Configuration de Vlan et d un pare feu Check Point Version 1.0. 21/01/2015 BTS SIO Brochard Florent

Configuration de Vlan et d un pare feu Check Point Version 1.0 21/01/2015 BTS SIO Brochard Florent

Sommaire I. Qu est-ce que Check Point.... 3 II. Tableau d adressage IP.... 4 III. Configuration du switch.... 4 IV. Installation et Configuration du pare feu Check Point... 8 1. Installation... 8 2. Configuration du pare feu... 12 V. Configuration des règles du pare feu.... 19 1. Les objets... 20 2. Les règles... 22 3. Quelques exemples de règles.... 23 4. Sauvegarde des règles.... 23 VI. Les Logs.... 25 Brochard Florent VLAN et Check Point Page 2 sur 26

Plan du réseau : I. Qu est-ce que Check Point. Check Point utilise un système d exploitation de type Red Hat permettant l installation d un pare feu sur un serveur. Check Point est composé de plusieurs modules, le pare-feu en lui-même, le SmartCenterServer (SCS) permettant de gérer un ou plusieurs pare feu, ainsi qu un serveur Log et enfin une application servant d interface au SCS sur un poste client. Ces modules peuvent être installés sur un même serveur ou sur différents équipements. Brochard Florent VLAN et Check Point Page 3 sur 26

II. Tableau d adressage IP. Vlan Adresse réseau Première adresse Dernière adresse Masque 192.168.1.0 192.168.1.1 192.168.1.254 255.255.255.0 10.10.0.0 10.10.0.1 10.10.0.254 255.255.255.0 Vlan 2 Client 10.10.0.8 10.10.0.9 10.10.0.14 255.255.255.248 Vlan 3 DMZ 10.10.0.16 10.10.0.17 10.10.0.22 255.255.255.248 III. Configuration du switch. D abord, brancher le pc administrateur sur le switch via un câble console et un adaptateur. La première étape est d effacer le contenu du switch : Switch>en Switch#Erase startup-config Puis effacer les fichiers présents dans cette commande sauf le système d exploitation Switch#show flash : Switch#erase «fichier_à_supprimer» Ensuite, assigner un mot de passe normal et un mot de passe secret au switch : Switch#conf t Switch(config)#enable password «mot_de_passe» Switch(config)#enable secret «mot_de_passe» Puis configurer les différentes lignes selon vos besoins : Switch(config)#line console 0 Switch(config-line)#password «mot_de_passe» Switch(config-line)#exit Switch(config)#line vty 0 4 Switch(config-line)#timeout 3 30 Switch(config-line)#password «mot_de_passe» Switch(config-line)#login Brochard Florent VLAN et Check Point Page 4 sur 26

Switch(config-line)#transport input telnet (Attention si vous avez pas mis de mot de passe vous ne pourrez pas y accéder) Switch(config-line)#exit Switch(config)#ip domaine-name mydomain.com Switch(config)#crypto key generate rsa Switch(config)#ip ssh version 2 Switch(config)#line vty 5 15 Switch(config-line)#timeout 3 30 Switch(config-line)#password «mot_de_passe» Switch(config-line)#login Switch(config-line)#transport input ssh pourrez pas y accéder) (Attention si vous avez pas mis de mot de passe vous ne Maintenant, assigner une adresse IP à la VLAN administration (vlan 1 par défaut) puis créer les vlans dont nous aurons besoin : Switch(config)#int vlan 1 Switch(config-if)#ip address 10.10.0.2 255.255.255.0 Switch(config-if)#exit Switch(config)#vlan 2 Switch(config-if)#name Client Switch(config-if)#exit Switch(config)#vlan 3 Switch(config-if)#name DMZ Switch(config-if)#exit Assigner les ports sur chacune des vlans : Switch(config)#int range Gi1/0/1-5 Switch(config-if-range)#switchport mode acces Switch(config-if-range)#switchport access vlan 2 Switch(config-if-range)#no shut Switch(config-if-range)#exit Brochard Florent VLAN et Check Point Page 5 sur 26

