Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges
télécharger 71.83 Kb.
|
DMZ LEBLANC Benjamin Mise en place d’une DMZ LEBLANC BENJAMIN CAHIER DES CHARGES Contexte : Le centre de formation dispose d’une architecture avec 3 sous-réseaux IP distincts associés à un ensemble de routeurs et une zone tampon.
Objectif : Proposer une architecture qui réponde à ce besoin avec une validation des différents points du cahier des charges.SOMMAIREObjectif de la mise en place d’une DMZ 4 Matériel et logiciel nécessaire 5 Mise en place du serveur WEB 5 Mise en place du serveur FTP 7 Configuration des cartes réseaux 9 Configuration des routeurs Linux 13 Table de routage 13 Règles iptables 15 Objectif de la mise en place d’une DMZ Qu’est-ce qu’une DMZ ? Une DMZ (Zone démilitarisée), elle serte de zone tampon entre deux réseaux. C'est une zone à part dans un réseau local ayant des accès plus ouvert que le reste du réseau. Ainsi, les serveurs de fichiers, les bases de données contenant des informations privées ne sont pas accessibles de l'extérieur. On y place en général les serveurs ayant une ouverture sur Internet comme les serveurs Web et serveurs Mail (ou Relai de Mails) ou FTP public ne contenant pas de données sensibles.  Situation visée :   192.168.2.254    192.168.2.244 Politique de sécurité mise en œuvre sur la DMZ
Matériel et logiciel nécessaire
Mise en place du serveur WEB L’installation d’un serveur WEB se fera à l’aide d’un serveur APACHE et du logiciel MySQL permettant ainsi l’accès à l’intranet du centre. Installation d’Apache (serveur web) Commande : apt-get install apache2  Pour vérifier si l’installation s'est bien passé, ouvrez un navigateur internet et entrez l'IP de votre serveur, vous devriez avoir la page suivante :  Nous pouvons aussi accéder à cette page via les poste client sur chacun des sous réseau ADMINISTRATION et FORMATION :  Installation de MySQL Commande: apt-get install mysql-server Un mot de passe administrateur vous sera demandé.  Si un cd est demandé quitter l’installation (ctrl +c) ; éditer le fichier sources.list : nano /etc/apt/sources.list Mettre un # devant les lignes CD.  Recommencer l’installation. Installation de phpmyadmin Commande: apt-get install phpmyadmin Un mot de passe vous sera demandé :  Pour aller sur la page phpmyadmin utiliser : http://localhost/phpmyadmin  Via un poste client (adresse IP du serveur/phpmyadmin) : 192.168.2.10/phpmyadmin/ Mise en place du serveur FTP Le serveur FTP (File Transfer Protocol) permet, de transférer des fichiers par Internet ou par le biais d'un réseau informatique local (intranet). Toute personne en ayant l'autorisation, peut télécharger et envoyer des fichiers sur un ordinateur distant faisant fonctionner un tel serveur. Le port par défaut et le plus souvent utilisé est le port 21. Installation de ProFTP Commande: apt-get install proftpd On vous demandera comment installer Proftpd, choisissez “indépendant”. Configuration de ProFTP Editer le fichier de configuration de proftpd : nano /etc/proftpd/proftpd.conf Modifier :
 Le port par défaut du serveur FTP :  Enregistrer et quitté. Redémarrer proftpd : /etc/init.d/proftpd restart Test de connexion ou serveur FTP : Ouvrir l’explorateur internet et taper : ftp://adresseIPduServeur Un identifiant de connexion et un mot de passe vous sera demander, utiliser le compte du serveur Linux.  Configuration des cartes réseaux A partir du tableau et du schéma des adresse IP page 4 configurer les différentes cartes réseaux en utilisant l’outil Virtual Box et les commandes de Debian pour contrôler et valider les configurations. Voir Tableau pour les adresses IP page 4. Routeur 1 : Réseau Formation ↔ Réseau Serveur (DMZ) Dans les configurations de Virtual Box pour la VM Linux qui servira de routeur 1 ajouter une seconde Carte Réseaux. Mettre les cartes réseaux en Accès par pont (n’importe quel client pourra y accéder)  Deux cartes réseau :
