TP FILTRAGE SOUS WINDOWS SERVER 2003

Transcription

1 TP FILTRAGE SOUS WINDOWS SERVER Pré requis Protocole TCP/IP, adressage IP, ports de communication. Equipements actifs (concentrateur, commutateur, routeur). Cours sur le filtrage Pare-feu et DMZ. 2- Quelques rappels Dans le cours sur le filtrage, les pare-feu et les DMZ, nous avons vu que lorsqu une entreprise désire rendre l un (ou plusieurs) de ses serveurs accessibles depuis Internet, le risque est grand d ouvrir une brèche de sécurité vers l ensemble du réseau local. Pour limiter les risques d intrusion liés à cette ouverture nous avons également vu qu il était recommandé de séparer les activités accessibles depuis Internet et celle propres à l entreprise. Pour cela, une zone démilitarisée (DMZ) permet de ne rendre accessible de l extérieur qu une partie des serveurs en isolant totalement le reste du réseau. Généralement, on trouve sur les DMZ les serveurs Web, voire les serveurs de messagerie et les serveurs DNS. Switch Internet Routeur Pare-feu Hub Serveur DNS Serveur Web DMZ Réseau local PC Dans ce cas de figure, les utilisateurs du réseau local doivent pouvoir accéder à la DMZ et à Internet aussi bien pour recevoir que pour envoyer des informations. Les personnes extérieures à l entreprise ne doivent pouvoir accéder qu à la DMZ (échanges à double sens également). Le contrôle des échanges entre le réseau local, la DMZ et Internet est assuré par un routeur filtrant ayant la fonction de «Pare-feu ou Firewall». Cette fonction permet de filtrer les informations, c est à dire d autoriser ou non les entrées et/ou les sorties depuis ou vers l un des sous-ensembles (réseau local, DMZ et Internet). Nous allons détailler dans le paragraphe suivant comment est géré le filtrage sous Windows Server Rappels sur le protocole TCP/IP Protocoles et numéros de port associés : Ports utilisés par TCP Ports UDP Ports IP (protocole) N de port standard Protocole/application FTP Telnet SMTP HTTP POP3 DNS DHCP SNMP ICMP TCP UDP Compte tenu de la structure du protocole TCP/IP, les informations nécessaires au filtrage se trouvent essentiellement dans le segment TCP (Port source et Port de destination) et dans le paquet ou datagramme IP (Adresse IP source et Adresse IP destination, protocole utilisé) Pour plus de détails, se reporter au cours sur TCP/IP et sur le filtrage. Georges ESQUIROL Page 1 sur 9

2 4- Le Filtrage sous Windows Server Principe général La fonction de filtrage (d un routeur ou d un pare-feu) s appuie non seulement sur les informations véhiculées par les paquets (adresse IP source, port source, adresse IP destination, port destination et service ou protocole utilisé) mais également sur un ensemble de règles (on accepte ou on refuse le paquet) et l ordre dans lequel elles sont écrites a une grande importance. Chaque règle est appliquée au paquet à examiner dans l ordre où elles sont stockées. Dés qu une règle est appliquée, le traitement du paquet est terminé (les règles suivantes ne sont pas exécutées). Il faut donc faire très attention à la position des règles de filtrage. Si une règle permet la transmission ou la réception d un paquet, celui-ci est autorisé à suivre son chemin. Si une règle bloque la transmission ou la réception d un paquet, celui-ci se voit interdire tout accès. Une règle de filtrage a en fait une fonction d aiguillage : Si le paquet ne correspond à aucune règle, en général il est rejeté (poubelle). S il correspond aux critères d une règle d interdiction, il est bloqué et rejeté (poubelle). S il correspond aux critères d une règle d autorisation, alors il est accepté en entrée de l interface et dirigé vers la destination souhaitée, au travers d une autre interface. Paquet à contrôler Interface A Poubelle Routeur Interface B Paquet accepté Entrée Sortie Règle filtrage 4.2- Configuration du filtrage sous WS2003. Le service qui permet de gérer le filtrage est le service «Routage et accès distant» que nous avons déjà utilisé. Pour accéder à la fonction de filtrage, il faut sélectionner «Routage IP, puis Général». On peut ainsi visualiser et accéder aux interfaces du routeur (le serveur WS2003 dans notre cas). Ensuite, il faut sélectionner l interface sur laquelle on veut mettre en œuvre le filtrage. Pour cela, faire un clic droit puis sélectionner «Propriétés» de l interface en question (dans l exemple «Connexion au réseau local 2) : Choisir ensuite le type de filtrage : «Filtre d entrée» ou «Filtre de sortie» Georges ESQUIROL Page 2 sur 9

