Christophe BOUTHIER, Anthony LEBARBANCHON, Clément LE ROUX, Alexis MONNIER, Antoine PROUTEAU 12/06/2013

Transcription

1 GSB ANNEXES Paramétrages des solutions Christophe BOUTHIER, Anthony LEBARBANCHON, Clément LE ROUX, Alexis MONNIER, Antoine PROUTEAU 12/06/2013 Ce document permet de paramétrer l ensemble des solutions proposées.

2 Contenu 1. Paramétrages de l interconnexion Paramétrage du serveur Web et des services associés Paramétrage de la solution antivirus et pare-feu

3 1. Paramétrages de l interconnexion Configuration du Switch : VLAN Description Adresse réseau Adresse passerelle 10 Réseau Direction Employés Visiteurs Serveur Le switch possédant 24 ports a été divisé en 5 VLAN et un port Trunk. La répartition correspond à ce tableau : FA0/1 à FA0/5 FA0/6 à FA0/10 FA0/11 à FA0/15 FA0/16 à FA0/20 FA0/21 à FA0/23 VLAN 10 VLAN20 VLAN30 VLAN40 VLAN50 TRUNK FA0/24 Nous avons créé les vlans grâce à la commande : Switch#conf t Switch(conf)#vlan 10 Switch(conf-if)#name Réseau Switch(conf-if)#ip-address Nous avons assigné les ports dans les VLAN grâce à la commande : Switch#Conf t Switch(Conf)# interface fa0/1 Switch(conf-if)# Switch(conf-if)#switchport access vlan 10 Switch(conf-if)#no shutdown Le port trunk a été configuré grâce à cette commande : Switch#conf t Switch(conf)#interface fa0/24 Switch(conf-if)#switchport mode trunk 2

4 Le port n 24 sera relié à l interface Fa0/0 du routeur afin de gérer le routage inter-vlan. Sans ce routage inter-vlan, les vlan ne sont pas capable de communiquer entre eux et donc aucune machines n aura accès aux ressources partagés (serveur, imprimantes ) Configuration complète du switch et du routeur en fin d annexe. Schéma ci-après : 3

5 Routeur Cisco 2600 Le routeur permettra de faire discuter les équipements connectés à des VLAN différents sur le switch. Ceci est du routage inter-vlan Toute requête émise par les clients devront passer par : - L interface Vlan du switch - La sous interface du routeur (explication par la suite) - Puis de retour vers un vlan différent sur le switch 4

6 Configuration du routeur Création de sous-interfaces Sur le routeur, il y a 2 interfaces «Fast-Ethernet»(Fa0/0 et Fa0/1). On utilisera seulement l interface Fa0/0. (Fa0/1 servira pour le NAT par la suite) Nous allons découper cette interface en sous-interfaces (une sous-interface pour un Vlan). 5 Vlans 5 sous-interfaces (Fa0/0.1, Fa0/0.2, Fa0/0.3, Fa0/0.4, Fa0/0.5) Switch Routeur Chaque sous-interface est taguée à un Vlan (dot1q) ce qui veut dire qu un seul Vlan transite dans une seule sous-interface. Création d access-list (ACL) Une access-list est une règle d accès, son utilité dans notre infrastructure sera de seulement autoriser les requête web et dns au Vlan Visiteur afin qu il ne puisse en aucun cas accéder à d autres ressources que l internet. Voici l access list créée sur le routeur : access-list 100 permit udp any any eq domain access-list 100 permit tcp any any eq www Ceci est une ACL étendue car elle permet d autoriser ou non certains protocoles. Le numéro d une access list étendue commence à partir de 100. Celle-ci autorise seulement le protocole dns et web (tout ce qui n est pas autorisé est interdit). 5

7 Cette restriction, pour qui? Cette restriction doit être en place pour les visiteurs, soit le Vlan 40. Pour se faire : Routeur# configure terminal Routeur# interface fast-ethernet 0/0.4 Routeur(config-if)# ip access-group 100 in Ceci applique la règle d accès à l entrée de la sous-interface Fa0/0.4, donc tout ce qui sortira du VLAN 40 (visiteurs). 6

