TP FILTRAGE SOUS WINDOWS SERVER 2003 1- Pré …erduanhoxha.weebly.com/uploads/2/4/7/8/24780073/tp_filtrage_eleve... · BTS SIO: module SISR2 Filtrage sous Windows Server 2003 Georges

BTS SIO: module SISR2 Filtrage sous Windows Server 2003

Georges ESQUIROL Page 1 sur 9

TP FILTRAGE SOUS WINDOWS SERVER 2003

1- Pré requis

Protocole TCP/IP, adressage IP, ports de communication. Equipements actifs (concentrateur, commutateur,

routeur). Cours sur le filtrage – Pare-feu et DMZ.

2- Quelques rappels

Dans le cours sur le filtrage, les pare-feu et les DMZ, nous avons vu que lorsqu’une entreprise désire rendre l’un

(ou plusieurs) de ses serveurs accessibles depuis Internet, le risque est grand d’ouvrir une brèche de sécurité vers

l’ensemble du réseau local. Pour limiter les risques d’intrusion liés à cette ouverture nous avons également vu qu’il

était recommandé de séparer les activités accessibles depuis Internet et celle propres à l’entreprise.

Pour cela, une zone démilitarisée (DMZ) permet de ne rendre accessible de l’extérieur qu’une partie des serveurs

en isolant totalement le reste du réseau. Généralement, on trouve sur les DMZ les serveurs Web, voire les serveurs

de messagerie et les serveurs DNS.

Dans ce cas de figure, les utilisateurs du réseau local doivent pouvoir accéder à la DMZ et à Internet aussi bien

pour recevoir que pour envoyer des informations. Les personnes extérieures à l’entreprise ne doivent pouvoir

accéder qu’à la DMZ (échanges à double sens également).

Le contrôle des échanges entre le réseau local, la DMZ et Internet est assuré par un routeur filtrant ayant la fonction

de « Pare-feu ou Firewall ». Cette fonction permet de filtrer les informations, c’est à dire d’autoriser ou non les

entrées et/ou les sorties depuis ou vers l’un des sous-ensembles (réseau local, DMZ et Internet). Nous allons

détailler dans le paragraphe suivant comment est géré le filtrage sous Windows Server 2003.

3- Rappels sur le protocole TCP/IP

Protocoles et numéros de port associés :

Ports utilisés par TCP Ports UDP Ports IP (protocole)

N° de port standard 21 23 25 80 110 53 68 161 1 6 17

Protocole/application FTP Telnet SMTP HTTP POP3 DNS DHCP SNMP ICMP TCP UDP

Compte tenu de la structure du protocole TCP/IP, les informations nécessaires au filtrage se

trouvent essentiellement dans le segment TCP (Port source et Port de destination) et dans le paquet ou

datagramme IP (Adresse IP source et Adresse IP destination, protocole utilisé)

Pour plus de détails, se reporter au cours sur TCP/IP et sur le filtrage.

Routeur

Pare-feu

Hub

PC Serveur

DNS

Serveur

Web DMZ

Switch

Internet

Réseau local



4- Le Filtrage sous Windows Server 2003

4.1- Principe général

La fonction de filtrage (d’un routeur ou d’un pare-feu) s’appuie non seulement sur les informations véhiculées par

les paquets (adresse IP source, port source, adresse IP destination, port destination et service ou protocole utilisé)

mais également sur un ensemble de règles (on accepte ou on refuse le paquet) et l’ordre dans lequel elles sont

écrites a une grande importance.

Chaque règle est appliquée au paquet à examiner dans l’ordre où elles sont stockées. Dés qu’une règle est

appliquée, le traitement du paquet est terminé (les règles suivantes ne sont pas exécutées). Il faut donc faire très

attention à la position des règles de filtrage.

Si une règle permet la transmission ou la réception d’un paquet, celui-ci est autorisé à suivre son chemin.

Si une règle bloque la transmission ou la réception d’un paquet, celui-ci se voit interdire tout accès.

Une règle de filtrage a en fait une fonction d’aiguillage :

Si le paquet ne correspond à aucune règle, en général il est rejeté (poubelle).

S’il correspond aux critères d’une règle d’interdiction, il est bloqué et rejeté (poubelle).

S’il correspond aux critères d’une règle d’autorisation, alors il est accepté en entrée de l’interface et dirigé

vers la destination souhaitée, au travers d’une autre interface.

4.2- Configuration du filtrage sous WS2003.

Le service qui permet de gérer le filtrage est le service « Routage et accès distant » que nous avons déjà utilisé.

