Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges








télécharger 71.83 Kb.
titreObjectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges
date de publication31.01.2018
taille71.83 Kb.
typeDocumentos
ar.21-bal.com > droit > Documentos

DMZ LEBLANC Benjamin


Mise en place d’une DMZ

LEBLANC BENJAMIN


CAHIER DES CHARGES

Contexte : Le centre de formation dispose d’une architecture avec 3 sous-réseaux IP distincts associés à un ensemble de routeurs et une zone tampon.

  • Un réseau ADMINISTRATION,

  • Un réseau FORMATION,

  • Un réseau SERVEUR



  • Le réseau ADMINISTRATION n’est accessible que par le personnel du centre de formation.



  • Le réseau FORMATION est accessible par l’ensemble des personnes du centre (personnel + étudiant)



  • Le réseau SERVEUR : (sous LINUX avec plusieurs services).



  • Le serveur WEB (héberge l’intranet du centre de formation) est accessible par tout le monde (Il sera possible de consulter le site avec comme page d’accueil : It’s Work !).








  • Administrateur

    Personnel

    Etudiant

    Réseau Administration

    X

    X




    Réseau Formation

    X

    X

    X

    Réseau Serveur

    Serveur WEB

    X

    X

    X

    Serveur FTP

    X






    Le service/serveur FTP (de notre choix, ex : proftpd) est accessible que depuis l’ordinateur de l’administrateur du centre de formation.

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges.

SOMMAIRE




Objectif de la mise en place d’une DMZ 4

Matériel et logiciel nécessaire 5

Mise en place du serveur WEB 5

Mise en place du serveur FTP 7

Configuration des cartes réseaux 9

Configuration des routeurs Linux 13

Table de routage 13

Règles iptables 15


Objectif de la mise en place d’une DMZ

Qu’est-ce qu’une DMZ ?

Une DMZ (Zone démilitarisée), elle serte de zone tampon entre deux réseaux. C'est une zone à part dans un réseau local ayant des accès plus ouvert que le reste du réseau. Ainsi, les serveurs de fichiers, les bases de données contenant des informations privées ne sont pas accessibles de l'extérieur. On y place en général les serveurs ayant une ouverture sur Internet comme les serveurs Web et serveurs Mail (ou Relai de Mails) ou FTP public ne contenant pas de données sensibles.

Situation visée : autoshape 13rectangle 21rectangle 22rectangle 23rectangle 24
192.168.2.254
autoshape 28 autoshape 29 autoshape 30
192.168.2.244


Politique de sécurité mise en œuvre sur la DMZ

  • Trafic du réseau interne (LAN1 et LAN2) vers la DMZ autorisé

  • Trafic du LAN1 vers le LAN2 interdit

  • Trafic de la DMZ vers le réseau interne interdit






Adresse IP

Routeur

Carte Réseau

Passerelle




Réseau Administration 192.168.3.0




Poste A

192.168.3.10

1

Eth0

192.168.3.254

Réseau Formation 192.168.103.0




Poste C

192.168.103.10

2

Eth0

192.168.103.124

Réseau Serveur 192.168.2.0




Poste B

192.168.2.10

1 & 2

Eth1(R1) & eth1 (R2)

R1 : 192.168.2.254

R2 : 192.168.2.244


Matériel et logiciel nécessaire

  • Deux routeurs.

  • Deux postes clients sous Windows 7; un sur le réseau Formation et l’autre sur le réseau Administration.

  • Un Serveur avec plusieurs services qui sera dans la DMZ :

    • Serveur WEB

    • Serveur FTP

Mise en place du serveur WEB

L’installation d’un serveur WEB se fera à l’aide d’un serveur APACHE et du logiciel MySQL permettant ainsi l’accès à l’intranet du centre.

Installation d’Apache (serveur web)

Commande : apt-get install apache2



Pour vérifier si l’installation s'est bien passé, ouvrez un navigateur internet et entrez l'IP de votre serveur, vous devriez avoir la page suivante :



Nous pouvons aussi accéder à cette page via les poste client sur chacun des sous réseau ADMINISTRATION et FORMATION :



Installation de MySQL

Commande: apt-get install mysql-server

Un mot de passe administrateur vous sera demandé.



Si un cd est demandé quitter l’installation (ctrl +c) ; éditer le fichier sources.list : nano /etc/apt/sources.list

Mettre un # devant les lignes CD.



