Solution Proposée - Guillaume Mancini

BTS
SIO
Architecture réseau avec pare-feu
VALIDATEUR : J. SAMMARTANO
GUILLAUME MANCINI – CEDRIC ATTARD
GEP MARSEILLE – 18 FEVRIER 2016
Sommaire
Contexte GSB
2
Plans d’adressage
3
Procédure d’installation
4
Présentation des fonctionnalités du M0n0wall
5
Configuration du pare-feu M0n0wall
6 – 13
Configuration du serveur e-mail
14 – 18
Configuration des clients de messagerie
19 – 22
Tests des comptes de messagerie
23
Accès au serveur Web
24
Utilisation des RemotteAPP et fonctionnement du serveur RDS
25
Présentation du fonctionnement du NAT et des ses possibilités
26
Lexique
27
1
Contexte GSB
L’entreprise pharmaceutique GSB souhaite mettre en place une DMZ qui hébergera les
serveurs web (IIS) et de messagerie. Ces deux serveurs devront être accessibles depuis le LAN
pour les utilisateurs, mais aussi depuis le WAN. De plus, les règles de filtrages doivent permettre
aux utilisateurs de pouvoir accéder au WAN et à l’Internet via le LAN.
Ainsi, nous avons été chargé de l’étude et de la mise en place d’un firewall afin de sécuriser
le LAN de GSB. L’étude réalisée est basée sur une solution de type M0n0wall.
Nous avons réalisé via des machines virtuelles VMWare, la topologie réseau suivante :
2
Plans d’adressage
Nous avons réalisé les plans d’adressages suivants, avec un plan d’adressage particulier pour
le LAN, un autre pour la DMZ, et un dernier pour le pare-feu.
Il faut noter que les machines clients du LAN sont en DHCP et viennent donc chercher une
adresse IP automatiquement. Le M0n0wall fait office de serveur DHCP, avec deux plages
d’adresses à distribuer :
-
192.168.1.100 – 192.168.1.199 pour le LAN.
192.168.2.100 – 192.168.2.199 pour la DMZ.
Plan d’adressage du matériel dans le LAN :
Adresse
192.168.1.10
192.168.1.12
DHCP – 192.168.1
Masque
255.255.255.0
255.255.255.0
/24
Passerelle
192.168.1.1
192.168.1.1
192.168.1.1
Equipement
SRV-AD
SRV-RDS
Client
Emplacement
LAN
LAN
LAN
Equipement
SRV-MAIL
SRV-WEB
Emplacement
DMZ
DMZ
Plan d’adressage du matériel dans la DMZ :
Adresse
192.168.2.20
192.168.2.20
Masque
255.255.255.0
255.255.255.0
Passerelle
192.168.2.1
192.168.2.1
Plan d’adressage du M0n0wall :
Adresse
192.168.1.1
192.168.2.1
172.16.34.60
Masque
255.255.255.0
255.255.255.0
255.255.255.0
Passerelle
192.168.1.1
192.168.1.1
172.16.34.247
Accès
LAN
DMZ
WAN
3
Procédure d’installation
Pour cette solution, nous avons procédé de la sorte :
-
-
Dans un premier temps, nous avons configuré le pare-feu M0n0wall.
Nous avons installé un serveur Windows Server 2012, qui aura pour rôle le DNS et
l’active directory. Ce serveur est placé dans le LAN.
Nous avons installé un second serveur Windows Server 2012, qui sera un serveur TSE.
Nous utiliserons ce serveur pour déployer des RemoteAPP. Ce serveur est aussi dans
le LAN.
Nous avons par la suite déployé un serveur Windows Server 2008, sur lequel nous
avons installé notre serveur de messagerie et notre serveur WEB. Nous avons installé
ces deux rôles sur le même serveur par simple commodité, mais nous aurions pu
utiliser directement deux serveurs, un pour chaque rôle. Ce serveur est dans la DMZ.
4
Présentation des fonctionnalités du M0n0wall
M0n0wall est un pare-feu fonctionnant sous UNIX (système d’exploitation multitâche et multi
utilisateur), qui s’administre via ligne de commande ou interface web.
L’avantage de celui-ci est qu’il fournit la plupart des fonctionnalités d’un pare-feu en étant
gratuit et qu’il peut tenir sur une simple clé USB ou un disque dur.
