Mise en place d'un pare-feu open source

Please download to get full document.

View again

of 67
308 views
PDF
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Document Description
MEMOIRE DE PROJET DE FIN D ETUDES Pour l obtention du diplôme de Licence Professionnelle En Réseaux, Sécurité et Systèmes Informatiques Mise en place d'un pare-feu open source Au sein du réseau de la FSSM
Document Share
Documents Related
Document Transcript
MEMOIRE DE PROJET DE FIN D ETUDES Pour l obtention du diplôme de Licence Professionnelle En Réseaux, Sécurité et Systèmes Informatiques Mise en place d'un pare-feu open source Au sein du réseau de la FSSM Réalisé par: MAKRAZ Hamza Encadré par: Tuteur: Jury: Pr. My Mehdi BOUHAMIDI Pr. My Ahmed EL KIRAM Pr. My Ahmed EL KIRAM Pr. My Mehdi BOUHAMIDI Pr. Ahmed El OIRRAK Année : 2014/2015 Tout d abord, je tiens à exprimer mon immense respect et gratitude à Pr. My Mehdi BOUHAMIDI, de m avoir accepté en tant que stagiaire au sein du Département d Informatique et de m avoir laissé la liberté d agir, et de me permettre de réaliser mon stage. Je saisis cette occasion de remercier le Pr My Ahmed EL KIRAM, le responsable de la filière Réseaux, Sécurité et Systèmes Informatiques, le chef de département et mon tuteur pour leurs informations précieuses qui m ont aidé à confectionner ce modeste travail. J adresse mes vifs remerciements à tous les enseignants du Département d Informatique de la FSSM de Marrakech, pour les efforts qu ils ont déployés pour me transmettre leurs riches connaissances. 2 Remerciements... 2 Sommaire... 3 Introduction général... 5 Chapitre 1: Présentation générale du contexte générale... 6 A) Présentation général de la FSSM et le réseau MARWAN... 7 B) Le réseau MARWAN... 8 C) L infrastructure réseau de la FSSM D) Cahier de charges Chapitre 2: Les pare-feux solution et la solution choisi A) Les pare-feu fameux B) Table comparatif C) Pfsense comme solution D) Conclusion Chapitre 3: Mise en place du Pfsense A) Pré-requit B) Laboratoire local C) Plan d adressage D) Installation de Pfsense E) Création d une zone démilitarisée F) Réparation de charge G) Basculement H) Gestion bande passante I) Virtual Private Network J) Serveur proxy : SQUID et SQUIDGARD K) HTTP Antivirus Proxy: HAVP L) Système de détection d'intrusion : SNORT M) Surveillance du réseau Conclusion Annexe Table d'illustration Netographie Dans le cadre de ma formation en licence professionnelle Réseaux, Sécurité et Système informatique (R2SI) à la Faculté des Sciences Semlalia, j ai effectué un stage au sein du centre informatique de la Faculté des Sciences Semlalia Marrakech d une durée de deux mois, qui a pour but d acquérir une expérience professionnelle sur le monde travail en plus de mettre en pratique les notions vues pendant les deux ans de ma formation. Durant ces deux mois de recherche et de test j ai réussi à mettre en place une solution de firewalling open source qui va nous augmente la sécurité du réseau. Dans ce rapport nous avons voir c est quoi un pare-feu, les différents pare-feux présentes dans le marcher, la meilleur solution pour nos besoins, et en fin l implémentation place de la solution choisie. 5 6 A) Présentation général de la FSSM et le réseau MARWAN A.1) Historique La Faculté des Sciences Semlalia de Marrakech (FSSM) qui a été Créée en 1978 est le premier établissement de l'enseignement supérieur ouvert dans la région de Sud. Au cours de trente-sept ans d existence, la FSSM a activement contribué au rayonnement et à l'évolution des sciences en poursuivant avec dynamisme ses missions de formation et de recherche. Pour ne citer que certains aspects de cet engagement, il est utile de rappeler l'effort considérable consenti par la FSSM dans la formation initiale, la formation continue et la recherche scientifique : on innovant, on encourageant les partenariats et on écoutant les acteurs socio économiques de la région pour identifier leurs besoins en formation et en recherche-développement. La FSSM répond ainsi à l une des missions principales de l Université, à savoir, s ouvrir