Romain MARCQ Clément BIDI Sylvain DE BEER PPE 4.1 2015 Contexte laboratoire GSB 1
Table des matières Les principales fonctionnalités du Firewall choisit : m0n0wall 3 Avantage :... 5 Inconvénient :... 5 Fonctionnement du NAT et ses possibilités 6 Règles de sécurité mis en place pour assurer la sécurité de GSB 8 Règle de filtrage sur l interface WAN :... 8 Règle de filtrage sur l interface LAN :... 8 Règle de filtrage sur l interface DMZ :... 8 Tutoriel d installation de la solution m0n0wall 10 Annexe : Topologie de la solution Firewall 2
Les principales fonctionnalités du Firewall choisit : m0n0wall m0n0wall est un système embarqué de moins de 16 mo : idéal pour le mettre sur un compact flash, il possède : Une interface web complète pour configurer et administrer le firewall Une configuration très avancée (openvpn, vpn ipsec/pptp, captive portal, vlan tagging...) Une configuration globale stockée dans un fichier xml m0n0wall peut être utilisé tel quel avec les ordinateurs embarqués de PC Engines (www.pcengines.ch) et Soekris Engineering (www.soekris.com), ou la plupart des PC standards. M0n0wall fournit la plupart des fonctionnalités de pare-feu commerciaux coûteux, y compris : Interface web (supporte SSL) Interface de console série pour la récupération Définir l'adresse IP LAN Nouveau mot de passe Restaurer les paramètres par défaut Redémarrer le système Le soutien sans fil (y compris le mode point d'accès) Portail captif Support VLAN 802.1Q Le support IPv6 Filtrage dynamique des paquets Règles bloc / pass Enregistrement NAT / PAT (y compris 1: 1) Client DHCP, PPPoE et PPTP appui sur l'interface WAN Tunnels VPN IPsec (IKE; avec le support des cartes cryptographiques matérielles, les clients mobiles et certificats) VPN PPTP (avec le soutien du serveur RADIUS) Routes statiques Serveur DHCP et relais La mise en cache DNS transitaire Client DynDNS et RFC 2136 de mise à jour DNS Agent SNMP Régulateur de trafic 3
Traffic Grapher basé SVG- Mise à jour du firmware via le navigateur web Wake on LAN client et sauvegarde de la configuration / restauration / accueil / alias de réseau Le système de m0n0wall prend actuellement jusqu'à moins de 32 Mo sur la carte Compact Flash (ou CD-ROM), et contient : Tous les composants nécessaires FreeBSD (noyau, programmes utilisateur) Ipfilter, PHP (version CGI), mini_httpd, MPD, Serveur ISC DHCP, ez-ipupdate (pour les mises à jour DynDNS), Dnsmasq (pour le transitaire de cache DNS), racoon (pour IPsec IKE), UCD-SNMP, choparp Sur les plateformes embarquées récents (comme ALIX), m0n0wall fournit un WAN - débit LAN TCP de plus de 50 Mbps (y compris NAT) <>. PC standards les plus récents peuvent facilement atteindre> 100 Mbps. Sur une ALIX.2, m0n0wall bottes à un état entièrement fonctionnel en moins de 25 secondes après la mise sous tension, y compris poste (avec un BIOS correctement configuré) La quantité recommandée de RAM pour m0n0wall est de 128 MB. Il peut travailler avec moins, surtout si vous ne l'utilisez pas beaucoup de fonctionnalités / 4
services, mais il n'y a aucune garantie à ce sujet - attention à ne pas le téléchargement de firmware (m0n0wall n utilise pas l'espace d'échange, de sorte qu'il ne peut pas faire grand-chose à court de mémoire). Même de par son aspect très léger, il fait office de pare-feu très efficace et possède de nombreux avantages pour peu d inconvénient. Avantage : Il possède une mise en place très rapide Disponible en licence libre Il ne demande que peu de besoin de performance Il est administrable à distance en interface web et explicite Inconvénient : Limitation NAT sur interface LAN, ce qui ne permet donc pas de translater les adresses venant du Wan. Pas de redondance possible du pare-feu. M0n0wall possède également de nombreuses fonctions : 802.1Q Vlan support permet de configurer l'encapsulation des Vlans afin de faire connaitre au pare feu les Vlans virtuels et de les laissez passer. IPSec VPN tunnels utilise des algorithmes permettant le transport de données sécurisé sur un réseau IP. PPTP VPN est un protocole de tunnel point-à-point d'encapsulation PPP sur IP conçu par Microsoft. Il permet de mettre en place des réseaux privés virtuels (VPN) au-dessus d'un réseau public. NAT (Network Address Translation) est une translation d'adresse du réseau privé au réseau public. DHCP client et DHCP Relay sont pris en charge par le pare-feu, permettant de créer une étendue DHCP et gérée par le pare-feu. 5
