Mise en place d’une Zone démilitarisée

BTS SIO

Gabin Fourcault BTS SIO

Gabin Fourcault

Page 1

Mise en place d’une DMZ

Table des matières Contexte ................................................................................................................................................... 2

Architecture à réaliser .............................................................................................................................. 3

Comment mettre en place cette architecture ? ...................................................................................... 3

Dans le cas d’un client sous Seven ( Poste Administration & Poste Eleves) ............................................... 3

Dans le cas d’un serveur ou routeur Linux ( routeur1, routeur2, serveur Web) ...................................... 4

Qui puis-je contacter ? ............................................................................................................................. 6

Activer le routage ..................................................................................................................................... 7

Mettre en place des règles de routages ..................................................................................................... 8

Installation de Apache2 ........................................................................................................................... 9

Installation et configuration de ProFTPd ............................................................................................... 11

Installation de ProFTPd ............................................................................................................................. 11

Configuration de ProFTPd ......................................................................................................................... 12

Utilisation de IPTABLES .......................................................................................................................... 12

Configuration du pare-feu ........................................................................................................................ 13

Validation du bon fonctionnement de nos règles iptables ....................................................................... 15

Bloquer les paquets icmp ....................................................................................................................... 17

Cas particulier (Problèmes rencontrés pendant la réalisation de cette synthèse) ................................ 18

Comment faire pour que ma table de routage soit permanente ? .......................................................... 18

Impossible de pinger windows 7 à partir d’un routeur? ........................................................................... 19

Fournir un accès internet à une distribution Debian ................................................................................ 19

Définition

Une DMZ (zone démilitarisée) est un sous-réseau qui est isolé du réseau local via

un pare-feu. Ce sous réseau est susceptible d’être accessible depuis internet. Le

pare- feu bloque donc les accès au réseau local garantissant la sécurité de ce

dernier.

Gabin Fourcault

Page 2

Contexte Un centre de formation dispose de 3 sous réseaux ip distinct

Réseau administration (secrétaire, direction, etc etc)

Réseau formation (eleves)

Réseau serveurs : (1 seul serveur linux avec plusieurs services)

Ce serveur héberge l’intranet du centre de formation ainsi qu’un serveur ftp entre autre (proftpd)

1. Le réseau administration n’est accessible que par l’équipe du centre de formation (un eleve n’a

pas le droit de ping ce réseau) (une personne de l’administration doit pouvoir pinger le réseau des

élèves)

2. Un serveur web Etudiant sera sur un des routeurs et sera accessible qu’aux eleves

3. Un serveur web Administration sera sur le dernier routeur et sera accessible qu’aux personnes de

l’administration

4. Le serveur web est accessible par tout le monde

5. Le serveur ftp n’est accessible que depuis l’ordinateur de l’administrateur(reseau administration)

de l’école

Logiciels utilisés

Apache2.2.22

Windows 7

Debian 3.2.54-2 X86_64 GNU/Linux

ProFTPd 0.9.2-2

Gabin Fourcault

Page 3

Architecture à réaliser

VM Administration IP 192.168.1.1

GW 192.168.1.250

LAN192.168.1.0/24

192.168.1.250

Routeur 2

DMZ192.168.2.0/24

VM Serveur webIP 192.168.2.2

GW 192.168.2.250

192.168.2.249

Routeur 1

192.168.2.250192.168.3.250

LAN192.168.3.0/24

VM ElevesIP 192.168.3.1

GW 192.168..3.250

Comment mettre en place cette architecture ?

Dans le cas d’un client sous Seven ( Poste Administration & Poste Eleves)

Dans le cas du poste Administration :

Aller dans le panneau de configuration

« Centre réseau et partage »

Cliquer sur « Connexion au réseau local »

Propriétés

Double clique sur « Protocole Internet version 4 »

Appliquer la configuration suivante :

Gabin Fourcault

Page 4

L’adresse ip 192.168.1.250 se trouve dans la passerelle par défaut, car lorsqu’un paquet est émis par un poste à destination d’un autre poste, ce paquet est routé à travers les postes jusqu’à sa destination finale. Mais si ce paquet ne trouve pas sa destination, alors il est aiguillé vers la passerelle par défaut. Faire de même avec l’ordinateur Eleves avec la configuration indiquée sur le graphique ci-dessus.

