Mise en œuvre d`un pare
Transcription
Mise en œuvre d`un pare
Mise en œuvre d'un pare-feu : IPCop MISE EN OEUVRE D'UN PARE-FEU IPCop 1/ Installation : Nous disposons : d'une machine physique, équipée de 3 cartes réseaux : c'est le minimum requis pour notre contexte, d'une iso IPCop v2.1.8 gravée sur CD. Booter sur le CD pour lancer l'installation L'installation commence : 1. 2. 3. 4. 5. sélectionner la langue, choisir le type de clavier sélectionner le fuseau horaire régler l'heure et la date sélectionner le disque sur lequel IPCop sera installé Lors de l'installation sur disque dur, l'assistant demande “disque dur” ou “flash” confirmer le disque dur Une fois l'installation terminée, il faut configurer les interfaces réseaux. 2/Configuration des différentes interfaces réseau: Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE : Interface rouge : Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger les autres réseaux et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. Interface Verte : Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. Interface orange : Ce réseau optionnel vous permet d'isoler sur un réseau séparé, vos serveurs accessibles au public, c'est-à-dire votre DMZ. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. Interface bleue : Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accéder au réseau VERT sauf par le biais d’œilletons volontairement établis, ou par le biais d’un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. Pour notre contexte Booktic, nous n'utiliserons pas de réseau bleu. Sélectionner une carte et cliquer sur "sélectionner": pour lui attribuer la couleur verte (réseau local) par exemple puis cliquer sur "Assigner": Refaire la même opération pour les autres cartes. pour arriver à la fenêtre suivante : Pour rappel , dans notre contexte Booktic : interface rouge => accès vers l'extérieur interface verte => accès au réseau local interface orange => DMZ 3/ Adressage des différentes interfaces : Pour chaque réseau, il suffit de renseigner les champs avec les bonnes informations : IP de cette interface dans le réseau Masque du réseau IP du serveur DNS passerelle par défaut On répète l'opération pour chacune des interfaces. 4/ Configuration des différents mots de passe : Pour finir la configuration, l'assistant demande de renseigner plusieurs mots de passe : root ⇒ accès en ligne de commande pour l'utilisateur root admin ⇒ accès via un navigateur web pour l'administrateur backup ⇒ protection de la clé de cryptage des sauvegardes dial ⇒ autorisation d'utiliser les boutons Connecter et Déconnecter sur la page d’accueil d'IPCop pour l'utilisateur Dial 5/ Ajout de route dans IPCop : Pour pouvoir donner accès à internet aux sous-réseaux, il faut qu'IPCop connaisse la route pour joindre le réseau distant. En ligne de commande, authentifié en tant que root, tapez : # root@ipcop:~ # vi /etc/rc.d/rc.event.local insérer les lignes suivantes : valider en tapant “:wq!” Pour que les règles soient appliquées, il faut redémarrer IPCop, tapez “ reboot “ 6/ Rédaction des règles de filtrage : Prenons l'exemple du trafic http et https. Nous paramétrons IPCop pour que toutes les requêtes Web passent par le Proxy. On se connecte à l'interface de gestion d'IPECop (interface LAN, verte) en tapant dans la barre du navigateur l'URL : http://172.16.255.1:8443 login : admin password : Ligfy! Nous allons créer plusieurs règles de pare-feu de trafic en sortie : - trafic http et https autorisé pour le Proxy - trafic http et https interdit pour le vlan 10 (vlan data)et pour le vlan 50 (vlan WiFi) Cliquer sur Pare-feu, puis "règles du pare-feu". Cliquer sur "Trafic en sortie" et compléter les champs suivants : Interface par défaut : VERT Format d'adresse : IP Adresse Source : 172.16.15.5 (IP du Proxy) Port source utilisé : 80 Destination : Trafic en sortie Interface par défaut : ROUGE Réseau par défaut : Any Service utilisé : http Additionnel : Règle activée : case à cocher Action de la règle : ACCEPTER Remarque : permet de préciser ce que fait la règle Enfin, cliquer sur suivant : Enfin cliquer sur "Enregistrer". On crée une règle à l'identique pour le trafic https du Proxy. Il faut encore interdire les trafics http et https pour le vlan 10 (data) et le vlan 50 (wifi). Cliquer sur "trafic en sortie" et créer un règle comme ci-dessous : Cliquer sur enregistrer et reproduire la même règle pour le trafic https. Il ne reste plus qu'à recopier ces 2 règles pour le vlan 50 en changeant simplement l'IP réseau source , à savoir 172.17.16.0/24 (notre vlan 50). On teste avec un http://www.google.fr navigateur que le blocage est effectif en tapant l'URL Il ne reste plus qu'à configurer les navigateurs web des hôtes du réseau pour que le trafic Web soit redirigé vers le Proxy.