Configuration du pare-feu du serveur pédagogique Kwartz

Documents pareils
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

CONFIGURATION FIREWALL

Le filtrage de niveau IP

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Sécurité des réseaux Firewalls

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Notice d installation des cartes 3360 et 3365

TARMAC.BE TECHNOTE #1

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Mettre en place un accès sécurisé à travers Internet

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Tutoriel de configuration Interfaçage SSO

Mise en route d'un Routeur/Pare-Feu

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Aperçu technique Projet «Internet à l école» (SAI)

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

TCP/IP, NAT/PAT et Firewall

Configurer ma Livebox Pro pour utiliser un serveur VPN

Configurez votre Neufbox Evolution

Catalogue «Intégration de solutions»

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Les réseaux des EPLEFPA. Guide «PfSense»

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

CONFIGURATION DE BASE

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

LAB : Schéma. Compagnie C / /24 NETASQ

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

CONFIGURATION DE BASE

La surveillance centralisée dans les systèmes distribués

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

Les systèmes pare-feu (firewall)

Administration réseau Firewall

Aménagements technologiques

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

TAGREROUT Seyf Allah TMRIM

Guide SQL Server 2008 pour HYSAS

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Formation Iptables : Correction TP

CONFIGURATION DE BASE

Sécurité et Firewall

Windows Server 2012 R2 Administration

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Environnements Numériques de Travail

TP 6 : Wifi Sécurité

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Cisco Discovery - DRSEnt Module 7

GenIP 30i : Passerelle intelligente dédiée aux applications industrielles les plus critiques

NET BOX DATA Télégestion d'équipements via Internet & Intranet

KX ROUTER M2M SILVER 3G

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Chapitre 2 Rôles et fonctionnalités

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Sécurisation du réseau

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

CS REMOTE CARE - WEBDAV

MISE EN PLACE DU FIREWALL SHOREWALL

Sauvegardes par Internet avec Rsync

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Installer le patch P-2746 et configurer le Firewall avancé

RAS-E. Serveur RAS - Routeur - Firewall. NOTICE D'UTILISATION Document référence :

CAHIER DES CLAUSES TECHNIQUES

NAS 224 Accès distant - Configuration manuelle

Figure 1a. Réseau intranet avec pare feu et NAT.

SERVICE CONTACT INSTANTANÉ GUIDE D UTILISATEUR

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

TP réseaux Translation d adresse, firewalls, zonage

Groupe Eyrolles, 2006, ISBN : X

Glossaire. Acces Denied

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

CONFIGURATION DE BASE

Formations. «Produits & Applications»

La Qualité, c est Nous!

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

acpro SEN TR firewall IPTABLES

06/11/2014 Hyperviseurs et. Infrastructure. Formation. Pierre Derouet

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

CASE-LINUX CRÉATION DMZ

TP5 VOIP résidentiel étendu Page 1 sur 7 Lp Ampere CLAVAUD

Transcription:

Fiche technique DAIP Configuration du pare-feu du serveur pédagogique Kwartz Organisation de l infrastructure réseau On distingue différents réseaux au sein de l infrastructure d un établissement. Le schéma ci-dessous illustre cette organisation pour les collèges : E.N.T. Accès Internet pédagogique indépendant (optionnel ) Wan 1 Wan 2 Boîtier de sécurité Fortinet Port 1 Port 2 Dali+ Réseau administratif Ressources en DMZ (accessible depuis tous les réseauw) Port 3 Port 4 Ressources collectivité (Télérelève, etc.) Serveur Kwartz Réseau Pédagogique On distingue 4 zones interconnectées par l intermédiaire du boîtier de sécurité de marque Fortinet. 1) Le réseau administratif. Ce réseau est géré par le serveur Dali+. Il est relié au connecteur N 1 du boîtier de sécurité. Une liaison privée (VPN) permet aux postes de ce réseau de se connecter au réseau du rectorat. Ce réseau ne doit comprendre que des postes administratifs. 2) Le réseau pédagogique. Les postes des élèves et des professeurs sont connectés à ce réseau. L accès aux autres réseaux ne peut s effectuer que par l intermédiaire du serveur Kwartz. De ce fait, le serveur est équipé d une carte réseau pour se connecter au réseau local (LAN : Local Array Network ou réseau local) et d une autre lui permettant de communiquer avec les autres réseaux (WAN : Wide Array Network ou réseau étendu). Un composant de gestion des règles d accès (le pare-feu) permet de gérer les entrées et de sorties de ce réseau. 3) La zone démilitarisée (DMZ). Cette zone permet de proposer des ressources à l ensemble (ou partie) des autres réseaux. Les règles d accès sont fixées dans le boîtier de sécurité. On placera dans cette zone des ressources devant être accessibles à partir de plusieurs réseaux (serveur Pronotes par exemple). 4) La zone publique (Internet). Cette zone est directement connectée à l Internet. Elle permet la communication des réseaux internes avec le monde extérieur. Elle permet aussi aux postes externes de communiquer avec les postes et serveurs des réseaux locaux. 5) La zone collectivité. Elle fédère l ensemble des matériels que la collectivité prend de gestion (télé-relève, etc.). Pôle pédagogique du DAIP Page 1 sur 5 15/02/2016 jmd