Dans le cas d’un serveur ou routeur Linux ( routeur1, routeur2, serveur Web)

Dans le cas des routeurs, mettre en place deux cartes réseaux pour chaques routeurs et une carte réseau

pour notre serveur web

Ouvrir le terminal et taper su pour entrer dans le mode administrateur.

Taper : nano /etc/network/interfaces pour configurer les adresses ip.

Par exemple pour le routeur 2 vous devez avoir ceci :

Gabin Fourcault

Page 5

Mettre en place la même procédure pour le routeur 1 en s’appuyant sur le graphe ci-dessus :

Pour le serveur web, appliquer la même procédure avec seulement une carte réseau et en ajoutant ce qu’on appelle une gateway (passerelle par défaut):

Une fois la configuration terminée taper pour chaque machines linux : /etc/init.d/networking

restart afin d’appliquer les changements.

Gabin Fourcault

Page 6

Confirmer que les modifications ont bien été prises en compte avec la commande : ifconfig sur

chaques postes linux.

Si pour une raison particulière vous souhaitez désactiver une carte réseau, il suffit de

taper :ifdown [nom de la carte]

et ifup [nom de la carte] pour la réactiver

Qui puis-je contacter ?

Une fois la configuration des adresses ip terminée, il est important de savoir qui est accessible et surtout

qui ne l’est pas. Nous allons commencer par le poste Administration et ping les postes suivants : routeur 2

puis le poste Serveur web :

Du poste Administrateur, je ping l’adresse 192.168.1.250 :

Le résultat est concluant, nous accédons à la première partie du routeur 2.

Tentons maintenant de faire un ping de la seconde partie du routeur 2, l’adresse 192.168.2.249

Le résultat est concluant, le poste Administrateur est capable de communiquer avec les deux parties du

routeur 2. Tentons maintenant de contacter le serveur Web c’est-à-dire le poste 192.168.2.2 :

Gabin Fourcault

Page 7

L’opération à échoué, car le poste Administrateur arrive à joindre le serveur web, mais ce dernier ne peut

répondre car il se trouve dans le réseau 192.168.2.0 (DMZ) et ne connais donc pas le réseau 192.168.1.0

(Réseau Administration), donc il contacte le routeur 1 (Réseau Elèves) (grâce à la passerelle qui lui à été

attribuée), or ce routeur 1, lui-même, ne connais pas le réseau 192.168.1.0 ; Il va donc falloir créer des

règles de routage afin que tout le monde puisse communiquer.

Il faut noter que si nous avions essayé de pinger le poste 192.168.2.2 à partir du poste Eleve, cela aurai

marché :

L’explication est simple : comme la passerelle par défaut du serveur web est configurée avec l’ip

192.168.2.250 (routeur 1) ce routeur connait le réseau 192.168.3.0 (qui est l’émetteur du ping) le serveur

web peut donc lui répondre !

Activer le routage

Dans le cas ou il est impossible de contacter un ordinateur derrière un routeur, il est impératif d’activer la

fonction de routage sur ce dernier :

Sur le terminal , toujours en mode administrateur, taper les commandes suivantes :

Echo > 1 /etc/sys/net/ipv4/ip_forward (afin de mettre la valeur de ip_forward à 1)

Nano /etc/sysctl.conf et décommenter la ligne net.ipv4.ip_forward=1 (afin de conserver ce

paramètre suite à un redémarrage)

Sysctl –p /etc/sysctl.conf (s’assurer que le terminal renvoie 1 pour valeur)

Shutdown –r now (pour rédémarrer l’ordinateur) ou /etc/init.d/procps restart (pour redémarrer

le service en question

Mettre en place cette procédure pour vos deux routeurs

Gabin Fourcault

Page 8

Mettre en place des règles de routages

La première commande à connaitre dans ce domaine est :

route –n (Permet de lister toutes les règles de routages en cours)

Voici ce que cette commande nous révèle :

Nous pouvons voir que notre routeur 1 connait les réseaux qui sont des deux côtés, à savoir le

réseau 192.168.2.0 et 192.168.3.0. Ici notre objectif est de faire comprendre à notre routeur 1

qu’il existe un autre réseau, le 192.168.1.0

Nous allons mettre cela en place avec la commande suivante : route add

route add –net [ip réseau de destination]/24 gw [ip du point d’entrée du routeur

connecté au reseau ciblé]

Dans notre cas cela sera : route add –net 192.168.1.0/24 gw 192.168.2.249

Tapez route –n pour vous assurer que la nouvelle règle est bien présente :