Recommencer l’installation.

Installation de phpmyadmin

Commande: apt-get install phpmyadmin

Un mot de passe vous sera demandé :



Pour aller sur la page phpmyadmin utiliser : http://localhost/phpmyadmin



Via un poste client (adresse IP du serveur/phpmyadmin) : 192.168.2.10/phpmyadmin/

Mise en place du serveur FTP

Le serveur FTP (File Transfer Protocol) permet, de transférer des fichiers par Internet ou par le biais d'un réseau informatique local (intranet).

Toute personne en ayant l'autorisation, peut télécharger et envoyer des fichiers sur un ordinateur distant faisant fonctionner un tel serveur. Le port par défaut et le plus souvent utilisé est le port 21.

Installation de ProFTP

Commande: apt-get install proftpd

On vous demandera comment installer Proftpd, choisissez “indépendant”.

Configuration de ProFTP

Editer le fichier de configuration de proftpd :

nano /etc/proftpd/proftpd.conf

Modifier :

  • Le nom de votre serveur FTP (sera afficher à la connexion) :

  • Vérifier que ServerType est bien « standalone »



  • Dé-commenter cette ligne pour que les utilisateurs restent dans leurs dossiers :



  • Dé-commenter cette ligne pour permettre à l’utilisateur même si il ne dispose pas d’un shell valide



Le port par défaut du serveur FTP :



Enregistrer et quitté.

Redémarrer proftpd : /etc/init.d/proftpd restart

Test de connexion ou serveur FTP :

Ouvrir l’explorateur internet et taper : ftp://adresseIPduServeur

Un identifiant de connexion et un mot de passe vous sera demander, utiliser le compte du serveur Linux.


Configuration des cartes réseaux

A partir du tableau et du schéma des adresse IP page 4 configurer les différentes cartes réseaux en utilisant l’outil Virtual Box et les commandes de Debian pour contrôler et valider les configurations.

Voir Tableau pour les adresses IP page 4.

Routeur 1 : Réseau Formation ↔ Réseau Serveur (DMZ)

Dans les configurations de Virtual Box pour la VM Linux qui servira de routeur 1 ajouter une seconde Carte Réseaux.

Mettre les cartes réseaux en Accès par pont (n’importe quel client pourra y accéder)



Deux cartes réseau :

  • une sur le réseau 192.168.103.0 /24

  • une sur le réseau 192.168.2.0/24

Sur la machine Linux qui servira de Routeur 1 :

Ouvrir l’interface du terminal, passer en mode root et utiliser la commande ifconfig pour visualiser la liste des cartes réseaux :



Reconfigurer les deux cartes réseaux afin que le routeur joue le rôle de passerelle entre le sous réseau FORMATION et le sous réseau SERVEUR.

Commande : nano /etc/network/interfaces

Mettre dans ce fichier les données des deux sous réseaux :

Auto eth0

iface eth0 inet static

adress xxxx.xxxx.xxxx.xxxx

netmask 255.255.255.xxxx

Ce qui nous donne:



Enregistrer ce fichier (ctrl +x)

Redémarrer le service LINUX /etc/init.d/networking restart

Refaire un ifconfig pour vérifier que les cartes réseaux ont bien les nouvelles configurations, si ce n’est pas le cas redémarrer à nouveaux le service Linux.



Routeur 2 : Réseau Administration ↔ Réseau Serveur (DMZ)

Deux cartes réseau :

  • une sur le réseau 192.168.3.0 /24

  • une sur le réseau 192.168.2.0/24

Reconfigurer les deux cartes réseaux afin que le routeur joue le rôle de passerelle entre le sous réseau ADMINISTRATION et le sous réseau SERVEUR.

Suivre la même démarche que pour le routeur 1.



Poste client du Réseaux FORMATION (Windows 7)

Ouvrir le centre de Réseau et de Partage → Modifier les paramètres de la carte → Clic droit → Propriétés

Configurer comme ci-dessous : 



Vérifier que les pare-feu des deux postes des Réseaux FORMATION et ADMINISTRATION ont bien été désactivés.

Poste client du Réseaux ADMINISTRATION (Windows 7)

Idem que pour le poste Réseau FORMATION avec la configuration ci-dessous:



Carte réseaux DMZ

Une carte réseaux, IP : 192.168.2.10.

