Romain MARCQ Clément BIDI Sylvain DE BEER PPE 4.1 2015. Contexte laboratoire GSB



Documents pareils
pfsense Manuel d Installation et d Utilisation du Logiciel

A5.2.3, Repérage des compléments de formation ou d'autoformation

Mise en route d'un Routeur/Pare-Feu

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Mise en place d un firewall d entreprise avec PfSense

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Figure 1a. Réseau intranet avec pare feu et NAT.

Basculement de connexions Internet

LAB : Schéma. Compagnie C / /24 NETASQ

Pare-feu VPN sans fil N Cisco RV120W

Cisco RV220W Network Security Firewall

Tutoriel réalisé par luo. Version du 22/02/14

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

Configurer ma Livebox Pro pour utiliser un serveur VPN

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Cisco RV220W Network Security Firewall

Les réseaux des EPLEFPA. Guide «PfSense»

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

wiki.ipfire.org The official documentation for IPFire - An Open Source Firewall Solution Outils

Authentification hybride SALAH KHMIRI (RT3) AMAMOU NESRINE (RT3) JOUA RIADH (GL4) BOUTARAA AMIRA (RT3) SAMALI HADHEMI (RT3)


Routeur VPN Wireless-N Cisco RV215W

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

PACK SKeeper Multi = 1 SKeeper et des SKubes

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Live box et Nas Synology

acpro SEN TR firewall IPTABLES

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Live box et Nas Synology

1 PfSense 1. Qu est-ce que c est

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Programme formation pfsense Mars 2011 Cript Bretagne

Pare-feu VPN sans fil N Cisco RV110W

RX3041. Guide d'installation rapide

Arkoon Security Appliances Fast 360

Protéger une machine réelle derrière une machine virtuelle avec pfsense

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TCP/IP, NAT/PAT et Firewall

Cradlepoint AER 2100 Spécifications

Positionnement produit

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

FreeNAS Shere. Par THOREZ Nicolas

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

VIDEO SURVEILLANCE SV82400 SV82500 SV82600 Type de panne cause Que faire? VIDEO SURVEILLANCE IPSV87050 VIDEO SURVEILLANCE IPSV87050 SERR1

z Fiche d identité produit

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

WGW PBX. Guide de démarrage rapide

Mettre en place un accès sécurisé à travers Internet

MAUREY SIMON PICARD FABIEN LP SARI

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

ALOHA Load Balancer Guide de démarrage

CAHIER DES CLAUSES TECHNIQUES

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

Portfolio ADSL VDSL LTE

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Configurez votre Neufbox Evolution

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

ZEROSHELL NET BALANCING. Julien Dabin Page 1

Manuel utilisateur. D-Link Corporation

IPL-E. Routeur - serveur RAS - firewall. NOTICE D'UTILISATION Document référence :

NON URGENTE TEMPORAIRE DEFINITIVE. OBJET : FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT

Transmission de données

Devoir Surveillé de Sécurité des Réseaux

Administration de Réseaux d Entreprises

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Installation d'un FreeNAS (v0.684b du 30/03/2007) pour sauvegarder les données d'un ZEServer

ETI/Domo. Français. ETI-Domo Config FR

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Installation du SLIS 4.1

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Formation Iptables : Correction TP

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

TP LAN-WAN 2007/2008

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Sécurité des réseaux Firewalls

But de cette présentation

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des réseaux sans fil

Sécurité GNU/Linux. Virtual Private Network

Plan de cours. Fabien Soucy Bureau C3513

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Passerelle de Sécurité Internet Guide d installation

Transcription:

Romain MARCQ Clément BIDI Sylvain DE BEER PPE 4.1 2015 Contexte laboratoire GSB 1

Table des matières Les principales fonctionnalités du Firewall choisit : m0n0wall 3 Avantage :... 5 Inconvénient :... 5 Fonctionnement du NAT et ses possibilités 6 Règles de sécurité mis en place pour assurer la sécurité de GSB 8 Règle de filtrage sur l interface WAN :... 8 Règle de filtrage sur l interface LAN :... 8 Règle de filtrage sur l interface DMZ :... 8 Tutoriel d installation de la solution m0n0wall 10 Annexe : Topologie de la solution Firewall 2

