L’installation d’une DMZ sur des serveurs esx est souvent floue, comment sécurisé efficacement une DMZ sur des serveurs virtuels sans mettre en péril l’infra complète ?
Je vous propose dans ce bref tuto de créer une plateforme complète afin d’installer une DMZ totalement sécurisée et virtuelle, je m’appuierai sur la distribution de firewall Pfsense permettant de virtualisé des “boîtiers” de sécurité complet.
Dans un premier temps nous installerons un pont-filtrant permettant de sécurisé le flux en direction de la DMZ, puis nous installerons ensuite le firewall le dernier rempart entre votre DMZ et votre LAN interne.
- Le pont filtrant c’est quoi
Hop une définition copier/coller qui va bien :
Un pont est un équipement réseau qui permet de relier deux sous-réseaux de manière totalement transparente. Pour ceux qui connaissent un peu le modèle OSI, il effectue une interconnexion au niveau 2, c’est-à-dire qu’il travaille au niveau des trames.
En gros, un pont écoute toute l’activité de chaque sous-réseau auquel il est connecté, les stocke en mémoire et les redirige vers le (ou les) sous-réseaux concernés.
Il n’a pas besoin d’adresse MAC (donc pas besoin d’adresse IP non plus) pour fonctionner, et est donc totalement indétectable.
passons donc a la configuration a proprement parlé afin de schématisé au mieux de flux de données provenant d’internet voici un petit schéma
Internet <-> ISP router <-> Front-end <-> DMZ <-> Back-end <-> Lan network
le pont-filtrant est appelé Front-end et le firewall est appelé Back-end
- Configuration de VMWARE
La configuration Vmware nous oblige à configurer 2 vswitch qui séparerons 2 VLANs physiques,
- 1 VLAN nommé VLAN 101 qui n’aura pas d’adressage, il sera relié physiquement au routeur de l’ISP et à nos deux ESX et virtuellement sur une carte du front end
- 1 VLAN nommé VLAN 103 l’adressage public sera utilisé dans ce VLAN, il contiendra une patte du front-end, la DMZ et une patte du back-end
- Le pont filtrant sera établie entre le VLAN 101 et le VLAN 103
- Il faut configurer le promiscious mode sur le vswitch gérant le VLAN 101 et le vswitch gérant le VLAN 103
ca se passe par la http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004099
- Configuration Front-end Pfsense
Configuration de la machine virtuelle
La machine virtuelle est déployée depuis un template VMWare :
http://pfsense.mirrors.ovh.net/pfsense.org/downloads/pfSense-2.0.3-RELEASE-amd64.ova
Une fois la machine déployé il faudra prendre soin de lui attribué 3 carte réseau, une dans le VLan INTERNET (101) une dans le VLAN 103 (DMZ) et l’autre dans le Vlan 999 (VM Network pour la configuration)
Il faudra bien repérer les MAC de chaque interface afin de les identifié sur la machine.
Dans la configuration de pfSense en routeur transparent nous sommes dans l’obligation d’utiliser l’adresse WAN comme adresse de configuration. C’est une limitation système que nous ne pouvons contourner. Dans l’exemple du dessus nous pouvons donc établir la correspondance suivant :
Carte 00:50 :56 :86 :00 :1b => VM LAN 999 (VM Network) => Carte WAN pfSense => em0
Une fois votre machine configurer et booter vous arriverez sur le menu de configuration :
D’ici nous allons configurer l’interface WAN et uniquement celle-ci, elle ne servira qu’a la configuration de ce pont filtrant les autres interfaces servirons a faire le Bridge entre le vlan101 et le vlan 103
Sélectionné l’option 1 et repérer l’interface WAN grâce à son adresse MAC pour moi il s’agit de l’interface em0
A la question de création de VLAN mettre no
A la question
Je réponds em0 afin d’attribué l’interface 00 :1b connecter dans le VM Network à l’interface WAN
Maintenant l’adresse WAN est la seule configurée et vous devez obtenir une IP du DHCP server (si configuré dans votre VLAN)
Nous allons fixer cette adresse avec l’option 2
Une fois cette configuration faite vous pourrez vous connecter à l’interface web de configuration, mais uniquement depuis le VLAN 999 (les routes de retours pour les autres VLAN n’existent pas encore)
Connexion avec le user login par défaut admin : pfsense renseigner les différents paramètres, mettre en adresse LAN 0.0.0.0/32 (pas d’adressage pour le bridge)
Une fois que cette première étape de configuration est faite vous devrez recommencer les premières afin de désactiver l’interface LAN fraichement configuré.
Enfin vous aurez accès à l’interface web
Configuration de l’Antilockout
Premièrement nous allons créer une règle d’antilockout sur l’interface WAN, elle permettra l’accès à l’interface sur le port 80 et 443 pour la conf, nous devons explicitement en créer une nouvelle car celle par défaut va migrer sur l’interface LAN aussitôt celle-ci up
Dans Firewall => Rules
Configuration de l’interface WAN –Conf – VLAN 999
Sur l’interface WAN nous allons devoir désactiver une option tout en bas
A partir de la vous devriez etre capable de vous connecter à votre interface de conf depuis n’importe quel VLAN
Configuration de l’interface LAN – Internet – VLAN 101
L’interface LAN correspond au VLAN 101 c’est-à-dire ce qui est branché avec votre routeur ISP, ce qui est exposé aux réseaux extérieur, nous allons activer cette interface sans lui assigné d’adresse, elle n’en a pas besoin, tout le flux est bloqué par défaut à part certain ports :
Interfaces> assign > sélectionner le ‘+’ > vérifier que l’adresse mac correspond avec la carte réseau dans le VLAN 100 et faite SAVE
Ensuite dans interfaces > LAN
Configuration de l’interface OPT1 – DMZ – VLAN 103
Comme pour l’interface LAN nous allons activer l’interface OPT1 qui sera le lien avec la DMZ public
Interfaces > assign > le signe ‘+’ > vérification une nouvelle fois de la MAC address et SAVE
Interfaces > OPT1
Configuration Bridge LAN-OPT1
Interfaces > assign > onglet bridges > ‘+’
Sélectionner l’interface LAN et OPT en se servant de la touche CTRL du clavier puis SAVE
Mise en place du « Filtering Bridge »
Rendez vous dans System > advanced et sélectionner System Tunables
Repérer la ligne : “net.link.bridge.pfil_bridge”
Double cliquer dessus pour l’éditer à une valeur de 1 et Appliquer
Une fois cette configuration faite vous n’aurez plus qu’à établir vos règles sur les différentes interfaces.
Les règles par défaut sont de tout autorisé sur l’interface OPT1 (sortie de DMZ) et de filtrer tout sur l’interface LAN (tout bloqué sauf certain paquets)