firewall securisation d`un reseau d`entreprise travaux pratiques

Transcription

MAUREY SIMON
PICARD FABIEN
LP SARI
FIREWALL
ET
SECURISATION RESEAU
D'ENTREPRISE
D'UN
TRAVAUX PRATIQUES 4
TP 4 – FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE -
1
SOMMAIRE
1.
2.
3.
4.
INTRODUCTION
MATERIEL REQUIS
ARCHITECTURE PHYSIQUE DU RESEAU MISE EN ŒUVRE
FIREWALL
4.1. QU'EST CE QU'UN FIREWALL ?
4.2. LE PIX 515E CISCO
5. MISE EN PLACE DE REGLES DE FILTRAGE PROTOCOLAIRE
6. MISE EN ŒUVRE DE LA TRANSLATION D'ADRESSE
7. CONCLUSION
1. INTRODUCTION
L'ouverture des réseaux privés au monde Internet engendre de nombreux problèmes
concernant l'accès au réseau privé mais aussi en terme de sécurité. Il est important de bien
isoler le réseau privé car il peut contenir de nombreuses informations confidentielles et subir
l'assaut de nombreuses attaques par des pirates en quêtes de reconnaissance mais aussi dans
des cas d'espionnage industriel. Dans le but de sécuriser un réseau d'entreprise, un moyen
matériel ou logiciel est à mettre en place, le firewall ou pare-feu en français. La connaissance
et la maîtrise de ce type de matériel est très importante et est une notion fondamentale à
connaître. L'objectif de ce TP est de découvrir un matériel tout nouveau afin de le configurer
et de le mettre en place dans un réseau d'entreprise avec comme documentation, celle fournie
par le constructeur et Internet.
Nous verrons plus loin dans le rapport qu'est ce qu'un firewall et quelle est son utilité.
Nous parlerons aussi du firewall matériel Pix 515E de chez Cisco sur lequel nous avons
travaillé. Nous traiterons aussi de la mise en place des règles de filtrage protocolaire des flux
entre les différentes interfaces du firewall, ainsi que de l'utilisation de la translation d'adresse
NAT et PAT.
2. MATERIEL REQUIS
•
•
•
•
•
•
•
3 x PC sous Windows ou Linux avec couche TCP/IP installée
1 x Logiciel d'émulation de terminal pour le management "OUTBAND"
1 x Câble de console Cisco
1 x Firewall Cisco PIX 515E
1 x Commutateur Cisco C2950-12
1 x Logiciel d'analyse Ethernet
Divers : Câbles Ethernet droits et croisés de Cat. 5
2
3. ARCHITECTURE PHYSIQUE DU RESEAU MISE EN ŒUVRE
Schéma du réseau mise en place
Le réseau mise en œuvre pour notre découverte du Firewall est constitué de trois PC
branchés chacun sur une interface du PIX 515E simulant un PC sur le réseau MilitariZed ou
réseau local dit "protégé", un sur le réseau "DeMilitariZed" correspondant à un réseau local
"non protégé" et un dernier sur le réseau externe qui pourrait être Internet par exemple.
Nom Interface
PC1
PC2
PC3
Ethernet1
Ethernet0
Ethernet2
MZ : MilitariZed
Zone
MZ
DMZ
External
MZ
External
DMZ
Adresse IP/Masque
192.168.1.2/24
192.168.2.2/24
192.168.3.2/24
192.168.1.1/24
192.168.3.1/24
192.168.2.1/24
DMZ : DeMilitariZed
Tableau récapitulatif de la configuration mise en place
PC1 et PC2 fonctionnaient sous MS Windows 2000 tandis que PC3 était sous MS
Windows XP. De plus chaque machine était équipée d'un serveur Web Apache avec une page
d'index codée en HTML et PHP. On interrogeait cette page sur un client Internet Explorer en
tapant l'adresse IP de l'ordinateur. Cela nous permettait de savoir si l'on pouvait interroger
l'ordinateur sur le port 80 (http) en TCP. L'affichage de la date et de l'heure nous permettait de
3
s'assurer que la page affichée n'était pas celle présente en cache. L'affichage de l'adresse IP du
visiteur servait à la mise en place de la translation d'adresse.
Index.php
<HTML>
<TITLE>Page de Test</TITLE>
<BODY>
Vous êtes sur un serveur Web <B>Militarized</B><BR>
<?php
echo date("d/m/Y H:i:s");
// Affichage de la date et de l'heure du
// serveur
echo "<BR>";
echo $_SERVER["REMOTE_ADDR"];
// Affichage de l'IP du visiteur
?>
</BODY>
</HTML>
4. FIREWALL
4.1. QU'EST CE QU'UN FIREWALL ?
Un Firewall est un dispositif software ou hardware qui va analyser les flux entrants et
