Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE Par AVIGNON Bastien et CHOMILIER Tom V2.0 Sommaire : (Sommaire interactif) I) Introduction... 2 II) Mettre en place une black liste sur IPFIRE... 2 III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un poste... 8 IV) Mettre en place des règles de filtrage.... 9 V) Bloquer un site web à partir de Windows Serveur 2008 R2... 13 VI) Sources... 15 Responsables techniques (identifiant) AVIGNON Bastien (PAE01) CHOMILIER Tom (PAE03) vlan LAN1 201 vlan LAN2 203 vlan DMZ 1001 vlan Ext. (internet) 298 Réseau IP LAN1 192.168.224.0/28 Réseau DMZ 10.69.1.0/24 DNS GSB-LYON-C.coop Adr. IP FIXE Ext. (internet) 100.64.0.0/10 PLAGE DHCP 192.168.224.[5-8]/28 Adr. IP IPFIRE (LAN) 192.168.224.13/28 Adr. IP IPFIRE (DMZ) 10.69.1.254/24 Adr. IP IPFIRE(EXT) 100.64.1.101/24 Adr. IP srv 2K8R2E 192.168.224.1/28 Adr. IP DEBIAN32 10.69.1.1/24 Passerelle DEBIAN 32 10.69.1.254/24 MDP root IPFIRE & DEBIAN MDP admin. IPFIRE P@ssw0rdGSB P@ssw0rdIPF 1 P a g e
I) Introduction Cette procédure explique comment faire pour mettre en place sur IPFIRE une black list (liste noire) de sites web à partir d'une téléchargée. La mise en place du Proxy sans intervention sur les équipements terminaux. Le blocage/filtrage de contenu sur certains sites, suivant la machine. Ainsi que l'édition de règles de pare-feu pour la partie prise en main à distance d'une autre agence. Nous avons créé une machine virtuelle DEBIAN 6 (base 32 bits) lors d'un TP "Installation d'une machine virtuelle DEBIAN 6 32 bits". Elle est placée dans la zone DMZ et nous l'avons paramétré avec une adresse IP 10.69.1.1/24. II) Mettre en place une black liste sur IPFIRE Pour se connecter à IPFIRE, nous allons utiliser l'interface graphique, ouvrez votre navigateur web avec la premier machine virtuelle Windows 7 PRO. Tapez dans la barre l'adresse IP d'ip FIRE avec le port 444. https://@ip:444. Faites Entrée. Le port 444 est un protocole SNPP, Simple Network Paging Protocol est le cousin de SNMP permettant d'envoyer des paquets IP (Internet) en direction d'un pager. C'est un protocole simple pour la gestion des réseaux. Un problème de certificat non identifié apparait (pas de certification). Cliquez sur Je comprends les risques. Connectez-vous avec l'utilisateur admin d'ipfire et son mot de passe. Puis faites OK. Identifiant IPFIRE. Pour le PPE : utilisateur > admin et mdp > P@ssw0rdIPF. 2 P a g e
Vous arriverez sur l'interface web d'ipfire. On retrouve les différents réseaux avec leurs adresses IP et leurs statuts (Internet, LAN, DNZ). Nous allons paramétrer la blacklist (liste noire) de certains sites pour ne plus y accéder. Une liste noire permet de bloquer l'accès à un site et à une adresse IP associée à une tentative de piratage, ou alors de lutter contre le spam (sites jugés indésirables, illégaux...). Allez dans l'onglet Réseau, vous retrouverez plusieurs options. Puis dans Maintenance url filter. 3 P a g e
Faites Parcourir est sélectionnez une liste noire (blacklists) puis téléchargez-là. Cochez la case Activer mise à jour automatique. Puis Valider paramètres de Mise à jour et faites Mise à jour. Après rechargement de la page, de nouvelles catégories apparaissent. Cochez les catégories que vous souhaitez. 4 P a g e
Dérouler pour accéder à la blacklist perso. Vous pourrez bloquer les sites que vous voulez en mettant le nom de domaine. (Pour le PPE nous avons bloqué Facebook et lequipe.fr) Puis cochez Activer Blackliste perso. Bloquer les noms de domaine. Pour le PPE : Facebook, Facebook mobile et lequipe.fr). Déroulez la page en bas, vous retrouvez l option Contrôle d accès réseau en fonction avec Adresse IP Bannies. Dans cette option vous pouvez bannir des adresses IP (ici nous bannissons les adresses IP publiques de Facebook et de lequipe.fr) en complément des noms de domaine pour éviter que des petits malins accèdent aux sites grâce à l adresse IP. Bloquer les adresses IP. Pour le PPE : Facebook correspond à l adresse IP : 173.252.110.27). On peut laisser un message quand un site est non autorisé. Et montrer la catégorie, l adresse URL et l adresse IP de la page bloqué. Dans l option URL Filter Réglages. Il ne reste plus qu à sauvegarder, valider et redémarrer votre IPFIRE pour prendre en compte tous les paramètres mis en place. Cliquez sur Sauvegarder (pour garder en mémoire votre configuration) puis Valider et Redémarrer. 5 P a g e