3 Le filtre offre deux options : 1. Recevoir tous les paquets sauf qui ceux répondent aux critères de la règle. 2. Rejeter tous les paquets sauf qui ceux répondent aux critères de la règle. Une règle de filtrage peut agir en fonction des critères suivants : Adresse source et Masque source, Adresse destination et Masque destination, Protocole ; Port source et Port destination Les fonctions des boutons «Ajouter», «Modifier» ou «Supprimer» sont classiques à Windows. Lors de l ajout d une règle, plusieurs possibilités sont offertes telles que: Filtrage sur un poste du réseau source, Filtrage sur un poste du réseau destination, quel que soit le protocole utilisé : quel que soit le protocole utilisé : Adresse d une machine donc le masque est /32 Filtrage sur la source et sur le protocole utilisé comme par exemple http dont le n est 80 Filtrage sur la destination et sur le port de destination Ici le port n 23 (Telnet) : Vous remarquerez dans le dernier exemple, Filtrage sur la destination et sur le port de destination n 23 (Telnet), qu il faut préciser le protocole de transport utilisé, TCP (ou éventuellement UDP). Georges ESQUIROL Page 3 sur 9

4 5- Filtrage en entrée ou filtrage en sortie? Comme vous avez pu le constater, il y a deux possibilités de filtrage : filtre d entrée et filtre de sortie. N oubliez pas que le filtrage est réalisé sur une interface du routeur, cela veut dire que l on peut choisir de ne laisser entrer (donc de l extérieur vers le routeur via l interface concernée) ou sortir (du routeur vers un réseau) que les paquets que l on souhaite. Un paquet accepté entrée (sur une interface) peut ainsi pénétrer dans le routeur et, par défaut, il peut en ressortir (par toutes les autres interfaces). En effet, si aucune règle n est spécifiée (en sortie ou en entrée) alors tous les paquets sont acceptés (ou autorisés à passer) par l interface. Cela vient du fait que l option par défaut sur une interface est : Recevoir tous les paquets sauf qui ceux répondent aux critères de la règle. Donc s il n y a pas de règle, tout est accepté! Attention!!!!! Suivant l organisation et la structure du réseau, le filtrage en entrée est généralement suffisant. Il n y donc pas besoin de filtrer en sortie car seuls les paquets autorisés peuvent entrer et par défaut ils peuvent ressortir. Toutefois, si le routeur régule un trafic très important, le fait de ne filtrer qu en entrée engendre une charge de travail importante (traitement de toutes les trames en entrée) sur l interface et cela peut entraîner un ralentissement du trafic. Il peut alors être intéressant et surtout plus simple et plus performant de tout accepter en entrée et de ne filtrer que sur les sorties. Les règles de filtrage sont ainsi réparties sur les interfaces de sorties, d où une charge de travail moins important sur chaque interface de sortie et un trafic beaucoup plus fluide. Georges ESQUIROL Page 4 sur 9