sur son environnement et contribuer au développement socioéconomique du pays. La FSSM figure parmi les meilleures facultés du Maroc, notamment sur le plan de la recherche scientifique. Les formations dispensées par cet établissement couvrent pratiquement tous les champs disciplinaires scientifiques. L encadrement pédagogique est assuré par plus de 400 enseignants et un corps administratif composé de plus de 260 administratifs. A.2) Fiche technique Raison sociale: Faculté des Sciences Semlalia Marrakech «FSSM». Forme juridique: Faculté. Doyen: My Elhassan HBID. Téléphone: +212 (0) Adresse: BD Prince My Abdullah B.P.2390 Marrakech. Site: Départements de la Faculté (6 Départements) : o Département de Biologie; o Département de Géologie; o Département de Chimie; o Département de Physique; o Département de Mathématiques; o Département d Informatique. Services administratifs de la Faculté (11): o Service de la scolarité Licence; o Service des relations extérieures; 7 o Service des entretiens; o Service des Marchés; o Service du personnel; o Service de la valorisation de la recherche scientifique; o Service de la communication; o Service du 3éme cycle; o Service des bourses; o Service économique de l intendance; o Service de gestion physique et électronique des documents d archives. A.3) Organigramme de la FSSM B) Le réseau MARWAN Figure 1: organigramme de la FSSM Moroccan Academic and Research Wide Area Network, plus connu sous l'acronyme de «8 MARWAN» est le réseau informatique national à but non lucratif, dédié à l'éducation, à la formation et à la recherche. Il a pour objectif de mettre en place une infrastructure d'information et de communication entre les établissements de formation et d'enseignement. Depuis sa création en 1998, MARWAN a permis aux universités marocaines de développer de nouveaux services en matière d'enseignement, de transfert de technologie et de recherche scientifique. Dans le cadre du lancement du programme d'urgence de l'éducation nationale pour la période , le Centre National pour la Recherche Scientifique et Technique (CNRST) lance une nouvelle version du réseau MARWAN. Le CNRST s'appuie sur l'évolution des technologies de communication à l'échelle internationale pour améliorer la qualité, le service et l'architecture du réseau de MARWAN afin qu'il réponde aux standards internationaux et aux exigences liées à la modernisation de l'université marocaine. Pour cela, le CNRST a sollicité les opérateurs nationaux de télécommunication pour proposer une nouvelle version du réseau MARWAN qui intègre les évolutions techniques de ces dernières années. L'offre de l'opérateur Méditel a été retenue en commun accord avec les universités. Dans sa nouvelle topologie, MARWAN 3 offre aux établissements et universités un choix de débits entre 2 et 100 Mbps. Sa connexion avec le réseau GEANT est réservée uniquement au trafic académique. Tout le trafic internet «commercial» est véhiculé par un autre lien Internet à partir du cœur du réseau fourni par Méditel. Dans sa nouvelle version, MARWAN facilitera la réalisation des actions programmées par les universités dans leurs projets d'établissement et fournira l'infrastructure réseau aux projets lancés par le ministère en collaboration avec les universités et le CNRST à savoir : Application pour l'organisation et la Gestion des Etudiants et des Enseignements; Environnement Numérique de Travail ; Campus Virtuel Marocain; Grille de Calcul Nationale; Institut Marocain de l'information Scientifique et Technique; Système d'information Global; Système de Visioconférence. 