Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Transcription

1 BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée et de la dmz du lycée. 1 But à atteindre Comprendre l'interaction entre les fonctions de routage et de filtrage, ainsi que les moyens d'accès et de protection des réseaux. 2 Objectifs Ce TP se déroule en trois parties disjointes : 1. Comprendre et expliquez le contenu d'un fichier «iptables» ; 2. Protéger le réseau de l'entreprise par un firewall en liste noire ; 3. Réaliser cette même protection en liste blanche. 1 Matériels, architecture à utiliser, pré-requis et conception. 1.1 Connaissances considérées comme acquises Vous devez maîtriser la gestion de votre contexte et la liaison entre vos machines (physiques ou virtuelles) et votre contexte. 1.2 Préparation du matériel, du câblage et du contexte Contexte Vous n'aurez besoin de quatre machines : routeur-1 ; srv-dns ; srv-web ; poste-de-ligue-1 ; (modelclientdebian) cli-admin ; (modeleserveurdebian) Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. Machines physiques Dans le contexte PPE votre machine physique représentera le poste de l'administrateur de la MLIF dans le réseau «usagers». Les machines virtuelles seront accessibles par le réseau sur VMWare ESXi. Dans ce TP, vous allez utiliser la machine virtuelle cli-admin comme poste administrateur de la MLIF reliée au réseau «usagers». La machine physique ou hôte est donc comme dans les autres TP, elle se situe à l'extérieur du réseau mlif. Vérifier le câblage : «eth0» doit être connectée au réseau du lycée; Il sera nécessaire de tester l accès externe au réseau mlif et le filtrage. La machine physique va remplir ce rôle. Machines virtuelles Vous aurez besoin de la configuration complète du contexte milf : COEUR : routeur-1, rsv-dns, Conception V.Perrin, révision V.Mauduit Document1 1/11

2 DMZ : srv-web mais pas le proxy USAGERS : cli-admin, poste-de-ligue-1 Pour le paramétrage de ces machines, vous devez donc vous référer au document de la mlif. Pour vérifier l'efficacité de votre filtrage, vous aurez besoin du «poste-de-ligue-1» qui représentera une machine quelconque sur le réseau de la MLIF des urages. Vous le configurerez de la façon suivante : Mémoire : 1024 Mo 1 interfaces réseau, «eth0» réseau interne «Usagers» en dhcp ; Vérifiez que l'interface «eth0» a bien reçu une adresse en xxx du réseau Usagers. Vous aurez aussi besoin de la machine d'administration de la MLIF cli-admin qui devra être connectée comme un client au réseau Usagers par son interface eth0. 1 Configuration et tests préalables Sur le routeur-1 Rappel de la configuration des interfaces : Adresse IP eth0 : dynamique réseau lycée.n contexte/16 Adresse IP eth1: statique /24 : cœur Adresse IP eth2 : statique /24 : DMZ Adresse IP eth3 : statique /24 : usagers Sur la machine cli-admin (le poste de l'administrateur) Vérifiez que vous pouvez faire un ping sur : Les trois machines de votre contexte ; unserveur.sio.lms.local ; ; Vérifier que vous pouvez ouvrir une session «ssh» sur les trois machines de votre contexte (cœur et dmz). Adresse IP eth0 : en dhcp et doit recevoir l'adresse sur le réseau USAGERS Sur le «poste-de-ligue-1» Vérifiez que vous pouvez faire un ping sur : Les trois machines de votre contexte ; unserveur.sio.lms.local ; ; Vérifier que vous pouvez ouvrir une session «ssh» sur les trois machines de votre contexte (cœur et dmz). Sur la machine physique Vérifiez que vous pouvez faire un ping sur : unserveur.sio.lms.local ; ; L'interface «publique» de «routeur-1» (IP routeur-1 du réseau lycée sur l'interface eth0 du routeur-1) ; Vérifier que vous pouvez ouvrir une session «ssh» sur l'interface «publique» de «routeur-1» (eth0) ; 1 - Appelez-moi pour que je vienne vérifier cette partie du TP Conception V.Perrin, révision V.Mauduit Document1 2/11