Pour accéder à la fonction de filtrage, il faut sélectionner « Routage IP, puis Général ».

On peut ainsi visualiser et accéder aux interfaces du routeur (le serveur WS2003 dans notre cas).

Ensuite, il faut sélectionner l’interface sur laquelle on

veut mettre en œuvre le filtrage.

Pour cela, faire un clic droit puis sélectionner

« Propriétés » de l’interface en question (dans l’exemple

« Connexion au réseau local 2) :

Choisir ensuite le type de filtrage :

« Filtre d’entrée » ou « Filtre de

sortie »

Poubelle Interface A Interface B

Règle

filtrage

Paquet à contrôler

Routeur

Entrée Sortie

Paquet accepté



Le filtre offre deux options :

1. Recevoir tous les paquets sauf qui ceux

répondent aux critères de la règle.

2. Rejeter tous les paquets sauf qui ceux

répondent aux critères de la règle.

Une règle de filtrage peut agir en fonction des critères

suivants :

Adresse source et Masque source,

Adresse destination et Masque destination,

Protocole ;

Port source et Port destination

Les fonctions des boutons « Ajouter », « Modifier »

ou « Supprimer » sont classiques à Windows.

Lors de l’ajout d’une règle, plusieurs possibilités sont offertes telles que:

Filtrage sur un poste du réseau source,

quel que soit le protocole utilisé :

Filtrage sur un poste du réseau destination,

quel que soit le protocole utilisé :

Filtrage sur la source et sur le protocole utilisé

comme par exemple http dont le n° est 80

Filtrage sur la destination et sur le port de destination

Ici le port n°23 (Telnet) :

Vous remarquerez dans le dernier exemple, Filtrage sur la destination et sur le port de destination n°23 (Telnet),

qu’il faut préciser le protocole de transport utilisé, TCP (ou éventuellement UDP).

Adresse d’une machine

donc le masque est /32



5- Filtrage en entrée ou filtrage en sortie ?

Comme vous avez pu le constater, il y a deux possibilités de filtrage : filtre d’entrée et filtre de sortie.

N’oubliez pas que le filtrage est réalisé sur une interface du routeur, cela veut dire que l’on peut choisir de ne

laisser entrer (donc de l’extérieur vers le routeur via l’interface concernée) ou sortir (du routeur vers un réseau)

que les paquets que l’on souhaite.

Un paquet accepté entrée (sur une interface) peut ainsi pénétrer dans le routeur et, par défaut, il peut en ressortir

(par toutes les autres interfaces).

En effet, si aucune règle n’est spécifiée (en sortie ou en entrée) alors tous les paquets sont acceptés (ou autorisés à

passer) par l’interface. Cela vient du fait que l’option par défaut sur une interface est : Recevoir tous les paquets

sauf qui ceux répondent aux critères de la règle.

Donc s’il n’y a pas de règle, tout est accepté ! Attention !!!!!

Suivant l’organisation et la structure du réseau, le filtrage en entrée est généralement suffisant. Il n’y donc pas

besoin de filtrer en sortie car seuls les paquets autorisés peuvent entrer et par défaut ils peuvent ressortir.

Toutefois, si le routeur régule un trafic très important, le fait de ne filtrer qu’en entrée engendre une charge de

travail importante (traitement de toutes les trames en entrée) sur l’interface et cela peut entraîner un ralentissement

du trafic.

Il peut alors être intéressant et surtout plus simple et plus performant de tout accepter en entrée et de ne filtrer que

sur les sorties. Les règles de filtrage sont ainsi réparties sur les interfaces de sorties, d’où une charge de travail

moins important sur chaque interface de sortie et un trafic beaucoup plus fluide.



6- Mise en œuvre du filtrage

Vous utiliserez une architecture similaire à celle utilisée pour le TP sur DHCP. La machine Windows serveur 2003

(WS2003) fera office de routeur et la machine Windows serveur 2008 (WS2008) fera office de serveur Web.

Désactivez le serveur DHCP et donnez des adresses IP statiques aux clients virtuels Win7 et WinXP.

Notez sur le schéma ci-dessous les valeurs correspondant à votre environnement de travail :

1ère

étape : Installer le service IIS (Gestionnaire des services IIS) Effectuez cette installation sur le serveur Win2008 si cela n’a pas encore était fait. Personnalisez la page d’accueil ;

Pour cela voir Installation de IIS (Internet Information Services).

Vérifiez que vous accéder bien à votre serveur Web à partir de vos deux clients virtuels.

