Epti securite

BTS INFORMATIQUE
DE GESTION
COMPTE-RENDU
ACTIVITE N°3
Option
Administrateur de réseaux
Développement d’applications
D’ACTIVITE
Nom et Prénom : BARTHELEMY Fabien
Identification (objectif) de l’activité
Installation de deux réseaux virtuels par adresse IP sur un switch HP ProCurve 2626 grâce à
l’applicatif Tera Term, et d’un routeur filtrant entre les deux VLANS avec la distribution Linux
Ubuntu 9.04 Server et IPTables.
Contexte dans lequel le projet s’inscrit
(action professionnelle avec définition d’une mission plus globale)
Mon entreprise accueille souvent des personnes intérimaires qui ont un accès informatique, ces
personnes on seulement besoin d’accéder à notre site intranet et non aux autres ressources
disponibles. Nous avons donc décidé de partager le réseau des postes destinés aux personnes de
passage et le reste du réseau. Nous ne voulons pas mettre en place une grande quantité de
matériel et nous avons besoin d’une grande souplesse d’administration pour rapidement faire face
aux déménagements éventuels des postes. La solution réunissant toutes ces demandes est de
mettre en place des réseaux virtuels.
Conditions de réalisation
Travail effectué :
Individuellement
En groupe
Travail effectué dans :
Entreprise
Lycée : contexte professionnel
Lycée : à partir de TP
Type d’intervention :
Installation
Configuration
Administration
Autre
Autres contraintes
-
Besoin d’une grande souplesse d’administration.
Petit budget ce que implique peu de matériel réseau.
Augmentation de la sécurité du réseau.
Aucune manipulation ne doit être faite sur les serveurs.
Compétences couvertes
No
Intitulé du référentiel
C22
Installer et configurer un réseau
C23
Installer et configurer un dispositif de
sécurité
C26
Installer un périphérique
Mise en œuvre dans l’activité
Mise en place et configuration IP du switch
et des postes.
Mise en place de vlans de niveau 3 et d’un
routeur filtrant.
Installation d’une seconde carte réseau
pour le routeur.
Prérequis :
-
1 poste client configuré sur le réseau 192.168.217.0/24.
2 serveurs Ubuntu 9.04 (routeur filtrant et serveur web).
1 windows server 2008 configuré sur le réseau 192.168.216.0/24.
1 switch administrable HP ProCurve.
Configuration du switch :
Pour pouvoir administrer le switch, il faut se connecter dessus grâce au port
COM (il est ensuite possible de le rendre administrable par le réseau en activant
l’option). Pour me connecter sur le port console j’utilise le logiciel Tera Term :
Ma connexion est maintenant établie, pour être sûr qu’aucune configuration préexistante ne
vienne perturber les opérations, je réinitialise le système grâce à la commande : erase stratupconfig.
Création des réseaux virtuels :
Nous avons décidé de mettre en place des VLAN de niveau 3 (VLAN par adresses IP).
Nous allons avoir deux réseaux virtuels avec des adresses réseaux différentes : 192.168.216.0/24
et 192.168.217.0/24. Ce niveau de VLAN nous permet d’avoir une grande souplesse
d’administration, en cas de déplacement du matériel aucune manipulation n’aura besoin d’être
faite sur le commutateur.
Je crée maintenant mes réseaux virtuels grâce à l’applicatif Tera Term :
Je laisse le VLAN par défaut du switch pour les postes des permanents.
Attribution des adresses au VLANS :
Je peux maintenant administrer mon switch grâce à mon explorateur internet :
Mise en place du routeur filtrant :
J’utilise une Ubuntu 8.04 avec le firewall iptables. Le routeur filtrant va me permettre
d’autoriser les requêtes http entre mes deux VLANS et d’interdire tout le reste.
Pour mettre en place le routage je modifie le fichier /etc/sysctrl.conf en décommandant la ligne :
net.ipv4.ip_forward=1
Je crée ensuite mes règles iptables :
- Règle par défaut qui interdit tout le trafic entre les deux VLANS :
iptables –P FORWARD DROP
iptables –P INPUT DROP
iptables –P OUTPUT DROP
- Autoriser le trafic http entre le VLAN PASSAGE et le VLAN par défaut :
iptables –A FORWARD –s 192.168.217.0/24 –d 192.168.216.0/24 –p tcp --dport 80 –j ACCEPT
iptables –A FORWARD –s 192.168.216.0/24 –d 192.168.217.0/24 –p tcp --sport 80 –j ACCEPT
- Autoriser la communication DNS entre les deux VLANS ce qui permet à l’utilisateur d’entrer
une URL plutôt qu’une adresse IP :
iptables –A FORWARD –s 192.168.217.0/24 –d 192.168.216.0/24 –p udp --dport 53 –j
ACCEPT
iptables –A FORWARD –s 192.168.216.0/24 –d 192.168.217.0/24 –p udp --sport 53 –j ACCEPT
- Mise en place des journaux, je vais ainsi avoir accès à toutes les tentatives des connections du
VLAN PASSAGE au VLAN par défaut :
iptables -A FORWARD -j LOG --log-level warning --log-prefix="FORWARD BLOQUES ==>"
J’ai mis ces règles dans un script bash qui se lance en même temps que le système, ceci me
permet d’avoir en permanence mes règles actives.
Mes deux réseaux sont désormais bien dissociés, les postes du VLAN PASSAGE n’ont
accès qu’au site intranet de la société, de plus grâce aux logs je peux observer les tentatives de
connexion infructueuses.