demande d'avis sur la sécurité d'un réseau

demande d'avis sur la sécurité d'un réseau - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 26-10-2008 à 10:28:49    

salut
 
je suis en trains de revoir toutes l'infra du mon réseau d'entreprise de mes parents mais j'ai des questions de sécurité
 
Voilà se que je doit répartir comme différents services
- contrôleur de domaine samba
- serveur asterisk  
- serveur postfix
- serveur vsftpd
- serveur apache2
- annuaire LADP  
et j'en oublie je pense
 
et voilà se que je voulais faire:
mettre les serveurs privé dans un vlan et les serveurs public dans un vlan DMZ avec au milieu une passerelle debian avec iptables.Mais mon problème c'est que postfix et vsftpd vont chercher les users sur LDAP donc je vais devoir les laisser communiquer avec le vlan des serveurs privé car LDAP sera sur le serveur du domaine samba qui sera dans le vlan privé.Donc logiquement ça va créer une faille non?ou si je configure iptables correctement y aura pas de problème? Merci

Reply

Marsh Posté le 26-10-2008 à 10:28:49   

Reply

Marsh Posté le 26-10-2008 à 10:32:19    

Si tu ouvres simplement le port entre les serveurs de dmz et le serveur ldap je ne vois pas vraiment le problème.

Message cité 1 fois

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 26-10-2008 à 10:42:34    

dreamer18 a écrit :

Si tu ouvres simplement le port entre les serveurs de dmz et le serveur ldap je ne vois pas vraiment le problème.


ok merci, je voulais en être sur.

Reply

Marsh Posté le 26-10-2008 à 12:02:35    

j'ai un autre question:

 

dans mon fichier iptables j'ai ces lignes.

 
Code :
  1. iptables -A FORWARD -i eth0.3 -s 172.25.3.13 -o eth0.5 -m state --state ! INVALID -j ACCEPT
  2. iptables -A FORWARD -i eth0.5 -d 172.25.3.13 -o eth0.3 -m state --state RELATED,ESTABLISHED -j ACCEPT
  3. iptables -A FORWARD -i eth0.3 -s 172.25.3.14 -o eth0.5 -m state --state ! INVALID -j ACCEPT
  4. iptables -A FORWARD -i eth0.5 -d 172.25.3.14 -o eth0.3 -m state --state RELATED,ESTABLISHED -j ACCEPT
 

et je voudrais les remplacer par:

 
Code :
  1. donc j'autorise tous en entrée de eth0.5 vers eth0.3
  2. iptables -A FORWARD -i eth0.5 -o eth0.3 -m state --state RELATED,ESTABLISHED -j ACCEPT
  3. mais je contrôle les sorties de eth0.3 vers eth0.5 (eth0.5 qui est ma connexion ADSL donc très dangereuse)
  4. iptables -A FORWARD -i eth0.3 -s 172.25.3.13 -m mac --mac-source 00:xx:xx:xx:xx:01 -o eth0.5 -m state --state ! INVALID -j ACCEPT
  5. iptables -A FORWARD -i eth0.3 -s 172.25.3.14 -m mac --mac-source 00:xx:xx:xx:xx:02 -o eth0.5 -m state --state ! INVALID -j ACCEPT
 


Mais est-ce que je crée une faille de sécurité là?avez vous des conseils pour pas avoir de failles dans mon fichier iptables? Merci Merci


Message édité par hppp le 26-10-2008 à 12:03:05
Reply

Marsh Posté le 29-10-2008 à 14:16:33    

Faudrait nous montrer la totalité de ton fichier pour qu'on puisse juger la sécurité du firewall.
Mais pourquoi autoriser tous en entré (internet -> lan // eth0.5 vers eth0.3) alors que tu filtres du lan vers le net ? ça j'ai pas bien compris  :??:


Message édité par Cyr1u$ le 29-10-2008 à 14:17:16
Reply

Marsh Posté le 03-11-2008 à 21:25:42    

1 - voilà mon fichier iptables :
 
2 - J'autorise pas tous en entré, car l'extérieur peut pas avoir accès au LAN comme il faut une ip dans 172.25.x.0/24  
 

