Solution Proposée - Guillaume Mancini
Transcription
Solution Proposée - Guillaume Mancini
BTS SIO Architecture réseau avec pare-feu VALIDATEUR : J. SAMMARTANO GUILLAUME MANCINI – CEDRIC ATTARD GEP MARSEILLE – 18 FEVRIER 2016 Sommaire Contexte GSB 2 Plans d’adressage 3 Procédure d’installation 4 Présentation des fonctionnalités du M0n0wall 5 Configuration du pare-feu M0n0wall 6 – 13 Configuration du serveur e-mail 14 – 18 Configuration des clients de messagerie 19 – 22 Tests des comptes de messagerie 23 Accès au serveur Web 24 Utilisation des RemotteAPP et fonctionnement du serveur RDS 25 Présentation du fonctionnement du NAT et des ses possibilités 26 Lexique 27 1 Contexte GSB L’entreprise pharmaceutique GSB souhaite mettre en place une DMZ qui hébergera les serveurs web (IIS) et de messagerie. Ces deux serveurs devront être accessibles depuis le LAN pour les utilisateurs, mais aussi depuis le WAN. De plus, les règles de filtrages doivent permettre aux utilisateurs de pouvoir accéder au WAN et à l’Internet via le LAN. Ainsi, nous avons été chargé de l’étude et de la mise en place d’un firewall afin de sécuriser le LAN de GSB. L’étude réalisée est basée sur une solution de type M0n0wall. Nous avons réalisé via des machines virtuelles VMWare, la topologie réseau suivante : 2 Plans d’adressage Nous avons réalisé les plans d’adressages suivants, avec un plan d’adressage particulier pour le LAN, un autre pour la DMZ, et un dernier pour le pare-feu. Il faut noter que les machines clients du LAN sont en DHCP et viennent donc chercher une adresse IP automatiquement. Le M0n0wall fait office de serveur DHCP, avec deux plages d’adresses à distribuer : - 192.168.1.100 – 192.168.1.199 pour le LAN. 192.168.2.100 – 192.168.2.199 pour la DMZ. Plan d’adressage du matériel dans le LAN : Adresse 192.168.1.10 192.168.1.12 DHCP – 192.168.1 Masque 255.255.255.0 255.255.255.0 /24 Passerelle 192.168.1.1 192.168.1.1 192.168.1.1 Equipement SRV-AD SRV-RDS Client Emplacement LAN LAN LAN Equipement SRV-MAIL SRV-WEB Emplacement DMZ DMZ Plan d’adressage du matériel dans la DMZ : Adresse 192.168.2.20 192.168.2.20 Masque 255.255.255.0 255.255.255.0 Passerelle 192.168.2.1 192.168.2.1 Plan d’adressage du M0n0wall : Adresse 192.168.1.1 192.168.2.1 172.16.34.60 Masque 255.255.255.0 255.255.255.0 255.255.255.0 Passerelle 192.168.1.1 192.168.1.1 172.16.34.247 Accès LAN DMZ WAN 3 Procédure d’installation Pour cette solution, nous avons procédé de la sorte : - - Dans un premier temps, nous avons configuré le pare-feu M0n0wall. Nous avons installé un serveur Windows Server 2012, qui aura pour rôle le DNS et l’active directory. Ce serveur est placé dans le LAN. Nous avons installé un second serveur Windows Server 2012, qui sera un serveur TSE. Nous utiliserons ce serveur pour déployer des RemoteAPP. Ce serveur est aussi dans le LAN. Nous avons par la suite déployé un serveur Windows Server 2008, sur lequel nous avons installé notre serveur de messagerie et notre serveur WEB. Nous avons installé ces deux rôles sur le même serveur par simple commodité, mais nous aurions pu utiliser directement deux serveurs, un pour chaque rôle. Ce serveur est dans la DMZ. 4 Présentation des fonctionnalités du M0n0wall M0n0wall est un pare-feu fonctionnant sous UNIX (système d’exploitation multitâche et multi utilisateur), qui s’administre via ligne de commande ou interface web. L’avantage de celui-ci est qu’il fournit la plupart des fonctionnalités d’un pare-feu en étant gratuit et qu’il peut tenir sur une simple clé USB ou un disque dur. Il comprend de plus, certaines fonctionnalités comme : - Une interface Web (en SSL) - Un port console permettant la configuration de l’adresse IP LAN, la réinitialisation du mot de passe, la