MISE EN PLACE D’UNE DMZ ET ETUDE DU NAT - …dorianmaxwell.weebly.com/uploads/5/2/9/9/52999799/monowall.pdf · 3 PICHON Simon MAXWELL Dorian ROUGEAUX Benjamin Intégration du Firewall

1

PICHON Simon MAXWELL Dorian ROUGEAUX Benjamin

MISE EN PLACE D’UNE DMZ ET ETUDE DU NAT

2


Table des matières Intégration du Firewall M0n0wall et ses fonctionnalités ........................................................................ 3

Présentation ........................................................................................................................................ 3

Avantages de M0n0wall ...................................................................................................................... 3

Fonctionnalités de M0n0wall .............................................................................................................. 3

Procédure d’installation et de configuration de M0n0wall .................................................................... 4

Interface LAN (déjà configuré précédemment) .................................................................................. 7

Interface WAN ..................................................................................................................................... 8

Interface DMZ ...................................................................................................................................... 9

Configuration des routes ..................................................................................................................... 9

Plan réseau de la solution ..................................................................................................................... 10

Règles de filtrage ................................................................................................................................... 11

Interface LAN ..................................................................................................................................... 11

Interface DMZ .................................................................................................................................... 11

Interface WAN ................................................................................................................................... 11

Remarque ...................................................................................................................................... 11

Présentation du NAT ............................................................................................................................. 12

Différentes terminologie des adresses .................................................................................................. 13

Les possibilités de NAT .......................................................................................................................... 13

NAT statique ...................................................................................................................................... 13

NAT dynamique ................................................................................................................................. 13

NAT PAT (Port Address Translation). ................................................................................................. 13

3


Intégration du Firewall M0n0wall et ses fonctionnalités

Galaxy Swiss Bourdin souhaite intégrer un firewall pour la mise en place d’une DMZ comprenant un

serveur WEB IIS. Le pare-feu devra bloquer les accès au réseau local pour garantir sa sécurité. Les

services susceptibles d'être accessible depuis Internet seront situés dans la DMZ. Le but d’une telle

solution est de contenir le danger dans la DMZ.

Présentation Monowall est un firewall libre et gratuit qui permet aux professionnels et aux utilisateurs ayant peu de connaissances en pare feu d'en configurer un sur une machine simple ou sur un réseau conséquent, le but étant d’assurer la sécurité. Sur le plan Hardware Mon0Wall est rapide et facile à installer grâce aux seulement 64Mo qui lui sont nécessaires pour fonctionner. Sur le plan Software, Monowall est un pare feu simple et performant. Il n'est pas composé d'une affluence de fonctionnalités. Mais ses règles de filtrage, le service SSH, son agent SNMP, et le proxy ARP le rendent efficace. Il dispose d'une interface web propre et ergonomique pour sa configuration, et les sauvegardes de

configuration sont simples à effectuer et à déployer.

Avantages de M0n0wall Voici la liste des principaux avantages de m0n0wall :

- Il possède un système très compact - Sa configuration est simple - Une facilité de mise en œuvre, de configuration et d’administration - Son intégration est facile dans un grand réseau avec toutes ses contraintes architecturales - Il n’y a pas de licence à gérer - Il est peu gourmand en ressource - Peu de critiques et peu de bugs - Une bonne documentation -

Fonctionnalités de M0n0wall - Interface web (Supporte le SSL) - NAT/PAT - Client DHCP, PPPoE et PPTP - Tunnel VPN - Routes statiques - Relai DHCP

- Agent SNMP

4


Procédure d’installation et de configuration de M0n0wall Nous installons M0n0wall sur une machine virtuelle. Il s’agit d’un noyau linux, nous choisissons donc

le système « Ubuntu » comme base fonctionnant sous Linux également.

M0n0wall étant un Firewall, il lui faut 3 interfaces. Une pour le LAN, Une pour le WAN et une pour la

DMZ. Nous allons donc lui rajouter deux interfaces en plus de celle native.

5


Une fois ces actions terminées, nous démarrons la VM. La première chose qu’il faut faire quand M0n0wall a démarré, c’est d’installer l’OS sur le disque dur. Sinon, toutes les modifications effectuées ultérieurement ne seront pas prises en compte.

Un message demandera de reboot M0n0wall pour effectuer l’installation. Ensuite, il faut assigner chaque interface réseau créée au LAN, WAN ou OPT1 (qui n’est d’autre que la DMZ).

6


Une fois ceci effectué, il nous faut donner une IP statique à l’interface LAN pour pouvoir y accéder via une interface WEB d’un client situé dans le même réseau.

