PPE4.1 FIREWALL

Page 0

Le laboratoire Galaxy Swiss Bourdin (GSB)

PPE4.1 FIREWALL

Page 1

PROJET D’ETUDE SUR LA MISE EN PLACE

D’UN FIREWALL

Travail effectué par :

LARANT Wilfried

LEMAITRE Florian

COMOTTI Arnaud

PPE4.1 FIREWALL

Page 2

Table des matières

I. Objectif ............................................................................................................................................ 3

II. Principales fonctionnalités du Firewall ............................................................................................ 3

a) Présentation ................................................................................................................................ 4

b) Points forts .................................................................................................................................. 4

III. Procédure d’installation .............................................................................................................. 6

IV. Règles de filtrage mises en place .............................................................................................. 10

1) Solution à mettre en place ........................................................................................................ 10

2) Table de filtrage ......................................................................................................................... 11

Le Fonctionnement de la Nat ............................................................................................................ 13

a. Mise en place du NAT pour GSB ............................................................................................ 16

PPE4.1 FIREWALL

Page 3

I. Objectif

Nous devons mettre en place un firewall pour la mise en place d’une DMZ où il y aura un serveur

WEB IIS.

Les systèmes pare-feu (firewall) permettent de définir des règles d'accès entre deux réseaux.

Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des

politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre en place

des architectures de systèmes pare-feu permettant d'isoler les différents réseaux de l'entreprise : on

parle ainsi de « cloisonnement des réseaux ».

Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur

(serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de

créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de

l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de «

zone démilitarisé » (notée DMZ) pour désigner cette zone isolée hébergeant des applications mises à

disposition du public.

Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services

susceptibles d'être accédés depuis Internet seront situés en DMZ. En cas de compromission d'un des

services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

II. Principales fonctionnalités du Firewall

M0n0wall est un dérivé embarqué de FreeBSD spécialisé en pare-feu (firewall).

Le but premier du projet était de générer un firewall très réduit en taille (pour pouvoir

facilement le faire tenir sur une mémoire Flash) et très rapide (au boot notamment). Le

constat de départ est que les UNIX libres utilisent trop d’interpréteurs différents (ex.: shell,

Perl, Python, PHP, …) pour leurs scripts de démarrage (initscripts) et leur gestion.

Ils ont alors décidé de n’en garder qu’un, et comme ils voulaient une interface web pour leur

firewall, ils ont sélectionné PHP.

Grâce à ces deux choix, ils ont obtenu un système très économe en espace disque (de telle

sorte qu’on peut le mettre sur un tout petit média ) et RAM.

Ensuite, ils se sont dit qu’un fichier XML serait approprié pour stocker toute la configuration.

Et le résultat est qu’un seul fichier (XML) sauvegardé permet de restaurer un firewall en

quelques instants, que les erreurs dans ce fichier sont faciles à trouver/éviter, et qu’on peut

facilement le faire tourner depuis un média en lecture seule (read-only, comme un CD par

exemple).

PPE4.1 FIREWALL

Page 4

a) Présentation

Monowall est un firewall libre et gratuit qui permet aux professionnels et aux utilisateurs

ayant peu de connaissances en pare feu d'en configurer un sur une machine simple ou sur

un réseau conséquent, le but étant d’assurer la sécurité.

Sur le plan Hardware Mon0Wall est rapide et facile à installer grâce aux seulement 64Mo qui

lui sont nécessaires pour fonctionner.

Sur le plan Software, Monowall est un pare feu simple et performant. Il n'est pas composé

d'une pléthore de fonctionnalités. Mais ces règles de filtrage, le service SSH, son agent

SNMP, et le proxy ARP le rendent efficace.

Il dispose d'une interface web propre et ergonomique pour sa configuration, et les

sauvegardes de configuration sont simples à effectuer et à déployer, grâce à un fichier XML.

