Méthode de configuration d’un routeur

Cet entraide, comme prévu, traite de la méthodologie de mise en place d’un pare-feu dans un réseau.

Tout d’abord, au niveau matériel, un pare-feu doit avoir une « patte » dans chaque type de réseau. Dans le cas de cette entraide il y a 3 types de réseaux :

• LAN, avec les postes de travail et les services internes : contrôleur de domaine, serveur exchange par exemple mais aussi DHCP évidemment ou encore serveur de bases DNS
• DMZ avec les serveurs qui communiquent avec l’extérieur : serveur web publié, serveur de bases de données ou serveur de fichiers par exemple
• Externe, avec tous les postes d’Internet. Si vous avez du MPLS, le réseau MPLS fera partie de votre LAN ou de votre DMZ plutôt de de l’externe.

Le schéma à reproduire est le suivant (à vos papiers) :

• Le LAN a pour adresse 192.168.1.0/24. Il contient les postes de travail ainsi qu’un contrôleur de domaine (192.168.1.1) quit fait aussi DNS principal
• La DMZ a pour adresse 192.168.10.0/24. Elle contient un serveur web accessible depuis internet (son adresse IP interne est 192.168.10.1) et un serveur TSE accessible de l’extérieur (192.168.10.2)
• Vous devez pouvoir envoyer des requêtes DNS sur internet (l’adresse IP du fournisseur d’accès est 8.8.8.8)
• Votre serveur TSE doit-être accessible par votre collaborateur. (l’adresse IP publique des requêtes RDP de votre collaborateur est 9.9.9.9)
• Vous devez pouvoir envoyer des fichiers par FTP à ce collaborateur (l’adresse IP publique permettant d’accéder au serveur FTP est 9.9.9.9)

Je vous laisse reproduire le schéma du réseau avant de révéler mon schéma :

Schéma de l'infrastructure à mettre en place (spoiler)

E14_parefeu01 (c)Moi

Il faut ensuite décider quels flux laisser passer et quels flux bloquer.
Pour cela il existe deux méthodes :

• lister les flux qu’on interdit et autoriser tous les autres (je n’utilise pas cette méthode que je trouve trop permissive)
• lister les flux qu’on autorise et interdire tous les autres (j’utilise cette méthode)

Il existe 3 interface (LAN, DMZ et externe) donc 6 ACL possibles.

Lan vers externe :

• flux autorisés : DNS (tcp 53)
• conseil : autoriser tout ou alors bloquer certains flux ou sites (en créant par exemple un alias CNAME www.facebook.com pointant sur 127.0.0.1 … utile pour bloquer certains sites spécifiques mais facilement contournable)

Lan vers DMZ :

• flux autorisés : http/https (tcp 80, tcp 443), RDP (tcp 3389)

DMZ vers externe :

• flux autorisés : DNS (tcp 53), ftp (tcp 21) vers 9.9.9.9
• conseil : autoriser tout ou alors bloquer certains flux ou sites
• conseil, pour le relais SMTP (tcp 25), il faut bien indiquer l’hôte d’origine pour éviter qu’un serveur mal configuré puisse relayer en smtp et donc spammer ou pire : rendre votre domaine de messagerie blacklisté

DMZ vers LAN :

• flux autorisés : DNS (tcp 53)
• conseil : autoriser RDP (tcp 3389) depuis 192.168.10.2 pour le collaborateur qui se connectera en RDP à des postes du LAN

externe vers LAN :

• flux autorisés : DNS (tcp 53) vers 192.168.1.1 (le serveur ADDS est aussi serveur DNS)

externe vers DMZ :

• flux autorisés : RDP (tcp 3389), pas le DNS car c’est le contrôleur de domaine qui s’adressera déléguera si besoin
• conseil, autoriser les flux 1024-65635 qui correspondent aux ports ouverts à la demande, notamment lors de la connexion vers un serveur FTP