Tuto maison Procédure de mise en place d’une solution Open Source

de Firewall + DMZ Linux

Fait le 05/12/13

ContenuA- Partie Analyse du projet.........................................................................................................................................2

1- La demande du Centre Hospitalier......................................................................................................................2

2- Les besoins logiciel du projet...............................................................................................................................2

3- Les solutions disponibles.....................................................................................................................................2

a. Avantages et inconvénients de chaque solution.............................................................................................2

b. Solution retenue..............................................................................................................................................3

4- Les besoins matériels du projet...........................................................................................................................3

B- Partie Mise en Œuvre du projet..............................................................................................................................4

1- Installation de la solution IPFire..........................................................................................................................4

2- Les Addons rajoutés..........................................................................................................................................12

3- Plan de test de la solution.................................................................................................................................12

4- Résultats des tests.............................................................................................................................................13

C- Administration d’IPFire..........................................................................................................................................13

1. Distante (Web)..................................................................................................................................................13

a. Réglage du pare feu.......................................................................................................................................13

b. Le PAT (Port Address Translating) ou Redirection de Ports...........................................................................13

c. Les règles de pare-feu...................................................................................................................................13

d. Les groupes de pare-feu................................................................................................................................14

e. Les options du pare-feu.................................................................................................................................14

2. Local (root)........................................................................................................................................................14

3. Changement des mots de passes Admin (web) et root (local)..........................................................................14

A- Partie Analyse du projet

1- La demande du Centre Hospitalier

Le Centre hospitalier de Paimpol, ayant intégré de nouveaux équipements au sein de son infrastructure, souhaite utiliser un Firewall pour filtrer deux VLANs : Radiologie et Laboratoire

Parmi ces nouveaux équipements, il y a les consoles de pilotage des machines de Radiologie. Nous ne connaissons pas encore les impacts et les effets que ces consoles (sous Windows XP) peuvent avoir sur le réseau. De plus, les antivirus du Centre Hospitalier ne sont pas compatibles avec ces consoles.

Ces deux VLANs devront donc utilisés une passerelle unique capable de filtrée les paquets entrants comme sortants afin de pouvoir les interconnectés au LAN du CH. Une DMZ devra aussi permettre de placer les équipements susceptibles d’être pilotés à distance.

2- Les besoins logiciel du projetAfin de garantir que la solution finale sera la meilleur du moment, un comparatifs des 5 distributions les plus cotées est indiqué plus bas. Cependant, la distribution retenue devra :

- Permettre le filtrage des paquets entrants/sortants- Pouvoir disposer d’une DMZ- Etre souple et évolutive grâce à une multitude de Plugins ou autres composants logiciels- Permettre une Administration simple et si possible à distance et sécurisé- Garantir une fiabilité, une stabilité et une sécurité optimale

3- Les solutions disponiblesLes distributions sont diverses et variées selon les besoins. Pour faire un premier trie, nous n’allons retenir que les principales solutions Open Sources.

- IPFire- MonoWall- SmoothWall Express

a. Avantages et inconvénients de chaque solution 

IPFireIPFire est un Fork de IPCOP. Il est donc très sûr et très stable. Cette distribution propose plus d’options nativement que son grand frère, IPCOP. La communauté est très réactive, importante et la traduction Française du site officiel commence depuis peu.

Cependant, il n’est pas aussi mûr qu’IPCOP et pour le moment il faut maitriser l’anglais pour pouvoir avoir la communauté comme support.

MonoWallM0n0Wall est une distribution FreeBSD faisant office de pare-feu. Elle dispose des options de base sans superflue. Elle ne requiert pas de support matériel haut de gamme. Administrable à distance via un navigateur internet.

Pas de communauté Officielle Française. Communauté peu réactive.

SmoothWallDistribution basée sur Linux : stable, sécurisé et gratuite. Administrable via interface web. Addons Officiels limités, la plupart des Addons sont créés par des développeurs indépendants.

Très peu de support officiel (en raison de l’offre commercial de SmoothWall en parallèle). Communauté peu réactive.

b. Solution retenuePour les raisons évidentes mise en avant juste avant, la solution retenue est donc IPFire.

