WordPress.com



Tuto maison Procédure de mise en place d’une solution Open Source de Firewall + DMZ LinuxFait le 05/12/13Contenu TOC \o "1-3" \h \z \u A-Partie Analyse du projet PAGEREF _Toc346195210 \h 21-La demande du Centre Hospitalier PAGEREF _Toc346195211 \h 22-Les besoins logiciel du projet PAGEREF _Toc346195212 \h 23-Les solutions disponibles PAGEREF _Toc346195213 \h 2a.Avantages et inconvénients de chaque solution PAGEREF _Toc346195214 \h 2b.Solution retenue PAGEREF _Toc346195215 \h 34-Les besoins matériels du projet PAGEREF _Toc346195216 \h 3B-Partie Mise en ?uvre du projet PAGEREF _Toc346195217 \h 41-Installation de la solution IPFire PAGEREF _Toc346195218 \h 42-Les Addons rajoutés PAGEREF _Toc346195219 \h 123-Plan de test de la solution PAGEREF _Toc346195220 \h 124-Résultats des tests PAGEREF _Toc346195221 \h 13C-Administration d’IPFire PAGEREF _Toc346195222 \h 131.Distante (Web) PAGEREF _Toc346195223 \h 13a.Réglage du pare feu PAGEREF _Toc346195224 \h 13b.Le PAT (Port Address Translating) ou Redirection de Ports PAGEREF _Toc346195225 \h 13c.Les règles de pare-feu PAGEREF _Toc346195226 \h 13d.Les groupes de pare-feu PAGEREF _Toc346195227 \h 14e.Les options du pare-feu PAGEREF _Toc346195228 \h 142.Local (root) PAGEREF _Toc346195229 \h 143.Changement des mots de passes Admin (web) et root (local) PAGEREF _Toc346195230 \h 14Partie Analyse du projetLa demande du Centre HospitalierLe Centre hospitalier de Paimpol, ayant intégré de nouveaux équipements au sein de son infrastructure, souhaite utiliser un Firewall pour filtrer deux VLANs?: Radiologie et LaboratoireParmi ces nouveaux équipements, il y a les consoles de pilotage des machines de Radiologie. Nous ne connaissons pas encore les impacts et les effets que ces consoles (sous Windows XP) peuvent avoir sur le réseau. De plus, les antivirus du Centre Hospitalier ne sont pas compatibles avec ces consoles.Ces deux VLANs devront donc utilisés une passerelle unique capable de filtrée les paquets entrants comme sortants afin de pouvoir les interconnectés au LAN du CH. Une DMZ devra aussi permettre de placer les équipements susceptibles d’être pilotés à distance.Les besoins logiciel du projetAfin de garantir que la solution finale sera la meilleur du moment, un comparatifs des 5 distributions les plus cotées est indiqué plus bas. Cependant, la distribution retenue devra?:Permettre le filtrage des paquets entrants/sortantsPouvoir disposer d’une DMZEtre souple et évolutive gr?ce à une multitude de Plugins ou autres composants logicielsPermettre une Administration simple et si possible à distance et sécuriséGarantir une fiabilité, une stabilité et une sécurité optimaleLes solutions disponiblesLes distributions sont diverses et variées selon les besoins. Pour faire un premier trie, nous n’allons retenir que les principales solutions Open Sources.IPFireMonoWallSmoothWall ExpressAvantages et inconvénients de chaque solution?IPFireIPFire est un Fork de IPCOP. Il est donc très s?r et très stable. Cette distribution propose plus d’options nativement que son grand frère, IPCOP. La communauté est très réactive, importante et la traduction Fran?aise du site officiel commence depuis peu.Cependant, il n’est pas aussi m?r qu’IPCOP et pour le moment il faut maitriser l’anglais pour pouvoir avoir la communauté comme support.MonoWallM0n0Wall est une distribution FreeBSD faisant office de pare-feu. Elle dispose des options de base sans superflue. Elle ne requiert pas de support matériel haut de gamme. Administrable à distance via un navigateur internet.Pas de communauté Officielle Fran?aise. Communauté peu réactive.SmoothWallDistribution basée sur Linux?: stable, sécurisé et gratuite. Administrable via interface web. Addons Officiels limités, la plupart des Addons sont créés par des développeurs indépendants.Très peu de support officiel (en raison de l’offre commercial de SmoothWall en parallèle). Communauté peu réactive. Solution retenuePour les raisons évidentes