restauration des paramètres par défaut et le redémarrage du système. - Le protocole 802.1Q pour la gestion du routage inter-Vlan - La gestion de l’IPV6 - L’intégration de règles de filtrage des paquets - Le NAT, permettant la redirection d’adresse - Un client DHCP, un client PPPoE (protocole pour l’encapsulation sur internet) et un client PPTP (protocole pour la mise en place de réseaux privés virtuels) qui s’appuient sur l’interface WAN. - Le protocole IP sec permettant de créer des réseaux privés virtuels - La création de routes statiques - Un serveur et un relais DHCP - Le protocole SNMP qui permet de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance - Possibilité de mettre à jour le firmware via le navigateur web 5 Configuration du pare-feu M0n0wall Comme dit précédemment, nous allons commencé par la configuration du pare-feu. La première étape fut de donner une adresse dans la rubrique « DNS Servers ». L’adresse « 172.16.34.199 » correspond à l’adresse du serveur DNS de l’école permettant l’accès au WEB via les noms d’hôtes. 6 Dans un second temps, nous avons configuré les différentes routes. En effet, le pare-feu aura une fonction de routeur entre les différents réseaux. Comme on peut le voir, nous avons trois routes : - une sur l’interface du WAN, avec l’adresse du réseau, et une passerelle que nous avons choisis. Une sur l’interface LAN, en 192.168.1.1 pour passerelle. Et une dernière sur l’interface DMZ, en 192.168.2.1 pour passerelle. Aussi, nous avons assigné à chaque interface physique du pare-feu une interface logique, correspondant au LAN, WAN, et à la DMZ. 7 Nous avons par la suite configuré l’interface du WAN. Nous lui avons attribué une adresse,la 172.16.34.60, ainsi qu’une passerelle, qui correspond à l’existant, et qui permet d’accéder au serveur de l’école. Nous avons par la suite donné une adresse IP qui servira de passerelle au LAN. 8 De la même façon, nous avons ajouté une adresse IP pour l’interface de la DMZ. 9 La prochaine étape concerne la création des règles de filtrages. Dans un premier temps, nous avons créé des règles de filtrage sur l’interface LAN. Les règles créées autorisent plusieurs protocoles, comme le web, l’AD ou le courrier. Ainsi, nous avons autorisé le trafic pour les ports 443 (HTTPS) et 80 (HTTP), ainsi que 389, 3268, 88, qui concernent l’AD. De plus le trafic vers les ports 21 (FTP) et 53 (DNS) sont aussi autorisés. Nous avons enfin ajouté des règles, avec un trafic autorisé vers l’adresse du serveur mail, pour chaque protocole de messagerie (POP3, IMAP, SMTP…). 10 Les règles de filtrages de la DMZ sont sensiblement les mêmes que celles du LAN. En effet, nous avons du autorisé les protocoles AD ici aussi car les serveurs présent dans la DMZ appartiennent à notre domaine, gsb.fr . 11 Enfin, nous avons crée des règles sur l’interface du WAN. Le trafic est autorisé en ce qui concerne le web (port 80, HTTP ) ainsi que le DNS (port 53). Les autres règlent correspondent au NAT. Nous avons crée ces règles afin de faire de la redirection d’adresses sur certains ports spécifiques, afin que les utilisateurs présent dans le WAN puissent accéder à l’AD et au serveur de mail. 12 Les règles suivantes sont les règles NAT que nous avons crée : Enfin, nous avons activé le service DHCP présent sur le pare-feu. Nous avons ainsi deux étendues, pour le LAN et le WAN. Ces étendues correspondent aux différents réseaux, LAN et DMZ. 13 Configuration du serveur Mail Nos règles créées, nous avons donc mis en place notre serveur AD, et ajouté notre serveur WEB. Le serveur suivant est sous Windows Server 2008, car le serveur mail utilisé, soit Hmail, n’est pas compatible avec Windows Server 2012. Ce serveur est donc dans la DMZ. Une fois installé, nous pouvons nous connecter et passer à la configuration du MTA : Nous ajoutons dans un premier temps le MTA au domaine, ici gsb.fr . 