4- Les besoins matériels du projetLes solutions Open Source basées sous Linux ont le mérite d’être stable, fiable et malléables. De plus, elle ne requiert pas de supports matériels extravagants. Pour installer une solution type Firewall + DMZ, le support devra disposer de :

- D’un processeur qui fasse au minimum 586 Mhz- De 2Go de RAM- De 3 Interfaces réseaux- D’un disque dur 20 Go- Chipset vidéo- Clavier / Ecran

B- Partie Mise en Œuvre du projet

1- Installation de la solution IPFireL’installation se fait grâce à une clé USB et une carte mère compatible avec le boot USB. Le programme Linux Live USB Creator est utilisé pour décompresser l’image ISO sur le périphérique USB.

Une fois arriver sur l’écran principal d’IPFire, appuyer sur Entrée pour lancer l’installation.

Ensuite sélectionner les options adéquates dans l’assistant d’installation :

Francais

Yes, puis Ok

Choisir le système de fichier le plsu approprié, j’ai choisi ext3

Installation en cours

L’assistant nous avertis que l’installation s’est correctement déroulée

Au 1er démarrage l’assistant nous guide pour la configuration de la solution. Choisissez le bon clavier, c’est-à-dire, Français (fr_latin9 ou azerty)

Fuseau horaire : Europe / Paris

Le nom d’hôte (ici, ipfire)

Nom du domaine de la machine

Configuration des mots de passe : « root » et juste après « admin »

PS : les cases restent vides quand vous tapez les mots de passes. La différence entre admin et root est l’administration : root est local et super utilisateur et admin est administrateur sur l’interface web.

Vous atterrissez sur une page de configuration :

Vient le moment de choisir le type de réseau (Network Configuration Type). Ici il faut une DMZ en plus d’un réseau protégé et d’un réseau relié à internet. Donc ce sera : GREEN + RED + ORANGE

Assigner chaque carte à un réseau

Maintenant il faut adresser chaque interface

L'interface “Rouge” est spéciale parce que sa configuration dépend de votre fournisseur d'accès Internet et de la façon dont il configure votre connexion internet. En fonction de votre type de

connexion vous devez préciser les détails correspondants.

Paramétrage passerelle et DNS

Après cela, votre installation est terminée. Vous pouvez redémarrer le serveur. N’oubliez pas vos logins root et admin pour l’administration.

Après redémarrage, vous devez vous loguez sous root. Vous avez alors la console d’administration. Pour configurer ou modifier le serveur a nouveau sans passer par la ligne de commande, tapez « setup » dans le prompt. Vous arriverez alors sur l’assistant et un choix plus grand d’options sera mis à votre disposition (clavier, mot de passe admin et root, interfaces, type de configuration, adressage, etc…)

2- Les Addons rajoutésJ’ai pris la liberté de rajouter des addons (non indispensables mais toujours pratiques) :

bwm-ng : Indicateur de bande passante en temps réel

nmap : Outil de scanne et d’analyse d’hôtes sur le réseau

iftop : Indicateur d’utilisation de bande passante pour chaque Hôte

TcPick : sniffer de flux TCP sur les interfaces d’IPFire

TCPDump : analyseur de trames

Pour installer d’autres Addons rendez-vous sur

http://wiki.ipfire.org/en/addons/start

Ensuite utilisez la commande : pakfire install –y <nom_du_plugin>

De même, pour desinstaller un addon il faudra utiliser cette commande : pakfire remove –y <nom_du_plugin>

3- Plan de test de la solution1- Essais de ping entre les différents réseaux reliés au firewall2- Test d’administration local distante (root) via l’accès SSH natif3- Test des plugins natifs de filtrage4- Test du firewall et des règles

4- Résultats des tests1- Ping corrects : vert et rouge communiquent. Table de routage correcte (route par défaut,

remises directes). DMZ et Vert ne communique pas. Aucun filtrage sur DMZ.2- Accès SSH activé. Prise en main distante correcte avec l’outil de gestion de connexion

mRemoteNG. SSH version 2 et port de communication 222.3- Le filtrage est correctement effectué. Il faut cependant utiliser le proxy web. Possibilité d’utiliser

une page de blocage perso ou une page par défaut d’erreur DNS. La mise à jour des blacklistes peut se faire via l’interface de maintenance d’URLFilter. Par défaut utiliser l’AC de Toulouse.