8 Mise en place du NAT Le NAT, c est quoi? Network Address Translator - Traducteur d'adresse réseau : mécanisme de correspondance d'adresses IP utilisé pour rendre accessible le réseau Internet à un réseau local (adresses privées réservées). Ajout d une route par default : La route par défaut permettra de router tous les paquets donc l adresse de destination n est pas connue dans le LAN, sur la passerelle du routeur de l AFTEC. Routeur# ip route Configuration du NAT Réaliser ceci sur toutes les sous-interfaces du routeur : Routeur#conf terminal Routeur#interface Fast-Ethernet 0/0.1 Routeur(config-if)#ip nat inside Ajout d une ACL : Routeur# access-list 10 permit Puis : Routeur#conf terminal Routeur# ip nat pool nat netmask Routeur# ip nat inside source list 10 pool nat overload Suite à divers tests, le NAT fonctionne : Sur le Vlan 10, 20, 30, 50 : - Ping google.fr OK - Accès à internet OK Sur le Vlan 40 : - Ping google.fr KO - Accès à internet OK 7

9 Configuration complète du switch et du routeur en fin d annexe. 8

10 Configuration du proxy (Squid) Sur Windows Server 2008 : Vous vous retrouvez avec un ZIP à dézipper sur votre serveur. Dans ce ZIP, un seul dossier (squid) que vous extrayez à la racine de votre lecteur C: 1. Une fois le dossier décompressé et placé à la racine de votre lecteur C: il faut se rendre dans: squid --> etc --> et renommer les fichiers: - "mime.conf.default" en "mime.conf" - "squid.conf.default" en "squid.conf" 2. Ouvrez une fenêtre de commande (Windows + R, puis taper cmd et valider), puis placez-vous dans le dossier "sbin" de l'installation de SQUID cd C:\squid\sbin 3. Tapez "squid -i" (sans le guillemets "") pour créer le service squid. Voici ce qu'il se passera dans la fenêtre de commande si tout se passe bien: C:\squid\sbin>squid -i Registry stored HKLM\SOFTWARE\GNU\Squid\2.6\Squid\ConfigFile value c:/squid/etc/ squid.conf Squid Cache version 2.7.STABLE8 for i686-pc-winnt installed successfully as Squid Windows System Service. To run, start it from the Services Applet of Control Panel. Don't forget to edit squid.conf before starting it. 4. Toujours dans la même fenêtre de commande, tapez "squid -z" (toujours sans les guillemets "") afin de créer le dossier de cache: Voici ce qu'il se passera dans la fenêtre de commande si tout se passe bien: C:\squid\sbin>squid -z 2013/04/08 15:55:48 Creating Swap Directories Voilà SQUID est installé sur votre serveur, il ne reste plus qu'à le configurer. 9

11 Configuration du Proxy 1. Rendez-vous dans le dossier C:\squid\etc afin de modifier le fichier de configuration "squid.conf" (l'ouvrir avec n'importe quel éditeur de texte). Là, une multitude de lignes de configurations sont présentes, on va voir les plus importantes afin de paramétrer notre Proxy au minimum afin qu'il soit utilisable. 2. Retrouvez le bloc : # TAG: visible_hostname # If you want to present a special hostname in error messages, etc, # define this. Otherwise, the return value of gethostname() # will be used. If you have multiple caches in a cluster and # get errors about IP-forwarding you must set them to have individual # names with this setting. # #Default: # none Et décommentez la dernière ligne (#none) et remplacez le par : visible_hostname Le_Nom_De_Votre_Serveur Où bien entendu il faut remplacer "Le_Nom_De_Votre_Serveur" par le nom NetBIOS de votre serveur. 3. Retrouvez le bloc : # Squid normally listens to port 3128 http_port 3128 Vous pouvez modifier le port d'écoute de SQUID (en 8080 par exemple), moi je le laisse par défaut. 4. Retrouvez le bloc : # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src /8 # RFC1918 possible internal network acl localnet src /12 # RFC1918 possible internal network acl localnet src /16 # RFC1918 possible internal network Ici vous trouvez les 3 classes d'adressage IP locales (A,B et C) pour la configuration de votre réseau suivant la RFC1918. Si votre réseau se situe dans l'une de ces 3 classes il n'y a rien à modifier. Dans le cas inverse il faudra ajouter une ligne concernant l'adressage ip de votre réseau, juste en dessous de la dernière ligne par exemple: 10

