Votre Avis sur ma configuration du Firewall avec BOT !

par **guidorange** » 24 Avr 2009 17:22

Bonjour,

IPCOP v1.4.21 + BOT v3.0.0-GUI-b3 + ZERINA-0.9.5b-Installer

Mon schéma Réseau

GREEN + ORANGE + RED

Modem Sagem Fast 1500 (Protocol 1483 bridging)

Interface Red : Connexion en pppoe (1 seul ip publique)
Interface Orange (DMZ) : 172.20.0.1/24
Interface Green (LAN) : 192.168.0.254/24

Services en marche !

DMZ :
Serveur DNS (linux) : ip 172.20.0.2
Serveur de messagerie (linux) : ip 172.20.0.4
Serveur proxy (linux) : 172.20.0.3

LAN :
Serveur IIS 6.0 : 192.168.0.4:8080
Serveur media : 192.168.0.4
Serveur de fichier samba : 192.168.0.253
Serveur AD W2008 : 192.168.0.7

Au niveau du transfert de port :

Pour les mails :

TCP DEFAULT IP : 25(SMTP) => 172.20.0.4 : 25(SMTP)
TCP DEFAULT IP : 143(IMAP) => 172.20.0.4 : 143(IMAP)
TCP DEFAULT IP :
993(IMAPS) => 172.20.0.4 : 993(IMAPS)
TCP DEFAULT IP :
443(HTTPS) => 172.20.0.4 : 443(HTTPS)

Pour le DNS:
TCP DEFAULT IP :
53(DOMAIN) => 172.20.0.2 : 53(DOMAIN)

Pour IIS 6.0
TCP DEFAULT IP : 8080 => 192.168.0.4 : 8080

Au niveau Firewall BOT :

Green => Toutes les Interfaces: Rouge Any : http (pour le web)
=> Toutes les Interfaces: Rouge Any : https (pour le ssl)
=> Toutes les Interfaces: Rouge Any : pop3 (pour recup des mails en pop)
=> Toutes les Interfaces: Rouge Any : ftp (pour serveur de fichier)
=> Toutes les Interfaces: Orange et Rouge 172.20.0.2 : domain ( resolution DNS) => Toutes les Interfaces: Orange et Rouge 172.20.0.4 : https (webmail interne en SSL)
=> Toutes les Interfaces: Orange et Rouge 172.20.0.4 : imap (lire ses mails en imap)
=> Toutes les Interfaces: Orange et Rouge 172.20.0.4 : imaps (imap secure)
=> Toutes les Interfaces: Orange et Rouge 172.20.0.3 : squid (accès au proxy)

Orange 172.20.0.4 => Toutes les Interfaces: Rouge Any : http (pour le web)
Orange 172.20.0.2 => Toutes les Interfaces: Rouge Any : domain (resolution DNS)
Orange 172.20.0.4 => Toutes les Interfaces: Rouge Any : ftp (pour le wget)

Any Any : 1194 =ADV> te, VPN, Bleu, Orange et Rouge Any (j'ai des doutes la ! c'est pour le VPN Zerina)

Donc voila je pense n'avoir rien oublié ! j'aimerai avoir votre avis ou des conseils. J'espère n'avoir rien oublié d'importants. J'ai essayé d'être clair dans ce post !
Merci de votre aide

par **ccnet** » 24 Avr 2009 17:52

Pour IIS 6.0
TCP DEFAULT IP : 8080 => 192.168.0.4 : 8080

Première question : ce serveur IIS est accessible depuis l'extérieur ?
Si oui (et d'après les transferts de ports définis, il semble que oui) c'est hautement dangereux.

Pour le DNS:
TCP DEFAULT IP :
53(DOMAIN) => 172.20.0.2 : 53(DOMAIN)

DNS c'est de l'udp en principe ! Qu'est ce qui justifie ce transfert de port ? J'espère que votre serveur DNS ne permet pas les transferts de zones.

Je n'ai pas beaucoup de temps mais il semble y avoir pas mal de problème d'architecture.

par **guidorange** » 25 Avr 2009 08:54

Le serveur IIS doit être accessible depuis l'extérieur ! Pour toi c'est dangereux car le serveur est dans le LAN et il s'agit de IIS ? Le problème ce serveur web est en relation avec une application interne du LAN.