3 1 Compréhension, réflexion et rédaction de notes techniques Nota : Toutes les réponses aux questions de cette partie devront être présentées sous forme de notes techniques dans votre compte-rendu avec des copies d'écran faisant apparaître votre nom et seront notées comme partie 2 de ce TP. Prenez, par ssh le contrôle de «routeur-1» et vérifiez que le contenu de : /etc/rc.local /etc/firewall/regles est bien identique à celui présenté dans le document de référence de la MLIF. Expliquez l'utilité de la ligne située avant «exit 0» dans le fichier «/etc/rc.local» : Expliquez l'action des deux premières commandes «iptables» du fichier «/etc/firewall/regles» : Expliquez le rôle des trois règles «iptables -P...» : Actuellement le firewall est-il configuré en liste blanche ou noire? Pourquoi? Expliquez le rôle de la ligne «POSTROUTING» : Parmi les ping que vous avez fait au point 4, quels sont ceux qui n'auraient pas fonctionné si cette ligne n'avait pas été présente? Placez vous sur la machine de «l'internaute» (la machine physique du bas) et tester (attention tous ces tests ne vont pas fonctionner) : Un ping sur l'interface publique du «routeur-1» (adresse sur le réseau du lycée) ; Un ssh sur l'interface publique du «routeur-1» ; Un ping sur «srv-web» ( ) ; Un ssh sur «srv-web» ( ) ; Avec le navigateur connectez-vous sur «srv-web» par « ; Toujours avec le navigateur connectez-vous sur l'interface publique du «routeur-1» par « IP sur le réseau du lycée». Expliquez pourquoi vous ne pouvez pas atteindre «srv-web» (ni le ping, ni le ssh) : Expliquez pourquoi vous avez réussi à avoir une page web sur le «routeur-1» alors qu'il n'est pas serveur http et pourquoi cette page web provient de «srv-web» alors que vous ne pouvez pas le pinguer : Conception V.Perrin, révision V.Mauduit Document1 3/11

4 1 Filtrage en liste noire Dans la suite de ce TP, vous allez devoir faire des tests depuis les machines «usagers» de la MLIF (la machine «administrateur» et le «poste-de-ligue-1») sur l'accès au http (port 80) et https (port 443) au sein du réseau du lycée (trouvez l'adresse du réseau sur la machine physique) ainsi que sur internet. Pour faire ces essais, vous pouvez aller : Pour les tests sur internet: « et cliquer sur «Espace client». La première page est en «hhtp» et l'espace client est en «https». Pour les tests sur le lycée : en «http» en «https» (Note : si vous êtes chez vous, vous pouvez peut-être remplacer le test lycée par un test vers le serveur web de votre box : exemple avec freebox : mafreebox.freebox.fr est un lien vers votre box.) 2 - Appelez-moi pour que je vienne vérifier cette partie du TP Fonctionnement initial Depuis la machine «administrateur» cli-admin et depuis le «poste-de-ligue-1» : Ouvrez un navigateur ; Tester les connexions http et https vers les serveurs du lycée et vers internet ; Tester une connexion ssh vers «routeur-1» et «srv-web». Depuis la machine de «l'internaute» (poste physique); Tester une connexion ssh vers «routeur-1» ; Depuis le «routeur-1» Tester un ping vers internet ; Tester un ping vers le réseau du lycée ; Tester un ping vers la DMZ du lycée ( adresse ip???) ; Tester un ping vers votre DMZ (sur srv-web de la mlif) ; Tester un ping vers le cœur de votre réseau (sur srv-dns) ; Tester un ping vers un des «usagers» de la MLIF (poste-de-ligue-1 par exemple). Vous constatez que tous ces tests fonctionnent, ce qui est normal puisque votre Firewall est en «liste noire» et que pour l'instant rien n'est interdit. Conception de la table de filtrage Conception V.Perrin, révision V.Mauduit Document1 4/11

