Le laboratoire Galaxy Swiss Bourdin (GSB)



Documents pareils
A5.2.3, Repérage des compléments de formation ou d'autoformation

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Mise en route d'un Routeur/Pare-Feu

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

pfsense Manuel d Installation et d Utilisation du Logiciel

Figure 1a. Réseau intranet avec pare feu et NAT.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

TAGREROUT Seyf Allah TMRIM

Configurer ma Livebox Pro pour utiliser un serveur VPN

Pare-feu VPN sans fil N Cisco RV120W

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Tutoriel réalisé par luo. Version du 22/02/14

LAB : Schéma. Compagnie C / /24 NETASQ

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Mise en place d un firewall d entreprise avec PfSense

MISE EN PLACE DU FIREWALL SHOREWALL

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

TCP/IP, NAT/PAT et Firewall

Sécurité des réseaux Firewalls

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

Présentation du modèle OSI(Open Systems Interconnection)

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Services Réseaux - Couche Application. TODARO Cédric

Basculement de connexions Internet

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

z Fiche d identité produit

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

CONFIGURATION DE BASE

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

1 PfSense 1. Qu est-ce que c est

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Le filtrage de niveau IP

ALOHA Load Balancer Guide de démarrage

Internet Subscriber Server II. Just plug in... and go to the Internet

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Cisco RV220W Network Security Firewall

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

wiki.ipfire.org The official documentation for IPFire - An Open Source Firewall Solution Outils

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Pare-feu VPN sans fil N Cisco RV110W

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

PROJET D INTERCONNEXION

Installation d un serveur AmonEcole

CONFIGURATION DE BASE

FreeNAS Shere. Par THOREZ Nicolas

Administration de Réseaux d Entreprises

Sécurité GNU/Linux. Iptables : passerelle

Routeur VPN Wireless-N Cisco RV215W

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Présentation du logiciel Free-EOS Server

Cisco RV220W Network Security Firewall

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

CONFIGURATION DE BASE

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

NAS 224 Accès distant - Configuration manuelle

Positionnement produit

PACK SKeeper Multi = 1 SKeeper et des SKubes

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

TP4 : Firewall IPTABLES

CONFIGURATION DE BASE

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Aperçu technique Projet «Internet à l école» (SAI)

Configurez votre Neufbox Evolution

Manuel d installation UCOPIA Advance

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Live box et Nas Synology

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

UCOPIA EXPRESS SOLUTION

Le rôle Serveur NPS et Protection d accès réseau

TP LAN-WAN 2007/2008

Cloud public d Ikoula Documentation de prise en main 2.0

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Présentation du ResEl

Linux sécurité des réseaux

Fonctions Réseau et Télécom. Haute Disponibilité

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

But de cette présentation

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Devoir Surveillé de Sécurité des Réseaux

UCOPIA SOLUTION EXPRESS

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protéger une machine réelle derrière une machine virtuelle avec pfsense

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Transcription:

Le laboratoire Galaxy Swiss Bourdin (GSB) Page 0

PROJET D ETUDE SUR LA MISE EN PLACE D UN Travail effectué par : LARANT Wilfried LEMAITRE Florian COMOTTI Arnaud Page 1

Table des matières I. Objectif... 3 II. Principales fonctionnalités du Firewall... 3 a) Présentation... 4 b) Points forts... 4 III. Procédure d installation... 6 IV. Règles de filtrage mises en place... 10 1) Solution à mettre en place... 10 2) Table de filtrage... 11 Le Fonctionnement de la Nat... 13 a. Mise en place du NAT pour GSB... 16 Page 2

I. Objectif Nous devons mettre en place un firewall pour la mise en place d une DMZ où il y aura un serveur WEB IIS. Les systèmes pare-feu (firewall) permettent de définir des règles d'accès entre deux réseaux. Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre en place des architectures de systèmes pare-feu permettant d'isoler les différents réseaux de l'entreprise : on parle ainsi de «cloisonnement des réseaux». Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de «zone démilitarisé» (notée DMZ) pour désigner cette zone isolée hébergeant des applications mises à disposition du public. Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles d'être accédés depuis Internet seront situés en DMZ. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local. II. Principales fonctionnalités du Firewall M0n0wall est un dérivé embarqué de FreeBSD spécialisé en pare-feu (firewall). Le but premier du projet était de générer un firewall très réduit en taille (pour pouvoir facilement le faire tenir sur une mémoire Flash) et très rapide (au boot notamment). Le constat de départ est que les UNIX libres utilisent trop d interpréteurs différents (ex.: shell, Perl, Python, PHP, ) pour leurs scripts de démarrage (initscripts) et leur gestion. Ils ont alors décidé de n en garder qu un, et comme ils voulaient une interface web pour leur firewall, ils ont sélectionné PHP. Grâce à ces deux choix, ils ont obtenu un système très économe en espace disque (de telle sorte qu on peut le mettre sur un tout petit média ) et RAM. Ensuite, ils se sont dit qu un fichier XML serait approprié pour stocker toute la configuration. Et le résultat est qu un seul fichier (XML) sauvegardé permet de restaurer un firewall en quelques instants, que les erreurs dans ce fichier sont faciles à trouver/éviter, et qu on peut facilement le faire tourner depuis un média en lecture seule (read-only, comme un CD par exemple). Page 3