14 En ajoutant le MTA au domaine, nous allons pouvoir récupérer tous les comptes créés au préalable dans l’AD. On peut voir que le compte a bien été importé, via l’AD. En effet, l’adresse est bien « [email protected] », avec le mot de passe du compte AD. 15 Le compte de messagerie est bien importé de l’AD, sur le domaine gsb.fr . 16 Nous allons alors vérifier le protocole SMTP du MTA. Le local host correspond bien au serveur mail, dans « Local Host Name » et « Remote Host Name ». On indique l’adresse IP du serveur de messagerie dans l’onglet « Advanced » 17 Le protocole SMTP correspond bien à l’adresse IP du serveur de messagerie La configuration du MTA est ainsi terminée, nous allons pouvoir passer à la partie utilisateur. 18 Configuration des clients de messagerie Nous allons tester nos comptes de messagerie sur deux MUA différents : Outlook 2013 et Thunderbird 38.6.0 . Dans un premier temps, nous configurons un client Outlook. L’adresse de messagerie est celle d’un compte AD ajouté précédemment dans le MTA. Nous pointons avec l’adresse IP vers le serveur de messagerie entrant et sortant. 19 Dans les « Paramètres supplémentaires », nous utilisons les options suivantes puis nous validons. Les tests sont concluants et l’adresse est bien configurée. 20 Nous allons utilisé Thunderbird sur un deuxième MUA : Thunderbird. On peut voir que l’adresse est bien celle du serveur, avec le compte AD importé précédemment. 21 Le serveur SMTP est bien opérationnel, et utilise le port 25. 22 Tests des comptes de messagerie Grâce aux règles de filtrage, nous pouvons envoyer et recevoir des mails. 23 Accès au serveur web Nous allons maintenant tester le bon fonctionnement du serveur WEB. Nous utilisons une machine cliente, présente dans le LAN (adresse IP 192.168.1.103), et nous avons bien accès au serveur web, qui est dans la DMZ. 24 Utilisation des RemotteAPP et fonctionnement du serveur RDS Nous testons maintenant le bon fonctionnement du serveur RDS. Pour cela, nous nous connectons via l’interface WEB et avons bien accès aux RemotteAPP publiées. 25 Présentation du fonctionnement du NAT et de ses possibilités Le NAT (Network Address Translation) permet de traduire les adresses interne en adresses externes (et vice-et versa) pour communiquer sur internet. Il existe deux types de NAT : - La NAT statique : elle a pour but d’associer une adresse IP externe (publique) à une adresse IP interne (privée), puis le routeur devra remplacer l’adresse source ou destination par l’adresse correspondante. L’inconvénient principale est qu’il faut une adresse IP publique par machine ce qui va entrainer une pénurie d’adresse IP. - La NAT Dynamique : C’est l’interface externe du routeur qui va avoir le rôle de passerelle entre le réseau privé et public. Quand la machine privée envoie un paquet vers internet, celui-ci passe par le routeur qui change l’adresse de la machine par la sienne et remplace le port TCP/UDP. Le paquet par ensuite sur internet et lui revient, il regarde dans la table NAT la correspondance pour pouvoir renvoyer le paquet à la machine privée de départ. L’inconvénient principal est qu’un poste extérieur ne peut pas communiquer avec un poste interne car le router récupère seulement l’adresse IP et le port TCP/UDP de la machine publique et non de la machine sur internet. 26 LEXIQUE Pare-feu : c’est un logiciel ou un matériel, permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets. MTA : Un Mail Transfer Agent ou MTA est un logiciel pour serveur de transmission de courriers électroniques. MUA : un Mail User Agent ou MUA est un client de messagerie. 27