TP LAN-WAN 2007/2008

Transcription

1 TP LAN-WAN 2007/2008 Firewall (Pare-Feu) I - Objectifs Dans ce TP vous allez utiliser un firewall pour connecter un réseau d entreprise à Internet. Plusieurs aspects vont être abordés : - La définition des différents réseaux de l entreprise - Le routage et l interconnexion - La mise en place des règles de translation - La définition des règles de sécurité - La supervision du firewall et la remontée des logs - La connexion par Réseau privé virtuel (VPN) de clients distants II - Mise en place de la plate-forme 1 - Description générale Pour ces travaux pratiques, vous disposerez de : 2 postes sur un réseau local 1 poste serveur Web de l entreprise 1 poste utilisateur extérieur 1 firewall F50 Netasq. Vous serez amenés à utiliser les logiciels suivant à télécharger directement sur Internet : Wireshark/ethereal : Logiciel d analyse de trames Kiwi_syslog : Serveur de logs Putty : Console en mode texte pour accès Telnet et SSH Le firewall que nous allons utiliser est un F50 de la société Netasq. Cette société propose des solutions de sécurité basée sur FreeBSD, une distribution Unix connue pour son haut niveau de sécurité. Le firewall que nous allons utiliser dispose de trois interfaces : - L interface IN est connectée au réseau interne. Le réseau interne utilise un adressage privé. - L interface OUT est connectée à Internet - L interface DMZ est reliée au réseau des serveurs. Cette zone présente un niveau de sécurité intermédiaire entre IN et OUT. La DMZ renferme le serveur WEB de l entreprise, le serveur DNS et la messagerie. REMARQUE IMPORTANTE : Nous choisissons ici une DMZ avec une plage d adresse privée. Ce choix est très pédagogique mais pas forcément le plus intéressant dans une installation réelle. Firewall et administration de réseau 1/15

2 Nom et adresse IP Groupe 1 (X=1) Groupe2 (X=2) Groupe2 (X=3) maboite alpha beta delta IN / / /16 OUT / / /24 DMZ / / /24 clientx Poste extérieur client /24 client /24 client /24 PosteX.intra.maboite.tp Poste1.intra.alpha.tp Poste2.intra.beta.tp Poste3.intra.delta.tp servinx.intra.maboite.tp servin1.intra.alpha.tp servin2.intra.beta.tp Servin3.intra.delta.tp ServeurX.maboite.tp Serveur1.alpha.tp Serveur2.beta.tp Serveur3.delta.tp Poste externe clientx INTERNET OUT ServeurX.maboite.tp PC2A Win2003 DNS WEB DMZ IN DMZ (zone démilitarisée ) privée Réseau local d entreprise ServinX.intra.maboite.tp PC1A PosteX.intra.maboite.tp PC1B 2 - Mise en place du réseau Câbler le réseau conformément aux indications du professeur. Le plan de salle est le suivant : IN OUT DMZ F50 Réseau Interne DMZ PC1A PC1B PC2A PC2B Les postes PC1A : servinx (Serveur DNS Interne et Active Directory ) et PC2A : serveurx (Serveur Web et DNS) sont des serveurs Win2003. Les images vous seront fournies par le professeur. Le poste PC1B sera utilisé comme client. Utiliser un CD poste gauche XPpro dans les boites et installer le poste. Après redémarrage, réinstaller la carte réseau si nécessaire (CD SMC 1255TX) Le poste PC2B sera installé de la même manière que PC1B. Il sera connecté sur le réseau extérieur. Firewall et administration de réseau 2/15