Switch(config)#int range Gi1/0/6-10 Switch(config-if-range)#switchport mode acces Switch(config-if-range)#switchport access vlan 3 Switch(config-if-range)#no shut Switch(config-if-range)#exit Trunker le port du pare feu : Switch(config)#int Gi1/0/11 Switch(config-if)#switchport encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan all Switch(config-if)#no shut Switch(config-if)#end Vérifier si la configuration du switch est correcte : Switch#sh vlan Switch#sh run Brochard Florent VLAN et Check Point Page 6 sur 26

Sauvegarder la configuration : Switch#copy run start Brochard Florent VLAN et Check Point Page 7 sur 26

IV. Installation et Configuration du pare feu Check Point 1. Installation Les modules de pare feu SCS et Log seront installé sur un serveur Red Hat et l application SmartDashBoard sur un poste client Windows 8. L installation se fait grâce à un CD-ROM. Commencer par rebooter la machine après avoir mis le disque. Cette page devrait s afficher : Appuyer sur Entrer pour continuer. Une fenêtre apparaît avec plusieurs menus. Device List permet de vérifier si le matériel est bien détecté comme les cartes réseaux. Brochard Florent VLAN et Check Point Page 8 sur 26

Add Driver permet de rajouter les drivers pour Check Point. Cliquer sur OK pour continuer. Choisir la version de Check point Normal ou Pro, il faut disposer d une licence pour pouvoir utiliser cette dernière. Cliquer ensuite sur OK. Choisir le type de clavier qui sera utilisé sur cette machine. Brochard Florent VLAN et Check Point Page 9 sur 26

Configurer la carte réseau qui servira d interface pour l administrateur. Choisir l interface et entrer l adresse IP, le masque et la passerelle par défaut. Brochard Florent VLAN et Check Point Page 10 sur 26

Configurer le port permettant la configuration du Firewall par la suite par un navigateur Web (il est possible de le configurer directement sur le Firewall en ligne de commande). Cliquer sur OK. Cliquer enfin sur OK pour lancer l installation et attendre la fin de celle-ci. Brochard Florent VLAN et Check Point Page 11 sur 26

Après l installation, appuyer sur Entrer pour reboot le Firewall et retirer le CD-ROM. 2. Configuration du pare feu Se connecter au serveur par un navigateur (IE conseillé) et entrer l adresse https:// «adresse_ip_du_pare_feu». Entrer «admin» dans User name et dans Password. Nous arrivons dans la page de statut du serveur indiquant la version le type et la date d installation Les informations sur la configuration de la carte réseau sont aussi présentes (ici déjà configurée). Brochard Florent VLAN et Check Point Page 12 sur 26

Cliquer sur Network/Connections pour configurer toutes les interfaces et sous-interfaces. Cliquer sur New pour créer une nouvelle interface (sous-interface) et choisir le type ou cliquer sur une des interfaces déjà existantes pour la modifier. Brochard Florent VLAN et Check Point Page 13 sur 26

Entrer l adresse IP de l interface et son masque puis cliquer sur Apply. Cliquer ensuite sur Routing pour vérifier que les routes se sont bien créer pour chaque réseau et sous-réseau. Cliquer sur New puis Default Route pour ajouter la route par défaut. Brochard Florent VLAN et Check Point Page 14 sur 26

Entrer l adresse du réseau et son masque puis cliquer sur Apply. Cliquer sur DNS et entrer l adresse IP des DNS utilisés puis cliquer sur Apply. Brochard Florent VLAN et Check Point Page 15 sur 26

Cliquer sur Domain, entrer le nom du pare feu et choisir l interface pour l administration. Cliquer sur Device puis Date and time pour régler l horloge du FireWall (manuel ou ntp). Brochard Florent VLAN et Check Point Page 16 sur 26

Cliquer sur Device administrators et créer les comptes administrateur pour le firewall. Cliquer sur Web & SSH Client puis activer le protocole SSH en donnant accès à tous les adresses. Brochard Florent VLAN et Check Point Page 17 sur 26

Cliquer sur Product Configuration puis Management Administrators pour créer un compte administrateur pour SCS. Cliquer sur Management GUI Client pour donner accès au SCS grâce à une adresse IP. Brochard Florent VLAN et Check Point Page 18 sur 26

Cliquer sur Device puis Download SmartConsole Application pour télécharger l application permettant d avoir accès aux différentes fonctionnalités du FireWall. V. Configuration des règles du pare feu. Installer le logiciel téléchargé précédemment puis cliquer sur l icône suivante. Une fenêtre s ouvre, entrer le login et le mot de passe de l administrateur management puis l adresse de l interface administrateur du FireWall (configurée précédemment). Brochard Florent VLAN et Check Point Page 19 sur 26