mise en avant juste avant, la solution retenue est donc IPFire. Les besoins matériels du projetLes solutions Open Source basées sous Linux ont le mérite d’être stable, fiable et malléables. De plus, elle ne requiert pas de supports matériels extravagants. Pour installer une solution type Firewall + DMZ, le support devra disposer de?:D’un processeur qui fasse au minimum 586 MhzDe 2Go de RAMDe 3 Interfaces réseauxD’un disque dur 20 GoChipset vidéoClavier / EcranPartie Mise en ?uvre du projetInstallation de la solution IPFireL’installation se fait gr?ce à une clé USB et une carte mère compatible avec le boot USB. Le programme Linux Live USB Creator est utilisé pour décompresser l’image ISO sur le périphérique USB.Une fois arriver sur l’écran principal d’IPFire, appuyer sur Entrée pour lancer l’installation.Ensuite sélectionner les options adéquates dans l’assistant d’installation?:FrancaisYes, puis OkChoisir le système de fichier le plsu approprié, j’ai choisi ext3Installation en coursL’assistant nous avertis que l’installation s’est correctement dérouléeAu 1er démarrage l’assistant nous guide pour la configuration de la solution. Choisissez le bon clavier, c’est-à-dire, Fran?ais (fr_latin9 ou azerty)Fuseau horaire?: Europe?/ ParisLe nom d’h?te (ici, ipfire)Nom du domaine de la machineConfiguration des mots de passe?: ??root?? et juste après ??admin??PS?: les cases restent vides quand vous tapez les mots de passes. La différence entre admin et root est l’administration?: root est local et super utilisateur et admin est administrateur sur l’interface web.Vous atterrissez sur une page de configuration?:Vient le moment de choisir le type de réseau (Network Configuration Type). Ici il faut une DMZ en plus d’un réseau protégé et d’un réseau relié à internet. Donc ce sera?: GREEN + RED + ORANGEAssigner chaque carte à un réseauMaintenant il faut adresser chaque interfaceL'interface “Rouge” est spéciale parce que sa configuration dépend de votre fournisseur d'accès Internet et de la fa?on dont il configure votre connexion internet. En fonction de votre type de connexion vous devez préciser les détails correspondants.Paramétrage passerelle et DNSAprès cela, votre installation est terminée. Vous pouvez redémarrer le serveur. N’oubliez pas vos logins root et admin pour l’administration.Après redémarrage, vous devez vous loguez sous root. Vous avez alors la console d’administration. Pour configurer ou modifier le serveur a nouveau sans passer par la ligne de commande, tapez ??setup?? dans le prompt. Vous arriverez alors sur l’assistant et un choix plus grand d’options sera mis à votre disposition (clavier, mot de passe admin et root, interfaces, type de configuration, adressage, etc…)Les Addons rajoutésJ’ai pris la liberté de rajouter des addons (non indispensables mais toujours pratiques)?:bwm-ng?: Indicateur de bande passante en temps réelnmap?: Outil de scanne et d’analyse d’h?tes sur le réseauiftop?: Indicateur d’utilisation de bande passante pour chaque H?teTcPick?: sniffer de flux TCP sur les interfaces d’IPFireTCPDump?: analyseur de tramesPour installer d’autres Addons rendez-vous sur utilisez la commande?: pakfire install –y <nom_du_plugin>De même, pour desinstaller un addon il faudra utiliser cette commande?: pakfire remove –y <nom_du_plugin>Plan de test de la solutionEssais de ping entre les différents réseaux reliés au firewallTest d’administration local distante (root) via l’accès SSH natifTest des plugins natifs de filtrageTest du firewall et des règlesRésultats des testsPing corrects?: vert et rouge communiquent. Table de routage correcte (route par défaut, remises directes). DMZ et Vert ne communique pas. Aucun filtrage sur DMZ.Accès SSH activé. Prise en main distante correcte avec l’outil de gestion de connexion mRemoteNG. SSH version 2 et port de communication 222.Le filtrage est correctement effectué. Il faut cependant utiliser le proxy web. Possibilité d’utiliser une page de blocage