Il est maintenant possible de ping le poste 192.168.2.2 (Serveur web) à partir du poste Administrateur :

Gabin Fourcault

Page 9

Maintenant, il suffit de réitérer la même procédure pour le routeur 2 avec la commande suivante :

route add –net 192.168.3.0/24 gw 192.168.2.250 afin que notre routeur 2 connaisse l’existence du réseau

192.168.3.0

Nos postes clients peuvent maintenant communiquer entre eux à travers deux routeurs et un serveur

web

Installation de Apache2

Sur chaques routeurs et sur le serveur web, taper la commande suivante en mode administrateur :

Apt-get install apache2

Gabin Fourcault

Page 10

Une fois l’installation terminée sur chacuns de nos serveurs, ouvrir un navigateur web et taper

dans la barre d’adresse : 127.0.0.1 ou localhost

La page qui s’affiche avec « IT’S WORK » nous indique que le serveur apache fonctionne.

Pour modifier la page web, taper la commande suivante afin de personnaliser notre portail: nano /var/www /index.html

Pour chacuns de nos serveurs cela nous donne vous devez avoir l’apperçu suivant :

ROUTEUR 2

ROUTEUR 1

SERVEUR WEB

Gabin Fourcault

Page 11

Nos serveurs Apache sont maintenant opérationnels.

Installation et configuration de ProFTPd

Installation de ProFTPd

Au vu de contexte établi, seul les membres faisant partie du corps enseignant ou de l’administration

peuvent accéder au contenu du ftp, ce dernier sera installé sur le routeur 2.

Afin d’installer le serveur FTP il faut taper la commande suivante en mode administrateur :

Apt-get install proftpd

Pendant l’installation vous serez amenés à faire un choix de configuration.

Ici, nous installerons notre serveur en mode « Indémendamment » afin qu’il tourne toujours en tache de

fond.

Gabin Fourcault

Page 12

Configuration de ProFTPd

Passons maintenant à la configuration de notre serveur FTP

Taper nano /etc/proftpd/proftpd.conf

Dans serverName, entrez le nom correspondant au nom de votre serveur

Entrgistrez le document et redémarrez le serveur FTP : /etc/init.d/proftpd restart

Aller sur le poste client Elève puis Administrateur et taper l’adresse suivante dans un navigateur :

ftp://192.168.1.250:21

Votre page devrait ressembler à ceci :

Nous disposons maintenant de nos serveurs apache sur nos deux routeurs et notre serveur web afin

d’obtenir respectivement, un portail pour les élèves, pour le personnel enseignant ainsi qu’un portail

général de l’Ecole.

Nous devons maintenant brider certains accès afin que toutes les conditions soient remplies

Utilisation de IPTABLES

Gabin Fourcault

Page 13

Avant d’utiliser iptables il est important de connaitre certaines fonctionnalités :

Iptables –F supprime toutes les règles iptables

Iptables –L Liste toutes les règles iptables

L’ajout d’une règle suit généralement ce schéma :

Iptables –A (Chaine) –s (adresse) –p (protocole) - -dport (port) –j (décision)

Explications :

Chaine : possibilité de mettre INPUT ou OUTPUT ou FORWARD

Adresse : possibilité de mettre un adresse ip ou une adresse réseau (il est possible de ne pas

mettre la partie –s (adresse) cela signifie que cette règle s’applique pour tout le monde)

Protocole : TCP ou UDP ou ICMP (ICMP concerne le ping)

Décision : ACCEPT ou REJECT (pour le rejeter) ou DROP (pour l’ignorer)

Configuration du pare-feu

Nous allons mettre en place les règles par défaut du pare-feu afin de bloquer tout le trafic entrant (tous

les routeurs + serveur web) :

Iptables –P INPUT DROP Iptables –P FORWARD ACCEPT Iptables –P OUTPUT ACCEPT Maintenant nous allons accepter les connexions locales qui sont déjà ouvertes (tous les routeurs + serveur web) : Iptables –A INPUT –m state - -state RELATED,ESTABLISHED –j ACCEPT Pour autoriser le poste Administrateur à accéder au serveur FTP (routeur 2)

Iptables –A INPUT –s 192.168.1.0/24 –p tcp - -dport 21 –j ACCEPT

Pour autoriser le poste Administrateur à accéder au portail administrateur (routeur 2)

Iptables –A INPUT –s 192.168.1.0/24 –p tcp - - dport 80 –j ACCEPT

Pour autoriser le poste Eleves à accéder au portail des élèves (routeur 1)