Reconfigurer en utilisant la commande : nano /etc/network/interfaces



Redémarrer les cartes réseaux, commande : /etc/init.d/networking restart

Vérifier que la reconfiguration à bien été prise en compte : ifconfig



Configuration des routeurs Linux

Pour l’instant nos Routeur1 et Routeur2 se comporte comme une simple machine et rejette les paquets qui ne sont pas destinée à leurs propres adresses IP. Pour qu’elles se comportent comme un routeur, il faut activer le routage.

Activer le routage

Sur chaque Machine Virtuelle Routeur1 et Routeur2, dans l’interface du terminal en mode root utiliser la commande afin de mettre 1 à la place de 0 dans le fichier ip_forward:

echo 1 > /proc/sys/net/ipv4/ip_forward



Ouvrir ensuite le fichier sysctl.conf nano /etc/sysctl.conf et dé-commenter la ligne net.ipv4.ip_forward = 1



L’ip_forward permet de faire transiter des paquets d'une interface réseau à une autre. Votre machine va donc servir de routeur en quelque sorte pour permettre à vos machines du réseau privé d'aller sur internet par exemple. Vérifier que le routage soit bien activé :

cat /proc/sys/net/ipv4/ip_forward



Table de routage

Pour l’instant les ordinateurs du réseau FORMATION et les ordinateurs du réseau ADMINISTRATION ne peuvent pas communiquer entre eux.

Pour que c’est machine puissent communiquer entre elles il faut mettre une route dans la table de routage. Pour l’instant nous avons juste indiqué par quelles passerelles passer aux machines virtuelles des réseaux FORMATION et ADMINISTRATION.

Nous allons donc configurer les tables de routage des deux routeurs:

Sur le routeur 1 : du réseau Formation vers la DMZ

Ouvrir l’interface de la terminale de la DMZ et passé en mode root.

Définir les routes pour le chacun des deux réseaux avec la commande :

route add destination netmask masque de sous-réseau gw passerelle

Utiliser la commande route –n pour vérifier si la nouvelle route est bien présente dans la table de routage du routeur :



Sur le routeur 2 : du réseau Administration vers la DMZ

Même démarche que pour le routeur 1.



Le poste sur le réseau Formation (192.168.103.0) peut joindre le poste administrateur sur le réseau Administration (192.168.3.0) :



Et inversement le poste administrateur sur le réseau Administration (192.168.3.0) peut Le poste sur le réseau Formation (192.168.103.0):



Le serveur WEB est accessible par les postes du Réseau Formation et par les postes du Réseau administration :

Poste sur le réseau Formation :



Poste sur le réseau Administration :



Table de routage permanente :

Afin que les routes ci-dessus restent permanentes après redémarrage des routeurs il faut intégrer les route dans le fichier nano /etc/network/interfaces après les configurations des carte réseaux en insérer up devant chaque route :

Exemple Routeur 1 :


Règles iptables

Pour l’instant aucune règle de routage n’est activée.

Tableau des règles iptables à mettre en place en fonction des exigences du cahier des charges


Exigence du Cahier des charges

Règles Iptables

Interdire les postes du réseau Formation d’accéder au serveur FTP

Iptables –A FORWARD –s 192.168.103.0/24 –p tcp –dport 20 –j DROP

Iptables –A FORWARD –s 192.168.103.0/24 –p tcp –dport 21 –j DROP

Interdire les postes du réseau Formation d’accéder au serveur FTP

Iptables –A FORWARD –s 192.168.3.0/24 –p tcp –dport 20 –j DROP

Iptables –A FORWARD –s 192.168.3.0/24 –p tcp –dport 21 –j DROP

Autoriser seulement le poste de l’administrateur à accéder au serveur FTP (IP :192.168.3.10)

Iptables –A FORWARD –s 192.168.3.10/24 –p tcp –dport 21 –j ACCEPT

Bloquer l’accés des postes du réseau Formation au poste du réseau Administration

Iptables –A FORWARD –p icmp –j DROP


Filtrage du trafic réseau à l’aide des deux routeurs avec iptables.

Iptables permet d’établir des règles pour dire par quels ports on peut se connecter à votre ordinateur, mais aussi à quels ports vous avez le droit de vous connecter.