a) Présentation Monowall est un firewall libre et gratuit qui permet aux professionnels et aux utilisateurs ayant peu de connaissances en pare feu d'en configurer un sur une machine simple ou sur un réseau conséquent, le but étant d assurer la sécurité. Sur le plan Hardware Mon0Wall est rapide et facile à installer grâce aux seulement 64Mo qui lui sont nécessaires pour fonctionner. Sur le plan Software, Monowall est un pare feu simple et performant. Il n'est pas composé d'une pléthore de fonctionnalités. Mais ces règles de filtrage, le service SSH, son agent SNMP, et le proxy ARP le rendent efficace. Il dispose d'une interface web propre et ergonomique pour sa configuration, et les sauvegardes de configuration sont simples à effectuer et à déployer, grâce à un fichier XML. M0n0wall ne permet pas les connexions, il n y a pas de port console ni la possibilité de se connecter en telnet ou SSH b) Points forts Voici la liste des principaux points forts de m0n0wall : Un système très compact Configuration simple Facilité de mise en œuvre, de configuration, d'administration (très facile et intuitif) Intégration facile dans un grand réseau avec toutes ses contraintes architecturales Pas de licence à gérer Translation sur les adresses source et destination simultanément Peu gourmand en ressource Une communauté très active ( mailing-listes et nombreux articles sur le Web ) Peu de critiques et bugs Bonne documentation Page 4

M0n0wall fournit la plupart des fonctionnalités de pare-feu commerciaux coûteux, y compris: interface web (supporte SSL) interface de console série pour la récupération o o o o définir l'adresse IP LAN réinitialiser le mot de passe rétablir les paramètres d'usine système de redémarrage le soutien sans fil (y compris le mode point d'accès) portail captif Support VLAN 802.1Q Support IPv6 filtrage dynamique des paquets o o règles bloc / de passe enregistrement NAT / PAT (y compris 1: 1) Client DHCP, PPPoE et PPTP appui sur l'interface WAN Tunnels VPN IPsec (IKE; avec le support des cartes cryptographiques matérielles, les clients mobiles et certificats) VPN PPTP (avec le soutien du serveur RADIUS) routes statiques serveur DHCP et relais la mise en cache DNS transitaire Client DynDNS et RFC 2136 de mise à jour DNS Agent SNMP shaper de la circulation Traffic Grapher basé SVG- mise à jour du firmware via le navigateur Web Wake on LAN client Page 5

sauvegarde de la configuration / restauration M0n0wall contient les composants logiciels suivants FreeBSD composants (noyau, programmes utilisateur) ipfilter PHP (version CGI) thttpd MPD Serveur ISC DHCP ez-ipupdate (les mises à jour DynDNS) Dnsmasq (pour le transitaire de cache DNS) racoon (pour IPsec IKE) III. Procédure d installation - Il faut tout d abord lancer l iso de m0n0wall, il s installe et on arrive directement sur l interface du m0n0wall : - Il faut configurer l interface LAN pour y accéder par l interface web. Page 6

- Depuis un Windows, il faut aller sur internet Explorer et rentrer l Ip lan que l on a configuré, le login est «admin» et le mot de passe est «mono» Page 7

- On arrive directement sur l interface web du firewall : on peut changer le mot de passe et le login : - Il faut aussi assigner chaque interface aux différentes cartes réseaux Page 8

- Ainsi que donner des adresses Ip sur chaque interface - Pour configurer le filtrage pour chaque interface : Page 9