Les principales fonctionnalités du Firewall choisit : m0n0wall m0n0wall est un système embarqué de moins de 16 mo : idéal pour le mettre sur un compact flash, il possède : Une interface web complète pour configurer et administrer le firewall Une configuration très avancée (openvpn, vpn ipsec/pptp, captive portal, vlan tagging...) Une configuration globale stockée dans un fichier xml m0n0wall peut être utilisé tel quel avec les ordinateurs embarqués de PC Engines (www.pcengines.ch) et Soekris Engineering (www.soekris.com), ou la plupart des PC standards. M0n0wall fournit la plupart des fonctionnalités de pare-feu commerciaux coûteux, y compris : Interface web (supporte SSL) Interface de console série pour la récupération Définir l'adresse IP LAN Nouveau mot de passe Restaurer les paramètres par défaut Redémarrer le système Le soutien sans fil (y compris le mode point d'accès) Portail captif Support VLAN 802.1Q Le support IPv6 Filtrage dynamique des paquets Règles bloc / pass Enregistrement NAT / PAT (y compris 1: 1) Client DHCP, PPPoE et PPTP appui sur l'interface WAN Tunnels VPN IPsec (IKE; avec le support des cartes cryptographiques matérielles, les clients mobiles et certificats) VPN PPTP (avec le soutien du serveur RADIUS) Routes statiques Serveur DHCP et relais La mise en cache DNS transitaire Client DynDNS et RFC 2136 de mise à jour DNS Agent SNMP Régulateur de trafic 3

Traffic Grapher basé SVG- Mise à jour du firmware via le navigateur web Wake on LAN client et sauvegarde de la configuration / restauration / accueil / alias de réseau Le système de m0n0wall prend actuellement jusqu'à moins de 32 Mo sur la carte Compact Flash (ou CD-ROM), et contient : Tous les composants nécessaires FreeBSD (noyau, programmes utilisateur) Ipfilter, PHP (version CGI), mini_httpd, MPD, Serveur ISC DHCP, ez-ipupdate (pour les mises à jour DynDNS), Dnsmasq (pour le transitaire de cache DNS), racoon (pour IPsec IKE), UCD-SNMP, choparp Sur les plateformes embarquées récents (comme ALIX), m0n0wall fournit un WAN - débit LAN TCP de plus de 50 Mbps (y compris NAT) <>. PC standards les plus récents peuvent facilement atteindre> 100 Mbps. Sur une ALIX.2, m0n0wall bottes à un état entièrement fonctionnel en moins de 25 secondes après la mise sous tension, y compris poste (avec un BIOS correctement configuré) La quantité recommandée de RAM pour m0n0wall est de 128 MB. Il peut travailler avec moins, surtout si vous ne l'utilisez pas beaucoup de fonctionnalités / 4

services, mais il n'y a aucune garantie à ce sujet - attention à ne pas le téléchargement de firmware (m0n0wall n utilise pas l'espace d'échange, de sorte qu'il ne peut pas faire grand-chose à court de mémoire). Même de par son aspect très léger, il fait office de pare-feu très efficace et possède de nombreux avantages pour peu d inconvénient. Avantage : Il possède une mise en place très rapide Disponible en licence libre Il ne demande que peu de besoin de performance Il est administrable à distance en interface web et explicite Inconvénient : Limitation NAT sur interface LAN, ce qui ne permet donc pas de translater les adresses venant du Wan. Pas de redondance possible du pare-feu. M0n0wall possède également de nombreuses fonctions : 802.1Q Vlan support permet de configurer l'encapsulation des Vlans afin de faire connaitre au pare feu les Vlans virtuels et de les laissez passer. IPSec VPN tunnels utilise des algorithmes permettant le transport de données sécurisé sur un réseau IP. PPTP VPN est un protocole de tunnel point-à-point d'encapsulation PPP sur IP conçu par Microsoft. Il permet de mettre en place des réseaux privés virtuels (VPN) au-dessus d'un réseau public. NAT (Network Address Translation) est une translation d'adresse du réseau privé au réseau public. DHCP client et DHCP Relay sont pris en charge par le pare-feu, permettant de créer une étendue DHCP et gérée par le pare-feu. 5

Fonctionnement du NAT et ses possibilités Quand un paquet est envoyé sur Internet, la réponse ne revient pas, car l'adresse IP destination est une adresse privée. Or, cette adresse IP destination dans la réponse est en fait l'adresse IP source qui était indiquée dans la requête. Il faudrait donc que cette adresse IP source, qui est privée, puisse être remplacée par une adresse publique. C'est là tout le principe de la NAT. Il existe deux types de NAT différents, la NAT dynamique et la NAT statique : La NAT dynamique associe n adresses privées à une seule adresse publique. Ainsi, on peut connecter n machines en n'utilisant qu'une seule adresse publique. On économise donc des adresses. En NAT statique, on fixe une adresse publique pour chaque adresse privée. On n'économise donc aucune adresse. La NAT dynamique est aujourd hui bien plus utilisé que la NAT statique, car celle-ci permet de répondre à la pénurie d adresse IP Fonctionnement de la NAT dynamique : La NAT dynamique permet de changer l'adresse IP source dans un paquet envoyé sur Internet pour y mettre une adresse IP publique, pour cela la NAT utilise simplement l adresse IP du routeur qui fait la liaison entre le réseau privé et Internet, réseau public. Ainsi, on économise beaucoup d'adresses IP, car on n'utilise qu'une seule adresse publique pour toutes les machines qui sont sur le réseau privé. Mais il y a une limite au nombre de machines sur le réseau privé. Étant donné que la box ne peut allouer que 65535 ports, s'ils sont tous utilisés, la box ne peut pas accepter de nouvelle connexion. Ainsi, si l'on a 65535 machines qui ouvrent chacune une connexion, on atteint les limites. Or, la plupart du temps, les machines ont plus d'une seule connexion ouverte. En considérant qu'une machine ouvre en moyenne une dizaine de connexions en parallèle, on peut estimer raisonnablement pouvoir brancher 6000 machines derrière un routeur qui fait de la NAT. En pratique, avoir une unique adresse IP pour 6000 machines est quand même rare, car les entreprises qui ont autant de machines ont souvent plusieurs adresses IP 6