Afficher les règles d’iptables : iptables –L



On à trois sections :

  • Chain INPUT : correspond aux règles manipulant le trafic entrant ;

  • Chain FORWARD : correspond aux règles manipulant la redirection du trafic ;

  • Chain OUTPUT : correspond aux règles manipulant le trafic sortant ;

Dans chacune des sections on a :

  • target : ce que fait la règles (exemple : autorise = ACCEPT) ;

  • prot : protocole utilisé (tcp, udp, icmp) ;

  • source : IP de source, pour INPUT, la source est l’ordinateur auquel on se connecte ;

  • destination : IP de destination, pour OUTPUT c’est l’ordinateur auquel on se connecte ;

Pour l’instant les règles sont vides, et par défaut (Policy ACCEPT) tout le trafic est accepté.

Bloquer l’accès au serveur FTP du réseau Formation :



Validation :



Bloquer l’accès au serveur FTP du réseau Administration :



Validation :



Autoriser l’accès au serveur FTP seulement du poste Administrateur

Validation :



Bloquer le Ping du réseau Formation vers tout autre réseau :



Validation :



Création d’un script

On va placer les règles dans un fichier qui sera utilisée par le script /etc/init.d/firewall
/etc/firewall-start

#!/bin/bash
#
# On vide toutes les règles existantes
#
iptables -F
iptables -t nat -F

# Mise en place des règles par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# On enlève le firewall sur le loopback et le réseau local
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

Enregistrer et rendre le script exécutable : ctrl +x

Lancer manuellement le firewall et vérifier le résultat :

/etc/firewall-start

Iptables –L -v

Faire ce script sur les deux routeurs.

Sur le routeur 1 rajouter dans le script /ect/firewall.sh la règle iptables pour interdire les postes du réseau Formation d’accéder au serveur FTP :

Iptables –A FORWARD –s 192.168.103.0/24 –p tcp –dport 21 –j DROP

Iptables –A FORWARD –s 192.168.103.0/24 –p tcp –dport 20 –j DROP

Sur le routeur 2 rajouter dans le script /ect/firewall.sh la règle iptables pour interdire les postes du réseau Formation d’accéder au serveur FTP et celles autorisant l’accès au serveur FTP du poste administrateur :

Iptables –A FORWARD –s 192.168.3.0/24 –p tcp –dport 21 –j DROP

Iptables –A FORWARD –s 192.168.3.0/24 –p tcp –dport 20 –j DROP

Iptables –A FORWARD –s 192.168.3.10/24 –p tcp –dport 21 –j ACCEPT

Iptables –A FORWARD –s 192.168.3.10/24 –p tcp –dport 20 –j ACCEPT

Script de lancement automatique au démarrage

nano  /etc/init.d/firewall 

#!/bin/sh
stop() {
/etc/firewall-stop
}

case $1 in
"start")
/etc/firewall-start
;;
"stop")
stop
;;
"restart")
stop
/etc/firewall-start
;;
esac

Enregistrer et rendre le script exécutable : ctrl +x

Créer les liens permettant de démarrer automatiquement le script au démarrage de l’ordinateur :

# update-rc.d firewall defaults


similaire:

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconSolution technique proposée 7
«portail AccroCiné» montée pour la circonstance, le chef de projet a pu présenter au Conseil d’administration du 30 avril 2010 une...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconAujourd'hui un classique des écoles de théâtre américaines, est une...
«points de vue» différents (tempo, durée, réponse kinésthésique, répétition, formes, gestes, architecture, relations spatiales, topographie),...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconCahier des charges contexte Le contexte utilisé est le contexte gsb,...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconRésumé : L’objectif principal de cette recherche est de proposer...
«l’essence même des relations du candidat avec les électeurs est d’ordre marketing et l’a toujours été»1

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconCahier des charges pour une solution de communication unifiée

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconDe presse
«Itesoft a obtenu le meilleur taux de réussite sur notre cahier des charges: technologique avec la performance de son approche full-text,...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges icon0 T0 Entreprise / Chantier
«Bâtiments» à l’instar du cct qualiroutes existant pour les ouvrages de voirie. Ce cahier des charges «bâtiments» sera baptisé ultérieurement...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconLes étudiants du groupe ece paris se connectent en WiFi sur les différents...
«démarchage» a démarré début 2011. C’est dans cette démarche de veille et de recherche, que la société Aerohive a été remarquée,...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconLors d'une communication en réseau, les différents ordinateurs et...

Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges iconTechnocentre
«Autres charges» mentionnée dans la colonne des «charges employeur» et que, d’une façon générale, toutes les charges que paye l’employeur...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com