Vérifiez que votre client virtuel XP (réseau 2) peut faire des « ping » vers le serveur et le client virtuel du réseau 1.

Faite vérifiez par le Prof !

2ème

étape : Mise en œuvre des règles de filtrage

Faire vérifier chaque règle et son application effective par le prof !!!!

6a)

Rédigez la règle de filtrage en entrée interdisant l’accès au réseau 1 sauf pour une demande http en provenance

du réseau2 vers le serveur web uniquement.

Indiquez l’adresse IP de l’interface concernée : 192.168.1.254

Quelle action de filtrage faut-il choisir ? Recevoir tous … X Rejeter tout ….

Notez, ci-dessous, la règle de filtrage (pour info : Sce = Source ; Dest = Destination) :

Adr Sce Masque Sce Adr. Dest Masque Dest. Protocole Port Sce Port Dest.

192.168.1.0 255.255.255.0 192.168.0.173 255.255.255.255 TCP Tous 80

Testez le client virtuel XP

Peut-il toujours accéder au serveur web ? : OUI

Peut-il toujours faire un « ping » le serveur web ? : NON


Client 03

ClientVirtuel

Win 7

192.168.0.133

Réseaux 2

192.168.1.0 / 24

Switch

perso

Serveur___

(Win2008)

Serveur ESXi

ClientVirtuel

Win XP

Réseau lycée

Accès Internet

192.168.0.153 192.168.0.173

Réseaux 1

192.168.0.0 / 24

192.168.0.254

Serveur Web

192.168.1.254

N’oubliez pas de

vous déconnecter du

switch D-Link !!

Routeur

filtrant

(Win2003)

192.168.0.100 192.168.1.100

Switch virtuel 1

Switch D-Link



6b) Supprimez la règle précédente.

Rédigez la règle de filtrage en sortie interdisant l’accès au réseau 1 sauf pour une demande http en provenance

uniquement du client virtuel XP (réseau2) vers le serveur web seulement.




Adr Sce Masque Sce Adr. Dest Masque Dest. Protocole Port Sce Port

Dest.

192.168.0.173 255.255.255.255 192.168.1.100 255.255.255.255 TCP 80 Tous



Peut-il toujours faire un « ping » le serveur web ? : NON


6c) Supprimez la règle précédente.

Faites en sorte que le clientXP puisse faire un « telnet » sur le seveur Web. Testez avant de poursuivre.

Rédigez la règle de filtrage en entrée empêchant uniquement le client virtuel XP (réseau2) de faire un « telnet »

sur le serveur web (réseau1). Le reste du trafic ne doit pas être bloqué.


Quelle action de filtrage faut-il choisir ? X Recevoir tous … Rejeter tout ….



Dest.

192.168.1.100 255.255.255.255 192.168.0.173 255.255.255.255 TCP Tous 23



Peut-il toujours faire un « ping » le serveur web ? : OUI

Peut-il toujours faire un « telnet » le serveur web ? : NON

Est-ce qu’une autre machine peut faire un « telnet » ? : OUI

6d) Supprimez la règle précédente.

Rédigez la règle de filtrage en entrée interdisant à toutes les machines du réseau 2 de faire un « ping » sur le

client virtuel Win7 (réseau1). Le reste du trafic ne doit pas être bloqué.





192.168.1.0 255.255.255.0 192.168.0.100 255.255.255.255 ICMP Type 8 Code 0


Peut-il toujours faire un « ping » le serveur web ? : Oui

Est-ce qu’une autre machine peut faire un « ping » ? : Oui

Faite vérifiez chaque règle par le Prof !



7- Mise en œuvre d’une DMZ

Rajouter une 3ème

carte réseau sur votre « routeur » dont l’adresse IP sera 192.168.3.254 /24 (réseau 3).

Ensuite, créez un second commutateur virtuel (voir TP DHCP) que vous nommerez « switch virtuel 2 ».

Connectez un autre client virtuel (XP, linux, Win7, …) à ce switch ainsi que la troisième interface du routeur.

Nous pouvons ainsi simuler une architecture Réseau local (réseau 2) / DMZ (réseau 1) / Internet (réseau 3).

7a) Supprimez la (les) règle(s) précédente(s).

Rédigez la (les) règle(s) de filtrage en entrée n’autorisant que l’accès au serveur web (DMZ) à partir du réseau

local (réseau 2) et d’Internet (réseau 3). Le reste du trafic doit être bloqué.

