Linux firewall

ACTION PROFESSIONNELLE
N°4
Fabien SALAMONE
BTS INFORMATIQUE DE GESTION
Option Administrateur de Réseaux
Session 2003
Sécurité du réseau
Firewall : Mandrake MNF
Compétences :
C 21
C 22
C 23
C 26
C 34
Installer et configurer un micro-ordinateur
Installer et configurer un réseau
Installer et configurer un dispositif de sécurité
Installer un périphérique
Surveiller et optimiser le trafic sur le réseau
SOMMAIRE
A – PRESENTATION DE L’ACTION
B – OBJECTIF
C – OUTILS UTILISES
-
Matériel
Logiciel
D - REALISATION
-
Installation et paramétrage du modem/routeur
Principe de fonctionnement du firewall
Masquage IP
Surveillance et gestion du firewall
Configuration des clients
E – CONCLUSION
A – PRESENTATION DE L’ACTION
Cette action a été mise en place dans la cadre de la sécurisation du réseau de
mon association.
Elle présente l’installation et le paramétrage d’un firewall, d’un routeur et du
réseau.
B – OBJECTIF
Pour cette installation, un ordinateur de configuration ancienne sera suffisant.
J’utilise la distribution libre Linux Mandrake MNF (Multiple Network Firewall) afin de
réduire mon coût d’exploitation et de profiter de la stabilité et de la sécurité qu’offrent les
distributions Linux.
Le but est d’installer une passerelle entre mon réseau et Internet, afin de le
protéger d’éventuelles intrusions.
Le firewall me permettra également de gérer et surveiller les accès à Internet.
C – OUTILS UTILISES
Matériel :
firewall :
Processeur :
Mémoire vive :
Disque dur :
Carte vidéo :
Carte réseau :
Pentium II 300 Mhz
384 Mo Sdram Pc133
4 Go
S3 8 Mo AGP
2x 10/100 Mbits/s Dlink 530Tx
Modem/routeur :
Kortex Mercure 711
Ligne ADSL 512/128 Mbits/s
Switch :
Peabird 10/100 Mbits/s 8 ports
Client :
Processeur :
Mémoire vive :
Disque dur :
Carte vidéo :
Carte réseau :
P4 1700
256 DDR
20 Go
ATI radeon 7500
10/100 Mbits/s
Logiciel :
Distribution Mandrake MNF (Noyau Linux 2.4.18-6)
Windows 2000 Pro (pour le client)
Navigateur : Internet Explorer 6 ou Mozilla
D – REALISATION
ADSL
Internet
Client
Switch
Routeur
Firewall
Installation et paramétrage du modem/routeur :
Le paramétrage se fait par navigateur http sur un pc connecté par un câble RJ45,
cette manipulation nécessite donc que le protocole TCP/IP soit installé.
L’adresse IP par défaut du routeur est 10.0.0.254
Après authentification, on accède à l’interface graphique de configuration.
Le routeur sera configuré en accès réseau et sera directement relié au firewall, le
protocole utilisé est PPPoE. Les informations de connexion au fournisseur d’accès sont
renseignées.
Principe de fonctionnement du firewall :
Le firewall va surveiller le trafic réseau entre Internet et le réseau local.
Il possède deux interfaces :
-
connectée au modem :
-
connectée au switch du réseau local :
Eth1 : IP :
Sous-réseau
Eth0 : IP :
Sous-réseau
10.0.0.254
:255.0.0.0
192.168.1.254
:255.255.255.0
Le firewall va autoriser l’accès à la zone wan (eth1) ou lan (eth0) selon des règles
préalablement établies grâce à :
-
Iptables, qui est le protocole d’analyse du firewall s’appuyant sur un kernel
sécurisé 2.4.
Shorewall, qui gère les règles du firewall.
Ces règles permettront, par exemple, d’interdire l’accès au réseau local à partir
d’Internet et d’autoriser les machines déclarées du réseau local d’accéder à Internet.
Le firewall fourni également les services suivants :
-
Un serveur mandataire (proxy) surveille les accès à Internet : Squid
Un serveur de nom (DNS) fourni un service DNS local au clients du réseau et
transfère les requêtes non-locales à un serveur DNS externe (free).
-
Un serveur DHCP, qui fournira les adresses IP en local aux clients qui en feront la
demande.
Une détection et alerte de tentative d’intrusion (Snort et Prélude).
L’adresse IP du réseau local est 192.168.1.0, les adresses ip distribuées aux clients
appartiennent à la plage : 192.168.1.1 Æ 192.168.1.250.
Le masque de sous-réseau est 255.255.255.0
Pour la zone wan, il est nécessaire d’indiquer l’adresse ip de la passerelle, celle du
routeur, pour que le firewall ait accès à Internet.
Ici c’est 10.0.0.254 avec un masque de sous-réseau 255.0.0.0.
Masquage IP :
Afin de permettre aux client du réseau local d’accéder à Internet, il est nécessaire
de masquer le réseau local avec l’adresse IP fixe d’Internet car le réseau s’appuie sur des
adresses privées invalides sur Internet.
Surveillance et gestion du firewall :
Des outils permettent de surveiller le firewall, aussi bien à partir de graphiques
que de fichiers journaux (logs).
Il est
-
possible de voir :
La charge processeur.
L’utilisation de la mémoire.
Le trafic réseau sur chaque carte.
Les messages système, journaux d’authentification.
Les rapports du firewall, de Prélude et de Snort.
Les journaux du Proxy et du DHCP.
Les outils de gestion du firewall sont :
- Console du système en ssh.
- Module de sauvegarde et restauration du système.
- Mise à jour logiciel.
Configuration des clients :
Les clients sur le réseau local sont configurés en DHCP, ils recoivent dès lors par le
firewall leur adresse Ip ainsi que l’adresse de la passerelle (celle du firewall).
Le navigateur doit être configuré pour passer par un serveur proxy (adresse ip du
firewall et port 8080).
E – CONCLUSION
Cette installation permet le partage de la connexion Internet de manière sécurisée
puisque le firewall empêche toute intrusion venant de l’extérieur sur le réseau local.
Cette installation a été réalisée a moindre coûts car la distribution MNF est
adaptée à des configurations matérielle peu puissantes et ne nécessite pas d’achat de
licence puisqu’elle est distribuée librement, elle présente de plus une sécurité accrue.