FIREWALL ET NAT
Transcription
FIREWALL ET NAT
BTS SIOSISR 2017 FIREWALL ET NAT TP à réaliser 1°) Objectifs Comprendre l'interaction entre les fonctions de routage et de filtrage, ainsi que les moyens d'accès et de protection des réseaux. 2°) Schéma du réseau 3°) Préparation des machines Préparation du routeur 3.1°) Créer un clone d’une machine DEBIAN sans bureau. Laissez la carte en BRIDGE ou NAT pour le moment. 3.2°) Installer le paquet openssh-server. 3.3°) Éteindre la machine. Configurer 4 cartes réseaux avec l’adressage IP suivant : CARTES VIRTUAL BOX TYPES ADRESSES eth0 BRIDGE DHCP 172.16.123.X/24 eth1 RÉSEAU INTERNE nommé sw-dmz STATIC 192.168.200.254/24 eth2 RÉSEAU INTERNE nommé sw-serveur STATIC 192.168.100.254/24 eth3 RÉSEAU INTERNE nommé sw-client STATIC 192.168.50.254/24 Patrice DIGNAN 1/4 BTS SIOSISR 2017 3.4°) Nommez votre routeur avec votre nom : routeur-firewall-dupont par exemple. 3.5°) Activez le routage de manière persistante en allant dans /etc/sysctl.conf et décommentez la ligne : #net.ipv4.ip_forward=1 3.6°) Vérifiez avec la commande : sysctl -p 3.7°) Consulter la table de routage avec la commande : route -n ou netstat -r. Reporter la table de routage sur votre documentation. 3.8°) Créez un script nommé regles dans /etc/firewall/ copiez le contenu suivant : #Contenu de /etc/firewall/regles #!/bin/bash iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.200.5:80 3.9°) Rendre le script précédent exécutable : #chmod u+x /etc/firewall/regles 3.10°) Créer une référence à ce script dans le fichier /etc/rc.local. Ce fichier est exécuté au démarrage et permet de charger les règles de filtrage. Créer un utilisateur test avec le mot de passe test ( useradd -m test, puis passwd test). Puis, redémarrer le routeur. #!/bin/sh -e # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. rm /etc/udev/rules.d/70-persistent-net.rules /etc/firewall/regles exit 0 Préparation des autres machines 3.11°) Faire un clone d’une machine de type DEBIAN sans bureau. Installer les paquet apache2 et openssh-server. Puis, Configurer l’adressage suivant : CARTES VIRTUAL BOX TYPES ADRESSES eth0 RÉSEAU INTERNE nommé sw-dmz STATIC 192.168.200.5/24, passerelle 192.168.200.254 Nommer la machine www. Créer un utilisateur test avec le mot de passe test. 3.12°) Faire un clone d’une machine de type DEBIAN sans bureau. Installer le paquet bind9 et openssh-server. Puis, Configurer l’adressage suivant : Patrice DIGNAN 2/4 BTS SIOSISR 2017 CARTES VIRTUAL BOX TYPES ADRESSES eth0 RÉSEAU INTERNE nommé sw-serveur STATIC 192.168.100.10/24, passerelle 192.168.100.254 Nommer la machine dns. Créer un utilisateur test avec le mot de passe test. 3.13°) Faire un clone d’une machine de type UBUNTU avec bureau. Configurer l’adressage suivant : CARTES VIRTUAL BOX TYPES ADRESSES eth0 RÉSEAU INTERNE nommé sw-client STATIC 192.168.50.15/24, passerelle 192.168.50.254 Nommer la machine client. Créer un utilisateur test avec le mot de passe test. 3.14°) Vérifier que toutes vos machines se pinguent et peuvent pinguer l’extérieur (google.com par exemple). Réflexion 3.15°) Actuellement, votre firewall est-il configuré en liste blanche ou noire ? Pourquoi ? 3.16°) Expliquer le rôle de la ligne « POSTROUTING ». 3.17°) Parmi les pings que vous avez fait précédemment, quels sont ceux qui n’auraient pas fonctionné si la ligne POSTROUTING n’avait pas été présente ? 3.18°) Depuis le navigateur de votre machine physique (pas la machine virtuelle nommée client), saisir l’adresse IP de la carte eth0 du routeur comme URL. Que remarquez vous pourquoi ? Appelez moi pour que je puisse vérifier cette partie du travail. 4°) Filtrage en liste noire Compléter le script du stop précédent afin de créer les règles suivantes : Règle 1 : On veut une « Liste Noire ». Règle 2 : Interdire à toutes les machines du réseau des clients (sw-client) d'établir une connexion SSH (22/tcp) vers le routeur sauf depuis la machine nommée «client» ; • Règle 3 : Interdire aux internautes (flux entrants sur l’interface eth0) d'établir une connexion SSH (22/tcp) et de faire des « ping » sur le routeur ; • Règle 4 : Interdire à tous les utilisateurs du réseau des clients (sw-client) de réaliser des connections en http (80/tcp) vers le serveur web de la DMZ (sw-dmz). • Règle 5 : N'autoriser le routeur à ouvrir des connections ssh que vers les machines situées dans les réseaux sw-dmz et sw-serveur. Exécuter le script et vérifier que vos règles ont été bien appliquées. Vérifier sur chacune des machines que les règles sont efficaces. • • Appelez moi pour que je puisse vérifier cette partie du travail. Patrice DIGNAN 3/4 BTS SIOSISR 2017 5°) Filtrage en liste blanche En « liste Blanche » tout est interdit donc plus aucune communication n'est autorisée. Il va donc être nécessaire d'autoriser les communications que l'on désire. N'oubliez pas que pour qu'une communication s'établisse il faut autoriser la requête mais aussi la réponse ; Sauvegarder le script du stop précédent. Puis, refaire un nouveau script correspondant aux règles suivantes : • • • • • Règle 1 : On veut une liste Blanche ; Règle 2 : Tous les clients (sw-client) et le routeur doivent pouvoir utiliser le protocole DNS (53/udp) vers le serveur DNS du réseau sw-serveur ; Règle 3 : Seule la machine cliente nommé client (sw-client) doit pouvoir ouvrir une connexion ssh sur le routeur ; Règle 4 : Seule la machine cliente nommé client (sw-client) doit pouvoir ouvrir une http sur la machine nommée www (sw-dmz). Règle 5 : Toutes les machines de votre réseau doivent pouvoir faire des « ping » partout. Exécutez le script et vérifier que vos règles ont été bien appliquées. Vérifier srr chacune des machines que les règles sont efficaces. Appelez moi pour que je puisse vérifier cette partie du travail Patrice DIGNAN 4/4