3 3 - Configuration des machines a. Configurer le serveur 2003 Interne. - Configurer le réseau : o Adresse IP : 10.X.0.1 /16, Gateway 10.X.0.254, DNS : , o Nom de machine servinx.intra.maboite.tp - Nous allons ajouter les rôles serveur DHCP, serveur DNS et active Directory à votre serveur : (programmes/outils d administration/gérer votre serveur) o Ajouter d abord le rôle Serveur DHCP Etendue : etenduex Plage d adresses 10.X à 10.X /16 Routeur 10.X Domaine parent : intra.maboite.tp Dns : dns.intra.maboite.tp (IP : 10.X.0.1) dns sera un alias pour serv_in.intra.maboite.tp Gérer le serveur DHCP et (dans le menu action) l autoriser à délivrer des adresses. o o o Ajouter le rôle serveur DNS. (CDROM 2003 serveur nécessaire) Créer une zone directe et une zone inverse (zone principale) : intra.maboite.tp Autoriser les mises à jour dynamiques Créer la zone inverse X.10.in-addr.arpa Rediriger les requêtes vers le serveur (de la DMZ) X.1 Le serveur ne pourra trouver les indications de racine pour le moment, ce n est pas grave, noter cependant le message d erreur. Dans la zone directe donner un alias à la machine servinx (alias : dns.intra.maboite.tp) Ajouter le rôle contrôleur de domaine Active Directory. C est un nouveau domaine dans une nouvelle forêt. Le domaine s appellera intra.maboite.tp Choisir des autorisations conformes au modèle 2000/2003 Valider les propositions suivantes. Donner un mot de passe pour le mode restauration (choisir toto) Dans la base de données des utilisateurs Active Directory Créer un compte Albert Legrand, login alegrand, mot de passe Toto123 (un mot de passe trop simple est refusé par le système) b. Configurer le serveur Serveur.maboite.tp. Sur le serveur Win2003 de la DMZ, nous allons mettre en place partiellement un DNS. - Configurer le réseau : o Adresse IP : X.1 /24, Gateway X.254, DNS : , o Nom de machine serveurx.maboite.tp - Ajouter le rôle serveur DNS (CDROM 2003 serveur nécessaire). Créer une zone directe et une zone inverse (zone principale) : maboite Ne pas autoriser les mises à jour dynamiques (on utilisera ici ni DHCP ni Active Directory) Créer la zone inverse X in-addr.arpa Rediriger les requêtes vers le serveur extérieur de l université : Le serveur ne pourra trouver les indications de racine pour le moment, ce n est pas grave, noter cependant le message d erreur. - Configurer le serveur WEB. o Activer sur le serveur de la DMZ les services WEB. (Gérer votre serveur/installation des services IIS). o Dans la page de gestion du site, repérer l emplacement de la page par défaut. Avec un éditeur de texte changer le titre en «page d accueil du site de la société maboite». o Notre serveur est maintenant prêt à accueillir des connexions. - Tester l accès en local. 4 - Configuration de la machine PosteX a. Configurer la machine XP PosteX. - Configurer PosteX en DHCP et lui faire récupérer sa configuration par ipconfig /renew. - Insérer le poste dans le domaine Windows 2003 (quel est le nom de ce domaine? ). Puis, après redémarrage, se loguer sous le compte alegrand. Firewall et administration de réseau 3/15

4 b. Configurer les outils d administration du Firewall Netasq. - A l aide du CD fourni : o Installer Netasq Administration Suite. (Faire une installation complète). Ne pas s enregistrer (La procédure d enregistrement permet de récupérer un code pour activer le firewall, ce qui a déjà été fait) o Recopier également les documents pdf fournis dans le répertoire doc et doc/fr du CD Netasq. Ces documents vous serviront de référence pour la suite. o Installer Acrobat Reader qui sera nécessaire pour lire ces documents. 5 - Première connexion au firewall : o Réinitialiser le F50 à l aide du bouton reset situé sous le boîtier. Appuyer pendant au moins 20 s puis relâcher. o Attendre environ 5 minutes. o Lancer le Firewall Manager. Cet outil permet de dialoguer avec le firewall de manière sécurisée. L interface graphique est en outre très conviviale. Se connecter à l adresse (Cette adresse est définie par défaut dans la configuration usine). Accepter le numéro de série du Firewall et donner un nouveau mot de passe (toto2007) VOILA!! A partir de maintenant, nous allons pouvoir configurer notre Firewall pour établir la connectivité au réseau et obtenir un bon niveau de sécurité. Faire un tour rapide des différents onglets et menu et au passage régler l heure et le fuseau horaire sur France. III - Configuration élémentaire du Firewall 1 - Configuration de base a. Onglet Configuration - Réseau Initialement les trois interfaces sont bridgées (elles sont toutes connectées sur un switch virtuel), elles ont toutes l adresse , avant de passer à la suite, il est nécessaire de supprimer ce bridge. On peut alors configurer les différentes interfaces : o Interface Out Onglet paramètres L interface doit être externe Onglet adresse Donner une adresse IP et un masque Onglet Routage Donner l adresse du routeur de l université : /24 o Interface DMZ Configurer l adresse réseau Cette interface est privée. o Interface IN Configurer l adresse réseau Cette interface est privée. Valider la configuration par le bouton envoyer. Un redémarrage du Firewall est nécessaire. Comme l IP a changé, il est nécessaire de reconfigurer postex. - Objets : Examiner les différents onglets proposés et les valeurs préconfigurées. o Onglet machines Ajouter un item pour chacun des serveurs. On pourra définir un item pour chaque serveur et non pas Firewall et administration de réseau 4/15