Code :
  1. #!/bin/sh
  2. ####################################
  3. ##########  Variables  #############
  4. ####################################
  6. VLAN_2=eth0
  7. VLAN_3=eth0.3
  8. VLAN_4=eth0.4
  9. VLAN_5=eth0.5
  10. VLAN_6=eth0.6
  11. TUN0=tun0
  13. ####################################
  14. ###########  Général  ##############
  15. ####################################
  16. # REMISE à ZERO des règles de filtrage
  17. iptables -F
  18. iptables -X
  20. iptables -t nat -F
  21. iptables -t nat -X
  22. iptables -t nat -P PREROUTING ACCEPT
  23. iptables -t nat -P POSTROUTING ACCEPT
  24. iptables -t nat -P OUTPUT ACCEPT
  26. iptables -t mangle -F
  27. iptables -t mangle -X
  28. iptables -t mangle -P PREROUTING ACCEPT
  29. iptables -t mangle -P INPUT ACCEPT
  30. iptables -t mangle -P OUTPUT ACCEPT
  31. iptables -t mangle -P FORWARD ACCEPT
  32. iptables -t mangle -P POSTROUTING ACCEPT
  34. # Nous les faisons pointer par défaut sur DROP
  35. iptables -P INPUT DROP
  36. iptables -P OUTPUT DROP
  37. iptables -P FORWARD DROP
  39. # Les logs
  40. #iptables -A FORWARD -p tcp -j LOG --log-level debug
  42. # On enlève le firewall sur le loopback et le reseau local
  43. iptables -A INPUT -i lo -j ACCEPT
  44. iptables -A OUTPUT -o lo -j ACCEPT
  46. # Activation du routage
  47. echo 1 > /proc/sys/net/ipv4/ip_forward
  49. # On autorise tous les ports en sortie
  50. iptables -A OUTPUT -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  51. iptables -A INPUT -i $VLAN_5 -m state --state RELATED,ESTABLISHED -j ACCEPT
  53. # On autorise mais en limitant à un par seconde le ping en entrée
  54. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
  55. iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
  57. # Protége contre le scan des ports
  58. iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
  60. # Translation d'adresses pour tout ce qui traverse la passerelle en sortant par $VLAN_5 INTERNET et vlan4
  61. iptables -t nat -A POSTROUTING -o $VLAN_5 -j MASQUERADE
  62. iptables -t nat -A POSTROUTING -o $VLAN_4 -j MASQUERADE
  64. # DROP des problème sip vers ovh
  65. #iptables -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm --to 65535 --source sip.ovh.net -j DROP
  67. # Proxy transparant
  68. # PC1
  69. iptables -t nat -A PREROUTING -i eth0.3 -s 172.25.3.14 -p tcp --dport 80 -j REDIRECT --to-port 3128
  70. # PC2
  71. iptables -t nat -A PREROUTING -i eth0.3 -s 172.25.3.12 -p tcp --dport 80 -j REDIRECT --to-port 3128
  72. # PC3
  73. iptables -t nat -A PREROUTING -i eth0.3 -s 172.25.3.15 -p tcp --dport 80 -j REDIRECT --to-port 3128
  74. # PC4
  75. iptables -t nat -A PREROUTING -i eth0.3 -s 172.25.3.11 -p tcp --dport 80 -j REDIRECT --to-port 3128
  77. #############################################################
  78. ########################    ########################
  79. ########################   Clients   ########################
  80. ########################    ########################
  81. #############################################################
  83. ################################################################
  84. ########################         ########################
  85. ########################   Passerelle   ########################
  86. ########################       ########################
  87. ################################################################
  88. # Les réseaux
  89. iptables -I OUTPUT -o $VLAN_2 -d 172.25.2.0/24 -j ACCEPT
  90. iptables -I OUTPUT -o $VLAN_3 -d 172.25.3.0/24 -j ACCEPT
  91. iptables -I OUTPUT -o $TUN0 -d 172.20.0.0/24 -j ACCEPT
  92. iptables -I OUTPUT -o $TUN0 -d 172.30.0.0/24 -j ACCEPT
  94. # switch CISCO 2950
  95. iptables -I INPUT -i $VLAN_2 -s 172.25.2.254 -j ACCEPT
  96. # Merlin
  97. iptables -I INPUT -i $VLAN_2 -s 172.25.2.241 -m mac --mac-source 00:1e:8c:46:10:54 -j ACCEPT
  98. # Cameras
  99. iptables -I INPUT -i $VLAN_3 -s 172.25.3.25 -j ACCEPT
  100. iptables -I INPUT -i $VLAN_3 -s 172.25.3.26 -j ACCEPT
  101. # Téléphone PAP2T
  102. iptables -I INPUT -i $VLAN_3 -s 172.25.3.2 -j ACCEPT
  104. # PC3
  105. iptables -A INPUT -i $VLAN_3 -s 172.25.3.15 -j ACCEPT
  106. # PC2
