Universit Paris Est Marne la Valle Institut Gaspard Monge Master 2 TTT

Scurit Rseau TP : Firewall sous Linux

Master 2 TTT

2011/2012

1. Contexte
1.1 Objectif Le but de ce TP est de concevoir une zone dmilitarise permettant une entreprise de rendre accessible un serveur web partir d'Internet. Ce serveur web est plac sur une zone neutre (DMZ), indpendante du rseau local de l'entreprise. En cas d'attaque venant d'Internet, seul le serveur web sera accessible. Le firewall utilis fonctionne sous Linux avec les rgle de filtrage iptables. Ce TP est compos de trois parties : configuration de la plate-forme sans mise en oeuvre de scurit particulire ; installation et configuration du serveur http Apache : mise en oeuvre de la DMZ, configuration des rgles de filtrage. Nous utiliserons le logiciel de virtualisation Netkit pour notre TP. Pour cela nous crons dans notre rpertoire de travail un sous-rpertoire tp_dmz dans lequel nous recopions le fichier de configuration des machines virtuelles lab.conf. Ensuite nous crons dans le rpertoire tp_dmz les sous-rpertoires lan, dmz, internet, firewall rpertoires correspondant aux 4 machines virtuelles. 1.2 Cahier des charges: Nous rappelons ici le cahier de charge qui nous a t indiqu. Une entreprise dispose d'un rseau local (machine LAN) et souhaite rendre accessible partir d'Internet (machine INTERNET) son serveur http (machine DMZ). L'accs entre les diffrentes machines est gr par le routeur/firewall. Le schma suivant prsente l'architecture du rseau avec le plan d'adressage:

Fig1: Architecture Physique et Logique.

Le rseau (LAN) contient les machines du rseau local. Il doit permettre l'accs Internet des utilisateurs (vers un serveur http). Il doit permettre le ping d'une machine vers une machine d'Internet (message echo request) Il doit accepter en retour la rponse du ping (echo reply) Il ne doit pas autoriser une demande de connexion partir d'une machine venant d'Internet Les machines du rseau LAN ne doivent pas tre visible d'Internet Les machines du rseau LAN doivent pouvoir accder au serveur web de l'entreprise localis dans la DMZ Le rseau cot DMZ contient les machines accessibles la fois d'Internet et du rseau LAN. La machine INTERNET doit pouvoir accder au serveur http de l'entreprise se trouvant dans la DMZ. Pour des raisons de scurit, on ne souhaite pas que la machine INTERNET accde au serveur Web directement, avec l'adresse IP du serveur web. Pour cela, il faut mettre en place un reroutage de port pour que toute connexion arrivant sur l'interface externe de la machine ROUTEUR, vers le port standard du serveur http soit redirige vers le serveur http interne de l'entreprise (sur DMZ). Dans le sens (DMZ) vers (INTERNET) et (LAN) vers (DMZ), une translation d'adresse sera ralise (dans la partie 3).

2. Routage classique
2.1 Mise en uvre du routage classique Le but de cette partie est de raliser l'interconnexion fonctionnelle des 4 PC comme indiqu sur la Fig1: Configuration des interfaces Ethernet, activation du routage IP du ROUTEUR/FIREWALL et des PC sans contrler les accs (pas de rgle de filtrage particulire).

- Firewall
Configuration de l'adressage associ aux interfaces Ethernet et configuration du routage

fig2: configuration interface et routage firewall On peut voir sur la fig3 le contenu de la table de routage aprs configuration. Les rseaux 192.168.10.0/24 ; 192.168.20.0/24 ; 192.168.30.0 sont directement connect au routeur/firewall. La route par dfaut est celle passant par la Gateway 192.168.30.2.

fig3: table de routage firewall. -DMZ Configuration de l'adressage associ l'interfaces Ethernet et configuration du routage. Le contenu de la table de routage aprs configuration, montre que le rseaux 192.168.2.0/24 est directement connect la DMZ. La route par dfaut vers tous les autres rseau est celle passant par la Gateway 192.168.20.1/24

fig4:

-LAN Configuration de l'adressage associ aux interfaces Ethernet et configuration du routage

Le contenu de la table de routage aprs configuration, montre que le rseaux 192.168.10.0/24 est directement connect la DMZ. La route par dfaut vers tous les autres rseau est celle passant par la Gateway 192.168.10.1/24

- INTERNET Configuration de l'adressage associ aux interfaces Ethernet et

Configuration du routage. Le contenu de la table de routage, montre que le rseaux 192.168.30.0/24 est directement connect au host INTERNET. La route par dfaut vers tous les autres rseau est celle passant par la Gateway 192.168.30.1/24.

Aprs configuration des interfaces et du routage sur les diffrents quipement, nous vrifions la connectivit entre eux. Pour cela on effectue un ping entre LAN<>DMZ ; LAN <> INTERNET et DMZ<> INTERNET. Ce qui nous permet de conclure une connectivit effective entre eux: Ping LAN INTERNET

Ping LAN DMZ

Ping DMZ INTERNET

Ping DMZ LAN

Ping INTERNET DMZ

Ping INTERNET LAN

2.2 Configuration du serveur http Dans cette partie nous configurons le serveur http sur la machine DMZ. Le port TCP d'coute standard d'un serveur web est obtenu sur le serveur avec la commande: more /etc/services. Nous observons que ce port TCP standard est 80.