5 seulement pour chaque machine serveur. (On peut par exemple définir l objet Serv_www et l objet Serv_ftp qui désignent pourtant la même machine! ) Définir les objets Serv_web, Serv_ftp, Serv_dns_dmz et Serv_dns_intra. Définir la machine Serv_syslog comme étant le poste 10.X.0.1 Définition d utilisateurs : Il est possible de définir une base d utilisateur notamment pour la mise en oeuvre des VPN. Cette base peut être externe (Active Directory serveur LDAP externe) ou interne. Pour des raisons de simplicité, nous allons utiliser l annuaire LDAP interne du F50. Menu Authentification. Choisir de créer une base LDAP interne - Société : maboite - Pays : France - Mot de passe Admin : toto2007 On peut maintenant créer un utilisateur, par exemple alegrand, mot de passe toto, laisser toutes les autres options par défaut pour le moment. b. Onglet Slots : Les slots sont des fichiers de configuration utilisés pour mettre en place la politique de sécurité et de routage. Nous allons commencer par configurer les slots de translation. On peut paramétrer plusieurs slots qui seront actifs à tour de rôle en fonction des heures définies dans «programmation des slots». Ici, pour faire simple nous n utiliserons qu un seul slot qui sera actif en permanence, mais on pourrait imaginer des règles différentes pendant les heures de fermeture par exemple. Nous utiliserons exclusivement le slot 1. - Configuration des translations sortantes : o Créer une règle pour autoriser tous les utilisateurs du réseau interne à avoir accès à Internet, renommer le slot en config puis envoyer au Firewall, activer le slot. o Activer le slot de manière qu il soit valide en permanence. (Programmation des slots) - Configuration des règles de filtrage : o La sécurité se configure en paramétrant des slots de filtrage. Il existe des slots déjà préconfigurés (Block all et Pass all). Que font-ils? Nous les laisserons en place. Ils peuvent servir lors des opérations de test ou pour verrouiller temporairement l installation. o Activer le slot Pass all Dans cet état de fonctionnement, les machines du réseau interne doivent communiquer librement avec les machines de la DMZ et avoir accès à l extérieur. Voir en annexe les différentes possibilités de translation d adresse : Voir également le document d administration du Netasq «EDITION D un SLOT de TRANSLATION» p Configuration de la sécurité (Etape 1 : pings et web) Remarque : Vous devrez toujours utiliser les adresses réelles des machines même si de la translation d adresse est mise en oeuvre. Voir également le document d administration du Netasq «CREATION DE REGLES DE FILTRAGE» p144. Editer des règles pour chaque service peut conduire à créer des slots de filtrage de plusieurs dizaines de ligne ou centaines de lignes. Pour réduire la complexité de la configuration il est possible de créer des groupes d objets. Les groupes de services vont s avérer très utiles. On pourra par exemple utiliser des groupes pour les fonctions Web, pour le mail etc. - Dans Configuration/objets/groupes d objets/groupes de services, o Examiner les groupes prédéfinis. o Retirer Imap du groupe de services Mail o Créer un groupe services_intra qui sera utilisé par les clients du réseau interne et inscrire les services http et https, les accès FTP vers l extérieur. o Créer un groupe services_dmz avec les mêmes propriétés. - Ouvrir un nouveau slot et le nommer filtrage. o Quelle règle est-elle déjà présente par défaut? Cette règle sera bien entendu laissée en état et activée. - Ouvrir les accès depuis le réseau interne vers l extérieur. Firewall et administration de réseau 5/15