sortants d'un réseau afin de ne laisser passer que les flux autorisés. Son emplacement se situe
principalement entre le réseau d'entreprise et Internet.
4
Sa principale fonction est de ne laisser ouvert que les ports utiles à la navigation sur
Internet et à l'utilisation d'applications particulières à l'entreprise. Le reste est fermé et évite
ainsi les tentatives d'attaques des Hackers sur le réseau et protéger les données confidentielles
de l'entreprise ainsi que les tentatives de "Black Out" du réseau.
4.2. PIX 515E CISCO
4.2.1. DESCRIPTION
Cisco propose de nombreux matériels d'interconnexions de réseau, des routeurs, des
commutateurs mais aussi des Firewalls matériels. Nous avons travaillé sur le PIX 515E qui est
une solution milieu de gamme chez Cisco puisque qu'avant nous trouvons le PIX 501 et PIX
506E et après le PIX 525 et PIX 535.
Fiche Technique
Processeur
Ram (Mo)
Mémoire Flash (Mo)
Emplacements PCI
Interfaces Fixes
Nombre maximal d'interfaces
Dimensions
Intel Celeron 433Mhz
32 ou 64
16
2
2 FastEthernet 10/100
6 FastEthernet
1 Unité de Rack
Le PIX 515E possède des fonctions de niveau 4 par rapport aux couches OSI, c'est-àdire la couche Transport. Cela est dû au fait qu'il va analyser le protocole transporté (TCP,
UDP, ICMP, …) pour chaque datagramme entrant et sortant. De plus il va aussi regarder
quels sont les ports sources et destinataires.
Le PIX 515E est aussi de niveau 3 car il peut effectuer de la translation d'adresse (NAT
: Network Adress Translation et PAT : Port Adress Translation) et possède aussi des fonctions
de routage.
Trois ports FastEthernet 10/100 sont disponibles sur le PIX 515E qui peuvent être
configurés de manière à ce que chaque port représente une zone (MZ, DMZ, External). Un
emplacement PCI reste libre pour éventuellement ajouter une nouvelle carte réseau et ainsi
ajouter un quatrième port. La configuration pourrait être alors une zone MZ, deux zones DMZ
et une External.
4.2.2. CONNEXION AU PIX 515E
La configuration du PIX 515E peut s'effectuer de deux manières différentes :
•
•
En utilisant le CLI (Command Line Interface) en reliant l'ordinateur au port Console
du PIX 515E et en utilisant un logiciel d'émulation de terminal. Cette méthode est la
plus efficace car c'est nous qui saisissons les commandes et modifions la
configuration.
Au moyen de l'interface Web conçu par Cisco. Il suffit de relier l'ordinateur au port
Ethernet1, qui correspond au port MZ, du PIX 515E, d'ouvrir un client Internet et de se
rendre à l'adresse https://192.168.1.1/ qui est sécurisée. Ce moyen de configuration
est graphique donc plus intuitif pour l'utilisateur mais nous ne savons pas exactement
5
ce qui est modifié dans la configuration du PIX 515E. C'est cette méthode que nous
avons choisi pour découvrir le Firewall.
Fenêtre principale de l'interface Web
4.2.3. REMISE EN CONFIGURATION INITIALE
La remise en configuration initiale du PIX 515E ne s'effectue pas de la même manière
que les routeurs et commutateurs de chez CISCO. Elle ne peut s'effectuer qu'en n'étant
connecté en mode Console et disposer des droits privilégiés. Voici la démarche à effectuer
pour cela :
Firewall# configure terminal
Firewall(config)# clear configuration all
Firewall(config)# interface ethernet1 auto
Firewall(config-if)# ip address 192.168.1.1 255.255.255.0
Firewall(config-if)# nameif MZ
Firewall(config-if)# exit
Firewall(config)# http 192.168.1.0 255.255.255.0 inside
Firewall(config)# http server enable
Firewall(config)# pdm history enable
Firewall(config)# pdm logging informational 100
Firewall(config)# write memory
Firewall(config)# exit
6
Toute la configuration a été effacée et l'interface de management Ethernet1 a été
remise en place avec l'adresse IP par défaut (192.168.1.1/24). Il est très important de remettre
le nameif avec pour valeur MZ car cela affecte l'interface à un niveau de sécurité