  107. iptables -A INPUT -i $VLAN_3 -s 172.25.3.12 -j ACCEPT
  108. # PC1
  109. iptables -I INPUT -i $VLAN_3 -s 172.25.3.14 -j ACCEPT
  111. ####  Montpellier  ####
  112. # Serveur-lcg
  113. iptables -I INPUT -i $TUN0 -s 172.30.0.1 -j ACCEPT
  114. iptables -I INPUT -i $TUN0 -s 172.20.0.254 -j ACCEPT
  115. # ROUTEUR D-LINK
  116. iptables -I INPUT -i $TUN0 -s 172.20.0.1 -j ACCEPT
  117. # PC1
  118. iptables -I INPUT -i $TUN0 -s 172.20.0.13 -j ACCEPT
  120. ############################################################
  121. ########################   ########################
  122. ########################   VLAN 2   ########################
  123. ########################   ########################
  124. ############################################################
  126. # Les réseaux
  127. iptables -A FORWARD -i $VLAN_2 -d 172.20.0.0/24 -o $TUN0 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients Montepllier
  128. iptables -A FORWARD -i $VLAN_2 -d 172.25.3.0/24 -o $VLAN_3 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients Roses
  129. iptables -A FORWARD -i $VLAN_2 -d 172.30.0.0/24 -o $TUN0 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients OPENVPN
  131. ####  Réseau espagne  ####
  133. # PC4
  134. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.11 -m mac --mac-source 00:0x:xx:xx:xx:xx -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  135. # PC2
  136. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.12 -m mac --mac-source 00:0x:xx:xx:xx:x1 -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  137. # PC1
  138. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.14 -m mac --mac-source 00:0x:xx:xx:xx:x2 -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  139. # PC3
  140. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.15 -m mac --mac-source 00:0x:xx:xx:xx:x3 -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  144. ####  Réseau Montepllier  ####
  145. # PC1
  146. iptables -A FORWARD -i $TUN0 -s 172.20.0.13 -m mac --mac-source 00:0x:xx:xx:xx:x2 -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  148. ####  Réseau OPENVPN  ####
  149. # Serveur-lcg
  150. iptables -A FORWARD -i $TUN0 -s 172.30.0.1 -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  151. # PC1
  152. iptables -A FORWARD -i $TUN0 -s 172.30.0.10 -o $VLAN_2 -m state --state ! INVALID -j ACCEPT
  154. ############################################################
  155. ########################   ########################
  156. ########################   VLAN 3   ########################
  157. ########################   ########################
  158. ############################################################
  160. # Les réseaux
  161. iptables -A FORWARD -i $VLAN_3 -d 172.20.0.0/24 -o $TUN0 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients Montepllier
  162. iptables -A FORWARD -i $VLAN_3 -d 172.30.0.0/24 -o $TUN0 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients OPENVPN
  164. ####  Réseau Montepllier  ####
  165. # PC1
  166. iptables -A FORWARD -i $TUN0 -s 172.20.0.13 -o $VLAN_3 -m state --state ! INVALID -j ACCEPT
  168. ####  Réseau OPENVPN  ####
  169. # PC1
  170. iptables -A FORWARD -i $TUN0 -s 172.30.0.10 -o $VLAN_3 -m state --state ! INVALID -j ACCEPT
  171. # Serveur-lcg
  172. iptables -A FORWARD -i $TUN0 -s 172.30.0.1 -o $VLAN_3 -m state --state ! INVALID -j ACCEPT
  174. ############################################################
  175. ########################   ########################
  176. ########################   VLAN 4   ########################
  177. ########################   ########################
  178. ############################################################
  179. # Les Réseaux
  180. iptables -A FORWARD -i $VLAN_4 -d 172.30.0.0/24 -o $TUN0 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients OPENVPN
  182. ####  Réseau Montepllier  ####
  183. # serveur-lcg
  184. iptables -A FORWARD -i $TUN0 -s 172.30.0.1 -o $VLAN_4 -m state --state ! INVALID -j ACCEPT
  186. ############################################################
  187. ########################   ########################