6 Pour les service du groupe services_intra Les requêtes ping sortantes. - Ouvrir les accès depuis la DMZ vers l extérieur. Les requêtes ping sortantes vers l extérieur (mais pas vers le réseau interne) Pour les service du groupe services_dmz. QUESTION : A ce stade, en toute logique, avec les règles de sécurité imposée, on ne devrait même plus pouvoir se connecter au Firewall avec l outil d administration. Pourtant cela marche quand même. Qu en pensez-vous (cherchez les règles implicites.) NE PAS MODIFIER LES REGLES IMPLICITES. 3 - Configuration de la sécurité (Etape 2 : DNS) Faire en sorte que les machines du réseau intra puisse effectuer une résolution de nom. Attention! Ces machines doivent utiliser servinx.intra.maboite.tp comme serveur DNS. ServinX.intra.maboite.tp doit rediriger les requêtes sur dns.maboite.tp Il pourra être nécessaire de mettre en oeuvre quelques outils de déboguage, par exemple : Sur les serveurs DNS, activer les logs (on écrira les logs dans c:\logs\dns) On peut également télécharger et installer Ethereal. (Il est alors nécessaire de télécharger également et d installer une libraire Winpcap) ICI, tous les postes doivent accéder au WEB - Faire vérifier les règles de filtrage!!!! IV - Mise en œuvre des logs du Firewall - Surveillance 1 - Utilisation de syslog Il est particulièrement utile sur un Firewall de pouvoir surveiller son activité pour détecter des attaques ou pour des raisons de maintenance et de déboguage. La solution la plus classique consiste à utiliser un serveur de logs. Le Firewall enverra les logs sur le serveur serv_syslog.intra.maboite.tp a. Configuration du serveur Syslog (Chargé de recevoir les messages) - Installer à l aide du CD Netasq sur cette machine le programme «FW Syslog» puis vérifier que ce programme démarre automatiquement (outils d administration/services). Vérifier également que le processus correspondant (FwSyslog.exe est bien démarré). - Utiliser l outils d administration «configure syslog» pour changer le chemin de stockage des logs en c:\logs b. Configuration du client Syslog (sur le Firewall) - Sur le Firewall (Onglet Configuration/Traces), demander l envoi des logs au serveur de logs externes. Loguer toutes les informations possibles pour le moment. Noter le port utilisé. - Revenir au slot de filtrage et demander à tracer tous les échanges. Vérifier que les logs sont bien reçus et enregistré dans les fichiers (On peut générer de l activité en naviguant sur le WEB par exemple). c. Utilisation d un serveur de log tiers. Tout cela est intéressant mais un vrai serveur de logs affichant les logs en temps réel, serait beaucoup plus intéressant. Installer sur servinx.intra.maboite.tp le serveur de logs «KIWI Syslog Daemon» (à télécharger sur le web). Installer et configurer (menu setup). Vérifier que les logs s affichent en temps réel sur la console du serveur. 2 - Utilisation du reporter Firewall et administration de réseau 6/15

7 Le reporter ne permet pas exactement la lecture en temps réel. Il permet en réalité de lire les fichiers de logs générés par FW_syslog. Arrêter Kiwi Syslog et redémarrer FW_syslog. Lancer l application REPORTER. o Dans la colonne de gauche, choisir voir sur Syslog puis choisir fichiers. o Le reporter va alors nous afficher le contenu des différents fichiers de logs. Examiner par exemple quels sont les paquets refusés par le Firewall (Quelle règle en est responsable?). Cet outil sera très pratique pour déboguer et surveiller le Firewall. A titre de vérification, prouver le fonctionnement d une règle à l aide du Reporter. V - Un peu plus loin avec le Firewall 1 - Mise en oeuvre du filtrage d URL : (Slots /WEB) Les précédentes règles de sécurité ont été configurées au niveau des couches 3 et 4 du modèle OSI. Les Firewall spécialisés comme le F50 offrent également des possibilités de filtrage au niveau applicatif, par analyse des messages échangés par les couches hautes. Nous allons maintenant procéder à du filtrage sur les URL (Uniform Ressource Locator), donc au filtrage sur les sites WEB accessibles. - Editer un slot de filtrage d URL. L interface se compose de deux fenêtres : o A droite un éditeur de groupes d URLs. o A gauche une liste de règles à appliquer. - Créer d abord dans la fenêtre groupe d URL, les groupes et URLs conformes au schéma suivant : - Puis appliquer les règles suivantes : Le réseau network_in peut se connecter aux URLS du groupe utils et du groupe professionnel. Tous les autres sites sont interdits. En cas d interdiction, une page d information devra informer l utilisateur. Le réseau Network_DMZ ne peut se connecter aux URLS du groupe distractions, mais tous les autres sites sont autorisés. En cas d interdiction, une page d information devra informer l utilisateur. Comme vous le voyez la démarche est extrêmement simple, dans la pratique cependant, maintenir à jour des listes d URLS pertinentes peut être relativement fastidieux. 2 - Configuration de l ASQ L ASQ est un moteur d analyse qui étudie le contenu des transactions d un certain nombre de protocoles et permet de rejeter certains types d attaques. Il permet également à certains logiciels de fonctionner correctement (FTP par exemple) Firewall et administration de réseau 7/15