Organisation du réseau pédagogique Nous allons maintenant nous occuper du réseau pédagogique, réseau qui comprendra : - Le serveur Kwartz qui est, pour l ensemble des postes du réseau pédagogique, la passerelle (gateway) de sortie vers les autres réseaux. - Les matériels connectés au réseau local (postes des élèves et des professeurs, imprimantes, etc.). - Le support d interconnexion physique des matériels : câblage réseau, matériels actifs (commutateurs), etc. Dans la suite de ce document, nous nous attarderons uniquement sur les échanges entre le serveur, les postes du réseau local et l accès vers les réseaux externes Les flux réseau mis en jeu Si l on reprend l organisation (simplifiée) du réseau local physique (colonne de gauche ci-dessous), on peut associer les différents flux possibles vers le serveur et/ou les postes du réseau (colonne de droite). Organisation physique Flux réseau Dans le schéma ci-dessus, on visualise donc que le pare-feu est l élément logiciel où va transiter l ensemble des flux entrant et sortant du serveur. Ces flux pourront être émis par le serveur et par les postes du réseau ou reçu d un réseau externe à destination du serveur ou des postes du réseau. On peut donc rapporter cela à l interface de gestion du pare-feu visible dans l interface Kwartz~Control. Pôle pédagogique du DAIP Page 2 sur 5 15/02/2016 jmd

Le tableau d affichage des règles du pare-feu se décompose ainsi : - Le nom du service concerné (Ping, Web, pages Internet (http, https), etc. - L état du flux entrant pour le serveur (Pour le serveur Kwartz / en entrée) : voir flux - L état du flux sortant pour le serveur Kwartz (Pour le serveur Kwartz / en sortie) : voir flux - L état du flux sortant pour les postes du réseau (Pour tous les postes / en sortie) : voir flux Analyse des règles par défaut La copie d écran ci-dessous reprend le paramétrage de base du pare-feu. On voit que certains flux ne sont pas autorisés. Par exemple si on analyse le service «web, pages internet (http/https)» on s aperçoit que l accès pour tous les postes est «non autorisé». Cela parait étrange car les postes peuvent pourtant consulter des pages Web internes ou externes. Cela s explique car l accès Internet des postes exploite un service du serveur Kwartz nommé proxy-cache (Squid). Quand un usager demande l affichage d une page web, il sollicite le serveur Proxy du serveur Kwartz (il faut impérativement que son navigateur web soit correctement configuré). Ce dernier va chercher (à la place du navigateur de l usager) les ressources demandées (c est la fonction proxy) puis les mémorise localement (c est la fonction cache qui permettra de fournir ces mêmes données à plusieurs postes sans effectuer un nouvel accès à l Internet). Il va ensuite fournir ces informations au navigateur de l usager. D autre part un système de filtrage (Squiguard) permettra d autoriser ou d interdire certaines ressources du web (filtrage d accès internet). Pour définir une règle, il faut pourvoir caractériser son flux, nous avons donc besoin de déterminer : - Son nom (Cette information est facultative mais elle facilitera la compréhension de la règle). - Le protocole qu il utilise (TCP, UDP, ). - Le port de connexion utilisé par ce flux. Pôle pédagogique du DAIP Page 3 sur 5 15/02/2016 jmd