Il comprend de plus, certaines fonctionnalités comme :
-
Une interface Web (en SSL)
-
Un port console permettant la configuration de l’adresse IP LAN, la réinitialisation du
mot de passe, la restauration des paramètres par défaut et le redémarrage du
système.
-
Le protocole 802.1Q pour la gestion du routage inter-Vlan
-
La gestion de l’IPV6
-
L’intégration de règles de filtrage des paquets
-
Le NAT, permettant la redirection d’adresse
-
Un client DHCP, un client PPPoE (protocole pour l’encapsulation sur internet) et un
client PPTP (protocole pour la mise en place de réseaux privés virtuels) qui s’appuient
sur l’interface WAN.
-
Le protocole IP sec permettant de créer des réseaux privés virtuels
-
La création de routes statiques
-
Un serveur et un relais DHCP
-
Le protocole SNMP qui permet de gérer les équipements du réseau, de superviser et de
diagnostiquer des problèmes réseaux et matériels à distance
-
Possibilité de mettre à jour le firmware via le navigateur web
5
Configuration du pare-feu M0n0wall
Comme dit précédemment, nous allons commencé par la configuration du pare-feu. La
première étape fut de donner une adresse dans la rubrique « DNS Servers ». L’adresse
« 172.16.34.199 » correspond à l’adresse du serveur DNS de l’école permettant l’accès au WEB
via les noms d’hôtes.
6
Dans un second temps, nous avons configuré les différentes routes. En effet, le pare-feu aura
une fonction de routeur entre les différents réseaux. Comme on peut le voir, nous avons trois
routes :
-
une sur l’interface du WAN, avec l’adresse du réseau, et une passerelle que
nous avons choisis.
Une sur l’interface LAN, en 192.168.1.1 pour passerelle.
Et une dernière sur l’interface DMZ, en 192.168.2.1 pour passerelle.
Aussi, nous avons assigné à chaque interface physique du pare-feu une interface logique,
correspondant au LAN, WAN, et à la DMZ.
7
Nous avons par la suite configuré l’interface du WAN. Nous lui avons attribué une adresse,la
172.16.34.60, ainsi qu’une passerelle, qui correspond à l’existant, et qui permet d’accéder au
serveur de l’école.
Nous avons par la suite donné une adresse IP qui servira de passerelle au LAN.
8
De la même façon, nous avons ajouté une adresse IP pour l’interface de la DMZ.
9
La prochaine étape concerne la création des règles de filtrages. Dans un premier temps, nous
avons créé des règles de filtrage sur l’interface LAN. Les règles créées autorisent plusieurs
protocoles, comme le web, l’AD ou le courrier. Ainsi, nous avons autorisé le trafic pour les ports
443 (HTTPS) et 80 (HTTP), ainsi que 389, 3268, 88, qui concernent l’AD. De plus le trafic vers les
ports 21 (FTP) et 53 (DNS) sont aussi autorisés. Nous avons enfin ajouté des règles, avec un
trafic autorisé vers l’adresse du serveur mail, pour chaque protocole de messagerie (POP3,
IMAP, SMTP…).
10
Les règles de filtrages de la DMZ sont sensiblement les mêmes que celles du LAN. En effet, nous
avons du autorisé les protocoles AD ici aussi car les serveurs présent dans la DMZ
appartiennent à notre domaine, gsb.fr .
11
Enfin, nous avons crée des règles sur l’interface du WAN. Le trafic est autorisé en ce qui
concerne le web (port 80, HTTP ) ainsi que le DNS (port 53). Les autres règlent correspondent
au NAT. Nous avons crée ces règles afin de faire de la redirection d’adresses sur certains ports
spécifiques, afin que les utilisateurs présent dans le WAN puissent accéder à l’AD et au serveur
de mail.
12
Les règles suivantes sont les règles NAT que nous avons crée :
Enfin, nous avons activé le service DHCP présent sur le pare-feu. Nous avons ainsi deux
étendues, pour le LAN et le WAN. Ces étendues correspondent aux différents réseaux, LAN et
DMZ.