8 a. Etude du cas de FTP. En utilisant un poste client de votre réseau, vérifier dans Internet explorer que le client est configuré en mode passif. Sur le Firewall, désactiver le plug-in FTP de l ASQ. Essayez de vous connecter au site ftp://ftp.gtrgrenoble.fr Que se passe-t-il? Réactiver le plug-in FTP. Vérifier que FTP fonctionne à nouveau. Expliquer b. Etude du cas de http. De très nombreuses attaques ont lieu par buffer overflow sur les serveurs Web. Une chaîne de caractères imprévue, souvent longue est passée à un formulaire et déclenche un fonctionnement non conforme du serveur. Pour éviter ceci, il est possible de configurer le Firewall pour limiter la taille d une Url qui passe sur le réseau - Démarrer le serveur web sur le poste Linux. Vérifier que ce serveur est accessible depuis le réseau interne. - Configurer le plugin http pour limiter la taille d URL à 128 octets. - Puis consulter l URL suivante : (séquence à répéter une quinzaine de fois) - Consulter les logs et constater la remontée d une alarme. D autres Plug-in permettent des actions spécifiques, en particuliers la vérification de la conformité des messages avec les RFCs. Fournir au professeur un schéma explicatif convaincant du fonctionnement du plug-in FTP 3 - Translations d adresse destination Nous avons déjà vu comment permettre aux utilisateurs des réseaux internes d avoir accès à Internet. Nous allons maintenant voir comment permettre au monde extérieur l accès à notre serveur WEB. L accès se fera pour les utilisateurs extérieurs en se connectant au site ou Le routeur sera alors chargé de rediriger la connexion sur le serveur interne. - A l aide de la documentation du Firewall, ajouter la règle pertinente dans le slot de translation - L adresse publique du site Web est , ou , on aimerait pouvoir donner cette adresse aux utilisateurs internes, notamment à travers le système DNS. Mais un problème se pose : Un utilisateur interne peut-il accéder au site à travers cette adresse? Pourquoi? Nous allons pour palier ce défaut, rerouter les requêtes internes à destination du serveur web vers le serveur web de la DMZ. - Utiliser une redirection pour effectuer cela. (Attention au choix de l interface sur laquelle s effectue la redirection). VI - - Mettre à jour le serveur dns de la DMZ pour que le serveur soit accessible de l intérieur par Est-il possible de faire fonctionner la résolution DNS pour les utilisateurs extérieurs? Pourquoi? Mise en oeuvre d un tunnel VPN (pptp.) Ce type de VPN simple à mettre en œuvre est utilisé lorsqu un employé se trouve à l extérieur de son entreprise et désire être intégré au réseau local Le poste client doit pour cela Disposer d une connexion à Internet Créer un tunnel crypté au travers de l Internet Le Firewall doit : Authentifier le client Créer l autre extrémité du tunnel. A partir de là, le client accède au réseau interne comme s il était en local dans l entreprise. Firewall et administration de réseau 8/15

