Epti securite
Transcription
Epti securite
BTS INFORMATIQUE DE GESTION COMPTE-RENDU ACTIVITE N°3 Option Administrateur de réseaux Développement d’applications D’ACTIVITE Nom et Prénom : BARTHELEMY Fabien Identification (objectif) de l’activité Installation de deux réseaux virtuels par adresse IP sur un switch HP ProCurve 2626 grâce à l’applicatif Tera Term, et d’un routeur filtrant entre les deux VLANS avec la distribution Linux Ubuntu 9.04 Server et IPTables. Contexte dans lequel le projet s’inscrit (action professionnelle avec définition d’une mission plus globale) Mon entreprise accueille souvent des personnes intérimaires qui ont un accès informatique, ces personnes on seulement besoin d’accéder à notre site intranet et non aux autres ressources disponibles. Nous avons donc décidé de partager le réseau des postes destinés aux personnes de passage et le reste du réseau. Nous ne voulons pas mettre en place une grande quantité de matériel et nous avons besoin d’une grande souplesse d’administration pour rapidement faire face aux déménagements éventuels des postes. La solution réunissant toutes ces demandes est de mettre en place des réseaux virtuels. Conditions de réalisation Travail effectué : Individuellement En groupe Travail effectué dans : Entreprise Lycée : contexte professionnel Lycée : à partir de TP Type d’intervention : Installation Configuration Administration Autre Autres contraintes - Besoin d’une grande souplesse d’administration. Petit budget ce que implique peu de matériel réseau. Augmentation de la sécurité du réseau. Aucune manipulation ne doit être faite sur les serveurs. Compétences couvertes No Intitulé du référentiel C22 Installer et configurer un réseau C23 Installer et configurer un dispositif de sécurité C26 Installer un périphérique Mise en œuvre dans l’activité Mise en place et configuration IP du switch et des postes. Mise en place de vlans de niveau 3 et d’un routeur filtrant. Installation d’une seconde carte réseau pour le routeur. Prérequis : - 1 poste client configuré sur le réseau 192.168.217.0/24. 2 serveurs Ubuntu 9.04 (routeur filtrant et serveur web). 1 windows server 2008 configuré sur le réseau 192.168.216.0/24. 1 switch administrable HP ProCurve. Configuration du switch : Pour pouvoir administrer le switch, il faut se connecter dessus grâce au port COM (il est ensuite possible de le rendre administrable par le réseau en activant l’option). Pour me connecter sur le port console j’utilise le logiciel Tera Term : Ma connexion est maintenant établie, pour être sûr qu’aucune configuration préexistante ne vienne perturber les opérations, je réinitialise le système grâce à la commande : erase stratupconfig. Création des réseaux virtuels : Nous avons décidé de mettre en place des VLAN de niveau 3 (VLAN par adresses IP). Nous allons avoir deux réseaux virtuels avec des adresses réseaux différentes : 192.168.216.0/24 et 192.168.217.0/24. Ce niveau de VLAN nous permet d’avoir une grande souplesse d’administration, en cas de déplacement du matériel aucune manipulation n’aura besoin d’être faite sur le commutateur. Je crée maintenant mes réseaux virtuels grâce à l’applicatif Tera Term : Je laisse le VLAN par défaut du switch pour les postes des permanents. Attribution des adresses au VLANS : Je peux maintenant administrer mon switch grâce à mon explorateur internet : Mise en place du routeur filtrant : J’utilise une Ubuntu 8.04 avec le firewall iptables. Le routeur filtrant va me permettre d’autoriser les requêtes http entre mes deux VLANS et d’interdire tout le reste. Pour mettre en place le routage je modifie le fichier /etc/sysctrl.conf en décommandant la ligne : net.ipv4.ip_forward=1 Je crée ensuite mes règles iptables : - Règle par défaut qui interdit tout le trafic entre les deux VLANS : iptables –P FORWARD DROP iptables –P INPUT DROP iptables –P OUTPUT DROP - Autoriser le trafic http entre le VLAN PASSAGE et le VLAN par défaut : iptables –A FORWARD –s 192.168.217.0/24 –d 192.168.216.0/24 –p tcp --dport 80 –j ACCEPT iptables –A FORWARD –s 192.168.216.0/24 –d 192.168.217.0/24 –p tcp --sport 80 –j ACCEPT - Autoriser la communication DNS entre les deux VLANS ce qui permet à l’utilisateur d’entrer une URL plutôt qu’une adresse IP : iptables –A FORWARD –s 192.168.217.0/24 –d 192.168.216.0/24 –p udp --dport 53 –j ACCEPT iptables –A FORWARD –s 192.168.216.0/24 –d 192.168.217.0/24 –p udp --sport 53 –j ACCEPT - Mise en place des journaux, je vais ainsi avoir accès à toutes les tentatives des connections du VLAN PASSAGE au VLAN par défaut : iptables -A FORWARD -j LOG --log-level warning --log-prefix="FORWARD BLOQUES ==>" J’ai mis ces règles dans un script bash qui se lance en même temps que le système, ceci me permet d’avoir en permanence mes règles actives. Mes deux réseaux sont désormais bien dissociés, les postes du VLAN PASSAGE n’ont accès qu’au site intranet de la société, de plus grâce aux logs je peux observer les tentatives de connexion infructueuses.