12 acl localnet src xxx.xxx.xxx.xxx/xx Où "localnet" est un nom arbitraire que vous pouvez modifier pour identifier le nom de votre réseau. Personnellement je le laisse par défaut sinon il y aura d'autres lignes à modifier par la suite. Si vous souhaitez tout de même modifier le nom il faudra retrouver le bloc: # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet Et modifier la dernière ligne en changeant "localnet" par le nom que vous aurez donné plus haut à la ligne acl localnet src xxx.xxx.xxx.xxx/xx 5. La configuration minimum du proxy est terminée vous pouvez enregistrer votre fichier de conf. 6. Pour que les modifications soient prises en compte il faut redémarrer le service squid (cela est valable à chaque modification du fichier squid.conf Pour cela, rien de plus simple, il suffit d'aller dans la console de gestion des services Windows (Windows + R et taper services.msc et valider), repérer le service "squid", clic droit dessus et "Redémarrer". Si vous avez bien suivi ces étapes le service redémarrera normalement et sans erreur. 7. Test de l'accès au proxy: - Dans IE ou n'importe quel navigateur il faudra paramétrer les options de Proxy Pour IE, aller dans Options internet --> Onglet Connexions --> Paramètres réseau --> Dans "Serveur proxy" cocher les 2 cases --> Dans adresse, mettre l'adresse IP locale du serveur sur lequel SQUID est installé --> Dans Port, mettre 3128 (ou celui choisi plus haut dans le fichier de config à la ligne http_port) - Valider les paramètres et sortir des options internet - Lancer une page internet Si tout est bien paramétré, vous devriez avoir accès à la page demandé. Voilà le serveur proxy est installé, configuré et opérationnel. Le filtrage et le black-listage de certains sites et/ou mots clés. Blacklistage Simple: L'intérêt d'un proxy est bien évidemment la mise en cache mais surtout le filtrage du flux de données vers internet et également le black-listage de sites internet et de mots clés. SQUID proxy permet bien 11

13 entendu tout cela et nous allons voir comment procéder pour mettre en place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres. Notre proxy est installé et configuré au minimum. Intéressons-nous maintenant aux ACL's Nous voulons par exemple bloquer l'accès de FACEBOOK à vos utilisateurs 1. Ouvrir le fichier "squid.conf" avec votre éditeur de texte favori 2. Repérez la ligne: 3. acl CONNECT method CONNECT Juste après cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans notre exemple nous voulons bloquer FACEBOOK. Donc, après cette ligne nous mettons: acl FACEBOOK url_regex -i *.facebook.com* acl = Déclare notre ACL FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom, soyez créatif ) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url -i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse l'étoile devant.facebook signifie que dans l'url on filtre également tout ce qui se trouve avant.facebook l'étoile après.com signifie que dans l'url on filtre également tout ce qui se trouve après.com Voilà notre ACL est créé, maintenant il va falloir dire à notre proxy qu'il faut refuser l'accès à cette ACL, donc à FACEBOOK Repérez la ligne: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS Juste après vous pouvez ajouter vos propres règles d'accès. Donc pour notre exemple, nous mettons: http_access deny FACEBOOK http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser) FACEBOOK = C'est le nom de notre ACL créée précédemment (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle) 4. Voilà notre règle de blocage de FACEBOOK est prête. Il faut maintenant enregistrer notre fichier squid.conf 5. Redémarrez le service SQUID comme d'habitude pour tout changement de configuration. 6. Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page. NOTE: en tapant l'adresse URL de Facebook ce sera le même effet. 12

14 Voilà nous venons de paramétrer notre proxy pour bloquer l'accès à un site (domaine). Nous pouvons créer autant d'acl que l'on veut couplées à leurs règles d'accès. Alors bien entendu ce travail est assez fastidieux. C'est pourquoi je vous présente un moyen bien plus sympa pour black-lister des sites, domaines ou mots clés. Nous venons de voir comment bloquer un site/domaine en créant une ACL couplé à sa règle d'accès (http_access). SQUID permet de créer des black-liste sous forme de fichier texte afin de ne pas surcharger inutilement le fichier de configuration, mais aussi et surtout pour nous faciliter la vie en ajoutant dans ces fichiers textes tous les sites, domaines ou mots clés que nous voulons black-lister les uns à la suite des autres. La méthode reste sensiblement la même: Black-listage avec liste dans un fichier txt: 1. Dans le dossier squid créez un fichier txt que vous nommerez par exemple Medias_Sociaux.txt (Vous pouvez mettre ce fichier à l'endroit de votre choix. Personnellement je le met à l'endroit où se trouve squid.conf, c'est à dire ici C:\squid\etc) 2. Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez blacklister. Nous allons en énumérer quelques-uns pour notre TUTO. Voici à quoi ressemblera notre fichier texte Medias_Sociaux.txt: *.facebook.com* *.twitter.com* *.hotmail.com* *.msn.com* *.live.com* N'oubliez pas d'enregistrer votre fichier 3. Rendez-vous maintenant dans notre fichier squid.conf Repérez la ligne: acl CONNECT method CONNECT Juste après nous avions créé l'acl suivante: acl FACEBOOK url_regex -i *.facebook.com* Nous allons la supprimer et la remplacer par notre blacklist: acl Medias_Sociaux url_regex -i "C:\squid\etc\Medias_Sociaux.txt" acl = Déclare notre ACL Medias_Sociaux = Nom de notre ACL (On peut donner n'importe quel nom, mais soyez cohérents par rapport à votre fichier texte (banlist) ) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url -i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse 13