Non mon serveur DNS bind ne fait pas transfert de zones. en efet apres réflexion je vais supprimer ce transfert de port qui sert à rien.

Au niveau de l'architecture peut tu me dire qu'est ce qui te gêne ?

par **jdh** » 25 Avr 2009 09:17

La logique est de placer en DMZ toutes les machines qui ont accès à Internet ou qui seront accédés depuis Internet.
Réciproquement en Green aucun accès direct à Internet !

Donc pas d'IIS en green accédé depuis Internet !

Moins mauvais serait de disposer d'un reverse proxy en DMZ.

Il est totalement inutile d'accéder à un dns interne : vous n'hébergez pas votre dns !
Il ne faut pas accéder à imap/imaps depuis l'extérieur : il vaut mieux mettre en place un VPN ou un webmail (secure).

Je ne vois aucun intéret à accéder depuis Internet à Squid.
Si vous avez un proxy, il n'y a aucune raison d'autoriser Green -> Red pour http.
Si vous avez un serveur de mail, il n'y a aucune raison d'autoriser Green -> Red pour pop
Et ainsi de suite.

Il y a du boulot : regarder pour chaque service offert de quelle zone doit-il être accédé !

NB : je déconseille de recevoir ses mails sauf taille importante (>40-50 boites). Pour une taille plus petite, fetchmail est suffisamment efficace et est moins exigeant en compétence !

par **guidorange** » 25 Avr 2009 12:05

Pour le proxy j'ai du mal a voir comment il faut procéder.

USERS ( LAN ) ----> PROXY (DMZ) -----> ROUTEUR -------> page WEB
ensuite
page WEB----> ROUTEUR ------> PROXY (DMZ) --------> USERS ( LAN )

De Green vers orange :

Green => Toutes les Interfaces: Orange et Rouge 172.20.0.3 : squid Acces au proxy

172.20.0.3 => Toutes les Interfaces: Rouge Any : http Acces Web
172.20.0.3 => Toutes les Interfaces: Rouge Any : ftp Acces Ftp
172.20.0.3 => Toutes les Interfaces: Rouge Any : Ports élévés 1024 - 65535

Avec cette règle mes utilisateurs passeront par le port 3128 qui accède a squid et squid ira chercher la page web la rapatriera et l'enverra a mon users sur le port 3128.

C'est bien ça ?

par **guidorange** » 25 Avr 2009 12:27

J'ai changé pas mal de règle , jespère que c'est mieux ! encore merci de votre aide !

TRANSFERT DE PORTS

TCP DEFAULT IP : 25(SMTP) => 172.20.0.4 : 25(SMTP) (recevoir mail)
TCP DEFAULT IP :443(HTTPS) => 172.20.0.4 : 443(HTTPS) (webmail)

Regle de FW

Orange 172.20.0.2 : 53
=> Toutes les Interfaces: Rouge Any : DNS TCP & UDP
Orange 172.20.0.4 : 25
=> Toutes les Interfaces: Rouge Any : smtp envoie de mail
Orange 172.20.0.3
=> Toutes les Interfaces: Rouge Any : http Acces Web
Orange 172.20.0.3
=> Toutes les Interfaces: Rouge Any : ftp Acces Ftp
Orange 172.20.0.3
=> Toutes les Interfaces: Rouge Any : Ports élévés 1024 - 65535

Green Private Network 192.168.0.0
=> Toutes les Interfaces: Orange et Rouge 172.20.0.3 : squid Acces au proxy
Green Private Network 192.168.0.0
=> Toutes les Interfaces: Orange et Rouge Any : http Acces au serv web interne
Green Private Network 192.168.0.0
=> Toutes les Interfaces: Orange et Rouge 172.20.0.4 : imaps imap en ssl
Green Private Network 192.168.0.0
=> Toutes les Interfaces: Orange et Rouge 172.20.0.2 : DNS DNS tcp & udp

Green Private Network 192.168.0.0
=> Toutes les Interfaces: Rouge Any : ssh acces ssh
Green Private Network 192.168.0.0
=> Toutes les Interfaces: Rouge Any : telnet acces telnet

par **jdh** » 25 Avr 2009 12:41

Cela semble mieux.