9 INTERNET OUT Tunnel crypté Client itinérant IN Réseau local d entreprise Adresse obtenue Par le client 1 - Configuration du Firewall Vérifier l existence sur le firewall d un objet utilisateur albert legrand, mot de passe toto autorisé à se connecter par vpn PPTP. Il faut créer un pool d adresses qui sera attribué par le firewall aux utilisateurs entrants. Créer trois objets poste_pptp1, poste_pptp2, poste_pptp3 d adresses IP respectives appartenant au réseau interne (mais hors de l étendue DHCP!). Puis créer un groupe de machine pool_pptp contenant les trois machines en question. Dans le menu configuration/vpn/pptp, activer le serveur pptp, préciser le pool d adresses. Nous requerrons en outre un chiffrement MPPE 128 bits (voir Annexe). Ne pas configurer de serveur DNS ou WINS pour le moment. C est tout pour le serveur. 2 - Configuration du client Côté client, utiliser le poste externe pour se connecter à notre réseau interne. Créer une nouvelle connexion à distance en utilisant l assistant - Connexion à un réseau d entreprise - Connexion au réseau privé virtuel - Nom de la société MABOITE - Ne pas établir de connexion initiale (dans quel cas devrions nous choisir cette option?) - Adresse IP de l hôte distant :adresse IP de l interface externe du Firewall Cliquer sur l icône ainsi créée, entrer le login et mot de passe de albert legrand et vérifier que la connectivité est obtenue. A l aide de la documentation, expliquer quels sont les ports à ouvrir sur le firewall pour autoriser une telle connexion depuis l extérieur et expliquer pourquoi nous n avons pas eu à le faire. A partir d ici, les choses se compliquent un peu car deux options sont possibles, a. Option 1 : Le tunnel n est utilisé que pour se connecter au réseau local. La passerelle doit rester le FAI habituel. Dans ce cas, le tunnel n est utilisé que pour se connecter au réseau local. La passerelle doit rester le FAI habituel. Si c est le cas, on doit toujours avoir accès à Internet depuis le poste client. o Vérifier la table de routage. o En cas d échec se déconnecter du tunnel pptp, puis modifier les propriétés de la connexion à distance : Dans l onglet Gestion du réseau/protocole/internet/propriétés/avancé. Décocher l option [utiliser la passerelle par défaut pour le réseau distant]. Se reconnecter au tunnel, voir les changements dans la table de routage. On doit maintenant avoir accès à Internet Firewall et administration de réseau 9/15

10 b. Option 2 L utilisateur est considéré comme un utilisateur interne au réseau local et il peut alors rebondir du réseau interne vers la DMZ ou Internet. Avantage : Permet d avoir accès depuis l intérieur aux autres brins présents sur le firewall, comme si on était à l intérieur du réseau, Inconvénient : Plus lourd, moins performant et plus compliqué. Mise en situation : Option 1 Option 2 INTERNET INTERNET Tunnel crypté Client itinérant Tunnel crypté Client itinérant Accès Réseau Interne out pptp out pptp in in Il faut résoudre les problèmes suivants : Le DNS devient serv_dns_intra, donc il faut reconfigurer le tunnel VPN/PPTP sur le firewall en serv_dns_intra. Ensuite, sa passerelle par défaut doit être le tunnel pptp, donc il faut réactiver l option [utiliser la passerelle par défaut pour le réseau distant] sur le client. - Faire les tests et examiner la nouvelle table de routage. Y a t il encore des problèmes? En fait l interface PPTP, n a pas accès à notre DNS car le Firewall l en empêche. - Ajouter la règle suivante : A partir d ici un ping devrait fonctionner. - Testons maintenant le WEB Le site fonctionne, effectuer une recherche, par exemple sur le mot clé TRUC. Essayer de joindre les sites ainsi trouvés. Tout va mal. Une étude plus approfondie va être nécessaire. Installer Ethereal et se mettre en écoute sur la carte réseau du client avant de procéder au test suivant : Essayer depuis une console du poste client les commandes suivantes : Ping l Ping l Ping l Ping l A l aide de la trace obtenue par l analyseur, fournir une explication. La raison du problème est subtile, comme les paquets à destination d Internet sont transmis à travers le tunnel, les paquets subissent une encapsulation supplémentaire qui occasionne des entêtes supplémentaires. Certains paquets, trop longs, sont fragmentés et perdus. Une solution consiste à demander au Firewall de négocier des connexions TCP avec des longueurs de paquets plus faibles. Dans configuration/asq/routage, tester une valeur de Vérifier alors que le WEB fonctionne correctement sur le client. Firewall et administration de réseau 10/15