Pour la configuration du serveur, dans le fichier /etc/apache2/ports.conf nous changeons la directive Listen 8080 permettant au serveur d'couter sur le port 8080. Nous ajoutons aussi la directive ServerName 192.168.20.2 dans le fichier /etc/apache2/apache2.conf.

3. Mise en oeuvre de la plate-forme scurise

Pour scuriser la plate-forme, nous allons mettre en place un firewall sur le routeur et dfinir les rgles de filtrage. Nous allons grce cela dterminer les flux autoriss en fonction de l'adresse du rseau, du port tcp, source ou destination. Pour mettre nos rgles de filtrage en place il est impratif de raliser une configuration par dfaut du firewall qui rejette tout flux dans les rgles INPUT, OUTPUT et FORWARD. Ce qui nous permettra de rpondre la rgle gnrale du filtrage qui veut que tout ce qui n'est pas explicitement autoris est interdit. La Syntaxe des trois filtres obtenu sont:

L'tat d' iptables est donne par iptables -L Dans toutes les tables aucun flux n'est autoris.

3.1 Filtrage entre LAN <->DMZ Le but de cette partie est de raliser une translation d'adresse pour toute adresse venant du LAN vers le rseau de la DMZ. Pour cela : Nous ajoutons les filtres permettant d'accepter sur l'interface (eth0) du firewall cot LAN un ping (porter par le protocol ICMP) venant du rseau (LAN). Les rgles sont:

Nous ajoutons aussi les filtres permettant d'accepter sur l'interface (eth1) du firewall cot DMZ un ping venant du DMZ.

Pour pouvoir pinger la DMZ partir du LAN il faut tablir une rgle de forwarding sur le firewall du rseau LAN (192.168.10.0/24 8.10.0/24) vers la DMZ(192.168.20.0).La rgle est tablit dans les deux sens de communication.

Nous pouvons maintenant ajouter une rgle sur le firewall permettant de faire de la translation d'adresse entre un PC du LAN et la DMZ. La rgle ajoute est donne par la syntaxe suivante:

POSTROUTING car se sont les adresses sources des paquets rseau que nous souhaitons modifier. Ainsi, toutes les connexions qui sont faites depuis l'intrieur du rseau local (192.168.10.0) sembleront provenir de la machine 192.168.20.0 MASQUERADE pour permettre toutes les adresses du rseau priv d'utiliser la mme adresse public. Aprs avoir excut la syntaxe nous excutons sur le pc DMZ la commande tcpdump i eth1 pour capturer les trames changes, l'issue d'un ping 192.168.20.2 provenant du LAN. La squence des trames obtenue sur le PC DMZ avant la mise en place de la translation est la suivante:

On remarque que l'adresse source est effectivement celui du Pc LAN (192.168.10.2) initiateur du ping.

La squence des trames obtenue sur le PC DMZ aprs la mise en place de la translation est la suivante :

Nous constatons que l'adresse source du ping est 192.168.20.1 (interfaces du firewall cot DMZ). Ce qui montre que l'adresse du LAN (192.168.10.2) qui a initi le ping a t translat en 192.168.20.1 Q13 : Maintenant nous allons proposer les rgles de filtrage adaptes pour une connexion du LAN destination du serveur http, sur le port d'coute sur serveur http.

3.2 Filtrage (LAN) <->(INTERNET) Le but de cette partie est de raliser la configuration des rgles de filtrage pour accepter un ping et un accs un serveur web situ sur internet et de ralisera une translation d'adresse pour toute machine ayant comme adresse source le rseau LAN et comme rseau destination le rseau INTERNET. Nous devons pour cela autoriser le ping (icmp) et le service http porter par le protocole tcp entre LAN <>INTERNET et translater toutes les adresses du LAN de sorte ce qu'elles soient vu comme venant de l'interface 192.168.30.1. Les commandes sont les suivantes :

Aprs un ping initi par le PC LAN on peut bien observer sur le Pc INTERNET l'adresse 192.168.30.1 correspondant l'adresse de l'interface eth2 du firewall ct Internet. Ce qui est la preuve de la translation d'adresse et de l'autorisation configure du ping.

3.3 Filtrage (DMZ)<->(INTERNET) Le but de cette partie est de permettre laccessibilit du serveur http de l'entreprise partir du pc INTERNET uniquement avec une connexion url : http://192.168.30.1 Pour cela, nous mettrons en place une translation d'adresse du rseau DMZ vers le rseau INTERNET et un forwarding de port pour que toute connexion http venant d'INTERNET vers la machine 192.168.30.1 soit redirige vers la machine 192.168.20.2, et vers le port d'coute du serveur http (sur DMZ). Syntaxe pour le forwarding des flux web : Iptables -A FORWARD -o eth2 -p tcp source-port 8080 -j ACCEPT Iptables -A FORWARD -o eth1 -p tcp destination-port 8080 -j ACCEPT Pour la translation d'adresse, nous utilisons PREROUTING et DNAT car il s'agit de modifier sur le firewall les adresses de destinations des trames avant de les router vers le serveur de la DMZ.

CONCLUSION A l'issue de ce TP nous avons acquis les capacits mettre en place des firewall bas la fois sur les rgles de filtrage et sur la translation d'adresse sous linux.