5 Nota : Le «poste-de-ligue-1» représente une des 240 machines du réseau de l'entreprise. «L'administrateur» est une machine «particulière» de ce réseau. Vous prendrez donc soin, lors de l'écriture des règles, de spécifier «l'ensemble du sous-réseau» lorsque les règles concerne les «usagers» et «une machine seulement» lorsque les règles concernent «l'administrateur». Compléter le tableau ci-dessous afin d'obtenir le filtrage suivant : Règle 1 : On veut une «Liste Noire». Règle 2 : Interdire aux «usagers» d'établir une connexion SSH (22/tcp) vers le «routeur-1» sauf depuis la machine «administrateur» ; Règle 3 : Interdire aux «usagers» d'établir une connexion SSH (22/tcp) vers les serveurs de l'entreprise (on a que 2 serveurs dans ce tp) sauf depuis la machine «administrateur» ; Règle 4 : Interdire aux internautes d'établir une connexion SSH (22/tcp) et de faire des «ping» sur le routeur de l'entreprise ; Règle 5 : Interdire à tous les «usagers» de réaliser des connections en https (443/tcp) vers Internet mais les autoriser vers le cœur du réseau du lycée ( /16) et vers la DMZ du Lycée ( /24). Règle 6 : N'autoriser le «routeur-1» à ouvrir des connections ssh que vers les serveurs de la DMZ de la MLIF. Règle Interface Source Destination Entrée Sortie IP/Masque Port IP/Masque Port Protocole Action 2 eth /32 22 tcp Accepter 2 eth /24 22 tcp Refuser All All All All All All All Accepter Nota : La dernière ligne de ce tableau correspond à l'autorisation de tout ce qui n'a pas été interdit préalablement, donc il s'agit bien d'une «liste noire» (règle n 1). 3 - Appelez-moi pour que je vienne vérifier cette partie du TP Réalisation Modifier le script «/etc/firewall/regles» afin de traduire, en commandes «iptables», chacune des lignes du tableau (sauf la dernière puisqu'elle correspond à la «Politique» par défaut qui est déjà mise en place. Conception V.Perrin, révision V.Mauduit Document1 5/11

6 Ces lignes ajoutées débuteront par : iptables -A INPUT -i eth1 -s /32 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth1 -s /24 -p tcp --dport 22 -j DROP Exécutez le script et vérifier que vos règles ont été bien appliquées ; Vérifier sur chacune des machines que les règles sont efficaces. Avant tout, vérifiez la présence des iptables filtre par la commande : iptables -L -t filter Quand vous modifier une règle dans le fichier /etc/firewall/regles, n'oubliez pas de relancer les règles : /etc/init.d/rc.local start Rappel de la configuration des interfaces routeur-1 : Adresse IP eth0 : dynamique réseau lycée.n contexte/16 Adresse IP eth1: statique /24 Adresse IP eth2 : statique /24 Adresse IP eth3 : statique /24 Règle Interface Source Destination Entrée Sortie IP/Masque Port IP/Masque Port Protocole Action PRÉSENTEZ VOTRE TRAVAIL COMME CI-DESSOUS, n'oubliez pas de placer votre nom dans les copies d'écran. Conception V.Perrin, révision V.Mauduit Document1 6/11

7 -A INPUT -i ethx OUTPUT -O ethx -s xx.xx.xx.xx /yy --sport xx -d XX.XX.XX.XX /yy --dport xx -p tcp icmp... -j ACCEPT REJECT DROP... FORWARD -i ethx -o ethx /24 pour un réseau /32 pour une machine Règle 2 : a)... sauf depuis la machine «administrateur» ; 2 eth /32 (cli-admin) 22 tcp Accepter iptables -A INPUT -i eth1 -s /32 -p tcp --dport 22 -j ACCEPT EXEPLICATION : on met 32 pour forcer à prendre en compte l'adresse totale b) Interdire aux «usagers» d'établir une connexion SSH (22/tcp) vers le «routeur-1». 2 eth /24 22 tcp Refuser iptables -A INPUT -i eth1 -s /24 -p tcp --dport 22 -j DROP TESTS - tester d'abord la règles b avant mise en place de la règle après mise en place de la règle b après mise en place de la règle b Conception V.Perrin, révision V.Mauduit Document1 7/11

8 Aucun message, mais la connexion est refusée sans que le client en en soi informé, et la main lui est rendue au bout d'un long moment. on aurait pu mettre REJECT À LA PLACE DE DROP alors on aurait Ce qui évite l'attente pour le client et informe sur l'interdiction. puis après mise en place de la règle a Règle 3 : Interdire aux «usagers» d'établir une connexion SSH (22/tcp) vers les serveurs de l'entreprise sauf depuis la machine «administrateur» ; Appelez-moi pour que je vienne vérifier cette partie du TP Conception V.Perrin, révision V.Mauduit Document1 8/11