indispensable pour pouvoir se connecter au PIX 515E. Cet oubli faisait que l'interface
Ethernet1 était bien activée mais par sécurité, le Firewall bloquait tous les datagrammes
entrant, donc ne nous pouvions pas nous connecter à l'interface Web.
Maintenant, il faut régler les deux interfaces restantes au moyen de l'interface Web.
Pour cela, il faut se rendre dans l'onglet Configuration et cliquez sur Interfaces. On
arrive sur la page suivante :
Fenêtre de configuration des interfaces du PIX 515E
Cette fenêtre présente sous forme de tableau, les différentes interfaces disponibles sur
le PIX 515E. Au départ, il n'existe que l'interface Ethernet1 correspondant à celle que nous
avons configuré lors de la remise en configuration initiale. Pour ajouter une nouvelle
interface, il suffit de cliquer sur le bouton Add situé sur la droite et juste en dessous, le bouton
Edit permet de modifier une configuration déjà existante.
7
Fenêtre d'ajout d'une interface
Une nouvelle fenêtre apparaît pour insérer une nouvelle interface. On commence tout
d'abord par sélectionner le port physique que l'on souhaite ajouter. Il est possible d'activer ou
pas l'interface lors de l'insertion, tout comme il est possible de le dédier uniquement à la
configuration, cela dans un but purement sécuritaire. Les champs VLAN ID et Subinterface ID ne nous ont pas intéressé pour le moment mais nous pouvons dire que le
port peut faire partie d'un VLAN et qu'il est aussi possible de créer des sous interfaces à partir
d'une interface physique. Il est possible de donner un nom à l'interface plus explicite que
EthernetX. Le champ Security Level est lui très important à remplir, sinon il arrivera le
même problème que lorsque nous n'avions pas mis de nom à l'interface Ethernet1 lors de la
remise en configuration initiale. La valeur que nous avons mise est 0. Nous n'avons pas pu
exploiter plus largement cette caractéristique. Nous avons utilisé des adresses IP statiques de
classe C sans faire appel aux fonctionnalités du DHCP supportées par le PIX 515E. Il est enfin
possible de régler le MTU, que nous avons laissé par défaut et aussi d'insérer un commentaire.
Une fois cette fenêtre complétée, on clique sur OK et l'interface est rajoutée à la configuration
du Firewall.
0
Il est très important de cocher la phrase " Enable traffic between two or
more interfaces … " sinon les datagrammes ne passeront pas.
Une fois que toutes les interfaces utiles ont été ajoutées à la configuration du PIX
515 , il est possible de passer à la configuration des règles de filtrage protocolaire.
E
8
5. MISE EN PLACE DES REGLES DE FILTRAGE PROTOCOLAIRE
Chaque paquet entrant ou sortant du Firewall est examiné et une décision de rejet ou
d'acceptation est prise selon différents critères :
• L'adresse source et destinataire
• le port source et destinataire
• le protocole transporté
• la valeur de certains flag (ACK, SYN, …)
Dans notre cas, nous avons établi deux règles s'appuyant sur l'analyse du port source et
sur l'analyse du protocole transporté. Nous n'avons mis aucunes règles concernant l'analyse de
l'adresse source ou destinataire, ni sur la valeur de certains flag. Le Firewall utilise la règle
générale du "Tout ce qui n'est pas autorisé est interdit". La configuration des règles d'accès
s'effectue dans la partie Configuration > Security Policy.
Fenêtre de configuration des règles d'accès
Ensuite pour ajouter une règle d'accès, il suffit de cliquer sur le bouton Add pour
obtenir la fenêtre suivante :
9
Fenêtre permettant d'ajouter ou d'éditer une règle d'accès
5.1. PREMIERE REGLE : CONTROLE DU PING
La façon la plus simple de savoir si une machine est bien derrière une adresse IP est
d'effectuer un ping sur cette adresse et de voir si l'on obtient une réponse. Pour cela, nous
avons mis en place une règle permettant à la MZ d'effectuer des pings à destination de la