Pour activer les options du proxy et ainsi bloquer les sites, il faut vous rendre dans le menu Webproxy. Onglet Réseau > Sidemenu (à droite). Puis Webproxy. Dans le menu Proxy web avancé > Paramètres communs. Cochez Actif sur green et transparent sur green. Votre proxy sur le LAN sera actif. Après avoir valider votre configuration, redémarrer votre IPFIRE. Faites un test sur un site bloqué par la blacklist qu on a validé. Pour vérifier que tout fonctionne Site bloqué par la blacklist de l université de Toulouse. Dans la catégorie «Hacking» Et un autre test, cette fois ci sur un nom de domaine bloqué manuellement. 6 P a g e
Le nom de domaine lequipe.fr est bloqué (custom-blocked). IPFIRE arrive à bloquer les sites! Vérifier si tout fonctionne sur un autre PC dans le même VLAN et avec un navigateur web différent (IE, Firefox, Chrome ) Un problème s est posé durant cette procédure. Le nom de domaine www.facebook.com est bloqué mais on peut accéder à Facebook par HTTPS (port 443). Pour bloquer définitivement l accès a facebook, il faudrait rentrer ce script (shell). Il bloquera les requêtes à destination de facebook par le port 443. #!/bin/sh # Used for private firewall rules # See how we were called. case "$1" in start) ## add your 'start' rules here iptables -N NOFB iptables -A NOFB -d www.facebook.com.1 -p tcp -m tcp --dport 443 -j DROP iptables -A NOFB -d facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A NOFB -j RETURN iptables -I FORWARD -j NOFB iptables -I OUTPUT -j NOFB ;; stop) ## add your 'stop' rules here iptables -D FORWARD -j NOFB iptables -D OUTPUT -j NOFB iptables -F NOFB iptables -X NOFB ;; reload) $0 stop $0 start ## add your 'reload' rules here ;; *) echo "Usage: $0 {start stop reload}" ;; esac Nous n avons pas testé ce script. De peur que des problèmes surviennent sur notre IPFIRE 7 P a g e
III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un poste Dans cette procédure nous allons voir comment ne pas filtrer le contenu d un poste en particulier client DHCP. Il suffit de mettre en place une adresse IP Fixe tout en étant en DHCP. Aller sur votre serveur Windows Server 2008 R2. Accéder au Gestionnaire de serveur > Rôles > serveur DHCP > Plage étendue du LAN1. Faites un clic droit sur Réservation est créer une nouvelle Réservation. Avec les paramètres suivants : Nom de réservation : le nom de votre poste client. Son adresse IP fixe voulu. L adresse MAC du poste client. (Important car ceci permettra de le reconnaitre sur le réseau) Description. Faites Ajouter. Vérifier dans Baux d adresses que la réservation pour ce poste est active. Vous pouvez aussi vérifier sur le PC Client la configuration IP qu il a avec un ipconfig. Il devrait avoir une adresse préférer transmise par le serveur W08R2. 8 P a g e
Maintenant nous allons mettre en place l adresse IP réservé sans aucune restriction, elle aura donc accès à tous les sites. Ouvrez l interface web d IPFIRE depuis un navigateur, puis allez dans l onglet Réseau > Webproxy. Dans Adresses IP sans restriction mettez celle que vous avez réservé (pc client sans restriction) et son adresse MAC correspondant. Puis Valider. Puis allez dans Réseau > Filtre de contenu. Dans Contrôle d accès réseau en fonction. Mettez votre adresse IP non filtrées. Puis valider et redémarrer. Vous pouvez maintenant accéder à tous les sites web depuis ce PC. IV) Mettre en place des règles de filtrage. Dans cette procédure, nous allons mettre en place des règles de filtrage pour permettre la prise en main à distance. Tout cela grâce à IPFIRE. Dans l interface web d IPFIRE, cliquez sur l onglet Pare-feu puis Transfert de port pour avoir rentré les différentes règles dont on a besoin. 