Cet entraide, comme prévu, traite de la méthodologie de mise en place d’un pare-feu dans un réseau.
Tout d’abord, au niveau matériel, un pare-feu doit avoir une « patte » dans chaque type de réseau. Dans le cas de cette entraide il y a 3 types de réseaux :
- LAN, avec les postes de travail et les services internes : contrôleur de domaine, serveur exchange par exemple mais aussi DHCP évidemment ou encore serveur de bases DNS
- DMZ avec les serveurs qui communiquent avec l’extérieur : serveur web publié, serveur de bases de données ou serveur de fichiers par exemple
- Externe, avec tous les postes d’Internet. Si vous avez du MPLS, le réseau MPLS fera partie de votre LAN ou de votre DMZ plutôt de de l’externe.
Le schéma à reproduire est le suivant (à vos papiers) :
- Le LAN a pour adresse 192.168.1.0/24. Il contient les postes de travail ainsi qu’un contrôleur de domaine (192.168.1.1) quit fait aussi DNS principal
- La DMZ a pour adresse 192.168.10.0/24. Elle contient un serveur web accessible depuis internet (son adresse IP interne est 192.168.10.1) et un serveur TSE accessible de l’extérieur (192.168.10.2)
- Vous devez pouvoir envoyer des requêtes DNS sur internet (l’adresse IP du fournisseur d’accès est 8.8.8.8)
- Votre serveur TSE doit-être accessible par votre collaborateur. (l’adresse IP publique des requêtes RDP de votre collaborateur est 9.9.9.9)
- Vous devez pouvoir envoyer des fichiers par FTP à ce collaborateur (l’adresse IP publique permettant d’accéder au serveur FTP est 9.9.9.9)
Je vous laisse reproduire le schéma du réseau avant de révéler mon schéma :
Il faut ensuite décider quels flux laisser passer et quels flux bloquer.
Pour cela il existe deux méthodes :
- lister les flux qu’on interdit et autoriser tous les autres (je n’utilise pas cette méthode que je trouve trop permissive)
- lister les flux qu’on autorise et interdire tous les autres (j’utilise cette méthode)
Il existe 3 interface (LAN, DMZ et externe) donc 6 ACL possibles.
Lan vers externe :
- flux autorisés : DNS (tcp 53)
- conseil : autoriser tout ou alors bloquer certains flux ou sites (en créant par exemple un alias CNAME www.facebook.com pointant sur 127.0.0.1 … utile pour bloquer certains sites spécifiques mais facilement contournable)
Lan vers DMZ :
- flux autorisés : http/https (tcp 80, tcp 443), RDP (tcp 3389)
DMZ vers externe :
- flux autorisés : DNS (tcp 53), ftp (tcp 21) vers 9.9.9.9
- conseil : autoriser tout ou alors bloquer certains flux ou sites
- conseil, pour le relais SMTP (tcp 25), il faut bien indiquer l’hôte d’origine pour éviter qu’un serveur mal configuré puisse relayer en smtp et donc spammer ou pire : rendre votre domaine de messagerie blacklisté
DMZ vers LAN :
- flux autorisés : DNS (tcp 53)
- conseil : autoriser RDP (tcp 3389) depuis 192.168.10.2 pour le collaborateur qui se connectera en RDP à des postes du LAN
externe vers LAN :
- flux autorisés : DNS (tcp 53) vers 192.168.1.1 (le serveur ADDS est aussi serveur DNS)
externe vers DMZ :
- flux autorisés : RDP (tcp 3389), pas le DNS car c’est le contrôleur de domaine qui s’adressera déléguera si besoin
- conseil, autoriser les flux 1024-65635 qui correspondent aux ports ouverts à la demande, notamment lors de la connexion vers un serveur FTP
Laisser un commentaire ...
Soyez le premier à commenter!
Vous devez être Connecté pour publier un commentaire.
Vous devez être Connecté pour publier un commentaire.