Le proxy doit accéder à Red: tcp/80+tcp/21+tcp/443+tcp/8080 (et non de 1024 à ...).

J'ajouterais de Green à Orange ssh sur les machines linux.

par **guidorange** » 25 Avr 2009 13:07

jdh a écrit:Cela semble mieux.

Le proxy doit accéder à Red: tcp/80+tcp/21+tcp/443+tcp/8080 (et non de 1024 à ...).

J'ajouterais de Green à Orange ssh sur les machines linux.

J'ai mit les ports élévés pour l'utilisation de msn, bittorent , ... mais bon je désactive cette règle pour l'instant !

par **guidorange** » 25 Avr 2009 15:19

il y a un truc que je comprends pas !

Je n'arrive pas a faire depuis l'extérieur à faire :

telnet <mon_ip_public> 25

ca ne fonctionne pas ! pourtant le transfert de port 25 vers mon serveur interne est fait !

Lorsque je désactive BOT ca marche le telnet !

Bizzard non ?

par **guidorange** » 25 Avr 2009 15:57

il y a un truc que je comprends pas !

Je n'arrive pas a faire depuis l'extérieur à faire :

telnet <mon_ip_public> 25

ca ne fonctionne pas ! pourtant le transfert de port 25 vers mon serveur interne est fait !

Lorsque je désactive BOT ca marche le telnet !

Meme l'envoie de mailsmtp ne marche lorsque BOT est activé !

Bizzard non ?

par **ccnet** » 25 Avr 2009 16:02

Dans "Settings", l'option "Allow related, established connections" est elle cochée ?

par **guidorange** » 25 Avr 2009 16:18

ccnet a écrit:Dans "Settings", l'option "Allow related, established connections" est elle cochée ?

ok merci . le telnet passe ...........mais l'envoie smtp non !

par **ccnet** » 25 Avr 2009 17:32

Il va falloir être plus précis pour résoudre le problème. Commencez par vérifier que la résolution dns est fonctionelle pour le serveur de mail lorsque BOT est actif. Sans résolution DNS, pas de smtp sortant possible vers internet.

par **ccnet** » 25 Avr 2009 18:10

guidorange a écrit:Le serveur IIS doit être accessible depuis l'extérieur ! Pour toi c'est dangereux car le serveur est dans le LAN et il s'agit de IIS ? Le problème ce serveur web est en relation avec une application interne du LAN.

Non mon serveur DNS bind ne fait pas transfert de zones. en efet apres réflexion je vais supprimer ce transfert de port qui sert à rien.

Au niveau de l'architecture peut tu me dire qu'est ce qui te gêne ?

Ce n'est pas pour moi que la solution retenu est dangereuse. C'est pour votre réseau local. Qu'il s'agisse d'un serveur IIS ou de n'importe quel service, web ou autre, donner un accés au réseau interne pour des connexions venant d'internet est dangereux. Je ne vois pas en quoi la relation de ce serveur avec une application interne pose problème.

En sécurité réseau il y a un certains nombres de lignes directrices que l'on peut suivre sans se tromper.

1. Les flux doivent être strictement séparés en fonction de leur source et leur destination.
2. Les connexions entrantes sont dangereuses. Mais les connexions sortantes le sont presque autant.
3. Les risques viennent d'internet. Si c'est exact, c'est aussi incomplet. Les utilisateurs internes sont à l'origine d'une bonne moitié des problèmes de sécurité.

A la réflexion vous verrez que cela ne contredit en rien les judicieux conseils de JDH.

Si ces principes sont utiles, ils ne font pas tout et ne règlent pas tout.

Enfin on peut s'interroger sur la cohérence qu'il y a à vouloir optimiser votre sécurité, objectif louable, et à faire en sorte que des services comme MSN, bittorent soient accessibles.

Votre Avis sur ma configuration du Firewall avec BOT !

Votre Avis sur ma configuration du Firewall avec BOT !

Qui est en ligne ?