5 6- Mise en œuvre du filtrage Vous utiliserez une architecture similaire à celle utilisée pour le TP sur DHCP. La machine Windows serveur 2003 (WS2003) fera office de routeur et la machine Windows serveur 2008 (WS2008) fera office de serveur Web. Désactivez le serveur DHCP et donnez des adresses IP statiques aux clients virtuels Win7 et WinXP. Notez sur le schéma ci-dessous les valeurs correspondant à votre environnement de travail : N oubliez pas de vous déconnecter du switch D-Link!! Client Réseau lycée Accès Internet Switch D-Link Switch perso Serveur ESXi Serveur Web Serveur (Win2008) Réseaux / 24 ClientVirtuel Win Routeur filtrant (Win2003) ClientVirtuel Win XP Switch virtuel Réseaux / 24 1 ère étape : Installer le service IIS (Gestionnaire des services IIS) Effectuez cette installation sur le serveur Win2008 si cela n a pas encore était fait. Personnalisez la page d accueil ; Pour cela voir Installation de IIS (Internet Information Services). Vérifiez que vous accéder bien à votre serveur Web à partir de vos deux clients virtuels. Vérifiez que votre client virtuel XP (réseau 2) peut faire des «ping» vers le serveur et le client virtuel du réseau 1. Faite vérifiez par le Prof! 2 ème étape : Mise en œuvre des règles de filtrage Faire vérifier chaque règle et son application effective par le prof!!!! 6a) Rédigez la règle de filtrage en entrée interdisant l accès au réseau 1 sauf pour une demande http en provenance du réseau2 vers le serveur web uniquement. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous X Rejeter tout TCP Tous 80 Testez le client virtuel XP Peut-il toujours accéder au serveur web? : Peut-il toujours faire un «ping» le serveur web? : Faite vérifiez par le Prof! NON Georges ESQUIROL Page 5 sur 11

6 6b) Supprimez la règle précédente. Rédigez la règle de filtrage en sortie interdisant l accès au réseau 1 sauf pour une demande http en provenance uniquement du client virtuel XP (réseau2) vers le serveur web seulement. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous X Rejeter tout. Adr Sce Masque Sce Adr. Dest Masque Dest. Protocole Port Sce Port Dest TCP 80 Tous Testez le client virtuel XP Peut-il toujours accéder au serveur web? : Peut-il toujours faire un «ping» le serveur web? : Faite vérifiez par le Prof! NON 6c) Supprimez la règle précédente. Faites en sorte que le clientxp puisse faire un «telnet» sur le seveur Web. Testez avant de poursuivre. Rédigez la règle de filtrage en entrée empêchant uniquement le client virtuel XP (réseau2) de faire un «telnet» sur le serveur web (réseau1). Le reste du trafic ne doit pas être bloqué. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? X Recevoir tous Rejeter tout. Adr Sce Masque Sce Adr. Dest Masque Dest. Protocole Port Sce Port Dest TCP Tous 23 Testez le client virtuel XP Peut-il toujours accéder au serveur web? : Peut-il toujours faire un «ping» le serveur web? : Peut-il toujours faire un «telnet» le serveur web? : NON Est-ce qu une autre machine peut faire un «telnet»? : 6d) Supprimez la règle précédente. Rédigez la règle de filtrage en entrée interdisant à toutes les machines du réseau 2 de faire un «ping» sur le client virtuel Win7 (réseau1). Le reste du trafic ne doit pas être bloqué. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? X Recevoir tous Rejeter tout ICMP Type 8 Code 0 Testez le client virtuel XP Peut-il toujours faire un «ping» le serveur web? : Est-ce qu une autre machine peut faire un «ping»? : Oui Oui Faite vérifiez chaque règle par le Prof! Georges ESQUIROL Page 6 sur 11

7 7- Mise en œuvre d une DMZ Rajouter une 3 ème carte réseau sur votre «routeur» dont l adresse IP sera /24 (réseau 3). Ensuite, créez un second commutateur virtuel (voir TP DHCP) que vous nommerez «switch virtuel 2». Connectez un autre client virtuel (XP, linux, Win7, ) à ce switch ainsi que la troisième interface du routeur. Nous pouvons ainsi simuler une architecture Réseau local (réseau 2) / DMZ (réseau 1) / Internet (réseau 3). Client03 Réseau lycée Accès Internet DMZ Serveur Web Serveur (Win2008) ClientVirtuel Win 7 Réseau local ClientVirtuel Win XP Routeur filtrant (Win2003) switch Réseaux / Switch virtuel 2 Switch virtuel Réseaux / 24 Réseaux / 24 7a) Supprimez la (les) règle(s) précédente(s). Rédigez la (les) règle(s) de filtrage en entrée n autorisant que l accès au serveur web (DMZ) à partir du réseau local (réseau 2) et d Internet (réseau 3). Le reste du trafic doit être bloqué. Si vous pensez que plusieurs interfaces sont concernées, complétez les 2 parties ci-dessous. Indiquez l adresse IP de l interface concernée : Client Virtuel 3 XP ou autre Internet Quelle action de filtrage faut-il choisir? Recevoir tous X Rejeter tout TCP Tous 80 Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous X Rejeter tout TCP Tous 80 Testez les clients virtuels (réseau 2 et réseau 3) Peuvent-ils accéder le serveur web? : Peuvent-ils faire un «ping» sur le serveur? : NON Faite vérifiez la règle par le Prof! Georges ESQUIROL Page 7 sur 11

