07/03/2014 SECURISATION DMZ



Documents pareils
Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

1 LE L S S ERV R EURS Si 5

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

GENERALITES. COURS TCP/IP Niveau 1

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

ADF Reverse Proxy. Thierry DOSTES

REPARTITION DE CHARGE LINUX

Installation du serveur WEB Apache ( MySQL, PHP) sous Debian 7.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

TP Service HTTP Serveur Apache Linux Debian

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Sécurité des réseaux Firewalls

L3 informatique TP n o 2 : Les applications réseau

CASE-LINUX CRÉATION DMZ

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

SERVEUR HTTP Administration d apache

Retour d expérience sur la mise en place d une solution de répartition de charge entièrement libre.

INFO CLIENT. si pas de code UCM: veuillez joindre une confirmation du prestataire luxembourgeois de la relation

Dans l'épisode précédent

PACK SKeeper Multi = 1 SKeeper et des SKubes

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Installation d un serveur AmonEcole

CASE-LINUX MAIL - ROUNDCUBE

SQUID Configuration et administration d un proxy

Apache en tant que reverse proxy

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Linux sécurité des réseaux

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

SERVEUR DE MESSAGERIE

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

Catalogue «Intégration de solutions»

Installation GLPI-OCSNG-SSL Linux Debian Sarge

MISE EN PLACE DU FIREWALL SHOREWALL

CASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL

Projet Sécurité des SI

Installer un serveur de messagerie sous Linux

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Figure 1a. Réseau intranet avec pare feu et NAT.

Dr.Web Les Fonctionnalités

Cours CCNA 1. Exercices

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Live box et Nas Synology

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Étape 1 : gérer les certificats

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Aperçu technique Projet «Internet à l école» (SAI)

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

Guide de démarrage rapide

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

TP PLACO. Journées Mathrice d'amiens Mars 2010

Cisco Certified Network Associate

Serveur Web Apache - SSL - PHP Debian GNU/Linux

Présentation du ResEl

Présentation du modèle OSI(Open Systems Interconnection)

Table des matières Hakim Benameurlaine 1

CS REMOTE CARE - WEBDAV

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Installation d un hébergement Web à domicile

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Clément Prudhomme, Emilie Lenel

[ Sécurisation des canaux de communication

SERVEUR DE MESSAGERIE

Live box et Nas Synology

Devoir Surveillé de Sécurité des Réseaux

Projet Système & Réseau

Tutoriel compte-rendu Mission 1

Date de découverte 16 Octobre 2014 Révision du bulletin 1.0

Installation. du serveur SCRIBE virtuel d'amonecole

Guide de configuration de la Voix sur IP

Phase 1 : Introduction 1 jour : 31/10/13

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

M2-ESECURE Rezo TP3: LDAP - Mail

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Un reverse proxy, pour quoi faire?

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Différentes installations sur un serveur Windows 2000 ou 2003.

Spécialiste Systèmes et Réseaux

Ex Nihilo Denis Ensminger

Les systèmes pare-feu (firewall)

1. La plate-forme LAMP

Configuration de base de Jana server2. Sommaire

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

NAS 224 Accès distant - Configuration manuelle

Présentation et portée du cours : CCNA Exploration v4.0

Installation de GFI MailEssentials

Transcription:

07/03/2014 SECURISATION DMZ Anthony MANDRON SDIS 21

Table des matières Introduction :... 2 Contexte :... 2 Les solutions possibles :... 2 Le proxy inverse :... 2 Démonstration de la nouvelle solution :... 2 Test de fonctionnement :... 5 Configuration du mandataire inverse pour le webmail roundcube présent sur le serveur mail :... 7 Intégration du serveur mail au sein de la DMZ :... 9 Démonstration de la solution :... 9 ANTHONY MANDRON 1

Introduction : Dans le cadre du stage au sein du SDIS, il est convenu de proposer des solutions permettant de garantir la sécurité au sein de la DMZ. Ces solutions seront proposés sous forme d'un dossier expliquant les pratiques à mettre en œuvre. Ce dossier mettra en avant aussi la mise en application de ces pratiques afin de prouver leur efficacité. Contexte : Le SDIS possède actuellement une DMZ configuré actuellement avec la solution pare-feu NETASQ. Ils voudraient alors améliorer la sécurité de cette DMZ. Il souhaiterait aussi l'intégrer dans leur DMZ leur serveur mail. Les solutions possibles : Le proxy inverse : Actuellement le pare-feu effectue des mécanismes de filtrage et de NAT afin de garantir la sécurité de la DMZ. De plus, un VPN SSL permet de garantir la sécurité des transactions entre la DMZ et l'extérieur du pare-feu. Il est souhaité en plus de garantir la confidentialité des adresses IP des serveurs présents dans la DMZ. Le proxy inverse est un mécanisme permettant de pouvoir répondre à ce besoin. La réalisation du proxy inverse s'effectue par le passage obligé sur celui-ci afin de pouvoir accéder aux serveurs de la DMZ. Il va masquer l'adresse réel du serveur proxy interne, seul l'adresse du proxy inverse sera renvoyé. Le serveur est capable aussi de renvoyer l'adresse du visiteur au lieu de l'adresse du serveur reverse proxy. L'utilisation du proxy inverse peut se faire sur différents protocoles comme le HTTP, HTTPS et le SMTP. Une couche SSL supplémentaire peut alors s'effectuer. Démonstration de la nouvelle solution : Installation de nginx : aptitude install nginx ANTHONY MANDRON 2