4- Le filtrage est correctement effectué par les règles du Firewall Sortant :

L’accès SSH est toujours actif même avec une règle de blocage totale.Le mode 2 du firewall est activé (cela permet de créé des règles de filtrage bloquante).Le firewall réagit correctement. Il Fonctionne en mode 1 (règles de type « Allow »). Il filtre tous les protocoles sur tous les ports sauf les ports suivants :

o 80 : navigation internet httpo 443 : navigation internet sécurisé httpso 53 : résolution DNS

C- Administration d’IPFire

1. Distante (Web)Pour se connecter à l’interface web du firewall il faut entrer l’adresse IP de l’interface que l’on a configuré en verte en spécifiant le port « 444 ». Il ne faut pas oublier de mettre « https:// » avant l’adresse.

Les login de connexion sont les suivants.

Utilisateur : admin

Mdp : admin007

a. Réglage du pare feuPour configurer le pare-feu, aller sur l’onglet « Pare-Feu », puis, sur la droite un menu fait apparaitre les options de pare-feu configurables.

b. Le PAT (Port Address Translating) ou Redirection de PortsIl s’agit ici de pouvoir rediriger les ports demandés lors de la navigation du démarrage de certains protocoles.

c. Les règles de pare-feuSur le menu « Pare-Feu sortant » vous pouvez configurer différentes règles. En dessous « Policy » vous pouvez choisir différents Modes (0, 1 et 2).

Le mode 0 autorise tout trafic sans tenir compte des règles en place.

Le mode 1 bloque tout trafic sauf celui autorisé par les règles en places et actives.

Le mode 2 autorise tout trafic sauf celui spécifier par les règles en places et actives.

d. Les groupes de pare-feuLes groupes d’adresses IP ou d’adresses MAC pour pare-feu sont tout simplement un

regroupement d’adresses qui peut être temporaires, occasionnel ou permanent et permettant d’autoriser ou bloquer l’accès (selon le mode du pare-feu) à certaines adresses ou protocoles à une partie ou à l’intégralité du réseau.

e. Les options du pare-feuLes options du pare-feu permettent tous simplement d’activer ou non les journaux de suivis des différents flux entrants/sortants du firewall et de les « logués » dans des journaux.

2. Local (root)Pour se loguer en super utilisateur (root) sur le firewall il faut spécifier les identifiants suivants.

User : root

Mdp : toor

Cette administration locale peut se voir être effectuer à distance via un logiciel de gestion de connexion (mRemoteNG ou Putty).Cette option est activée dans l’onglet « Système » puis dans le menu « Accès SSH

Télécharger la dernière version de PuTTY sur le site officiel : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Dans Hostname spécifier l’adresse IP du Firewall, puis régler le port sur « 222 ».

Si votre programme vous permet de spécifier les Identifiants de connexions, utilisez ceux fournis précédemment.

Commandes de base :

La commande pour afficher l’assistant de configuration, et ainsi paramétrer le serveur, est la suivante : setup

La commande pour visualiser et/ou configurer les interfaces réseaux est la suivante : ifconfig

Cette commande est l’équivalent du IPCONFIG de MS-DOS.

NB : les interfaces ne sont pas nommées comme d’habitude sous Linux avec eth0, 1, 2, etc… Elles sont nommées par leurs fonctions (couleur). Ainsi, pour voir et configurer l’interface verte je ne ferais pas : ifconfig eth0 mais plutôt ifconfig green0.

Ainsi, pour mettre une adresse IP sur l’interface rouge je ferais : ifconfig red0 192.168.x.x netmask 255.255.255.0 up

Le listing des interfaces est disponible en tapant ifconfig –a

3. Changement des mots de passes Admin (web) et root (local)Pour changer les mots de passes, il faut se rendre sur l’interface d’administration locale (root).

Depuis le menu principal (commande setup) vous avez accès à deux options :

« Mot de passe ‘root’ » pour changer le mot de passe d’admin locale

« Mot de passe ‘admin’ » pour changer le mot de passe d’admin web