8 7b) Complétez la (les) règle(s) précédente(s). Rédigez la (les) règle(s) de filtrage en entrée n autorisant que le client virtuel XP (réseau2 ou réseau local) à faire des «ping» sur le serveur web (DMZ). Tout autre trafic doit rester bloqué sauf celui de la question précédente. Si vous pensez que plusieurs interfaces sont concernées, complétez les 2 parties ci-dessous. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous Rejeter tout. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous X Rejeter tout. Adr Sce Masque Sce Adr. Dest Masque Dest. Protocole Port Sce Port Dest ICMP Type 8 Code 0 Testez les clients virtuels (réseau 2 et réseau 3) Peuvent-ils accéder le serveur web? : Peuvent-ils faire un «ping» sur le serveur? : pour XP du Réseau local 7c) Complétez la (les) règle(s) précédente(s). Rédigez la (les) règle(s) de filtrage en entrée interdisant de faire des «ping» sur le routeur, quelle que soit l origine. Tout autre trafic doit rester bloqué sauf ceux des questions précédentes. Si vous pensez que plusieurs interfaces sont concernées, complétez les 2 parties ci-dessous. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? X Recevoir tous Rejeter tout. Toutes ICMP Type 8 Code 0 Toutes ICMP Type 8 Code 0 Toutes ICMP Type 8 Code 0 Faite vérifiez chaque règle par le Prof! Georges ESQUIROL Page 8 sur 11

9 8- Notion de «connexion établie» 8a - Principe et exemple d architecture réseau : Si le client A fait une demande auprès du serveur web B, on autorise alors sur l interface «Ib» du routeur filtrant les entrées qui correspondent à la demande du client A. En fait, c est le client A qui établit la connexion vers le serveur web B. Pour cela, il faut donc autoriser le trafic http sur Ia. Ensuite, on autorise le retour, c'est-à-dire que sur l interface Ib on laisse passer le trafic HTTP qui correspond à la demande provenant du réseau local (connexion établie depuis le réseau local vers Internet). Si le client B fait une demande auprès du serveur web A, on interdit alors sur l interface «Ib» du routeur filtrant les entrées qui correspondent à une demande HTTP en provenance d Internet. Serveur Web A Autorisation Serveur Web A Client A Client A Réseau local Ia Réseau local Ib Client B Demande Réponse Client B Serveur Web B Serveur Web B Internet Internet En fait, ici c est le client B qui essaie d établir la connexion vers le serveur web A. Dans ces conditions, on interdit cette demande de connexion. Ia Ib Blocage Vous constaterez que dans les deux cas proposés le trafic concerne toujours le protocole http. Si la demande vient du réseau local (un poste du réseau local établit une connexion vers un serveur d Internet) alors on autorise la réponse du serveur vers le réseau local. Si un client d Internet tente d accéder au serveur web du réseau local la demande est alors bloquée (ce n est pas une réponse car aucune demande n a été émise depuis le réseau local). Voir la mise en œuvre à la page suivante. Georges ESQUIROL Page 9 sur 11

