1 CASE-LINUX CRÉATION DMZ Introduction DMZ = Demilitarized Zone. Que l on traduit par un sous réseau isolé par un pare-feu. On fait ainsi la distinction entre le réseau de production interne d une entreprise et son accès externe. Les personnes souhaitant accéder au site web atterrirons dans le DMZ, en cas de faille de sécurité seule le réseau de la DMZ est compromis mais ne change rien au niveau de la sécurité interne de l entreprise. Pour limiter les risques de hacking on utilise des réseau composé d uniquement deux IP, on utilisera un masque de sous réseau en 255.255.255.252. On est en /30 ainsi seule deux IP sont disponibles, la première affectée à l interface du firewall et la deuxième sur l interface de la machine à accès publique. Mise en réseau Le but recherché est d avoir ceci : INTERNET XEN 1 + XEN 2 DMZ Cependant dans la DMZ il y aura plusieurs machines et on désire avoir plusieurs réseaux différents dans un seul câble. Le principe est d avoir sur le firewall le service vlan installé, créer des VLAN propre à chaque machine (en /30), créer également sur le Xen plusieurs réseaux propres à chaque VLAN.
2 Configuration XenServer On dispose de 2 cartes sur notre XenServer (DMZ), l une est connectée au firewall, l autre est connectée directement sur ma machine afin d accéder à XenCenter. En accédant à la machine DMZ via un clavier et un écran on va dans les options paramétrer une IP de management pour notre laptop. On se rend dans «Network and Management Interface», «Configure Management Interface» puis on sélectionne la carte connectée au laptop et on lui attribue une IP. Par exemple 10.10.10.10/30. Pourquoi un /30? Un /30 soit un masque de 255.255.255.252 n autorise que 2 IP pour ce réseau! C est parfait car on ne dispose que d un serveur d un côté et d un pc de management de l autre. On remplit nos besoins et on augmente la sécurité. On aura donc l ip 10.10.10.10/30 coté serveur et 10.10.10.9 coté management. 10.10.10.10/30 10.10.10.9/30 On se rend sur XenCenter afin d administrer l ensemble de notre DMZ depuis une interface graphique. Host : 10.10.10.10 Login : root Password : test1234=
3 On clique sur notre Pool contenant la DMZ et dans «Networking» on distingue deux sections : - Networks (où on va configurer nos interfaces virtuelles) - IP Address Configuration (où on va configurer les IP de nos interfaces physiques) Interface Management + ToFirewall Pour management on voit bien que l IP attribuée est en 10.10.10.10, pour l interface firewall on attribue une IP en 10.10.0.249/30. Coté firewal pour cette interface on aura une IP en 10.10.0.250/30. Le principe de carte virtuelle est de se baser sur une carte physique existante/connectée et de créer sur base de celle-ci une nouvelle connexion sous un VLAN au choix. Je crée donc un VLAN par machine! Nom NIC VLAN IP Machine ToFW_MailRelay 0 5 10.10.50.2 ToFW_RevProxy 0 6 10.10.60.2 ToFW_FTP 0 7 10.10.70.2 ToFW_Website 0 8 10.10.80.2 On peut désormais se créer une template ou en importer une et créer chaque machine. Lors de la création l assistant propose de sélectionner une carte. Veuillez à supprimer la carte par défaut et sélectionner la carte correspondante à la machine. (MailRealy avec ToFW_MailRelay par exemple).
4 Coté Xen tout est bon, enfin presque. On dispose de l IP qu aura chaque machine. Vu qu on travaille en /30 on détermine au préalable quels IP iront coté firewall. Ces IP seront nos passerelles pour nos VM. NOM IP Machine IP Firewall Mail Relay 10.10.50.2 10.10.50.1 Reverse Proxy 10.10.60.2 10.10.60.1 FTP 10.10.70.2 10.10.70.1 Website 10.10.80.2 10.10.80.1 On dispose de toutes les informations pour paramétrer les configurations IP de nos VMs.
5 Configuration Firewall Source : https://wiki.debian.org/fr/networkconfiguration (chapitre 4) Allons créer les VLAN sur le Firewall : modprobe 8021q aptitude install vlan vim /etc/network/interfaces #Reseau DMZ auto eth3 iface eth3 inet static address 10.10.0.250 #Virtual NIC for MAIL auto eth3.5 iface eth3.5 inet static address 10.10.50.1 #Virtual NIC for RevProxy auto eth3.6 iface eth3.6 inet static address 10.10.60.1 #Virtual NIC for FTP auto eth3.7 iface eth3.7 inet static address 10.10.70.1 #Virtual NIC for Web auto eth3.8 iface eth3.8 inet static address 10.10.80.1 service networking restart
10.10.50.1/30 10.10.60.1/30 10.10.70.1/30 10.10.80.1/30 CHARLES ARNAUD Linux Création DMZ 6 Nous sommes actuellement dans la situation suivante : INTERNET eth0 eth3 10.10.0.250/30 192.168.10.250/24 eth2 172.16.20.250/24 eth1 XEN 1 + XEN 2 eth3.5 eth3.6 eth3.7 eth3.8 10.10.10.9/30 NIC 0 DMZ NIC 1 10.10.10.10/30 Vlan 5 6 7 8 Pour compléter nos tests, testons si les machines ping bien ce qu elles doivent être capable de ping. Pour le mail relay, il se situe dans le VLAN 5, dispose d une IP en 10.10.50.2/30, il doit être capable de ping le 10.10.50.1/30. Si c est bon réitérer l opération pour chaque machine.