11 VII - Interconnexion de sites par un tunnel VPN IPsec L objectif est maintenant d interconnecter les deux réseaux locaux privés des deux sites à travers un tunnel sécurisé. A travers ce tunnel, toutes les communications seront autorisées. Le mécanisme de sécurité mis en oeuvre s appelle IPsec. Le principe consiste comme pour PPTP à négocier des paramètres de sécurité, puis à construire un tunnel crypté. Cependant, IPsec possède beaucoup plus de possibilités et est par conséquent plus complexe. (Voir cours sécurité). Nous allons mettre en place l architecture suivante dans laquelle les deux réseaux conservent leur accès habituel à Internet mais devront passer par le tunnel pour communiquer ensemble directement : Nous construirons d abord un lien IPsec à clé prépartagées. Dans ce mode, un mot de passe secret connu des deux extrémités sera utilisé pour l authentification mutuelle / / /16 WAN / / / / /16 Plusieurs étapes sont nécessaires : Définir la clé prépartagée : IPsec se déroulant en deux phases, définir les paramètres de négociation de la phase 1 puis ceux de la phase 2 Modifier les règles de routage et de filtrage pour autoriser la circulation du flux IPsec. Créer préalablement les objets : Firewall_distant (adresse publique de l autre firewall) Réseau _distant (réseau interne distant) Puis configurer le VPN 1. Dans Configuration/VPN/clés prépartagées, Créer un clé de nom cleipsec de type adresse IP et d identité l adresse publique de l autre Firewall 2. Dans Slots/tunnelVPN, Créer un nouveau tunnel de nom TUNNEL de type dynamique à clés prépartagées. Le tunnel sera construit entre les deux interfaces externes du Firewall. Par conséquent : - Interface locale=firewall_out - Correspondant : Firewall_distant 3. Il faut maintenant définir les extrémités du trafic (les machines qui converseront à travers le tunnel) - Machine locale : Ici tout le réseau local Network_in - Machines distantes : Réseau_distant 4. Il faut ensuite définir les protocoles cryptographiques utilisés en phase 1 et 2. Cf. le cours pour plus d informations. 5. Dans Configuration/réseau/routage, ajouter une route statique redirigeant les flux vers le réseau distant via le Firewall distant à travers l interface IPsec. 6. Au niveau des règles de filtrage, il n y a rien à faire car le Firewall gère les règles de manière implicite. Vérifier cependant et noter les règles implicites nécessaires. Effectuer un ping vers le réseau distant. Normalement tout devrait fonctionner. Compte tenu du temps d établissement du tunnel, il est possible que le premier paquet soit perdu. Vérification de la SPD et des SA créées : Dans Firewall/Configuration de la sécurité, autoriser sles connexions en SSH avec accès par mot de passe. Puis à l aide du logiciel Putty (à télécharger sur Internet), se connecter au firewall en SSH en admin. Firewall et administration de réseau 11/15

12 Tester les commandes suivantes : Ifconfig Ifinfo ShowSAD ShowSPD Commenter les résultats obtenus. VIII - Messagerie Interne (Optionnel) Nous allons mettre en place une messagerie simplifiée au niveau de notre DMZ. Elle ne permettra pas de recevoir des mails depuis l extérieur car notre DNS ne le permet pas mais elle permettra l échange de messages sur l Intranet. Mise en place du serveur de mail sur serveurx.maboite.tp Gérer le rôle serveur de messagerie o Pour la méthode d authentification, on choisira «comptes Windows locaux, exiger l authentification par mot de passe sécurisé» («SPA» et toujours créer un utilisateur associé» ) o Le domaine géré sera maboite.tp Créer deux boîtes mails (alegrand, mot de passe monmail) et bdupond, mot de passe monmail. Configuration du client sur le poste postex. Configurer Outlook express avec deux identités distinctes (alegrand et bdupond). Mettre en place la sécurisation. Tester l envoi d un mail de bdupond à abeta. Firewall et administration de réseau 12/15