1. Les objets Commencer par créer les objets et leur assigner leur adresse IP respective. Ils serviront de sources et de destinations représentant les différentes machines, les réseaux et autres serveurs tels que les DNS pour avoir accès aux sites par leur nom de domaine (Google 8.8.8.8). Pour créer un objet, faire un clic droit sur Nodes puis glisser la sourie sur Node et cliquer sur Host. Une nouvelle fenêtre s affiche. Choisir un nom pour l objet ainsi que l adresse IP qui lui est attribuée. Brochard Florent VLAN et Check Point Page 20 sur 26

Cliquer ensuite sur NAT (Network Address Translation). Cela permettra de lier l adresse IP privée de l objet avec l adresse IP publique du Firewall, l utilisateur pourra alors envoyer des trames vers internet. Cocher Add Automatic Address Translation Rules pour que le Firewall assigne automatique une adresse IP publique puis choisir entre le mode Hide (dynamique = plusieurs adresses IP privées pour une adresse publique) ou Static (lie une adresse IP publique avec une seule adresse IP privée). Cliquer enfin sur OK. Faire la même manipulation pour créer un objet réseau (VLAN). Entrer un nom, son adresse IP et son masque. Brochard Florent VLAN et Check Point Page 21 sur 26

Cliquer sur NAT et choisir les options désirées. Puis cliquer sur OK. 2. Les règles Créer les règles avec les objets enregistrés pour que le réseau fonctionne correctement. Voici les différents champs à remplir. NO. : Numéro de la règle, les règles s appliquent dans l ordre croissant. NAME : Nom de la règle pour pouvoir mieux identifier les règles utilisées dans les LOG. SOURCE : Objets envoyant la trame. DESTINATION : Objets recevant la trame. VPN : Indique si le trafic autorisé ou refusé doit être en clair ou chiffré. SERVICE : Indique pour quel protocole la trame est refusée ou autorisée (UDP, TCP, ICMP, http, https) ACTION : Trame autorisé, bloqué ou rejeté (envoi un message à la source) TRACK : Enregistrement sur des LOG des utilisations de la règle, création d alerte ou envoi d un message par mail. Brochard Florent VLAN et Check Point Page 22 sur 26

INSTALL ON : Firewall destinataire de la règle. TIME : Période d activation de la règle. COMMENT : Commentaire sur l utilité de la règle. 3. Quelques exemples de règles. 1. Permet à l administrateur d avoir accès au Firewall pour pouvoir le configurer. 2. Bloque l accès au Firewall pour les autres trafics. 3. Permet à l administrateur de ping les équipements du réseau. 4. Permet à l administrateur d utiliser les noms de domaine pour la navigation sur Internet (ici DNS de Google et un DNS auxiliaire). 5. Permet à l administrateur d ouvrir des pages HTTP et HTTPS ainsi que l utilisation d un proxy. 6. Permet la communication HTTP et ICMP de la VLAN Client à la VLAN DMZ. 7. Bloque toutes les autres trames. 4. Sauvegarde des règles. Après avoir créer les règles, ne pas oublier de sauvegarder. Cliquer sur l icône s ouvre. Cliquer sur OK.. Une fenêtre Brochard Florent VLAN et Check Point Page 23 sur 26

Sélectionner les Firewalls sur lesquels les règles vont être installées puis cliquer sur OK. Attendre que les règles soient vérifiées et installées. Brochard Florent VLAN et Check Point Page 24 sur 26

Une fois terminée, il est possible de voir les warnings. Cliquer sur Show Warnings pour plus d information. Cliquer sur Close pour finir. VI. Les Logs. Pour pouvoir suivre le trafic sur le réseau, cliquer sur l icône suivante. Cet utilitaire permet de voir les logs des règles du firewall pour lesquelles l option Log a été activée. Une fenêtre demandera un mot de passe comme précédemment. Brochard Florent VLAN et Check Point Page 25 sur 26

On peut ici l utilisation du DNS de Google et la navigation sur internet par l administrateur (Règles 4 et 5). Brochard Florent VLAN et Check Point Page 26 sur 26