Sur la machine Linux qui servira de Routeur 1 : Ouvrir l’interface du terminal, passer en mode root et utiliser la commande ifconfig pour visualiser la liste des cartes réseaux :  Reconfigurer les deux cartes réseaux afin que le routeur joue le rôle de passerelle entre le sous réseau FORMATION et le sous réseau SERVEUR. Commande : nano /etc/network/interfaces Mettre dans ce fichier les données des deux sous réseaux : Auto eth0 iface eth0 inet static adress xxxx.xxxx.xxxx.xxxx netmask 255.255.255.xxxx Ce qui nous donne:  Enregistrer ce fichier (ctrl +x) Redémarrer le service LINUX /etc/init.d/networking restart Refaire un ifconfig pour vérifier que les cartes réseaux ont bien les nouvelles configurations, si ce n’est pas le cas redémarrer à nouveaux le service Linux.  Routeur 2 : Réseau Administration ↔ Réseau Serveur (DMZ) Deux cartes réseau :
Reconfigurer les deux cartes réseaux afin que le routeur joue le rôle de passerelle entre le sous réseau ADMINISTRATION et le sous réseau SERVEUR. Suivre la même démarche que pour le routeur 1.  Poste client du Réseaux FORMATION (Windows 7) Ouvrir le centre de Réseau et de Partage → Modifier les paramètres de la carte → Clic droit → Propriétés Configurer comme ci-dessous :   Vérifier que les pare-feu des deux postes des Réseaux FORMATION et ADMINISTRATION ont bien été désactivés.Poste client du Réseaux ADMINISTRATION (Windows 7) Idem que pour le poste Réseau FORMATION avec la configuration ci-dessous: Carte réseaux DMZ Une carte réseaux, IP : 192.168.2.10. Reconfigurer en utilisant la commande : nano /etc/network/interfaces Redémarrer les cartes réseaux, commande : /etc/init.d/networking restart Vérifier que la reconfiguration à bien été prise en compte : ifconfig Configuration des routeurs Linux Pour l’instant nos Routeur1 et Routeur2 se comporte comme une simple machine et rejette les paquets qui ne sont pas destinée à leurs propres adresses IP. Pour qu’elles se comportent comme un routeur, il faut activer le routage. Activer le routage Sur chaque Machine Virtuelle Routeur1 et Routeur2, dans l’interface du terminal en mode root utiliser la commande afin de mettre 1 à la place de 0 dans le fichier ip_forward: echo 1 > /proc/sys/net/ipv4/ip_forward  Ouvrir ensuite le fichier sysctl.conf nano /etc/sysctl.conf et dé-commenter la ligne net.ipv4.ip_forward = 1  L’ip_forward permet de faire transiter des paquets d'une interface réseau à une autre. Votre machine va donc servir de routeur en quelque sorte pour permettre à vos machines du réseau privé d'aller sur internet par exemple. Vérifier que le routage soit bien activé : cat /proc/sys/net/ipv4/ip_forward  Table de routage Pour l’instant les ordinateurs du réseau FORMATION et les ordinateurs du réseau ADMINISTRATION ne peuvent pas communiquer entre eux. Pour que c’est machine puissent communiquer entre elles il faut mettre une route dans la table de routage. Pour l’instant nous avons juste indiqué par quelles passerelles passer aux machines virtuelles des réseaux FORMATION et ADMINISTRATION. Nous allons donc configurer les tables de routage des deux routeurs: Sur le routeur 1 : du réseau Formation vers la DMZ Ouvrir l’interface de la terminale de la DMZ et passé en mode root. Définir les routes pour le chacun des deux réseaux avec la commande : route add destination netmask masque de sous-réseau gw passerelle Utiliser la commande route –n pour vérifier si la nouvelle route est bien présente dans la table de routage du routeur :  Sur le routeur 2 : du réseau Administration vers la DMZ Même démarche que pour le routeur 1.  Le poste sur le réseau Formation (192.168.103.0) peut joindre le poste administrateur sur le réseau Administration (192.168.3.0) :  Et inversement le poste administrateur sur le réseau Administration (192.168.3.0) peut Le poste sur le réseau Formation (192.168.103.0):  Le serveur WEB est accessible par les postes du Réseau Formation et par les postes du Réseau administration : Poste sur le réseau Formation :  Poste sur le réseau Administration :  Table de routage permanente : Afin que les routes ci-dessus restent permanentes après redémarrage des routeurs il faut intégrer les route dans le fichier nano /etc/network/interfaces après les configurations des carte réseaux en insérer up devant chaque route : Exemple Routeur 1 :  Règles iptables Pour l’instant aucune règle de routage n’est activée. Tableau des règles iptables à mettre en place en fonction des exigences du cahier des charges