1 ère Règle : Lorsqu une requête en SSH (port 22) arrivera sur l interface extérieure de l IPFIRE, elle devra être transférée au serveur Debian. (Mis en place durant un TP). Dans Ajouter une nouvelle règle. Sélectionnez le Protocole (UDP ou TCP), rentrez l adresse IP de destination correspondant à IPFIRE et le port de destination. Ecrivez une remarque, ceci peut être utile pour savoir à quoi correspond la règle. Puis cochez sur Activé et faites Ajoutez. 9 P a g e
Au préalable, vous devez activer l'accès SSH pour cela allez dans l'onglet Système > Accès SSH et cochez toutes les cases. Ainsi que le port SSH est défini par le port 22. Puis Sauvegarder. 2 ème Règle : - Lorsqu une requête lancée par le bureau à distance Windows arrivera sur l interface extérieure de votre IPFIRE, elle devra être transférée à la station locale PAE01-7PRO64-01. Procédez de la même façon que la première règle. En respectant bien la 2 ème règle. Puis faites Ajouter. Dans Règles courantes nous pouvons voir l historique des Règles effectuées. 3 ème Règle : - Lorsqu une requête lancée par le réseau 100.64.1.100/28 (uniquement celui-ci) pour une prise en main à distance sur le port 3390 (TCP) arrivera sur l interface extérieure de votre IPFIRE, elle devra être transférée au serveur PAE01-2K8R2E-01 10 P a g e
4 ème Règle : - Rendre le serveur Web disponible depuis l extérieur sur le port http (cela permettra d arriver sur la page d accueil du site par défaut). Après avoir ajouter les 4 règles vous devriez avoir ce résultat. Après avoir écrites toutes ses règles nous pouvons vérifier la prise en main à distance. Mais avant ils vont configurer sur les machines pour qu elles soient opérationnelles. Allez dans Démarrer > Panneau de configuration > Système et sécurité. Puis dans Paramètre d utilisation à distance. 11 P a g e
Cochez Autoriser les connexions d assistance à distance vers cet ordinateur. Et Autoriser les connexions des ordinateurs exécutant n importe qu elle version du bureau à distance. Puis faites OK. 12 P a g e
Faites de même du coté serveur. Vous devriez pouvoir contacter les autres PC à distance et les autres peuvent contacter votre système. V) Bloquer un site web à partir de Windows Serveur 2008 R2 Développer Serveur DNS > Zone de recherche directes. Faites un clic droit, puis Nouvelle Zone... Une fenêtre avec un assistant Nouvelle Zone pour le serveur DNS apparaitra. Faites Suivant > Cochez Zone principale et Enregistrer la zone dans Active Directory. Puis faites à nouveau Suivant. Dans Étendue de la zone de réplication de Active Directory, cochez la case : Vers tout les serveurs exécutés sur des contrôleurs de domaine dans ce domaine. Puis faites Suivant. 13 P a g e
Dans Nom de la Zone. Mettez le site bloqué ici facebook.com. Puis faites Suivant. Dans Mise à Niveau, cochez la première case. Puis Suivant. 14 P a g e
Fin de l'assistant Nouvelle Zone avec un résumé. Puis faites Terminer. Vérifier maintenant si tout a fonctionné sous la première station Windows 7 Pro, l'administrateur ne devrait pas y avoir accès. (sinon faites un petit ipconfig /release et renew). VI) Sources V2.0 : Modification et correctif des règles de filtrage (capture), récapitulatif de toutes les règles pour permettre la prise en main à distance. Pour la 1ère règle, mettre l'accès SSH. + Chapitre V sur le blocage d'un site web (facebook) à partir du serveur 2008 R2. Tutoriel d installation IPFIRE : http://wiki.ipfire.org/fr/installation/start http://fr.wikipedia.org/wiki/ipfire Tutoriel Réservation DHCP Windows 2008 R2 : http://www.foruminfopc.fr/tuto-windows-2008-server/serveurdhcp-reserver-une-adresse-ip-pour-un-hote-t459.html 15 P a g e