Iptables –A INPUT –s 192.168.3.0/24 –p tcp - - dport 80 –j ACCEPT

Gabin Fourcault

Page 14

Pour autoriser le poste Eleves et le poste Administrateur à accéder au portail Ecole (Serveur Web)

Iptables –A INPUT –s 192.168.3.0/24 –p tcp - -dport 80 –j ACCEPT Iptables –A INPUT –s 192.168.1.0/24 –p tcp - -dport 80 –j ACCEPT

Une fois que nous avons tapé ces commandes, vérifions qu’elles aient bien étés prises en compte

sur nos routeurs avec iptables -L

ROUTEUR 1

ROUTEUR 2

Gabin Fourcault

Page 15

SERVEUR WEB

Validation des prérequis

Le poste Administrateur est sencé être maintenant capable d’avoir accès au serveur FTP, au

portail Administrateur ainsi qu’au portail Ecole hébergé par le serveur web. Par contre l’accès au

portail des Elèves doit lui être refusé :

Gabin Fourcault

Page 16

Le poste Elève doit avoir accès à son propre portail Elèves ainsi qu’au portail Ecole hébergé sur le

serveur web. Mais il ne doit pas avoir accès au portail Administration, ni au serveur FTP :

Gabin Fourcault

Page 17

Bloquer les paquets icmp

Enfin, il ne nous reste qu’a empêcher le poste Eleves de contacter le poste Administrateur.

Pour ce faire, nous devons créer une règle dans le pare feu du poste Administrateur :

Sur le poste Administrateur :

Aller dans « Panneau de configuration » -> « Pare-feu Windows »

Dans « Règle de trafic entrant » cliquez sur « Nouvelle règle »

Choisissez « règle personnalisée » -> « tous les programmes »

Type de protocole « ICMPv4 »

Dans adresses IP locales entrez l’adresse 192.168.3.0/24

Cliquez sur « Bloquer la connexion »

Le poste Eleve ne peut donc plus contacter le poste Administrateur alors que l’inverse est possible.

Gabin Fourcault

Page 18

Cas particulier (Problèmes rencontrés pendant la réalisation de cette

synthèse)

Comment faire pour que ma table de routage soit permanente ?

Dans le cas de nos routeurs, si un redémarrage est nécessaire, cela engendrera une perte de toutes les

règles de routage, une méthode efficace consiste à mettre la commande de création de règles dans le

fichier /etc/network/interfaces et de mettre up devant la commande :

Gabin Fourcault

Page 19

Redémarrer le service réseau : /etc/init.d/networking restart

Impossible de pinger windows 7 à partir d’un routeur?

Même si vos addressages ip sont corrects, ils est possible que pinger votre client Seven ne donne aucuns

résultat. La solution est de mettre en place une règle particulière concernant votre pare feu sans pour

autant le désactiver.

Sur votre client Seven aller dans Panneau de configuration -> Pare-feu Windows -> Paramètres avancés ->

Règle de trafic entrant -> Nouvelle règle

Choisissez l’option Personnalisée -> Tous les programmes (puis suivant) -> Type de protocole : ICMPv4

(puis suivant) -> laisser « toutes les adresses IP (puis suivant) -> Autoriser la connexion (puis suivant) ->

choisissez le domaine approprié (Domaine, Privé, Public) (puis suivant) -> Nommez cette règle ->

Terminer.

Maintenant votre client Seven accèpte les requêtes ICMP.

Pour les regles de iptables, mettre d’abord les autorisation puis les interdictions

Fournir un accès internet à une distribution Debian

Pour installer certains logiciels, nous avons besoin d’une connexion internet. Afin d’y parvenir tout en

gardant notre configuration réseau intacte suivre la procédure suivante :

Créer une nouvelle carte réseau en accès par pont lié à votre carte réseau physique qui reçoit

internet.

Démarrer votre VM

Pinger l’adresse 8.8.8.8 (DNS Google) ping 8.8.8.8

Si ce résultat est concluant mais que vous ne pouvez pas afficher de pages dans votre navigateur, c’est

que votre DNS n’est pas renseignée correctement.

Sur le terminal en mode administrateur tapez : /etc/resolv.conf

Mettre l’adresse DNS de Google (8.8.8.8) puis enregistrez le document

Redémarrez le service réseau /etc/init.d/networking restart

Gabin Fourcault

Page 20