9 3 Filtrage en liste blanche En «liste Blanche» tout est interdit donc plus aucune communication n'est autorisée. Il va donc être nécessaire d'autoriser les communications que l'on désire. N'oubliez pas que pour qu'une communication s'établisse il faut autoriser la requête mais aussi la réponse ; N'oubliez pas que pour utiliser les noms de machine il faut pouvoir utiliser le protocole DNS (53/udp). Donc il faut ajouter une règle permettant aux serveurs, au routeur et aux usagers d'interroger «srv-dns» ; N'oubliez pas que «srv-dns» est redirigé sur le dns du lycée ( ) et qu'il faut donc l'autoriser à l'atteindre et seulement lui. Conception de la table de filtrage Compléter le tableau, page suivante, afin d'obtenir le même résultat que précédemment, mais cela est sensiblement plus complexe car il ne faut rien oublier, notamment les requètes (Q) et les réponses (R) : Règle 1 : Liste Blanche ; Règle 2 : Le serveur «srv-dns» doit pouvoir utiliser le protocole DNS (53/udp) vers le serveur dns du lycée ; Règle 3 : Les «usagers», le «routeur-1» et les serveurs de la DMZ doivent pouvoir utiliser le protocole DNS (53/udp) vers le serveur «srv-dns» ; Règle 4 : Seul l'administrateur doit pouvoir ouvrir une connexion ssh sur le «routeur-1» ; Règle 5 : Seul l'administrateur doit pouvoir ouvrir une connexion ssh sur les serveurs de la MLIF ; Règle 6 : Les clients du sous-réseau doivent accéder librement aux serveurs http où qu'ils se trouvent. Règle 7 : Les clients du sous-réseau ne doivent pouvoir accéder aux serveurs https que s'ils sont situés dans le cœur du réseau du lycée ou dans la DMZ du lycée ; Règle 8 : Le «routeur-1» ne peut ouvrir des connections ssh que vers les serveurs de la DMZ de la MLIF ; Règle 9 : Les machine de votre réseau doivent pouvoir faire des «ping» partout ; Règles 10 : Les internautes doivent seulement pouvoir accéder au serveur «srv-web» par dnat sur le «routeur-1». Conception V.Perrin, révision V.Mauduit Document1 9/11

10 Règle Interface Source Destination Entrée Sortie IP/Masque Port IP/Masque Port Protocole Action 2-Q eth /32 53 udp Accepter 2-R eth /32 53 udp Accepter 3-Q eth3 eth / /32 53 udp Accepter 3-R eth1 eth / /24 udp Accepter 3-Q 3-R 3-Q 3-R 4-Q 4-R 5-Q 5-R 5-Q 5-R 6-Q 6-R 6-Q 6-R 6-Q 6-R 7-Q 7-R 7-Q 7-R 8-Q 8-R 9-Q 9-R 9-Q 9-R 9-Q 9-R 9-Q 9-R 10-Q 10-R 1 All All All All All All All Refuser La dernière ligne de ce tableau correspond à l'interdiction de tout ce qui n'a pas été autorisé préalablement, donc il s'agit bien d'une «liste blanche» (règle n 1). Réalisation 5 - Appelez-moi pour que je vienne vérifier cette partie du TP Conception V.Perrin, révision V.Mauduit Document1 10/11

11 Recopier le fichier «/etc/firewall/regles» sous le nom «/etc/firewall/liste_noire» Modifier le script «/etc/firewall/regles» afin de : Supprimez les règles de filtrage du point «6 Filtrage en liste noire» mais de conserver le vidage des tables, le Snat vers Internet et le Dnat vers «srv-web» ; Mettre la règle par défaut «tout refuser» ; Traduire, en commandes «iptables», chacune des lignes du tableau (sauf la dernière puisqu'elle correspond à la «Politique» par défaut. Ces lignes ajoutées débuteront par :Ces ajouts débuteront par : iptables -A OUTPUT -o eth0 -d /32 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -s /32 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth3 -o eth1 -s /24 -d /32 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -s /32 -d /24 -p udp --dport 53 -j ACCEPT Exécutez le script et vérifier que vos règles ont été bien appliquées ; Vérifier sur chacune des machines que les règles sont efficaces. 6- Appelez-moi pour que je vienne vérifier cette partie du TP 1 Remise en état En principe, vous n'avez modifié que le «routeur-1» de la MLIF. Pour le remettre dans sa configuration d'origine : Arrêtez «routeur-1» ; Restaurez le snapshot «Base-contexte» de «routeur-1» ; Démarrez «routeur-1» ; Vérifiez que vous avez bien retrouvé la configuration initiale et qu'à nouveau toutes les communications sont libres ; Arrêtez proprement toutes les machines de votre contexte. Conception V.Perrin, révision V.Mauduit Document1 11/11