DMZ et de l'External mais qu'elle ne puisse pas recevoir des pings. Il faut permettre aux
paquets contenant une réponse au ping de rentrer sur la MZ. Ce qui donne selon les termes
utilisés par la fenêtre :
Select an action
Apply to traffic
Source Host/Network
Permit
Outgoing
Destination Host/Network
IP adresse
Interface
Address IP
Mask
Protocol & Service
IP
address
MZ
0.0.0.0
0.0.0.0
External
0.0.0.0
0.0.0.0
ICMP
Source Port
Service
Destination Port
=echo-reply
= any
10
La règle dit que l'on permet tous les paquets avec n'importe quelle adresse IP
provenant de l'interface External et à destination de n'importe quelle adresse IP de l'interface
MZ, dont le protocole est ICMP et le contenu une réponse au ping.
5.2. DEUXIEME REGLE : ACCES PAGES WEB
Un réseau d'entreprise relié à Internet permet aux utilisateurs de se rendre sur des
pages Web mais aussi de consulter ses Emails et avoir accès à certains services. Pour cela, il
faut configurer correctement le Firewall pour ne laisser passer que les flux autorisés.
Dans notre cas, nous voulons que la MZ puisse avoir accès aux pages Internet de la
DMZ et de l'External mais nous ne voulons pas que la DMZ, ni l'External n'est accès en TCP
à la MZ. Par contre, nous voulons garder l'accès entre la DMZ et l'External. Nous avons mise
en place la configuration suivante :
Select an action
Apply to traffic
Source Host/Network
Deny
Outgoing
Destination Host/Network
IP adresse
Interface
Address IP
Mask
Protocol & Service
IP
address
MZ
0.0.0.0
0.0.0.0
External
0.0.0.0
0.0.0.0
TCP
Source Port
Service
Destination Port
= http/tcp
= any
6. MISE EN ŒUVRE DE LA TRANSLATION D'ADRESSE
La translation d'adresse est un moyen de contourner la pénurie d'adresses publiques
mais aussi de masquer le plan d'adressage de l'entreprise. Le PIX 515E est capable de faire du
NAT statique et dynamique ainsi que du PAT. La différence est que le NAT (Network
Address Translation) va faire correspondre une adresse IP privée à une adresse IP publique ou
globale. Quand il n'y a plus d'adresse publique disponible car prise par d'autres adresses
privées, il n'est plus possible d'accéder au réseau public tant qu'une adresse publique ne s'est
pas libérée. Dans le cas du PAT (Port Address Translation), une seule adresse publique est
nécessaire pour autoriser plusieurs milliers de connexion puisque c'est les ports qui vont être
translatés en plus des adresses.
6.1. METHODE DE CONFIGURATION
Pour configurer le NAT, il faut commencer par régler les adresses IP publiques en se
rendant dans l'interface Web : Configuration > NAT.
11
Fenêtre de gestion du NAT
Cette fenêtre permet de configurer le NAT. En cliquant sur le bouton Add, on ajoute
une règle de translation. Il est ensuite possible de les éditer au moyen du bouton Edit et de
les supprimer grâce au bouton Delete. Mais avant cela, il faut ajouter les adresses globales
qui seront utilisées pour effectuer le NAT. Il suffit pour cela de cliquer sur le bouton Manage
Pools. Une nouvelle fenêtre apparaît alors.
6.1.1. AJOUT D'UNE ADRESSE GLOBALE
Fenêtre de Gestion des adresses globales
12
Dans cette fenêtre, nous retrouvons les adresses globales utilisées pour les fonctions de
translations d'adresses. Il est possible d'en ajouter, d'en éditer et d'en effacer en utilisant les
boutons prévus à cet effet sur la droite de la fenêtre. En cliquant sur le bouton Add, la fenêtre
d'ajout d'adresse globale s'ouvre :
Fenêtre d'ajout d'adresse globale
Tout d'abord, il faut commencer par sélectionner l'interface de sortie du NAT et
ensuite lui affecter une valeur. le Pool ID correspond à une hiérarchie lorsqu'il y a plusieurs
adresses disponibles. Ensuite, il faut sélectionner quel type de NAT on veut faire. Puis remplir
le cadre suivant où les champs se grisent selon le type sélectionné. Une fois les champs
remplis, il suffit de faire OK pour valider.
Il est possible de mettre plusieurs configurations de NAT, chacune étant sélectionnée