perso ou une page par défaut d’erreur DNS. La mise à jour des blacklistes peut se faire via l’interface de maintenance d’URLFilter. Par défaut utiliser l’AC de Toulouse.Le filtrage est correctement effectué par les règles du Firewall Sortant?:L’accès SSH est toujours actif même avec une règle de blocage totale.Le mode 2 du firewall est activé (cela permet de créé des règles de filtrage bloquante).Le firewall réagit correctement. Il Fonctionne en mode 1 (règles de type ??Allow??). Il filtre tous les protocoles sur tous les ports sauf les ports suivants?:80?: navigation internet http443?: navigation internet sécurisé https 53?: résolution DNS Administration d’IPFireDistante (Web)Pour se connecter à l’interface web du firewall il faut entrer l’adresse IP de l’interface que l’on a configuré en verte en spécifiant le port ??444??. Il ne faut pas oublier de mettre ??https://?? avant l’adresse.Les login de connexion sont les suivants.Utilisateur?: adminMdp?: admin007Réglage du pare feuPour configurer le pare-feu, aller sur l’onglet ??Pare-Feu??, puis, sur la droite un menu fait apparaitre les options de pare-feu configurables.Le PAT (Port Address Translating) ou Redirection de PortsIl s’agit ici de pouvoir rediriger les ports demandés lors de la navigation du démarrage de certains protocoles. Les règles de pare-feuSur le menu ??Pare-Feu sortant?? vous pouvez configurer différentes règles. En dessous ??Policy?? vous pouvez choisir différents Modes (0, 1 et 2).Le mode 0 autorise tout trafic sans tenir compte des règles en place.Le mode 1 bloque tout trafic sauf celui autorisé par les règles en places et actives.Le mode 2 autorise tout trafic sauf celui spécifier par les règles en places et actives.Les groupes de pare-feuLes groupes d’adresses IP ou d’adresses MAC pour pare-feu sont tout simplement un regroupement d’adresses qui peut être temporaires, occasionnel ou permanent et permettant d’autoriser ou bloquer l’accès (selon le mode du pare-feu) à certaines adresses ou protocoles à une partie ou à l’intégralité du réseau.Les options du pare-feuLes options du pare-feu permettent tous simplement d’activer ou non les journaux de suivis des différents flux entrants/sortants du firewall et de les ??logués?? dans des journaux.Local (root)Pour se loguer en super utilisateur (root) sur le firewall il faut spécifier les identifiants suivants.User?: rootMdp?: toorCette administration locale peut se voir être effectuer à distance via un logiciel de gestion de connexion (mRemoteNG ou Putty).Cette option est activée dans l’onglet ??Système?? puis dans le menu ??Accès SSH?Télécharger la dernière version de PuTTY sur le site officiel?: Hostname spécifier l’adresse IP du Firewall, puis régler le port sur ??222??.Si votre programme vous permet de spécifier les Identifiants de connexions, utilisez ceux fournis précémandes de base?:La commande pour afficher l’assistant de configuration, et ainsi paramétrer le serveur, est la suivante?: setupLa commande pour visualiser et/ou configurer les interfaces réseaux est la suivante?: ifconfigCette commande est l’équivalent du IPCONFIG de MS-DOS.NB?: les interfaces ne sont pas nommées comme d’habitude sous Linux avec eth0, 1, 2, etc… Elles sont nommées par leurs fonctions (couleur). Ainsi, pour voir et configurer l’interface verte je ne ferais pas?: ifconfig eth0 mais plut?t ifconfig green0.Ainsi, pour mettre une adresse IP sur l’interface rouge je ferais?: ifconfig red0?192.168.x.x netmask 255.255.255.0 upLe listing des interfaces est disponible en tapant ifconfig –a Changement des mots de passes Admin (web) et root (local)Pour changer les mots de passes, il faut se rendre sur l’interface d’administration locale (root).Depuis le menu principal (commande setup) vous avez accès à deux options?:??Mot de passe ‘root’?? pour changer le mot de passe d’admin locale??Mot de passe ‘admin’?? pour changer le mot de passe d’admin web ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download