10 8b Mise en œuvre Dans cette partie vous n utiliserez que les réseaux 1(DMZ) et 2 (réseau local). Installez IIS sur le client XP du réseau 2 (faisant office de réseau local). Personnalisez la page d accueil. Serveur Web (Win2008) DMZ ClientVirtuel Win 7 Réseau local ClientVirtuel Win XP + IIS Routeur filtrant (Win2003) Réseaux / Switch virtuel 1 Réseaux / 24 1) Supprimez toutes les règles précédentes. Le client Win7 peut-il accéder au serveur web du XP? : Le client XP peut-il accéder au serveur web de la DMZ? : Faite vérifiez par le Prof! 2) Rédigez la (les) règle(s) de filtrage en entrée n autorisant que le client virtuel XP (réseau2) à accéder au serveur web de la DMZ (grâce à une connexion «TCP établi»). L accès à partir du réseau1 vers le serveur web du réseau2 ne doit pas être possible. Si vous pensez que plusieurs interfaces sont concernées, complétez les 2 parties ci-dessous. Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous X Rejeter tout. Adr Sce Masque Sce Adr. Dest Masque Dest. Protocole Port Sce Port Dest TCP etabli 80 Tous Indiquez l adresse IP de l interface concernée : Quelle action de filtrage faut-il choisir? Recevoir tous Rejeter tout. Le client XP peut-il accéder au serveur web de la DMZ? : Le client Win7 peut-il accéder au serveur web du XP: Faite vérifiez par le Prof! NON Georges ESQUIROL Page 10 sur 11

11 Installation de IIS (Internet Information Services) Pour installer IIS il faut tout d abord ajouter le rôle «Serveur web (IIS)». Validez les services de rôle proposés par défaut et lancez l installation. Ouvrez la console Gestionnaire des services internet (IIS). Dans la partie de gauche, sélectionnez votre machine (serveurxx). Vous devez ensuite voir 2 sous menus : Pools d applications et Sites. Si vous sélectionnez Sites vous devriez voir Default Web Site qui est le site web par défaut proposé par IIS. Pour vérifier le bon fonctionnement du site web, ouvrez le navigateur sur votre poste client et tapez l URL « IP de votre serveur». Votre navigateur doit alors afficher la page d accueil du site (ci-contre). Comme tout le monde a la même page, vous allez la modifier et la personnaliser. Ainsi, lorsque vous ferez des tests, vous serez sur que vous accèderez à votre serveur et non à celui du voisin. Le document HTML qui contient la page d accueil se trouve sous : C:\inetpub\wwwroot et se nomme «iisstart.html». Ouvrez le document iisstart.html avec le bloc note. Vers la fin du fichier recherchez la ligne suivante : <a href=" src="welcome.png" alt="iis7" width="571" height="411" /></a> Mettez cette ligne en commentaire et rajouter le texte SERVEURxx comme suit: <!-- <a href=" src="welcome.png" alt="iis7" width="571" height="411" /></a> --> SERVEUR01 (le 01 étant à remplcer par le numéro de votre serveur) Refaites un test dans votre navigateur. Pour le moment c est tout ce que vous avez besoin pour le TP. Georges ESQUIROL Page 11 sur 11

12 Installer le serveur Telnet sous Windows Server 2008 Sous Windows Server 2008, vous pouvez utiliser l outil Gestion des rôles pour installer les composants facultatifs. Pour installer le serveur Telnet sous Windows Server Lancez le Gestionnaire de serveur. Cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Gérer ou Outils d administration/gestionnaire de serveur. 2. Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, confirmez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer. 3. Dans la section Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités. 4. Dans l Assistant Ajout de fonctionnalités, sélectionnez Serveur Telnet, puis Suivant. 5. Dans la page Confirmer les sélections pour l installation, cliquez sur Installer. 6. Une fois l installation terminée, dans la page Résultats de l installation, cliquez sur Fermer. Ne pas oublier d activer le service, qui se nomme «Telnet» dans Outils d administration/services. Activer Telnet sur les postes clients (XP et Seven) Sur Windows Seven : Ouvrir une invite de commande et tapez la commande «pkgmgr /iu:telnetclient» Sur Windows XP : Démarrer le service client Telnet Georges ESQUIROL Page 12 sur 11