Cet entraide, comme prévu, traite de la méthodologie de mise en place d'un pare-feu dans un réseau.

Tout d'abord, au niveau matériel, un pare-feu doit avoir une "patte" dans chaque type de réseau. Dans le cas de cette entraide il y a 3 types de réseaux :

  • LAN, avec les postes de travail et les services internes : contrôleur de domaine, serveur exchange par exemple mais aussi DHCP évidemment ou encore serveur de bases DNS
  • DMZ avec les serveurs qui communiquent avec l'extérieur : serveur web publié, serveur de bases de données ou serveur de fichiers par exemple
  • Externe, avec tous les postes d'Internet. Si vous avez du MPLS, le réseau MPLS fera partie de votre LAN ou de votre DMZ plutôt de de l'externe.

Le schéma à reproduire est le suivant (à vos papiers) :

  • Le LAN a pour adresse 192.168.1.0/24. Il contient les postes de travail ainsi qu'un contrôleur de domaine (192.168.1.1) quit fait aussi DNS principal
  • La DMZ a pour adresse 192.168.10.0/24. Elle contient un serveur web accessible depuis internet (son adresse IP interne est 192.168.10.1) et un serveur TSE accessible de l'extérieur (192.168.10.2)
  • Vous devez pouvoir envoyer des requêtes DNS sur internet (l'adresse IP du fournisseur d'accès est 8.8.8.8)
  • Votre serveur TSE doit-être accessible par votre collaborateur. (l'adresse IP publique des requêtes RDP de votre collaborateur est 9.9.9.9)
  • Vous devez pouvoir envoyer des fichiers par FTP à ce collaborateur (l'adresse IP publique permettant d'accéder au serveur FTP est 9.9.9.9)

Je vous laisse reproduire le schéma du réseau avant de révéler mon schéma :

 

Schéma Parefeu

Il faut ensuite décider quels flux laisser passer et quels flux bloquer.
Pour cela il existe deux méthodes :

  • lister les flux qu'on interdit et autoriser tous les autres (je n'utilise pas cette méthode que je trouve trop permissive)
  • lister les flux qu'on autorise et interdire tous les autres (j'utilise cette méthode)

Il existe 3 interface (LAN, DMZ et externe) donc 6 ACL possibles.

Lan vers externe :

  • flux autorisés : DNS (tcp 53)
  • conseil : autoriser tout ou alors bloquer certains flux ou sites (en créant par exemple un alias CNAME www.facebook.com pointant sur 127.0.0.1 ... utile pour bloquer certains sites spécifiques mais facilement contournable)

Lan vers DMZ :

  • flux autorisés : http/https (tcp 80, tcp 443), RDP (tcp 3389)

DMZ vers externe :

  • flux autorisés : DNS (tcp 53), ftp (tcp 21) vers 9.9.9.9
  • conseil : autoriser tout ou alors bloquer certains flux ou sites
  • conseil, pour le relais SMTP (tcp 25), il faut bien indiquer l'hôte d'origine pour éviter qu'un serveur mal configuré puisse relayer en smtp et donc spammer ou pire : rendre votre domaine de messagerie blacklisté

DMZ vers LAN :

  • flux autorisés : DNS (tcp 53)
  • conseil : autoriser RDP (tcp 3389) depuis 192.168.10.2 pour le collaborateur qui se connectera en RDP à des postes du LAN

externe vers LAN :

  • flux autorisés : DNS (tcp 53) vers 192.168.1.1 (le serveur ADDS est aussi serveur DNS)

externe vers DMZ :

  • flux autorisés : RDP (tcp 3389), pas le DNS car c'est le contrôleur de domaine qui s'adressera déléguera si besoin
  • conseil, autoriser les flux 1024-65635 qui correspondent aux ports ouverts à la demande, notamment lors de la connexion vers un serveur FTP