15 "C:\squid\etc\Medias_Sociaux.txt" = Chemin de notre banlist, ici elle se trouve dans le lecteur C: dans le sous-dossier nommé "etc" du dossier "squid" (Veillez à ne pas oublier les guillemets "" encadrant le chemin du fichier txt) 4. Repérez la ligne: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS Juste après nous avions créé la règle d'accès suivante: http_access deny FACEBOOK Nous allons la supprimer et la remplacer par notre nouvelle règle: http_access deny Medias_Sociaux http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser) Medias_Sociaux = C'est le nom de notre ACL (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle) 5. Voilà nous avons une banlist avec l'acl et la règle d'accès correspondante. 6. Enregistrez le fichier squid.conf et redémarrez le service SQUID comme d'habitude pour tout changement de configuration. 7. Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou twitter, hotmail, etc, puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page. NOTA: en tapant l'adresse URL de facebook, twitter, hotmail, etc, ce sera le même effet. Voilà nous venons de paramétrer SQUID afin qu'il nous bloque l'accès à certains sites contenus dans une black-liste. Évidemment, vous pourrez ajouter d'autres sites dans votre black-liste afin de l'étoffer. 14

16 Sur Linux Le proxy que nous avons choisi de configurer est «SQUID». Nous utiliserons la distribution «Ubuntu Server» pour héberger ce Proxy. Nom de machine : IP : Compte créé : - User : administrateur / Pwd : admin - User : root / Pwd : rootroot Nous utilisons Webmin pour administrer le serveur en mode graphique. Installation de webmin : Ajout de la ligne : deb sarge contrib dans le ficihier /etc/apt/sources-list. Mise à jour de la liste des paquets : apt-get update Installation de webmin : apt-get install webmin Installation de squid : Apt-get install squid Installation du ssh pour prendre la main depuis une machine tierce via putty Apt-get install ssh 15

17 Connexion à l interface Webmin Dans les options «Ports and Networking» nous renseignons le port C est le port d écoute du serveur proxy. 16

18 Création d une ACL : Cette ACL définit un mot «facebook» que l on pourra décider d autoriser ou non par la suite. Dans les restrictions, on va chercher notre ACL «Facebook» et on décide de ne pas l autoriser. On sauvegarde et ont redémarre le service SQUID3. 17

19 Test d accès à la page «facebook» depuis un poste client 18

20 2. Paramétrage du serveur Web et des services associés 1. Installer Windows Server 2008 R2 2. Ajouter des rôles > Serveur Web IIS 3. Services IIS7, FTP, Developpement d intégration 19

21 20

22 4. Gestionnaire des services internet (IIS) > Développer «Nom_Serveur» > Sites 21

23 22

24 5. Clic droit sur site, ajouter un nouveau site FTP (mettre utilisateur anonyme en lecture écriture) 23

25 6. S assurer d avoir accès à internet 7. Télécharger Microsoft.NET Framework 4 et l installer 8. Télécharger mysql-installer-community msi ou une version plus récente et installer (Install FULL) puis suivre l assistant d installation 9. Installer PHP pour serveur IIS (Télécharger PHP53.exe ou une version plus récente) 10. Une fois l installation finie : - Le serveur permet d héberger des bases de données MySQL. - Le serveur possède une plateforme web et peut exécuter du PHP. - Un service FTP est fourni par le serveur. 24