13
Configuration du serveur Mail
Nos règles créées, nous avons donc mis en place notre serveur AD, et ajouté notre serveur
WEB. Le serveur suivant est sous Windows Server 2008, car le serveur mail utilisé, soit Hmail, n’est
pas compatible avec Windows Server 2012. Ce serveur est donc dans la DMZ.
Une fois installé, nous pouvons nous connecter et passer à la configuration du MTA :
Nous ajoutons dans un premier temps le MTA au domaine, ici gsb.fr .
14
En ajoutant le MTA au domaine, nous allons pouvoir récupérer tous les comptes créés au
préalable dans l’AD.
On peut voir que le compte a bien été importé, via l’AD. En effet, l’adresse est bien
« [email protected] », avec le mot de passe du compte AD.
15
Le compte de messagerie est bien importé de l’AD, sur le domaine gsb.fr .
16
Nous allons alors vérifier le protocole SMTP du MTA. Le local host correspond bien au serveur
mail, dans « Local Host Name » et « Remote Host Name ».
On indique l’adresse IP du serveur de messagerie dans l’onglet « Advanced »
17
Le protocole SMTP correspond bien à l’adresse IP du serveur de messagerie
La configuration du MTA est ainsi terminée, nous allons pouvoir passer à la partie utilisateur.
18
Configuration des clients de messagerie
Nous allons tester nos comptes de messagerie sur deux MUA différents : Outlook 2013 et
Thunderbird 38.6.0 .
Dans un premier temps, nous configurons un client Outlook. L’adresse de messagerie est celle
d’un compte AD ajouté précédemment dans le MTA. Nous pointons avec l’adresse IP vers le
serveur de messagerie entrant et sortant.
19
Dans les « Paramètres supplémentaires », nous utilisons les options suivantes puis nous validons.
Les tests sont concluants et l’adresse est bien configurée.
20
Nous allons utilisé Thunderbird sur un deuxième MUA : Thunderbird.
On peut voir que l’adresse est bien celle du serveur, avec le compte AD importé
précédemment.
21
Le serveur SMTP est bien opérationnel, et utilise le port 25.
22
Tests des comptes de messagerie
Grâce aux règles de filtrage, nous pouvons envoyer et recevoir des mails.
23
Accès au serveur web
Nous allons maintenant tester le bon fonctionnement du serveur WEB. Nous utilisons une
machine cliente, présente dans le LAN (adresse IP 192.168.1.103), et nous avons bien accès au
serveur web, qui est dans la DMZ.
24
Utilisation des RemotteAPP et fonctionnement du serveur RDS
Nous testons maintenant le bon fonctionnement du serveur RDS. Pour cela, nous nous connectons
via l’interface WEB et avons bien accès aux RemotteAPP publiées.
25
Présentation du fonctionnement du NAT et de ses possibilités
Le NAT (Network Address Translation) permet de traduire les adresses interne en adresses
externes (et vice-et versa) pour communiquer sur internet.
Il existe deux types de NAT :
-
La NAT statique : elle a pour but d’associer une adresse IP externe (publique) à une
adresse IP interne (privée), puis le routeur devra remplacer l’adresse source ou
destination par l’adresse correspondante.
L’inconvénient principale est qu’il faut une adresse IP publique par machine ce qui va
entrainer une pénurie d’adresse IP.
-
La NAT Dynamique : C’est l’interface externe du routeur qui va avoir le rôle de
passerelle entre le réseau privé et public. Quand la machine privée envoie un paquet
vers internet, celui-ci passe par le routeur qui change l’adresse de la machine par la
sienne et remplace le port TCP/UDP. Le paquet par ensuite sur internet et lui revient, il
regarde dans la table NAT la correspondance pour pouvoir renvoyer le paquet à la
machine privée de départ.
L’inconvénient principal est qu’un poste extérieur ne peut pas communiquer avec un
poste interne car le router récupère seulement l’adresse IP et le port TCP/UDP de la
machine publique et non de la machine sur internet.
26
LEXIQUE
Pare-feu : c’est un logiciel ou un matériel, permettant de faire respecter la politique de sécurité du
réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique.
Il mesure la prévention des applications et des paquets.
MTA : Un Mail Transfer Agent ou MTA est un logiciel pour serveur de transmission de courriers
électroniques.
MUA : un Mail User Agent ou MUA est un client de messagerie.
27