publiques à leur disposition et cette limite due à la NAT n'est quasiment jamais étudiée ni atteinte. 7

Règles de sécurité mis en place pour assurer la sécurité de GSB Règle de filtrage sur l interface WAN : Action Protocole Source Port Destination Port Accepter TCP Adresse WAN Refuser TCP Adresse WAN * Adresse DMZ * * Adresse LAN * La première règle permet de laisser passer le trafic du réseau WAN vers le réseau de la DMZ, et la seconde refuse tous trafic du réseau WAN vers le LAN. Règle de filtrage sur l interface LAN : Action Protocole Source Port Destination Port Accepter TCP Adresse LAN * * * Règle permettant de laisser passer les trames réseaux du réseau LAN vers tous les autres réseaux. Règle de filtrage sur l interface DMZ : Action Protocole Source Port Destination Port Accepter TCP Adresse DMZ Accepter ICMP Adresse DMZ Refuser TCP Adresse DMZ * * 80 (http) * * * * * * 8

La première règle permet d autoriser l accès au serveur Web présent dans la DMZ que l on soit dans le réseau LAN ou dans le WAN. La seconde permet quant à elle d autoriser le ping entre la DMZ et les autres réseaux. Et la dernière permet de bloquer le trafic sur la DMZ. 9

Tutoriel d installation de la solution m0n0wall Tout d abord, il faut ajouter 2 cartes réseaux additionnel dans les paramètres de la machine virtuel : 10

Ensuite, on entre dans le menu 7) pour lancer l installation de monowall : Il faut ensuite choisir le nom du disque sur lequel on veut installer monowall, ici on a qu un seul disque nommé ad3 : 11

Ici monowall nous demande si l on veut redémarrer, on choisit donc y : On va ensuite rentrer dans le menu numéro 2 afin de configurer les adresses IP des différentes cartes réseaux installé précédemment : On est invité en premier à entrer une adresse IP pour le réseau interne : 12

Il faut ensuite rentrer le masque en nombre de bit ici 24 : 13

Il nous est ici demandé si l on veut activer le DHCP, ayant déjà notre serveur DHCP on choisit ici n : Ici on dispose d un petit récapitulatif où figure l adresse permettant d accéder à l interface graphique de monowall, on appuie sur entrée pour continuer : De retour sur le menu principal on va aller dans le menu 1 pour assigner les interfaces aux ports 14

Il nous est demandé si l on veut configurer des vlans, on répond donc n : 15

Il nous est ensuite demandé d entrer l interface du réseau interne (LAN) ici nous avons donc choisit em0 comme interface LAN : La seconde interface demandé est l interface externe (WAN), ici nous avons choisi l interface em1 : 16

Notre dernière interface fera office de DMZ, nous avons choisi em2 pour la DMZ : Ici on appuie seulement sur entrée pour quitter car toute nos interfaces ont été assignée 17

Ici on appuie sur y pour redémarrer le firewall : Ici sur une machine dans le même réseau que le firewall on va accéder à l interface graphique via l adresse donné lors du récapitulatif précédent : http://x.x.x.x. 18

Un login et un mot de passe sont demandée il faut donc mettre Admin et mono. Ici dans le menu général setup on laisse le hostname par défaut, on entre le domaine ici gsb.fr et l adresse IP du serveur DNS : Dans le menu OPT1 on configure l adresse IP de la DMZ : 19

On configure ici une route statique pour le réseau interne : Ensuite on configure aussi une route statique pour la DMZ : 20

Et enfin on configure une route statique pour le réseau externe : 21

Ici nous avons les 2 règles de filtrages sur l interface WAN Ici nous avons les 3 règles de filtrages sur l interface de la DMZ 22

Ici nous avons la règle de filtrage sur l interface LAN Ci-dessous voici la configuration de la NAT 23