ensuite lors de l'ajout d'une règle de translation. Une fois que les configurations ont été faites,
il est possible d'ajouter des règles de translation.
6.1.2. CREATION D'UNE REGLE DE TRANSLATION
La définition d'une règle de translation va permettre à une adresse IP privée d'aller sur
un réseau public en utilisant une adresse IP publique. Pour cela, il faut cliquer sur le bouton
Add. Une nouvelle fenêtre s'affiche :
13
Fenêtre d'ajout de règle de translation
Cette fenêtre permet l'ajout d'une règle de translation. La première partie sert à
renseigner la source du NAT qui peut très bien être un ordinateur en particulier ou un réseau.
Le bouton Browse… permet de sélectionner directement un ordinateur ou un réseau.
La deuxième partie permet de sélectionner l'interface vers laquelle la translation sera
effectuée. Il est possible alors de choisie entre une translation statique et dynamique. Une fois
configurée, il suffit de cliquer sur OK pour que la règle soit créée.
Nous avons mise en œuvre le PAT et le PAT avec utilisation de l'adresse IP de
l'interface entre la MZ et l'External.
6.2. PORT ADDRESS TRANSLATION (PAT)
Le PAT est une translation d'adresse et de port. Cette technique permet de gérer
plusieurs milliers de connexions puisqu'une interface possède plus de 65.000 ports
disponibles. Une table de correspondance est présente à l'intérieur du Firewall entre les
différentes adresses du réseau privé et les adresses globales suivies du port.
Pour la mise en place, nous avons tout d'abord ajouté l'adresse globale suivante :
Interface
Pool ID
Adresse IP
Mask
External
200
PAT
192.168.3.3
255.255.255.0
14
Ensuite, il a fallu créer la règle de translation avec les paramètres suivants :
Original Host/Network
Interface
IP Address
Mask
Translate Address on interface
Dynamic
Address Pool
Address
MZ
192.168.1.2
255.255.255.255
External
200
192.168.3.3
Tous les paquets qui doivent aller sur le réseau External provenant du réseau MZ vont
transiter par l'interface External et leurs adresses vont être modifiées pour devenir
192.168.3.3. Nous avons pu constater la translation d'adresse en interrogeant le serveur web
présent sur le PC3 qui indiquait effectivement en adresse source celle donnée par le Firewall.
6.3. PAT AVEC UTILISATION DE L'ADRESSE IP DE L'INTERFACE
Cette fonction est la même que la PAT normale sauf que l'adresse IP utilisée sera celle
de l'interface. La configuration a été la suivante :
Interface
Pool ID
External
200
PAT using the IP address of the interface
La règle de translation a été la suivante :
Original Host/Network
Interface
IP Address
Mask
Translate Address on interface
Dynamic
Address Pool
Address
MZ
192.168.1.2
255.255.255.255
External
200
192.168.3.1
En interrogeant le serveur Web, on constate effectivement que l'adresse a été translatée
en 192.168.3.1.
7. CONCLUSION
La mise en place d'un Firewall est indispensable pour sécuriser un réseau d'entreprise
des assauts externes et tentatives de piratages. De plus, il permet aussi de contrôler les accès
de l'intérieur du réseau vers l'extérieur du réseau.
En plus des fonctions de Firewall, le PIX 515E possède aussi des fonctions de routage
et de translation d'adresses. Au travers des 9h que nous avons pu consacrer au TP, nous avons
eu quelques difficultés à paramétrer le PIX 515E. La documentation n'est pas très explicite.
Mais en y consacrant quelques heures supplémentaires nous auraient permis de pousser un
peu plus les recherches et tests sur quelques points.
15

firewall securisation d`un reseau d`entreprise travaux pratiques

Transcription

Documents pareils

Systèmes Usagés - Bruno Nicolas Enr

Objectifs - Actes du SSTIC

Cisco Secure Pix Firewall Advanced CS06

Assistance logicielle - ANDRASOFT

Partagez votre connexion Internet sur plusieurs PC et

Windows News N° 159 - 01/08/2007 - 318

Stormshield SN910

DG834v2

d`informations