26 3. Paramétrage de la solution antivirus et pare-feu Lors de l installation de Avira Security Management Center, il faut cocher la case «Create SMC Agent Network Share» qui crée un dossier partagé nécessaire au déploiement. Le mot de passe est : Sio

27 Ensuite, nous pouvons planifier l exécution de la mise à jour du serveur antivirus. L étape suivante est d installer le frontend, après s être connecté, on arrive sur l interface suivante : 26

28 Il faut premièrement activer le produit en lui rentrant la clé de licence. On peut ensuite ajouter les ordinateurs. Pour cela, il faut faire un clic droit sur «security environment» et sélectionner «synchronize». On parcourt ensuite l Active Directory et ont choisi les ordinateurs clients que l on veut administrer. Maintenant, on peut installer Avira SMC Agent qui fait le lien entre le serveur et les clients. Pour pouvoir lancer ces opérations, il faut utiliser un compte d administrateur. 27

29 Il faut ensuite ajouter le composant d installation d Avira Antivir professionnel grâce à «software repository» et entrer la licence. Ensuite, on peut installer ce dernier comme Avira SMC Agent. Il faut choisir les composants suivants : 28

30 Si personne n utilise l ordinateur, on peut lancer la procédure. L antivirus est alors installé Sur les clients. On peut ensuite configurer les paramètres du logiciel sur les pc client, et déployer les mises à jour stockées sur le serveur. 29

31 Configuration du switch version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Switch ip subnet-zero ip ssh time-out 120 ip ssh authentication-retries 3 spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id interface FastEthernet0/1 switchport access vlan 10 30

32 interface FastEthernet0/2 switchport access vlan 10 interface FastEthernet0/3 switchport access vlan 10 interface FastEthernet0/4 switchport access vlan 10 interface FastEthernet0/5 switchport access vlan 10 interface FastEthernet0/6 switchport access vlan 20 interface FastEthernet0/7 switchport access vlan 20 interface FastEthernet0/8 switchport access vlan 20 31

33 interface FastEthernet0/9 switchport access vlan 20 interface FastEthernet0/10 switchport access vlan 20 interface FastEthernet0/11 switchport access vlan 30 interface FastEthernet0/12 switchport access vlan 30 interface FastEthernet0/13 switchport access vlan 30 interface FastEthernet0/14 switchport access vlan 30 interface FastEthernet0/15 switchport access vlan 30 interface FastEthernet0/16 32

34 switchport access vlan 40 interface FastEthernet0/17 switchport access vlan 40 interface FastEthernet0/18 switchport access vlan 40 interface FastEthernet0/19 switchport access vlan 40 interface FastEthernet0/20 switchport access vlan 40 interface FastEthernet0/21 switchport access vlan 50 interface FastEthernet0/22 switchport access vlan 50 interface FastEthernet0/23 switchport access vlan 50 33

35 interface FastEthernet0/24 switchport mode trunk interface Vlan1 no ip address no ip route-cache shutdown interface Vlan10 ip address no ip route-cache interface Vlan20 ip address no ip route-cache shutdown interface Vlan30 ip address no ip route-cache shutdown interface Vlan40 ip address no ip route-cache shutdown 34

36 interface Vlan50 ip address no ip route-cache shutdown ip http server line con 0 line vty 515 End 35

37 Configuration du routeur version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot-end-marker enable secret 5 $1$o4gF$XezvTci2M.l1iq2tzO/aT. no network-clock-participate slot 1 no network-clock-participate wic 0 no aaa new-model ip subnet-zero ip cef no ftp-server write-enable 36

38 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.1 encapsulation dot1q 20 ip address ip nat inside interface FastEthernet0/0.2 encapsulation dot1q 30 ip address ip nat inside interface FastEthernet0/0.3 encapsulation dot1q 40 ip address ip access-group 100 in ip nat inside interface FastEthernet0/0.4 encapsulation dot1q 50 ip address ip nat inside interface FastEthernet0/0.5 encapsulation dot1q 10 ip address

39 ip nat inside interface Serial0/0 no ip address shutdown interface FastEthernet0/1 ip address ip nat outside duplex auto speed auto interface Serial0/1 no ip address shutdown ip nat pool nat netmask ip nat inside source list 10 pool nat overload ip classless ip route ip route ip route no ip http server access-list 10 permit access-list 100 permit udp any any eq domain access-list 100 permit tcp any any eq www line con 0 38

40 line aux 0 line vty 04 login local end 39