M0n0wall ne permet pas les connexions, il n’y a pas de port console ni la possibilité de se

connecter en telnet ou SSH

b) Points forts

Voici la liste des principaux points forts de m0n0wall :

Un système très compact

Configuration simple

Facilité de mise en œuvre, de configuration, d'administration (très facile et intuitif)

Intégration facile dans un grand réseau avec toutes ses contraintes architecturales

Pas de licence à gérer

Translation sur les adresses source et destination simultanément

Peu gourmand en ressource

Une communauté très active ( mailing-listes et nombreux articles sur le Web )

Peu de critiques et bugs

Bonne documentation

PPE4.1 FIREWALL

Page 5

M0n0wall fournit la plupart des fonctionnalités de pare-feu commerciaux coûteux, y

compris:

interface web (supporte SSL)

interface de console série pour la récupération

o définir l'adresse IP LAN

o réinitialiser le mot de passe

o rétablir les paramètres d'usine

o système de redémarrage

le soutien sans fil (y compris le mode point d'accès)

portail captif

Support VLAN 802.1Q

Support IPv6

filtrage dynamique des paquets

o règles bloc / de passe

o enregistrement

NAT / PAT (y compris 1: 1)

Client DHCP, PPPoE et PPTP appui sur l'interface WAN

Tunnels VPN IPsec (IKE; avec le support des cartes cryptographiques matérielles, les

clients mobiles et certificats)

VPN PPTP (avec le soutien du serveur RADIUS)

routes statiques

serveur DHCP et relais

la mise en cache DNS transitaire

Client DynDNS et RFC 2136 de mise à jour DNS

Agent SNMP

shaper de la circulation

Traffic Grapher basé SVG-

mise à jour du firmware via le navigateur Web

Wake on LAN client

PPE4.1 FIREWALL

Page 6

sauvegarde de la configuration / restauration

M0n0wall contient les composants logiciels suivants

FreeBSD composants (noyau, programmes utilisateur)

ipfilter

PHP (version CGI)

thttpd

MPD

Serveur ISC DHCP

ez-ipupdate (les mises à jour DynDNS)

Dnsmasq (pour le transitaire de cache DNS)

racoon (pour IPsec IKE)

III. Procédure d’installation

- Il faut tout d’abord lancer l’iso de m0n0wall, il s’installe et on arrive directement sur

l’interface du m0n0wall :

- Il faut configurer l’interface LAN pour y accéder par l’interface web.

PPE4.1 FIREWALL

Page 7

- Depuis un Windows, il faut aller sur internet Explorer et rentrer l’Ip lan que l’on a configuré,

le login est « admin » et le mot de passe est « mono »

PPE4.1 FIREWALL

Page 8

- On arrive directement sur l’interface web du firewall : on peut changer le mot de passe et le

login :

- Il faut aussi assigner chaque interface aux différentes cartes réseaux

PPE4.1 FIREWALL

Page 9

- Ainsi que donner des adresses Ip sur chaque interface

- Pour configurer le filtrage pour chaque interface :

PPE4.1 FIREWALL

Page 10

IV. Règles de filtrage mises en place

1) Solution à mettre en place

Il faut que le réseau externe (Wan, internet) n’ait accès qu’à la DMZ. La zone DMZ ne doit avoir accès

qu’au réseau externe. Par contre le réseau interne (Lan) doit avoir accès à tout.

Pour ce faire, nous devons en premier lieu comprendre les différentes options des règles qui

sont présentes :

Action : PASS : faire passer, BLOCK : Interdire

Interface : Par l’interface choisit

Protocole : Laisser passer les protocoles choisis

Source : Endroit d’où le packet part

Source port range : Spécifie la plage du port ou le port de la source du paquet pour cette

règle.

Destination : Endroit ou le packet doit aller

Destination port : Spécifie la plage du port ou le port de la destination du paquet pour cette

règle.

PPE4.1 FIREWALL

Page 11

2) Table de filtrage

- Table de filtrage sur l’interface de la DMZ

PPE4.1 FIREWALL

Page 12

- Règle de filtrage sur l’interface WAN

o La première et deuxieme règles autorisent le trafic venant de n’importe

quelles adresses Ip sur n’importe quels ports vers le serveur 10.54.0.4

(serveur web) sur les ports 80 et 443 : elle permet l’accès au site web gsb

PPE4.1 FIREWALL

Page 13

- Règle de filtrage sur l’interface Lan

La règle autorise le réseau interne avoir accès à tout.

