ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer et configurer un micro-ordinateur Installer et configurer un réseau Installer et configurer un dispositif de sécurité Installer un périphérique Surveiller et optimiser le trafic sur le réseau
SOMMAIRE A PRESENTATION DE L ACTION B OBJECTIF C OUTILS UTILISES - Matériel - Logiciel D - REALISATION - Installation et paramétrage du modem/routeur - Principe de fonctionnement du firewall - Masquage IP - Surveillance et gestion du firewall - Configuration des clients E CONCLUSION
A PRESENTATION DE L ACTION Cette action a été mise en place dans la cadre de la sécurisation du réseau de mon association. Elle présente l installation et le paramétrage d un firewall, d un routeur et du réseau. B OBJECTIF Pour cette installation, un ordinateur de configuration ancienne sera suffisant. J utilise la distribution libre Linux Mandrake MNF (Multiple Network Firewall) afin de réduire mon coût d exploitation et de profiter de la stabilité et de la sécurité qu offrent les distributions Linux. Le but est d installer une passerelle entre mon réseau et Internet, afin de le protéger d éventuelles intrusions. Le firewall me permettra également de gérer et surveiller les accès à Internet. C OUTILS UTILISES Matériel : firewall : Processeur : Pentium II 300 Mhz Mémoire vive : 384 Mo Sdram Pc133 Disque dur : 4 Go Carte vidéo : S3 8 Mo AGP Carte réseau : 2x 10/100 Mbits/s Dlink 530Tx Modem/routeur : Kortex Mercure 711 Ligne ADSL 512/128 Mbits/s Switch : Peabird 10/100 Mbits/s 8 ports Client : Processeur : P4 1700 Mémoire vive : 256 DDR Disque dur : 20 Go Carte vidéo : ATI radeon 7500 Carte réseau : 10/100 Mbits/s Logiciel : Distribution Mandrake MNF (Noyau Linux 2.4.18-6) Windows 2000 Pro (pour le client) Navigateur : Internet Explorer 6 ou Mozilla
D REALISATION ADSL Internet Client Switch Routeur Firewall Installation et paramétrage du modem/routeur : Le paramétrage se fait par navigateur http sur un pc connecté par un câble RJ45, cette manipulation nécessite donc que le protocole TCP/IP soit installé. L adresse IP par défaut du routeur est 10.0.0.254 Après authentification, on accède à l interface graphique de configuration. Le routeur sera configuré en accès réseau et sera directement relié au firewall, le protocole utilisé est PPPoE. Les informations de connexion au fournisseur d accès sont renseignées. Principe de fonctionnement du firewall : Le firewall va surveiller le trafic réseau entre Internet et le réseau local. Il possède deux interfaces : - connectée au modem : Eth1 : IP : 10.0.0.254 Sous-réseau :255.0.0.0 - connectée au switch du réseau local : Eth0 : IP : 192.168.1.254 Sous-réseau :255.255.255.0 Le firewall va autoriser l accès à la zone wan (eth1) ou lan (eth0) selon des règles préalablement établies grâce à : - Iptables, qui est le protocole d analyse du firewall s appuyant sur un kernel sécurisé 2.4. - Shorewall, qui gère les règles du firewall. Ces règles permettront, par exemple, d interdire l accès au réseau local à partir d Internet et d autoriser les machines déclarées du réseau local d accéder à Internet. Le firewall fourni également les services suivants : - Un serveur mandataire (proxy) surveille les accès à Internet : Squid - Un serveur de nom (DNS) fourni un service DNS local au clients du réseau et transfère les requêtes non-locales à un serveur DNS externe (free).
- Un serveur DHCP, qui fournira les adresses IP en local aux clients qui en feront la demande. - Une détection et alerte de tentative d intrusion (Snort et Prélude). L adresse IP du réseau local est 192.168.1.0, les adresses ip distribuées aux clients appartiennent à la plage : 192.168.1.1 192.168.1.250. Le masque de sous-réseau est 255.255.255.0 Pour la zone wan, il est nécessaire d indiquer l adresse ip de la passerelle, celle du routeur, pour que le firewall ait accès à Internet. Ici c est 10.0.0.254 avec un masque de sous-réseau 255.0.0.0. Masquage IP : Afin de permettre aux client du réseau local d accéder à Internet, il est nécessaire de masquer le réseau local avec l adresse IP fixe d Internet car le réseau s appuie sur des adresses privées invalides sur Internet. Surveillance et gestion du firewall : Des outils permettent de surveiller le firewall, aussi bien à partir de graphiques que de fichiers journaux (logs). Il est possible de voir : - La charge processeur. - L utilisation de la mémoire. - Le trafic réseau sur chaque carte. - Les messages système, journaux d authentification. - Les rapports du firewall, de Prélude et de Snort. - Les journaux du Proxy et du DHCP. Les outils de gestion du firewall sont : - Console du système en ssh. - Module de sauvegarde et restauration du système. - Mise à jour logiciel. Configuration des clients : Les clients sur le réseau local sont configurés en DHCP, ils recoivent dès lors par le firewall leur adresse Ip ainsi que l adresse de la passerelle (celle du firewall). Le navigateur doit être configuré pour passer par un serveur proxy (adresse ip du firewall et port 8080).
E CONCLUSION Cette installation permet le partage de la connexion Internet de manière sécurisée puisque le firewall empêche toute intrusion venant de l extérieur sur le réseau local. Cette installation a été réalisée a moindre coûts car la distribution MNF est adaptée à des configurations matérielle peu puissantes et ne nécessite pas d achat de licence puisqu elle est distribuée librement, elle présente de plus une sécurité accrue.