9 Figure 2 : le réseau MARWAN C) L infrastructure réseau de la FSSM Le centre informatique FSSM est le responsable à la distribution de l accès au réseau MARWAN. Figure 3 : la topologie de la FSSM Le début initial est 100 Mbits/s et chaque établissement reçoit 54 Mbits/s à travers une liaison 10 radio à l aide des antennes. La Zone LAN Contient tous le Park informatique de la FSSM, à savoir tous les départements, scolarité, bibliothèque et l administration... Pour les serveurs de la FSSM sont au côté public. Les serveurs héberge les services Web, DNS, FTP, Mail des applications comme APPOGE. Les serveurs utilise la technologie de virtualisation, cette dernière consiste à mettre un ou plusieurs systèmes d exploitation ou mêmes applications sur un ou plusieurs ordinateurs ou serveurs, au lieu d'en installer un seul système d exploitation par serveur. La virtualisation est effectué à l aide «VMware vsphere». Cette solution permet d implémenter la technique de clustering à un coût vraiment faible, ce qui permet de protégé toutes les applications d une interruption ou d un déni de service, en offrant une performance matérielle élevé. D) Cahier de charges A.4) Titre du projet Mise en place d un pare-feu open source avec un serveur web. A.5) L établissement Accueillante La Faculté des Sciences Semlalia de Marrakech (FSSM). A.6) Travail demandé Mettre en place un pare-feu open source à états «stateful firewall» permet à l administrateur de protéger le réseau local et les serveur web (http & FTP) par des règles de sécurité. Ainsi ce pare-feu offre également un ensemble de services tel que le NAT statique et dynamique, le VPN, l IDS, surveillance du trafic (IN/OUT), proxy, Multi-WAN, répartition de charge, basculement, antivirus, et un system de LOG très puissant. A.7) Plan du travail Le but est de réinstaller le pare-feu et atteindre à réponde à les conditions suivants : Établir un mécanisme pour Multi-WAN: o Mettre une répartition de charge pour les passerelles WAN; o Mettre un basculement pour les passerelles WAN. Mise en place un pare-feu esclave (backup); 11 Créer une zone DMZ; Configuration du VPN: o Configuration VPN LAN-to-LAN ; o Configuration VPN Nomade. Gestion de bande passante; Mettre en place un outil de surveillance de trafic; Configuration du proxy: o Configuration serveur proxy; o Configuration filtre proxy. Configuration Antivirus; Mettre une répartition de charge pour les sites web; Mise en place un système de détection d'intrusion; Etude de l existant Afin de renforcer la sécurisé de son parc informatique la faculté des Sciences Semlalia utilise un pare-feu Pfsense. La FSSM possède plusieurs sites web sur des serveurs Apache, des serveurs DNS et d autre serveurs pour d autre services. Limites de l existant La configuration du pare-feu est élémentaire, et il manque des services important comme IDS, VPN, zone DMZ, la gestion de bande passante, redondance et Multi-WAN. 12 13 A) Les pare-feu fameux A.8) ClearOS ClearOS (anciennement appelé ClarkConnect) est une distribution Linux, basée sur CentOS et Red Hat Enterprise Linux, conçu pour une utilisation dans les petites et moyennes entreprises comme une passerelle réseau et le serveur de réseau avec une interface d'administration basée sur le Web. Il est conçu pour être une alternative à Windows Small Business Server. ClearOS réussit ClarkConnect. Le logiciel est construit par ClearFoundation, et les services de soutien peuvent être achetés auprès ClearCenter. ClearOS 5.1 supprime les limitations antérieures au courrier électronique, les fonctions DMZ, et MultiWAN. Caractéristiques : Pare-feu Stateful (iptables), la mise en réseau et de la sécurité; La détection d'intrusion et de prévention (SNORT); Réseaux privés virtuels (IPSEC, PPTP, OpenVPN); Proxy Web, avec le filtrage de contenu et antivirus (Squid, DansGuardian); Services de courrier électronique (Webmail, Postfix, SMTP, POP3 / s, IMAP / s); Base de données et serveur Web (facile à déployer pile LAMP); Services de fichiers et d'impression (Samba et CUPS); Flexshares (unifiées de stockage multi-protocole qui emploie actuellement CIFS, HTTP / S, FTP / S, et SMTP); MultiWAN (Internet défaut de conception tolérante); Intégré dans les rapports pour les statistiques et les services système (MRTG et autres); Le(s) Limite(s) : ClearOS non offre pas beaucoup de fonctionnalité dans la version gratuit Pas de mises à jour automatiques pour IPS / URL filte A.9) Untangle Untangle propose deux solutions : La première solution «Next Generation (NG) Firewall» est conçue afin répondre aux besoins des petites et moyennes entreprises. 