Filtrage du trafic réseau à l’aide des deux routeurs avec iptables. Iptables permet d’établir des règles pour dire par quels ports on peut se connecter à votre ordinateur, mais aussi à quels ports vous avez le droit de vous connecter. Afficher les règles d’iptables : iptables –L  On à trois sections :
Dans chacune des sections on a :
Pour l’instant les règles sont vides, et par défaut (Policy ACCEPT) tout le trafic est accepté. Bloquer l’accès au serveur FTP du réseau Formation :  Validation :  Bloquer l’accès au serveur FTP du réseau Administration :  Validation :  Autoriser l’accès au serveur FTP seulement du poste AdministrateurValidation :  Bloquer le Ping du réseau Formation vers tout autre réseau :  Validation :  Création d’un script On va placer les règles dans un fichier qui sera utilisée par le script /etc/init.d/firewall /etc/firewall-start #!/bin/bash # # On vide toutes les règles existantes # iptables -F iptables -t nat -F # Mise en place des règles par défaut iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # On enlève le firewall sur le loopback et le réseau local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Enregistrer et rendre le script exécutable : ctrl +x Lancer manuellement le firewall et vérifier le résultat : /etc/firewall-start Iptables –L -v Faire ce script sur les deux routeurs. Sur le routeur 1 rajouter dans le script /ect/firewall.sh la règle iptables pour interdire les postes du réseau Formation d’accéder au serveur FTP : Iptables –A FORWARD –s 192.168.103.0/24 –p tcp –dport 21 –j DROP Iptables –A FORWARD –s 192.168.103.0/24 –p tcp –dport 20 –j DROP Sur le routeur 2 rajouter dans le script /ect/firewall.sh la règle iptables pour interdire les postes du réseau Formation d’accéder au serveur FTP et celles autorisant l’accès au serveur FTP du poste administrateur : Iptables –A FORWARD –s 192.168.3.0/24 –p tcp –dport 21 –j DROP Iptables –A FORWARD –s 192.168.3.0/24 –p tcp –dport 20 –j DROP Iptables –A FORWARD –s 192.168.3.10/24 –p tcp –dport 21 –j ACCEPT Iptables –A FORWARD –s 192.168.3.10/24 –p tcp –dport 20 –j ACCEPT Script de lancement automatique au démarrage nano /etc/init.d/firewall #!/bin/sh stop() { /etc/firewall-stop } case $1 in "start") /etc/firewall-start ;; "stop") stop ;; "restart") stop /etc/firewall-start ;; esac Enregistrer et rendre le script exécutable : ctrl +x Créer les liens permettant de démarrer automatiquement le script au démarrage de l’ordinateur : # update-rc.d firewall defaults | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
similaire:
 | «portail AccroCiné» montée pour la circonstance, le chef de projet a pu présenter au Conseil d’administration du 30 avril 2010 une... |  | «points de vue» différents (tempo, durée, réponse kinésthésique, répétition, formes, gestes, architecture, relations spatiales, topographie),... |
| | «l’essence même des relations du candidat avec les électeurs est d’ordre marketing et l’a toujours été»1 | |
| | «Itesoft a obtenu le meilleur taux de réussite sur notre cahier des charges: technologique avec la performance de son approche full-text,... | |
| «Bâtiments» à l’instar du cct qualiroutes existant pour les ouvrages de voirie. Ce cahier des charges «bâtiments» sera baptisé ultérieurement... | | «démarchage» a démarré début 2011. C’est dans cette démarche de veille et de recherche, que la société Aerohive a été remarquée,... |
| | «Autres charges» mentionnée dans la colonne des «charges employeur» et que, d’une façon générale, toutes les charges que paye l’employeur... |