Nous choisissons la dernière adresse de notre réseau 192.168.0.0 /24, le Firewall faisant office de passerelle dans cet exemple. Nous pouvons maintenant nous connecter sur le M0n0wall via une machine située dans le même réseau en saisissant l’adresse IP de l’interface LAN dans un navigateur internet. Nous configurerons ensuite chaque interface LAN, WAN et DMZ successivement avec une adresse IP, masque, nom, etc.

7


Interface LAN (déjà configuré précédemment)

8


Interface WAN

Remarque : Ne pouvant simuler réellement un réseau de type WAN, nous octroyons une adresse IP de

classe A, 10.0.0.0 /24. Nous devons donc décocher la case « Block Private Network », que nous devons

bien entendu laisser cochée en temps normal.

9


Interface DMZ

Configuration des routes Une fois chaque interface réseau attribuée et configurée, nous pouvons renseigner les routes en

prenant garde de bien les décrire pour ne pas se tromper ultérieurement.

Remarque : Il ne s’agit pas de routes à proprement parlé. Il s’agit seulement d’indiquer quelle sous réseau se situe derrière quelle interface.

10


Plan réseau de la solution

Monowall

DMZ

172.16.0.0/24

WAN

10.0.0.0 /24

LAN

192.168.0.0/24

Serveur IIS

11


Règles de filtrage

Interface LAN N° Action IP Source Port Source IP Destination Port Destination Protocol

1 Accepter 192.168.0.0/24 ANY 172.16.0.0/24 ANY ANY


Interface DMZ N° Action IP Source Port Source IP Destination Port Destination Protocol

1 Accepter 172.16.0.0/24 80 ANY 80 TCP

2 Rejeter 172.16.0.0/24 ANY 192.168.0.0/24 ANY ANY

3 Rejeter 172.16.0.0/24 ANY 10.0.0.0 /24 ANY ANY

Interface WAN N° Action IP Source Port Source IP Destination Port Destination Protocol


2 Rejeter 10.0.0.0 /24 ANY 192.168.0.0/24 ANY ANY

Remarque Dans un cas réel, le WAN représente l’ensemble des réseaux extérieurs au notre et sont impossible à définir précisément. Dans notre maquette, nous avons défini le réseau WAN par le réseau 10.0.0.0/24, étant donné que nous ne possédons pas d’autres réseaux pour effectuer les tests.

12


Présentation du NAT Le mécanisme de translation d’adresse (en anglais NAT : Network Adress Translation) a été mis au

point afin de répondre à la pénurie d’adresse IPv4, avant la mise en place de l’Ipv6. Il permet ainsi à

une adresse de type privée répondant à la norme RFC 1918 de joindre le réseau public, et donc

l’internet, en utilisant une adresse IP Publique. Le principe du NAT consiste donc à utiliser une passerelle

de connexion à internet, possédant au moins une interface réseau connectée sur le réseau interne (LAN) et

au moins une interface réseau connectée à Interne (WAN).

13


Différentes terminologie des adresses Adresse locale interne : L’adresse IP attribuée à un hôte du réseau interne. Il s’agit d’une adresse

privée RFC 1918.

Adresse globale interne : Une adresse IP publique attribuée par le fournisseur d’accès et qui

représente une ou plusieurs adresses IP locales internes pour le monde extérieur.

Adresse locale externe : L’adresse IP d’un hôte externe telle quelle apparaît aux hôtes du réseau

interne.

Adresse globale externe : L’adresse IP réelle routable qui se situe à l’extérieur du réseau

Les possibilités de NAT NAT statique

Une correspondance de type (un à un) entre une adresse IP locale interne et une adresse IP globale

interne. Elles sont utiles lorsqu'un hôte interne doit être accessible de l'extérieur.

NAT dynamique

Une correspondance de plusieurs-à-plusieurs entre un ensemble d'adresses IP locales (définies par

une ACL) et un groupe d'adresses IP globales (définies par un POOL)

NAT PAT (Port Address Translation). Les Adresses Locales Internes sont traduites par l'association d'une Adresse Globale Interne unique

et d'un port.

Cette fonctionnalité permet d'utiliser une seule Adresse Globale Interne pour différentes adresses

Locales Internes.

Documents

MISE EN PLACE D’UNE DMZ ET ETUDE DU NAT - …dorianmaxwell.weebly.com/uploads/5/2/9/9/52999799/monowall.pdf · 3 PICHON Simon MAXWELL Dorian ROUGEAUX Benjamin Intégration du Firewall