14 Cette solution intègre à la fois : Un pare-feu; Un routeur; Un système de prévention d intrusion; Un anti-virus avancé; Un filtrage des connexions http / https suspectes; Un bloqueur de publicité (mail et web); Et bien d autres possibilités. La seconde solution proposée est «Untangle Internet Content (IC) Control». Cette solution répond aux besoins des grandes organisations, consommatrices de grandes quantités de bande passante. Lorsque la quantité de donnée échangée devient trop importante pour être contrôlée par les solutions «courantes», il faut alors se tourner vers des solutions parfaitement adaptées à cette situation et c est précisément ce que permet «Untangle IC Control». Le(s) Limite(s) Consomme la RAM; Lent dans le démarrage et dans l arrêter; La version gratuite est très limitée. A.10) Zeroshell Zeroshell est une distribution Linux créée dans le but d'être très complète conçue pour fournir des services réseaux sécurisés dans un réseau local. Elle a été développée par Fulvio Ricciardi pour être totalement administrable via une interface web. Fournie sous forme de Live CD, elle s'initialise en insérant le CD dans la machine cible et en la redémarrant. La connexion à l interface d administration se fait via un navigateur web pour ensuite configurer les services réseaux. Fonctionnalités : Routage statique; NAT; 15 Protocole de routage RIPV2 (Routing information protocol) pour configuration dynamique des tables de routage; Pare-feu, pour filtrage des paquets avec fonction SPI (Stateful Packet Inspection) pour filtrer en fonction de l état de la connexion; Captive portal dont le but est d autoriser l accès au réseau via une authentification web adossée à un serveur Kerberos. Cette fonction est très utile pour sécuriser un réseau sans demander aucune configuration sur les postes clients; VPN LAN-to-LAN, pour interconnecter deux réseaux locaux via Internet en encapsulant les trames Ethernet; VPN Host-to-LAN, pour permettre à des postes clients de se connecter au réseau local via internet; Authentification Radius, pour autoriser l accès au réseau via des points d accès Wi-Fi; Serveur DNS multi-zones, pour définir sa propre zone DNS et les enregistrements associés; Client DynDNS si on a besoin d un nom DNS pour atteindre le routeur; Serveur DHCP pour assigner automatiquement des adresses IP aux postes clients qui le demandent; Qualité de service, pour hiérarchiser la priorité et même la bande passante attribuée à chacun des types de trafic qui traversent Zeroshell. Configuré en mode pont, Zeroshell est ainsi très utile même pour une connexion internet familiale pour donner la priorité aux applications voix (de type Skype) et chat sur d autres applications (téléchargement etc ); VLAN à utiliser avec des switches supportant les VLAN. On peut ainsi par exemple dans un campus, créer un VLAN dédié aux points d accès WIFI et centraliser la gestion de l authentification par captive portal sur Zeroshell; Administration web (sécurisé par filtrage sur IP); Accès SSH (sécurisé par filtrage sur IP); Serveur proxy avec fonction de proxy transparent, intégrant un anti-virus; Équilibrage de charge et tolérance de pannes par l'usage de plusieurs connexions internet; Pont 802.1d avec protocole Spanning Tree pour éviter les boucles dues aux chemins redondants; Connexion UMTS/HSDPA par modem 3G. L'utilisation en Live CD nécessite de sauvegarder le paramétrage mis en place sur un support enregistrable. 