IV. Règles de filtrage mises en place 1) Solution à mettre en place Il faut que le réseau externe (Wan, internet) n ait accès qu à la DMZ. La zone DMZ ne doit avoir accès qu au réseau externe. Par contre le réseau interne (Lan) doit avoir accès à tout. Pour ce faire, nous devons en premier lieu comprendre les différentes options des règles qui sont présentes : Action : PASS : faire passer, BLOCK : Interdire Interface : Par l interface choisit Protocole : Laisser passer les protocoles choisis Source : Endroit d où le packet part Source port range : Spécifie la plage du port ou le port de la source du paquet pour cette règle. Destination : Endroit ou le packet doit aller Destination port : Spécifie la plage du port ou le port de la destination du paquet pour cette règle. Page 10

2) Table de filtrage - Table de filtrage sur l interface de la DMZ Page 11

- Règle de filtrage sur l interface WAN o La première et deuxieme règles autorisent le trafic venant de n importe quelles adresses Ip sur n importe quels ports vers le serveur 10.54.0.4 (serveur web) sur les ports 80 et 443 : elle permet l accès au site web gsb Page 12

- Règle de filtrage sur l interface Lan La règle autorise le réseau interne avoir accès à tout. Le Fonctionnement de la Nat a. Définir le contexte de la NAT Toutes les machines connectées (PCs, serveurs, imprimantes réseau, smarthphones, télévisions multimédias...) disposent d'une adresse ("adresse IP") permettant de l'identifier sur le réseau. Il existe deux sortes d'adresses: les privées et les publiques. Une adresse privée est seulement valable sur un réseau privé et ne peut donc pas être utilisé pour communiquer sur un réseau public comme Internet. En effet, Internet n'accepte de véhiculer que des adresses publiques. Le principal intérêt de l'utilisation d'adresses IP privées est de disposer d'un grand nombre d'adresses pour bâtir ses réseaux privées (entreprises, domicile...) et ainsi de palier au cruel manque d'adresses IP publiques du réseau IP version 4. Le principe du NAT consiste donc à utiliser une passerelle de connexion à internet, possédant au moins une interface réseau connectée sur le réseau interne et au moins une Page 13

interface réseau connectée à Internet (possédant une adresse IP routable), pour connecter l'ensemble des machines du réseau Le déploiement d'ip v6 n'étant pas encore finalisé (ou même commencé...). Il est indispensable d'utiliser les technologies de NAT pour permettre aux machines disposant d'adresses privées de pourvoir communiquer sur Internet. b. Le fonctionnement de la NAT On active le mécanisme de NAT sur les routeurs faisant le lien entre les réseaux privées et publics. Le principe général est de remplacer l'adresse IP source privée de la machine par l'adresse IP publique du routeur. Le PC client va émettre un paquet sur son réseau avec comme adresse source son adresse privée. Le Routeur client (qui active par défaut le mécanisme NAT dynamique), va remplacer dans le paquet l'adresse privée du PC par son adresse publique. Elle va en parallèle de cela garde en mémoire l'association (Adresse IP privée du PC > Adresse IP publique du serveur / Port client-serveur). Le serveur va donc recevoir par Internet ce paquet modifié auquel il va répondre avec un paquet de retour ayant pour adresse de destination l'adresse IP publique du Routeur client. Celle-ci va recevoir le paquet et finalement remplacer l'adresse IP publique du routeur client par l'adresse privée du PC. c. Le NAT Dynamique / Statique Le NAT statique consiste à associer une adresse IP publique à une adresse IP privée interne au réseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer à une adresse IP privée (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et Page 14

de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. L inconvénient est qu il est possible de traduire une seul adresse IP Privé. Le NAT Dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même adresse IP. C'est la raison pour laquelle le terme de «mascarade IP» (en anglais IP masquerading) est parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique. d. Redirection de Port La translation d'adresse ne permet de relayer que des requêtes provenant du réseau interne vers le réseau externe, ce qu'il signifie qu'il est impossible en tant que tel pour une machine externe d'envoyer un paquet vers une machine du réseau interne. En d'autres termes, les machines du réseau interne ne peuvent pas fonctionner en tant que serveur vis-à-vis de l'extérieur. Pour cette raison, il existe une extension du NAT appelée «redirection de port» (en anglais Port Forwarding ou Port mapping) consistant à configurer la passerelle pour transmettre à une machine spécifique du réseau interne, tous les paquets réçus sur un port particulier. Ainsi, si l'on souhaite pouvoir accéder de l'extérieur à un serveur web (port 80) fonctionnant sur la machine 192.168.1.2, il sera nécessaire de définir une règle de redirection de port sur la passerelle, redirigeant tous les paquets TCP reçus sur son port 80 vers la machine 192.168.1.2. Page 15

a. Mise en place du NAT pour GSB Nous avons mis en place du Nat dynamique pour les serveurs Web. Page 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back