Modifier le fichier de configuration de Nginx : vim /etc/nginx/nginx.conf user www-data; worker_processes 2; # Nombre de processus error_log /var/log/nginx/error.log; pid /var/run/nginx.pid; events { worker_connections 512; #Nombre de connexions simultanées par processus } http { include /etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; server_names_hash_bucket_size 64; sendfile on; tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; tcp_nodelay on; gzip on; gzip_comp_level 5; gzip_http_version 1.0; gzip_min_length 0; gzip_types text/plain text/html text/css image/x-icon application/x-javascript; gzip_vary on; include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*; } On va ensuite créer le fichier proxy.conf dans le dossier conf.d pour permettre à Nginx de se comporter comme un proxy : vim /etc/nginx/conf.d/proxy.conf ANTHONY MANDRON 3

proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 10m; client_body_buffer_size 128k; client_header_buffer_size 64k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; proxy_buffer_size 16k; proxy_buffers 32 16k; proxy_busy_buffers_size 64k; Configuration ensuite du site par défaut de Nginx : vim /etc/nginx/sites-enabled/default server { listen 80; server_name website.sdis.lan; access_log /var/log/web.access.log; error_log /var/log/web.nginx_error.log debug; location / { proxy_pass http://10.0.0.2:8080/; } } Configuration d apache sur le serveur web : On va donc ensuite modifier le port d'écoute sur le nouveau port 8080 : vim /etc/apache2/ports.conf NameVirtualHost *:8080 Listen 10.0.0.2:8080 Il faut penser aussi à changer nos hôtes virtuels sur le port 8080. On peut ensuite installer un module apache pour permettre de connaître les adresses IP effectuant des requêtes sur le site web. ANTHONY MANDRON 4

Il faut d'abord installer le module : aptitude install libapache2-mod-rpaf Il faut ensuite redémarrer apache2 et nginx Il faudra créer un alias sur le serveur DNS pointant sur le serveur de mandataire inverse. Test de fonctionnement : Logs : tail -f /var/log/web.access.log ANTHONY MANDRON 5

De plus, Nginx protège le serveur web des attaques déni de service. La saturation du serveur web entraînant l'indisponibilité du site peut être stoppée par Nginx en autorisant un seul maximum de connexions simultanées sur un processus. La commande suivante va nous permettre de tester la robustesse de notre serveur web. ab -k -n 10000 -c 1000 http://website.sdis.lan/ Étant donné qu'on un seul processus pour 512 connexions simultanées et que on lui demande 1000 requêtes web pour 1000 connexions simultanées, il va couper la connexion lors de l'atteinte de la limite autorisée. ANTHONY MANDRON 6

Configuration du mandataire inverse pour le webmail roundcube présent sur le serveur mail : On configure le fichier de Nginx : vim /etc/nginx/sites-enabled/default server { listen 80; server_name srvmail.sdis.lan; access_log /var/log/mail.access.log; error_log /var/log/mail.nginx_error.log debug; location / { proxy_pass http://10.0.0.4:8081/; } } On va donc ensuite modifier le port d'écoute sur le nouveau port 8081: vim /etc/apache2/ports.conf NameVirtualHost *:8081 Listen 10.0.0.2:8081 Il faut penser aussi à changer nos hôtes virtuels sur le port 8081. On peut ensuite installer un module apache pour permettre de connaître les adresses IP effectuant des requêtes sur le site web. Il faut d'abord installer le module : aptitude install libapache2-mod-rpaf Il faut ensuite redémarrer apache2 et nginx. Il faudra créer un alias sur le serveur DNS pointant sur le serveur de mandataire inverse. ANTHONY MANDRON 7

Logs : tail -f /var/log/mail.access.log ANTHONY MANDRON 8

Intégration du serveur mail au sein de la DMZ : Le serveur mail actuel peut aussi demander l'utilisation d'un relais SMTP afin de garantir la confidentialité de l'adresse IP du serveur et des transactions SMTP. La préconisation d'un relais SMTP peut sembler une bonne solution afin de lutter contre les menaces de sécurité, notamment le spam et le phishing. Ce relais constitue une première barrière pouvant contenir des solutions de sécurité pointues afin de lutter contre la détection d'intrusions, le spam, les menaces liées à l échange de messages électroniques. De plus, l'établissement d'une liste noire contenant les adresses mail à ne pas autoriser à communiquer avec le serveur mail. Une fois, les contrôles effectués par le relais, les emails seront alors transmis au serveur mail interne. Ce mécanisme permet à la fois de se prémunir des risques de sécurité et de garantir la sécurité et l'intégrité de notre serveur mail. Démonstration de la solution : On va créer ensuite le fichier permettant le relais des mails : vim /etc/postfix/transport sdis.lan smtp:mail.sdis.lan Il faut ensuite rajouter la donnée "smtp.sdis.lan" dans le relayhost du main.cf du postfix du serveur de messagerie interne. De plus, il faut ajouter un alias sur smtp.sdis.lan pointant sur le relais SMTP. Une fois, les modifications effectuées, redémarré les services postfix sur les deux serveurs. On teste le fonctionnement à travers les logs montrant les transactions se faisant bien par le serveur relais et non pas par le serveur de messagerie interne. ANTHONY MANDRON 9

Logs du serveur interne : ANTHONY MANDRON 10

Logs du serveur relais : Conclusion : La sécurité est devenue un enjeu important pour les organisations afin de protéger leur patrimoine informationnel. La DMZ est une zone totalement indépendante et contenant des données critiques, il est donc nécessaire de garantir sa sécurité. ANTHONY MANDRON 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back