13 IX - Annexe : 1 - Les translations d adresse. L utilisation de plages d adresses privées est un élément de souplesse et de sécurité dans la conception du réseau d entreprise. Mais il est nécessaire de convertir les adresses privées en adresses publiques ou réciproquement pour permettre aux machines des réseaux privés de communiquer avec l extérieur. On parle alors de translation d adresse. Suivant le contexte, différents type de translation d adresse devront être utilisés. Notons que même si les fonctions proposées sont sensiblement les mêmes chez les différents constructeurs, la terminologie utilisée peut varier. Nous utilisons ici la terminologie Netasq. Translation d adresse unidirectionnelle. Ce type de translation est utilisé pour permettre à l ensemble des machines d un réseau d avoir accès à INTERNET IP Publique L ensemble des machines du réseau local utilise l adresse IP publique comme adresse virtuelle. Les connections se font sur l initiative d une machine interne. Aucune machine du LAN ne peut être contactée depuis l extérieur. Original Adresse IP sur le Réseau interne Translaté Adresse IP publique Translation d adresse bidirectionnelle : La translation d adresse bidirectionnelle permet de convertir une adresse en une autre lors du passage par le Firewall quelle que soit la provenance de la connexion. La translation bidirectionnelle est généralement utilisée pour donner accès depuis l extérieur à un serveur situé sur le réseau privé de l entreprise. IP Publique IP serveur (privée) Original Adresse IP publique Translaté Adresse IP réelle du serveur Redirection de port La redirection de port permet de rediriger un couple (IP, port) vers un autre couple (IP, port). Ainsi différents types de requêtes arrivant vers une adresse publique (WEB, Mail etc.) pourront être redirigées vers des serveurs distincts et des ports librement choisis par l administrateur. IP Publique Port a,b,c IP 1 Port a IP 2 Port b IP 3 Port C Firewall et administration de réseau 13/15

14 2 - Commentaires sur PPTP : Generic Routing Encapsulation GRE (Rfc 2784) Le tunnel GRE permet d encapsuler n importe quel protocole réseau (de type couche 3) sur de l IP. En pratique, il est souvent utilisé pour fabriquer des tunnels sur des réseaux IP. N Drapeaux Protocole Encapsulé 0x800 :IP 0x880B : PPP Longueur DATA N Session Numéro de séquence Numéro Acquittement... Entête IP Entête GRE Protocole encapsulé Il peut être utilisé pour mettre en relation des réseaux munis de protocoles non routables (Netbeui), des réseaux privés, des réseaux autres qu Ipv4 (on peut relier par exemple deux réseaux IPV6 à travers un tunnel GRE). Utilisé tel quel, GRE ne permet ni authentification des extrémités ni cryptage des données. Dans l exemple du TP, le protocole porteur est IP, mais d autres protocoles peuvent se rencontrer, en particulier PPP dans le cas d une liaison par modem. Il ne faut pas confondre cette liaison avec le transport PPP utilisé à l intérieur du tunnel. X - Tunnel PPTP (Point to Point Tunnel Protocol) RFC 2637 PPTP est un protocole qui permet de construire des tunnels à l aide de sessions PPP au-dessus d un tunnel GRE. Le tunnel GRE étendu pour le transport des datagrammes PPP Une session TCP permet de contrôler le tunnel La connexion TCP n'est pas sécurisée, le tunnel GRE non plus. Deux protocoles gèrent respectivement l authentification et le cryptage : MS/CHAP et MPPE. Le premier est une extension du protocole CHAP (Challenge/Handshake Authentication Protocol) déjà largement utilisé pour authentifier les connexions PPP entre les clients et leur ISP. Ce protocole permet de ne pas envoyer de noms d'utilisateurs et mots de passe en clair sur la liaison PPP. Microsoft a décidé d'ajouter sa propre extension. On différenciera donc le protocole CHAP classique du protocole MS/CHAP. En ce qui concerne le chiffrement de la connexion, le protocole PPP n'offrait aucune facilité de ce type. MPPE ou Microsoft Point-to-Point Encryption a donc vu le jour. Celui-ci utilise un algorithme de chiffrement RC4 en 40 ou 128 bits. Firewall et administration de réseau 14/15

15 Réseau de transport Ouverture d une session TCP sur le serveur PPTP 1723 Négociation des paramètres du tunnel PPTP Ce liaison de contrôle sera maintenue durant toute l existence du tunnel PPP Link Control : Négociation de la liaison PPP, méthode d authentification et de compression Ex MsCHAP V2 Tunnel en mode datagramme challenge Reponse=F(challenge, passwd) OK Authentification CHAP (envoi d un challenge=nombre aléatoire) Réponse (challenge condensé par le mot de passe) Acceptation du serveur Négociation des paramètres IP Négociation du mode de compression et ou cryptage DATA PPP Link Control : Fin de session PPP 1723 Fermeture du tunnel PPTP Firewall et administration de réseau 15/15