Si vous pensez que plusieurs interfaces sont concernées, complétez les 2 parties ci-dessous.





192.168.1.0 255.255.255.0 192.168.0.173 255.255.255.255 TCP Tous 80





192.168.2.0 255.255.255.0 192.168.0.173 255.255.255.255 TCP Tous 80

Testez les clients virtuels (réseau 2 et réseau 3)

Peuvent-ils accéder le serveur web ? : OUI

Peuvent-ils faire un « ping » sur le serveur ? : NON

Faite vérifiez la règle par le Prof !

Client03 ClientVirtuel

Win 7

192.168.0. ___

Réseaux 2

192.168.1.0 / 24

switch

Serveur___

(Win2008)

DMZ

ClientVirtuel

Win XP

Réseau lycée

Accès Internet

192.168.0. ___ 192.168.0. ___

Réseaux 1

192.168.0.0 / 24

192.168.0.254

Serveur Web

192.168.1.254

Routeur

filtrant

(Win2003) 192.168.0.100 192.168.1.100

Switch virtuel 1

Switch virtuel 2

Client Virtuel 3 XP ou autre

192.168.2.254

Réseaux 3

192.168.2.0 / 24

Réseau local

Internet



7b) Complétez la (les) règle(s) précédente(s).

Rédigez la (les) règle(s) de filtrage en entrée n’autorisant que le client virtuel XP (réseau2 ou réseau local) à

faire des « ping » sur le serveur web (DMZ). Tout autre trafic doit rester bloqué sauf celui de la question

précédente.


Indiquez l’adresse IP de l’interface concernée :

Quelle action de filtrage faut-il choisir ? Recevoir tous … Rejeter tout ….







Dest.

192.168.1.100 255.255.255.255 192.168.0.173 255.255.255.255 ICMP Type 8 Code 0

Testez les clients virtuels (réseau 2 et réseau 3)

Peuvent-ils accéder le serveur web ? : OUI

Peuvent-ils faire un « ping » sur le serveur ? : OUI pour XP du Réseau local

7c) Complétez la (les) règle(s) précédente(s).

Rédigez la (les) règle(s) de filtrage en entrée interdisant de faire des « ping » sur le routeur, quelle que soit

l’origine. Tout autre trafic doit rester bloqué sauf ceux des questions précédentes.






Toutes 192.168.0.254 255.255.255.255 ICMP Type 8 Code 0



Faite vérifiez chaque règle par le Prof !



8- Notion de « connexion établie »

8a - Principe et exemple d’architecture réseau :

Si le client A fait une demande auprès du serveur web B,

on autorise alors sur l’interface « Ib » du routeur filtrant les

entrées qui correspondent à la demande du client A.

En fait, c’est le client A qui établit la connexion vers le

serveur web B. Pour cela, il faut donc autoriser le trafic http

sur Ia. Ensuite, on autorise le retour, c'est-à-dire que sur

l’interface Ib on laisse passer le trafic HTTP qui correspond

à la demande provenant du réseau local (connexion établie

depuis le réseau local vers Internet).

Si le client B fait une demande auprès du serveur web A,

on interdit alors sur l’interface « Ib » du routeur filtrant les

entrées qui correspondent à une demande HTTP en

provenance d’Internet.

En fait, ici c’est le client B qui essaie d’établir la

connexion vers le serveur web A. Dans ces conditions, on

interdit cette demande de connexion.

Vous constaterez que dans les deux cas proposés le trafic concerne toujours le protocole http.

Si la demande vient du réseau local (un poste du réseau local établit une connexion vers un serveur

d’Internet) alors on autorise la réponse du serveur vers le réseau local.

Si un client d’Internet tente d’accéder au serveur web du réseau local la demande est alors bloquée (ce n’est

pas une réponse car aucune demande n’a été émise depuis le réseau local).

Voir la mise en œuvre à la page suivante.

Client A Client B

Serveur

Web A Serveur

Web B

Réseau

local Internet

Client A Client B

Serveur

Web A Serveur

Web B

Réseau

local Internet

Ib

Ib

Ia

Ia

Blocage

Autorisation

Demande

Réponse



8b – Mise en œuvre

Dans cette partie vous n’utiliserez que

les réseaux 1(DMZ) et 2 (réseau local).

Installez IIS sur le client XP du réseau 2

(faisant office de réseau local).

Personnalisez la page d’accueil.

1) Supprimez toutes les règles précédentes.