16 Il est possible d'utiliser un disque dur pour cela. Zeroshell propose d'enregistrer une configuration sous la forme d'une base de données. Plusieurs configurations peuvent être enregistrées, mais une seule est active à la fois. On peut, à l'aide de l'interface web, la configuration sous forme d'un fichier que l'on peut restaurer à tout moment. Zeroshell fonctionne aussi sur une machine virtuelle, par exemple avec les logiciels VMware et Virtual PC (un disque virtuel pour VMware est fourni en téléchargement). Le(s) Limite(s) : La GUI n'est pas facile à utiliser; Manque de la documentation; Difficile dans l'installation dans HDD par rapport aux autres pare-feux. A.11) OPNsense OPNsense est une distribution de pare-feu open source basé sur FreeBSD. Déploiements typiques sont les pare-feu stateful de périmètre, routeurs, points d'accès sans fil, serveurs DHCP et DNS, points de terminaison VPN et UTM-machines. OPNsense offre des fonctionnalités souvent trouvés dans firewalls commerciaux coûteux, et est basé sur le port FreeBSD du PF-pare-feu. Il peut être configuré et mis à jour par le biais d'une interface basée sur le Web, et ne nécessite aucune connaissance du système FreeBSD sous-jacente à gérer. OPNsense est axée sur la qualité du code et le développement facile, la mise en œuvre du paradigme MVC. Caractéristiques : 1. Installer et mise à jour du firmware Live CD, installateurs USB disponibles; Mise à niveau facile par web-based click-to-upgrade; Outil d'interface opnsense-mise à jour en ligne de commande; Console, basé sur le Web moderne basée Bootstrap GUI, SSH et la gestion de console série; Graphiques RRD déclaré; Le lissage du trafic et le filtrage; Informations en temps réel en utilisant Ajax. 2. Fonctionnalité et connectivité 17 Réseaux privés virtuels utilisant IPsec, L2TP, OpenVPN, ou PPTP; Serveur PPPoE; Le clustering haute disponibilité; redondance et de basculement, y compris de CARP et pfsync; Sortant et entrant équilibrage de charge; Qualité de service (QoS); DNS dynamique; Portail captif; upnp; Multi-WAN; VLAN (802.1Q); Serveur DHCP et relais; Le support IPv6; Adresses IP publiques multiples / multi-nat; RADIUS / LDAP; Résolveurs multiples (transitaire DNS, Unbound); Alias pris en charge pour les règles, les adresses IP, les ports, les ordinateurs et autres entités; Squid et expédition web-proxy. 3. Pare-feu et le routage Pare-feu Stateful; Network Address Translation; Filtrage par source / de destination adresse IP, le protocole, OS / réseau d'empreintes digitales; Couche inspection 7 du protocole ou Deep Packet Inspection; Routage flexible; Par règle configurable exploitation forestière et par règle limiteurs (adresses IP, les connexions, les Etats, de nouvelles connexions, les types de l'etat), le filtrage de la politique (ou le marquage de paquets), le filtrage TCP de l'état du pavillon, l'ordonnancement, la passerelle; Packet épuration; Layer 2 / pontage capable; Table de l'etat jusqu'à plusieurs centaines de milliers états (1 Ko de RAM par Etat 18 environ); Algorithmes de table d'état personnalisable, y compris une faible latence et une faible chute de tension. Le(s) limite(s) : Manque de packages par rapport au Pfsense; C est un nouveau pare-feu n est pas mature comme les autre pare-feux. A.12) Pfsense Pfsense est un routeur / pare-feu open-source basé sur FreeBSD. Il peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Pfsense a des Nouveautés : Pfsense 2.2 est basé sur FreeBSD 10.1 ce qui apporte non seulement de nombreux correctifs de sécurité, mais aussi une meilleure prise en charge du matériel et de la virtualisation; Pf est désormais SMP friendly, ce qui améliore grandement les performances; L'interface d'administration fonctionne désormais sous PHP-FPM, ce qui apporte un gain de réactivité; Ajout de nouveaux fournisseurs de DNS Dynamique (City Network, OVH DynHOST, GratisDNS, Euro DNS et CloudFlare); Changement de démon IPSec racoon par strongswan avec la gestion d'ikev2, AES-GCM entre autres. Caractéristique Pfsense ne fait pas seulement firewall, elle offre toute une panoplie de services réseaux. Je vais vous en présenter une partie, celles que j'ai utilisées ou qui me semblent intéressantes. Interface web; Gestion des VLAN; Routage IPv4 et IPv6; NAT; Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP ); Limitation des connexions pour un pair; Log du trafic avec génération de graphiques; 19 Log sur serveur syslog externe; Répartition de charge et Basculement; Agrégation de ports, IP virtuelles; Proxy transparent; Serveur ou client PPPoE; VPN (client ou serveur)
Search Related
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks