Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE



Documents pareils
acpro SEN TR firewall IPTABLES

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

TAGREROUT Seyf Allah TMRIM

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Installation d un serveur AmonEcole

wiki.ipfire.org The official documentation for IPFire - An Open Source Firewall Solution Outils

SQUID Configuration et administration d un proxy

Installation d'un serveur DHCP sous Windows 2000 Serveur

Paramétrage des navigateurs

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

UltraVNC, UltraVNC SC réglages et configurations

Windows Serveur 2012 : DHCP. Installation et mise en place

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Le routeur de la Freebox explications et configuration

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Configurez votre Neufbox Evolution

GUIDE D UTILISATION ADSL ASSISTANCE

Contrôle Parental Numericable. Guide d installation et d utilisation

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Formation Iptables : Correction TP

A5.2.3, Repérage des compléments de formation ou d'autoformation

Installation DNS, AD, DHCP

Assistance à distance sous Windows

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Live box et Nas Synology

Contrôle Parental Numericable. Guide d installation et d utilisation

Mise en place d un firewall d entreprise avec PfSense

pare - feu généralités et iptables

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Créer son réseau personnel

MANUEL D INSTALLATION D UN PROXY

Les réseaux des EPLEFPA. Guide «PfSense»

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand


Mettre en place un accès sécurisé à travers Internet

TUTORIAL ULTRAVNC (EDITION 2)

Tutoriel réalisé par luo. Version du 22/02/14

CONFIGURATION DE BASE

Configurer ma Livebox Pro pour utiliser un serveur VPN

Live box et Nas Synology

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

Réaliser un accès distant sur un enregistreur DVR

CONFIGURATION FIREWALL

IPCOP 1.4.x. Mise en œuvre du Pare Feu. Des Addons

Protéger une machine réelle derrière une machine virtuelle avec pfsense

Raccordement desmachines Windows 7 à SCRIBE

Installation d un serveur virtuel : DSL_G624M

La Clé informatique. Formation Internet Explorer Aide-mémoire

Les différentes méthodes pour se connecter

FILTRAGE de PAQUETS NetFilter

TP4 : Firewall IPTABLES

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Service de certificat

Administration réseau Firewall

LAB : Schéma. Compagnie C / /24 NETASQ

But de cette présentation

Installation de GFI MailEssentials

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Service de Virtualisation de la DSI UJF

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

L accès à distance du serveur

NAS 206 Utiliser le NAS avec Windows Active Directory

Administration de Parc Informatique TP07 : Installation de Linux Debian

Système Principal (hôte) 2008 Enterprise x64

Installation d'un Active Directory et DNS sous Windows Server 2008

Installation et paramétrage de Fedora dans VirtualBox.

TP01: Installation de Windows Server 2012

1 DHCP sur Windows 2008 Server Introduction Installation du composant DHCP Autorisation d'un serveur DHCP...

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

Sécurité des réseaux Firewalls

TP 6 : Wifi Sécurité


FreeNAS Shere. Par THOREZ Nicolas

Installation et configuration du CWAS dans une architecture à 2 pare-feux

(1) Network Camera

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

Sécurité GNU/Linux. Iptables : passerelle

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Contrôle d accès à Internet

Le serveur SLIS - Utilisation de base

Installation et configuration du logiciel BauBit

Livret 1 Poste de travail de l utilisateur :

Un serveur FTP personnel, ça ne vous a jamais dit?

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

OpenMediaVault installation

Un peu de vocabulaire

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

MISE EN PLACE DU FIREWALL SHOREWALL

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Transcription:

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE Par AVIGNON Bastien et CHOMILIER Tom V2.0 Sommaire : (Sommaire interactif) I) Introduction... 2 II) Mettre en place une black liste sur IPFIRE... 2 III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un poste... 8 IV) Mettre en place des règles de filtrage.... 9 V) Bloquer un site web à partir de Windows Serveur 2008 R2... 13 VI) Sources... 15 Responsables techniques (identifiant) AVIGNON Bastien (PAE01) CHOMILIER Tom (PAE03) vlan LAN1 201 vlan LAN2 203 vlan DMZ 1001 vlan Ext. (internet) 298 Réseau IP LAN1 192.168.224.0/28 Réseau DMZ 10.69.1.0/24 DNS GSB-LYON-C.coop Adr. IP FIXE Ext. (internet) 100.64.0.0/10 PLAGE DHCP 192.168.224.[5-8]/28 Adr. IP IPFIRE (LAN) 192.168.224.13/28 Adr. IP IPFIRE (DMZ) 10.69.1.254/24 Adr. IP IPFIRE(EXT) 100.64.1.101/24 Adr. IP srv 2K8R2E 192.168.224.1/28 Adr. IP DEBIAN32 10.69.1.1/24 Passerelle DEBIAN 32 10.69.1.254/24 MDP root IPFIRE & DEBIAN MDP admin. IPFIRE P@ssw0rdGSB P@ssw0rdIPF 1 P a g e

I) Introduction Cette procédure explique comment faire pour mettre en place sur IPFIRE une black list (liste noire) de sites web à partir d'une téléchargée. La mise en place du Proxy sans intervention sur les équipements terminaux. Le blocage/filtrage de contenu sur certains sites, suivant la machine. Ainsi que l'édition de règles de pare-feu pour la partie prise en main à distance d'une autre agence. Nous avons créé une machine virtuelle DEBIAN 6 (base 32 bits) lors d'un TP "Installation d'une machine virtuelle DEBIAN 6 32 bits". Elle est placée dans la zone DMZ et nous l'avons paramétré avec une adresse IP 10.69.1.1/24. II) Mettre en place une black liste sur IPFIRE Pour se connecter à IPFIRE, nous allons utiliser l'interface graphique, ouvrez votre navigateur web avec la premier machine virtuelle Windows 7 PRO. Tapez dans la barre l'adresse IP d'ip FIRE avec le port 444. https://@ip:444. Faites Entrée. Le port 444 est un protocole SNPP, Simple Network Paging Protocol est le cousin de SNMP permettant d'envoyer des paquets IP (Internet) en direction d'un pager. C'est un protocole simple pour la gestion des réseaux. Un problème de certificat non identifié apparait (pas de certification). Cliquez sur Je comprends les risques. Connectez-vous avec l'utilisateur admin d'ipfire et son mot de passe. Puis faites OK. Identifiant IPFIRE. Pour le PPE : utilisateur > admin et mdp > P@ssw0rdIPF. 2 P a g e

Vous arriverez sur l'interface web d'ipfire. On retrouve les différents réseaux avec leurs adresses IP et leurs statuts (Internet, LAN, DNZ). Nous allons paramétrer la blacklist (liste noire) de certains sites pour ne plus y accéder. Une liste noire permet de bloquer l'accès à un site et à une adresse IP associée à une tentative de piratage, ou alors de lutter contre le spam (sites jugés indésirables, illégaux...). Allez dans l'onglet Réseau, vous retrouverez plusieurs options. Puis dans Maintenance url filter. 3 P a g e

Faites Parcourir est sélectionnez une liste noire (blacklists) puis téléchargez-là. Cochez la case Activer mise à jour automatique. Puis Valider paramètres de Mise à jour et faites Mise à jour. Après rechargement de la page, de nouvelles catégories apparaissent. Cochez les catégories que vous souhaitez. 4 P a g e

Dérouler pour accéder à la blacklist perso. Vous pourrez bloquer les sites que vous voulez en mettant le nom de domaine. (Pour le PPE nous avons bloqué Facebook et lequipe.fr) Puis cochez Activer Blackliste perso. Bloquer les noms de domaine. Pour le PPE : Facebook, Facebook mobile et lequipe.fr). Déroulez la page en bas, vous retrouvez l option Contrôle d accès réseau en fonction avec Adresse IP Bannies. Dans cette option vous pouvez bannir des adresses IP (ici nous bannissons les adresses IP publiques de Facebook et de lequipe.fr) en complément des noms de domaine pour éviter que des petits malins accèdent aux sites grâce à l adresse IP. Bloquer les adresses IP. Pour le PPE : Facebook correspond à l adresse IP : 173.252.110.27). On peut laisser un message quand un site est non autorisé. Et montrer la catégorie, l adresse URL et l adresse IP de la page bloqué. Dans l option URL Filter Réglages. Il ne reste plus qu à sauvegarder, valider et redémarrer votre IPFIRE pour prendre en compte tous les paramètres mis en place. Cliquez sur Sauvegarder (pour garder en mémoire votre configuration) puis Valider et Redémarrer. 5 P a g e

Pour activer les options du proxy et ainsi bloquer les sites, il faut vous rendre dans le menu Webproxy. Onglet Réseau > Sidemenu (à droite). Puis Webproxy. Dans le menu Proxy web avancé > Paramètres communs. Cochez Actif sur green et transparent sur green. Votre proxy sur le LAN sera actif. Après avoir valider votre configuration, redémarrer votre IPFIRE. Faites un test sur un site bloqué par la blacklist qu on a validé. Pour vérifier que tout fonctionne Site bloqué par la blacklist de l université de Toulouse. Dans la catégorie «Hacking» Et un autre test, cette fois ci sur un nom de domaine bloqué manuellement. 6 P a g e

Le nom de domaine lequipe.fr est bloqué (custom-blocked). IPFIRE arrive à bloquer les sites! Vérifier si tout fonctionne sur un autre PC dans le même VLAN et avec un navigateur web différent (IE, Firefox, Chrome ) Un problème s est posé durant cette procédure. Le nom de domaine www.facebook.com est bloqué mais on peut accéder à Facebook par HTTPS (port 443). Pour bloquer définitivement l accès a facebook, il faudrait rentrer ce script (shell). Il bloquera les requêtes à destination de facebook par le port 443. #!/bin/sh # Used for private firewall rules # See how we were called. case "$1" in start) ## add your 'start' rules here iptables -N NOFB iptables -A NOFB -d www.facebook.com.1 -p tcp -m tcp --dport 443 -j DROP iptables -A NOFB -d facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A NOFB -j RETURN iptables -I FORWARD -j NOFB iptables -I OUTPUT -j NOFB ;; stop) ## add your 'stop' rules here iptables -D FORWARD -j NOFB iptables -D OUTPUT -j NOFB iptables -F NOFB iptables -X NOFB ;; reload) $0 stop $0 start ## add your 'reload' rules here ;; *) echo "Usage: $0 {start stop reload}" ;; esac Nous n avons pas testé ce script. De peur que des problèmes surviennent sur notre IPFIRE 7 P a g e

III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un poste Dans cette procédure nous allons voir comment ne pas filtrer le contenu d un poste en particulier client DHCP. Il suffit de mettre en place une adresse IP Fixe tout en étant en DHCP. Aller sur votre serveur Windows Server 2008 R2. Accéder au Gestionnaire de serveur > Rôles > serveur DHCP > Plage étendue du LAN1. Faites un clic droit sur Réservation est créer une nouvelle Réservation. Avec les paramètres suivants : Nom de réservation : le nom de votre poste client. Son adresse IP fixe voulu. L adresse MAC du poste client. (Important car ceci permettra de le reconnaitre sur le réseau) Description. Faites Ajouter. Vérifier dans Baux d adresses que la réservation pour ce poste est active. Vous pouvez aussi vérifier sur le PC Client la configuration IP qu il a avec un ipconfig. Il devrait avoir une adresse préférer transmise par le serveur W08R2. 8 P a g e

Maintenant nous allons mettre en place l adresse IP réservé sans aucune restriction, elle aura donc accès à tous les sites. Ouvrez l interface web d IPFIRE depuis un navigateur, puis allez dans l onglet Réseau > Webproxy. Dans Adresses IP sans restriction mettez celle que vous avez réservé (pc client sans restriction) et son adresse MAC correspondant. Puis Valider. Puis allez dans Réseau > Filtre de contenu. Dans Contrôle d accès réseau en fonction. Mettez votre adresse IP non filtrées. Puis valider et redémarrer. Vous pouvez maintenant accéder à tous les sites web depuis ce PC. IV) Mettre en place des règles de filtrage. Dans cette procédure, nous allons mettre en place des règles de filtrage pour permettre la prise en main à distance. Tout cela grâce à IPFIRE. Dans l interface web d IPFIRE, cliquez sur l onglet Pare-feu puis Transfert de port pour avoir rentré les différentes règles dont on a besoin. 1 ère Règle : Lorsqu une requête en SSH (port 22) arrivera sur l interface extérieure de l IPFIRE, elle devra être transférée au serveur Debian. (Mis en place durant un TP). Dans Ajouter une nouvelle règle. Sélectionnez le Protocole (UDP ou TCP), rentrez l adresse IP de destination correspondant à IPFIRE et le port de destination. Ecrivez une remarque, ceci peut être utile pour savoir à quoi correspond la règle. Puis cochez sur Activé et faites Ajoutez. 9 P a g e