Le client Win7 peut-il accéder au serveur web du XP? : OUI

Le client XP peut-il accéder au serveur web de la DMZ? : OUI


2) Rédigez la (les) règle(s) de filtrage en entrée n’autorisant que le client virtuel XP (réseau2) à accéder au

serveur web de la DMZ (grâce à une connexion « TCP établi »). L’accès à partir du réseau1 vers le serveur

web du réseau2 ne doit pas être possible.






Dest.

192.168.0.173 255.255.255.255 192.168.1.100 255.255.255.255 TCP

etabli

80 Tous

Indiquez l’adresse IP de l’interface concernée :

Quelle action de filtrage faut-il choisir ? Recevoir tous … Rejeter tout ….



Le client XP peut-il accéder au serveur web de la DMZ? : OUI

Le client Win7 peut-il accéder au serveur web du XP: NON


ClientVirtuel

Win 7

Réseaux 2

192.168.1.0 / 24

(Win2008) ClientVirtuel

Win XP

+ IIS

Réseaux 1

192.168.0.0 / 24

192.168.0.254

Serveur Web

192.168.1.254

Routeur

filtrant

(Win2003) 192.168.0.100 192.168.1.100

Switch virtuel 1

Réseau local DMZ



Installation de IIS (Internet Information Services)

Pour installer IIS il faut tout d’abord ajouter le rôle « Serveur web (IIS) ».

Validez les services de rôle proposés par défaut et lancez l’installation.

Ouvrez la console Gestionnaire des services internet (IIS).

Dans la partie de gauche, sélectionnez votre machine (serveurXX).

Vous devez ensuite voir 2 sous menus : Pools d’applications et Sites.

Si vous sélectionnez Sites vous devriez voir Default Web Site qui est le site web par défaut proposé par IIS.

Pour vérifier le bon fonctionnement du site web, ouvrez le navigateur sur

votre poste client et tapez l’URL « http:// IP de votre serveur ».

Votre navigateur doit alors afficher la page d’accueil du site (ci-contre).

Comme tout le monde a la même page, vous allez la modifier et la

personnaliser. Ainsi, lorsque vous ferez des tests, vous serez sur que vous

accèderez à votre serveur et non à celui du voisin.

Le document HTML qui contient la page d’accueil se trouve sous :

C:\inetpub\wwwroot et se nomme « iisstart.html ».

Ouvrez le document iisstart.html avec le bloc note.

Vers la fin du fichier recherchez la ligne suivante :

<a href="http://go.microsoft.com/fwlink/?linkid=66138&clcid=0x409"><img src="welcome.png"

alt="IIS7" width="571" height="411" /></a>

Mettez cette ligne en commentaire et rajouter le texte “SERVEURxx” comme suit:

< !--

<a href="http://go.microsoft.com/fwlink/?linkid=66138&clcid=0x409"><img src="welcome.png"

alt="IIS7" width="571" height="411" /></a>

-->

SERVEUR01 (le 01 étant à remplcer par le numéro de votre serveur)

Refaites un test dans votre navigateur.

Pour le moment c’est tout ce que vous avez besoin pour le TP.



Installer le serveur Telnet sous Windows Server 2008

Sous Windows Server 2008, vous pouvez utiliser l’outil Gestion des rôles pour installer les composants facultatifs.

Pour installer le serveur Telnet sous Windows Server 2008

1. Lancez le Gestionnaire de serveur. Cliquez sur Démarrer, cliquez avec le bouton droit sur

Ordinateur, puis cliquez sur Gérer ou Outils d’administration/gestionnaire de serveur.

2. Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, confirmez que l'action affichée

est celle que vous souhaitez, puis cliquez sur Continuer.

3. Dans la section Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités.

4. Dans l’Assistant Ajout de fonctionnalités, sélectionnez Serveur Telnet, puis Suivant.

5. Dans la page Confirmer les sélections pour l’installation, cliquez sur Installer.

6. Une fois l’installation terminée, dans la page Résultats de l’installation, cliquez sur Fermer.

Ne pas oublier d’activer le service, qui se nomme « Telnet » dans Outils d’administration/services.

Activer Telnet sur les postes clients (XP et Seven)

Sur Windows Seven : Ouvrir une invite de commande et tapez la commande « pkgmgr /iu:TelnetClient »

Sur Windows XP : Démarrer le service client Telnet

Documents

TP FILTRAGE SOUS WINDOWS SERVER 2003 1- Pré …erduanhoxha.weebly.com/uploads/2/4/7/8/24780073/tp_filtrage_eleve... · BTS SIO: module SISR2 Filtrage sous Windows Server 2003 Georges