant du WAN vers le LAN
Tous
DMZ (Orange) vers LAN (Vert)
Adresse IP destination
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Reseau DMZ : 172.16.100.0
Tous
Port destination Protocole transport
HTTPS (443)
Tous
FTP(21)
Tous
KERBEROS(88)
Tous
HTTP(80)
Tous
Tous
Tous
Refuser
Action
Autoriser
Autoriser
Autoriser
Refusé
Refuser
Refuse tous autre accés venant de la DMZ vers le LAN
Autorise l'accés du réseau LAN vers la DMZ en HTTPS (443)
Autorise l'accés du réseau LAN vers la DMZ en HTTPS (443)
Autorise l'accés du réseau LAN vers la DMZ en KERBEROS(88)
Autorise l'accés du réseau LAN vers la DMZ en HTTP(80)
Refuse tous autre accés venant du LAN vers la DMZ
16
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Une fois ces règles de filtrage établies sur papier, il nous faut les mettres en place. Pour cela
nous allons nous rendre dans la rubrique « Pare Feux » puis « paramètres pare feux ».
Cela nous permet d’arriver au centre de configuration des règles du par feux. A partir de
cette interface nous pouvons gérer nos règles en fonction des réseaux (LAN, DMZ, WAN).
17
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
7. Nos règles mises en place sur IPCOP :
Exemple : Voici la démarche à suivre pour créer une règle sur IPCOP :
Tout d’abord, nous devons choisir le type de règle soit :
18
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Trafic en sortie: Permet de sécurisé le trafic venant du LAN ou DMZ vers le WAN.
Accès IPCop: Modifier les accès interne a IPCOP.
Trafic Interne: Gérer les droits entre DMZ et LAN.
Transferts de ports : Permettre au trafic WAN arrivant sur un port spécifique d’être dirigé vers une IP interne spécifié sur un port défini.
Accès Externe IPCop: Accès distant depuis le WAN.
Nous allons choisir pour l’exemple de mettre en place une règle sur le trafic interne, et donc de pouvoir gérer le trafic de la DMZ vers le LAN et
vice versa.
Tout d’abord rendons nous sur l’espace de création « Trafic Interne » :
19
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Nous arrivons alors sur une page vierge de création de règle comme présenté ci-dessous :
A nous de choisir les paramètres en fonction de nos besoin, ici nous allons mettre en place la règle suivante :
1
Reseau DMZ : 172.16.100.0
HTTPS (443)
Reseau LAN : 192.168.1.0
HTTPS (443)
Tous
Autoriser
20
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
Voici à quoi ressemblerait le paramétrage dans ce cas (voir ci-dessous la configuration détaillé) :
21
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
8. La Nat
NAT : Network Adresse translation / Traduction d'adresses.
Il s'agit d'une solution mise en œuvre pour palier à la pénurie d'adresses IPV4.
Norme : RFC 1631 de 1994.
Fonctionnement : Niveau 3 du model OSI : Fonction de routage
Fonction principale : Effectuer la correspondance entre une IP publique et une IP Privé.
Le NAT permet donc de joindre depuis internet une machine qui se trouve dans un
réseau privé dont les adresses ne sont pas routables sur internet. Ce mécanisme de
traduction d’adresses intervient comme une fonctionnalité de routage d’extrémité de
site et détermine une correspondance entre des adresses privées (locales) et des
adresses publiques (globales). Il contribue à améliorer la sécurité des réseaux internes
puisqu'il cache le réseau privé et les machines qui s'y trouvent. On pourra donc rendre
accessible des hôtes qui sont dans des réseaux physiques distincts.
Différents types de NAT :
Le NAT Statique : qui consiste à mettre en place une correspondance un à un entre une
adresse IP d'un réseau interne et une adresse IP publique externe. Cette technique
permet de rendre accessible une machine du réseau interne depuis l'extérieur puisque
les trames qui sont envoyés vers l'IP externe sont redirigés vers l'adresse IP interne du
réseau privé.
Le NAT Dynamique : Il s'agit de la même technique à ceci près que cette fois ci on joue
avec un pool d'adresses que l'on met à disposition. On à donc un ensemble d'IP privés
que l'on utilisera dynamiquement pour une correspondance avec une adresse faisant
partie d'un Pool d'adresse IP publiques.
Le PAT : Il permet de mettre en œuvre une correspondance en prenant en compte non
seulement les adresses IP, mais également les ports sur lesquels les trames circulent.
Il est donc possible de rediriger le trafic qui arrive sur le port 80 de notre adresse IP
publique vers les ports 80 ou 8080 ou 443 de notre serveur Web d'entreprise selon
besoins. Jouer sur les ports va permettre de pouvoir multiplier les destinations possibles
dans notre réseau local.
EXEMPLE : Sur la page 20 de ce document, une telle règle a été mise en service.
Dans la section "transferts de ports", règle n°4 :
Cette règle redirige le trafic venant de la machine 10.20.30.5 et qui est reçu sur l'adresse
IP externe (normalement publique) de l'ipcop (10.20.30.6) vers le serveur IIS / FTP
interne de la DMZ sur son port 3389.
Elle permet la prise de contrôle à distance de ce serveur depuis la machine 10.20.30.5.
uniquement
22
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014
9. Conclusion
La solution que nous avons choisi de tester est assez facile à mettre en œuvre, après un
petit temps d'adaptation notamment dans l'édition des règles de filtrage. Il faut
cependant avoir de bonnes notions sur la mise en place de règles de sécurité sous peine
d'être rapidement perdu. La séparation des réseaux, organisés par couleurs est un petit
plus qui simplifie les gestions des règles de sécurités. La section transfert de ports
pourrait tout de même être améliorée pour être plus intuitive tout comme la gestion des
services et des ports utilisés dans la traduction des adresses entre le WAN et la DMZ ou
le LAN.
C'est tout de même une très bonne solution qui peut être agrémenté de modules (Proxy
etc...) et que nous pourrions appliquer à l'architecture réseau de la MAISON DES LIGUES.
23
F.LE SEHAN, T.VERNICHON, D.LEGALL, S.MASSON
BTS SIO SISR 2014