Le Fonctionnement de la Nat

a. Définir le contexte de la NAT

Toutes les machines connectées (PCs, serveurs, imprimantes réseau, smarthphones,

télévisions multimédias...) disposent d'une adresse ("adresse IP") permettant de l'identifier

sur le réseau. Il existe deux sortes d'adresses: les privées et les publiques.

Une adresse privée est seulement valable sur un réseau privé et ne peut donc pas être utilisé

pour communiquer sur un réseau public comme Internet. En effet, Internet n'accepte de

véhiculer que des adresses publiques. Le principal intérêt de l'utilisation d'adresses IP

privées est de disposer d'un grand nombre d'adresses pour bâtir ses réseaux privées

(entreprises, domicile...) et ainsi de palier au cruel manque d'adresses IP publiques du

réseau IP version 4.

Le principe du NAT consiste donc à utiliser une passerelle de connexion à internet,

possédant au moins une interface réseau connectée sur le réseau interne et au moins une

PPE4.1 FIREWALL

Page 14

interface réseau connectée à Internet (possédant une adresse IP routable), pour connecter

l'ensemble des machines du réseau

Le déploiement d'IP v6 n'étant pas encore finalisé (ou même commencé...). Il est

indispensable d'utiliser les technologies de NAT pour permettre aux machines disposant

d'adresses privées de pourvoir communiquer sur Internet.

b. Le fonctionnement de la NAT

On active le mécanisme de NAT sur les routeurs faisant le lien entre les réseaux privées et

publics. Le principe général est de remplacer l'adresse IP source privée de la machine par

l'adresse IP publique du routeur.

Le PC client va émettre un paquet sur son réseau avec comme adresse source son adresse

privée. Le Routeur client (qui active par défaut le mécanisme NAT dynamique), va remplacer

dans le paquet l'adresse privée du PC par son adresse publique. Elle va en parallèle de cela

garde en mémoire l'association (Adresse IP privée du PC > Adresse IP publique du serveur /

Port client-serveur). Le serveur va donc recevoir par Internet ce paquet modifié auquel il va

répondre avec un paquet de retour ayant pour adresse de destination l'adresse IP publique

du Routeur client. Celle-ci va recevoir le paquet et finalement remplacer l'adresse IP

publique du routeur client par l'adresse privée du PC.

c. Le NAT Dynamique / Statique

Le NAT statique consiste à associer une adresse IP publique à une adresse IP privée interne

au réseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer à une

adresse IP privée (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et

PPE4.1 FIREWALL

Page 15

de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le

paquet IP. L’inconvénient est qu’il est possible de traduire une seul adresse IP Privé.

Le NAT Dynamique permet de partager une adresse IP routable (ou un nombre réduit

d'adresses IP routables) entre plusieurs machines en adressage privé. Ainsi, toutes les

machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même adresse IP.

C'est la raison pour laquelle le terme de « mascarade IP » (en anglais IP masquerading) est

parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique.

d. Redirection de Port

La translation d'adresse ne permet de relayer que des requêtes provenant du réseau interne vers le réseau externe, ce qu'il signifie qu'il est impossible en tant que tel pour une machine externe d'envoyer un paquet vers une machine du réseau interne. En d'autres termes, les machines du réseau interne ne peuvent pas fonctionner en tant que serveur vis-à-vis de l'extérieur.

Pour cette raison, il existe une extension du NAT appelée « redirection de port » (en anglais Port Forwarding ou Port mapping) consistant à configurer la passerelle pour transmettre à une machine spécifique du réseau interne, tous les paquets réçus sur un port particulier. Ainsi, si l'on souhaite pouvoir accéder de l'extérieur à un serveur web (port 80) fonctionnant sur la machine 192.168.1.2, il sera nécessaire de définir une règle de redirection de port sur la passerelle, redirigeant tous les paquets TCP reçus sur son port 80 vers la machine 192.168.1.2.

PPE4.1 FIREWALL

Page 16

a. Mise en place du NAT pour GSB

Nous avons mis en place du Nat dynamique pour les serveurs Web.