- Le sens des échanges entre l émetteur et le récepteur. On prend pour exemple le flux http qui utilise un protocole TCP sur le port 80 (valeur standards). Une ouverture du port 80 pour tous les postes revient à supprimer le cache Proxy mais aussi le système de filtrage (ce n est donc pas une bonne idée d ouvrir ce flux ). De même pour le flux https (port 443). On voit donc qu il ne devrait pas exister de règle de pare-feu qui ouvre les ports 80 et/ou 443 pour tous les postes. Il faut aussi noter que certaines actions sur des services spécifiques (serveur web intranet/extranet, etc.) ont une incidence sur le pare-feu. Comment savoir si le pare-feu protège bien mon serveur et les postes de mon réseau? Il suffit d appliquer la règle suivante : Tous les accès entrant et sortant doivent être fermés sauf ceux indispensable au bon fonctionnement (voir la copie d écran page précédente). On peut maintenant justifier de l ouverture des flux pour les règles ci-dessous : - La maintenance IRIS devra être ouverte en entrée sur le serveur de manière à permettre une maintenance à distance (Iris technologies se connecte sur le serveur sur le port 22 en TCP pour assurer des maintenances). - La PRTICE accède à l interface Kwartz~Control à partir de chez lui. Le service Kwartz~control devra être ouvert en entrée sur le serveur. Ce service, fonctionnant sur le serveur, utilise le protocole HTTPS sur le port 9999 (port non standard). - On met à la disposition des usagers d Internet (les enseignants à partir de chez eux) un système de réservation de ressources qui est installé sur le serveur Kwartz. Comme ces usagers doivent s authentifiés, on utilisera un service web crypté (https) qui permettra cela. Il faut noter que ce service est aussi disponible sur le réseau local par l intermédiaire de l accès web (https) par le service proxy du serveur Kwartz. Remarque importante : tous les postes du réseau local ont accès à tous les ports du serveur Kwartz. On utilise donc le pare-feu pour gérer uniquement des flux qui transitent entre les 2 interfaces réseau du serveur. Comment faire si aucune règle par défaut ne convient au service que je veux mettre en place? Il faut donc créer une nouvelle règle en déterminant les caractéristiques du flux devant être ouvert. Par exemple, je désire donner accès au serveur Pronotes à l ensemble des postes de mon réseau. Ce serveur est installé sur le DMZ de mon établissement. Les postes utilisent un logiciel (client Pronotes) qui doit se connecter en TCP sur le port 49300 de mon serveur Pronotes (flux sortant pour tous les postes). Il faudra donc que le port 49300 (TCP) soit ouvert en sortie pour tous les postes. L ajout de cette règle permet donc aux postes de mon réseau pédagogique de se connecter sur le port 49300 de mon serveur Pronotes (externes à mon réseau). Pôle pédagogique du DAIP Page 4 sur 5 15/02/2016 jmd

Création d une translation de port La translation de ports va permettre à des postes du réseau externe de se connecter à un poste spécifique du réseau local. Flux entrant pour le serveur https://195.201.150.12:4444 Système d exploitation du serveur Kwartz Services offerts par le Serveur Kwartz Redirection de la requête Requête transmise https://172.16.253.254 Flux vers le serveur (requête entrante) Système d exploitation du poste Services du poste Applications Poste de pilotage du robot 172.16.253.254 Cette fonctionnalité ne doit être utilisée que dans des cas très spécifiques. Dans une configuration classique vous n aurez pas à utiliser cette fonctionnalité. Exemple : Mon établissement dispose d un robot pilotable depuis l internet au travers d une interface web classique en https (port 443) car l usager doit s authentifier pour piloter le robot). Sur le réseau local, l ordinateur qui pilote le robot possède l adresse IP locale 172.16.253.254. Il n y a aucun problème pour accéder à l interface de pilotage à partir du réseau local. Par contre, si je désire donner un accès à ce robot aux usagers depuis l Internet il me sera impossible d ouvrir en entrée le port 443 (car seul le serveur Kwartz est accessible sur ce port). Je dois donc mettre en place une règle de translation du port qui permet de dire que si j accède en TCP au serveur Kwartz sur le port 4444 alors il faut rediriger ce flux vers l adresse IP 172.16.253.254 sur le port 443 (port standards https). Il faut noter que le port 4444 du serveur est pris ici de façon totalement arbitraire mais qu il est indispensable : - De fixer cette valeur sur un port supérieur à 1024. - Que ce dernier ne soit pas en cours d utilisation (comme les ports 8888 : interface des responsables, 9999 : Kwartz~control, etc.). Pôle pédagogique du DAIP Page 5 sur 5 15/02/2016 jmd

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back