Fonctionnement du NAT et ses possibilités Quand un paquet est envoyé sur Internet, la réponse ne revient pas, car l'adresse IP destination est une adresse privée. Or, cette adresse IP destination dans la réponse est en fait l'adresse IP source qui était indiquée dans la requête. Il faudrait donc que cette adresse IP source, qui est privée, puisse être remplacée par une adresse publique. C'est là tout le principe de la NAT. Il existe deux types de NAT différents, la NAT dynamique et la NAT statique : La NAT dynamique associe n adresses privées à une seule adresse publique. Ainsi, on peut connecter n machines en n'utilisant qu'une seule adresse publique. On économise donc des adresses. En NAT statique, on fixe une adresse publique pour chaque adresse privée. On n'économise donc aucune adresse. La NAT dynamique est aujourd hui bien plus utilisé que la NAT statique, car celle-ci permet de répondre à la pénurie d adresse IP Fonctionnement de la NAT dynamique : La NAT dynamique permet de changer l'adresse IP source dans un paquet envoyé sur Internet pour y mettre une adresse IP publique, pour cela la NAT utilise simplement l adresse IP du routeur qui fait la liaison entre le réseau privé et Internet, réseau public. Ainsi, on économise beaucoup d'adresses IP, car on n'utilise qu'une seule adresse publique pour toutes les machines qui sont sur le réseau privé. Mais il y a une limite au nombre de machines sur le réseau privé. Étant donné que la box ne peut allouer que 65535 ports, s'ils sont tous utilisés, la box ne peut pas accepter de nouvelle connexion. Ainsi, si l'on a 65535 machines qui ouvrent chacune une connexion, on atteint les limites. Or, la plupart du temps, les machines ont plus d'une seule connexion ouverte. En considérant qu'une machine ouvre en moyenne une dizaine de connexions en parallèle, on peut estimer raisonnablement pouvoir brancher 6000 machines derrière un routeur qui fait de la NAT. En pratique, avoir une unique adresse IP pour 6000 machines est quand même rare, car les entreprises qui ont autant de machines ont souvent plusieurs adresses IP 6
publiques à leur disposition et cette limite due à la NAT n'est quasiment jamais étudiée ni atteinte. 7
Règles de sécurité mis en place pour assurer la sécurité de GSB Règle de filtrage sur l interface WAN : Action Protocole Source Port Destination Port Accepter TCP Adresse WAN Refuser TCP Adresse WAN * Adresse DMZ * * Adresse LAN * La première règle permet de laisser passer le trafic du réseau WAN vers le réseau de la DMZ, et la seconde refuse tous trafic du réseau WAN vers le LAN. Règle de filtrage sur l interface LAN : Action Protocole Source Port Destination Port Accepter TCP Adresse LAN * * * Règle permettant de laisser passer les trames réseaux du réseau LAN vers tous les autres réseaux. Règle de filtrage sur l interface DMZ : Action Protocole Source Port Destination Port Accepter TCP Adresse DMZ Accepter ICMP Adresse DMZ Refuser TCP Adresse DMZ * * 80 (http) * * * * * * 8
La première règle permet d autoriser l accès au serveur Web présent dans la DMZ que l on soit dans le réseau LAN ou dans le WAN. La seconde permet quant à elle d autoriser le ping entre la DMZ et les autres réseaux. Et la dernière permet de bloquer le trafic sur la DMZ. 9
Tutoriel d installation de la solution m0n0wall Tout d abord, il faut ajouter 2 cartes réseaux additionnel dans les paramètres de la machine virtuel : 10
Ensuite, on entre dans le menu 7) pour lancer l installation de monowall : Il faut ensuite choisir le nom du disque sur lequel on veut installer monowall, ici on a qu un seul disque nommé ad3 : 11
Ici monowall nous demande si l on veut redémarrer, on choisit donc y : On va ensuite rentrer dans le menu numéro 2 afin de configurer les adresses IP des différentes cartes réseaux installé précédemment : On est invité en premier à entrer une adresse IP pour le réseau interne : 12
Il faut ensuite rentrer le masque en nombre de bit ici 24 : 13
Il nous est ici demandé si l on veut activer le DHCP, ayant déjà notre serveur DHCP on choisit ici n : Ici on dispose d un petit récapitulatif où figure l adresse permettant d accéder à l interface graphique de monowall, on appuie sur entrée pour continuer : De retour sur le menu principal on va aller dans le menu 1 pour assigner les interfaces aux ports 14
Il nous est demandé si l on veut configurer des vlans, on répond donc n : 15
Il nous est ensuite demandé d entrer l interface du réseau interne (LAN) ici nous avons donc choisit em0 comme interface LAN : La seconde interface demandé est l interface externe (WAN), ici nous avons choisi l interface em1 : 16
Notre dernière interface fera office de DMZ, nous avons choisi em2 pour la DMZ : Ici on appuie seulement sur entrée pour quitter car toute nos interfaces ont été assignée 17
Ici on appuie sur y pour redémarrer le firewall : Ici sur une machine dans le même réseau que le firewall on va accéder à l interface graphique via l adresse donné lors du récapitulatif précédent : http://x.x.x.x. 18
Un login et un mot de passe sont demandée il faut donc mettre Admin et mono. Ici dans le menu général setup on laisse le hostname par défaut, on entre le domaine ici gsb.fr et l adresse IP du serveur DNS : Dans le menu OPT1 on configure l adresse IP de la DMZ : 19
On configure ici une route statique pour le réseau interne : Ensuite on configure aussi une route statique pour la DMZ : 20
Et enfin on configure une route statique pour le réseau externe : 21
Ici nous avons les 2 règles de filtrages sur l interface WAN Ici nous avons les 3 règles de filtrages sur l interface de la DMZ 22
Ici nous avons la règle de filtrage sur l interface LAN Ci-dessous voici la configuration de la NAT 23