Au préalable, vous devez activer l'accès SSH pour cela allez dans l'onglet Système > Accès SSH et cochez toutes les cases. Ainsi que le port SSH est défini par le port 22. Puis Sauvegarder. 2 ème Règle : - Lorsqu une requête lancée par le bureau à distance Windows arrivera sur l interface extérieure de votre IPFIRE, elle devra être transférée à la station locale PAE01-7PRO64-01. Procédez de la même façon que la première règle. En respectant bien la 2 ème règle. Puis faites Ajouter. Dans Règles courantes nous pouvons voir l historique des Règles effectuées. 3 ème Règle : - Lorsqu une requête lancée par le réseau 100.64.1.100/28 (uniquement celui-ci) pour une prise en main à distance sur le port 3390 (TCP) arrivera sur l interface extérieure de votre IPFIRE, elle devra être transférée au serveur PAE01-2K8R2E-01 10 P a g e

4 ème Règle : - Rendre le serveur Web disponible depuis l extérieur sur le port http (cela permettra d arriver sur la page d accueil du site par défaut). Après avoir ajouter les 4 règles vous devriez avoir ce résultat. Après avoir écrites toutes ses règles nous pouvons vérifier la prise en main à distance. Mais avant ils vont configurer sur les machines pour qu elles soient opérationnelles. Allez dans Démarrer > Panneau de configuration > Système et sécurité. Puis dans Paramètre d utilisation à distance. 11 P a g e

Cochez Autoriser les connexions d assistance à distance vers cet ordinateur. Et Autoriser les connexions des ordinateurs exécutant n importe qu elle version du bureau à distance. Puis faites OK. 12 P a g e

Faites de même du coté serveur. Vous devriez pouvoir contacter les autres PC à distance et les autres peuvent contacter votre système. V) Bloquer un site web à partir de Windows Serveur 2008 R2 Développer Serveur DNS > Zone de recherche directes. Faites un clic droit, puis Nouvelle Zone... Une fenêtre avec un assistant Nouvelle Zone pour le serveur DNS apparaitra. Faites Suivant > Cochez Zone principale et Enregistrer la zone dans Active Directory. Puis faites à nouveau Suivant. Dans Étendue de la zone de réplication de Active Directory, cochez la case : Vers tout les serveurs exécutés sur des contrôleurs de domaine dans ce domaine. Puis faites Suivant. 13 P a g e

Dans Nom de la Zone. Mettez le site bloqué ici facebook.com. Puis faites Suivant. Dans Mise à Niveau, cochez la première case. Puis Suivant. 14 P a g e

Fin de l'assistant Nouvelle Zone avec un résumé. Puis faites Terminer. Vérifier maintenant si tout a fonctionné sous la première station Windows 7 Pro, l'administrateur ne devrait pas y avoir accès. (sinon faites un petit ipconfig /release et renew). VI) Sources V2.0 : Modification et correctif des règles de filtrage (capture), récapitulatif de toutes les règles pour permettre la prise en main à distance. Pour la 1ère règle, mettre l'accès SSH. + Chapitre V sur le blocage d'un site web (facebook) à partir du serveur 2008 R2. Tutoriel d installation IPFIRE : http://wiki.ipfire.org/fr/installation/start http://fr.wikipedia.org/wiki/ipfire Tutoriel Réservation DHCP Windows 2008 R2 : http://www.foruminfopc.fr/tuto-windows-2008-server/serveurdhcp-reserver-une-adresse-ip-pour-un-hote-t459.html 15 P a g e

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back