  188. ########################   VLAN 5   ########################
  189. ########################   ########################
  190. ############################################################
  191. # Les Réseaux
  192. iptables -A FORWARD -i $VLAN_5 -d 172.25.2.0/24 -o $VLAN_2 -m state --state RELATED,ESTABLISHED -j ACCEPT # Serveurs Roses
  193. iptables -A FORWARD -i $VLAN_5 -d 172.25.3.0/24 -o $VLAN_3 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients Roses
  194. iptables -A FORWARD -i $VLAN_5 -d 172.25.4.0/24 -o $VLAN_4 -m state --state RELATED,ESTABLISHED -j ACCEPT # Foneras Roses
  195. iptables -A FORWARD -i $VLAN_5 -d 172.25.6.0/24 -o $VLAN_6 -m state --state RELATED,ESTABLISHED -j ACCEPT
  197. # Merlin
  198. iptables -A FORWARD -i $VLAN_2 -s 172.25.2.241 -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  200. # PC4
  201. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.11 -m mac --mac-source 00:0x:xx:xx:xx:xx -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  202. # PC2
  203. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.12 -m mac --mac-source 00:0x:xx:xx:xx:x1 -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  204. # PC1
  205. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.14 -m mac --mac-source 00:0x:xx:xx:xx:x2 -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  206. # PC3
  207. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.15 -m mac --mac-source 00:0x:xx:xx:xx:x3 -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  209. # Vlan 6
  210. iptables -A FORWARD -i $VLAN_6 s 172.25.6.0/24 -o $VLAN_5 -m state --state ! INVALID -j ACCEPT
  212. ####################################
  213. ############   VLAN 6   ############
  214. ####################################
  217. ####################################
  218. ############    VPN     ############
  219. ####################################
  221. ###############################
  222. ###  OPENVPN Réseau Local  ####
  223. ###############################
  224. # Les Réseaux
  225. iptables -A FORWARD -i $TUN0 -d 172.25.2.0/24 -o $VLAN_2 -m state --state RELATED,ESTABLISHED -j ACCEPT # Serveurs Roses
  226. iptables -A FORWARD -i $TUN0 -d 172.25.3.0/24 -o $VLAN_3 -m state --state RELATED,ESTABLISHED -j ACCEPT # Clients Roses
  228. ####  Réseau espagne  ####
  229. # switch CISCO 2950
  230. iptables -A FORWARD -i $VLAN_2 -s 172.25.2.241 -o $TUN0 -m state --state ! INVALID -j ACCEPT
  231. # Merlin
  232. iptables -A FORWARD -i $VLAN_2 -s 172.25.2.241 -o $TUN0 -m state --state ! INVALID -j ACCEPT
  234. # PC1
  235. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.14 -m mac --mac-source 00:0x:xx:xx:xx:x2 -o $TUN0 -m state --state ! INVALID -j ACCEPT
  236. # PC3
  237. iptables -A FORWARD -i $VLAN_3 -s 172.25.3.15 -m mac --mac-source 00:0x:xx:xx:xx:x3 -o $TUN0 -m state --state ! INVALID -j ACCEPT
  239. # ************************************************************************************************************************************************ #
  241. ####################################
  242. ############    NAT     ############
  243. ####################################
  244. #iptables -A FORWARD -i $VLAN_5 -o $VLAN_2 -d 172.25.2.242 -p tcp --dport 25 -j ACCEPT
  245. #iptables -A FORWARD -i $VLAN_5 -o $VLAN_2 -d 172.25.2.242 -p tcp --dport 110 -j ACCEPT
  246. #iptables -A FORWARD -i $VLAN_5 -o $VLAN_2 -d 172.25.2.242 -p tcp --dport 143 -j ACCEPT
  247. #iptables -A FORWARD -i $VLAN_5 -o $VLAN_2 -d 172.25.2.240 -p tcp --dport 21 -j ACCEPT
  249. #iptables -A INPUT -i $VLAN_5 -p tcp --dport 21 -m state --state ! INVALID -j ACCEPT
  250. iptables -A INPUT -i $VLAN_5 -p tcp --dport 25 -m state --state ! INVALID -j ACCEPT
  252. #iptables -t nat -A PREROUTING -j DNAT -i $VLAN_5 -p TCP --dport 25 --to-destination 172.25.2.242
  253. #iptables -t nat -A PREROUTING -j DNAT -i $VLAN_5 -p TCP --dport 143 --to-destination 172.25.2.242
  254. #iptables -t nat -A PREROUTING -j DNAT -i $VLAN_5 -p TCP --dport 110 --to-destination 172.25.2.242
  256. # ************************************************************************************************************************************************ #

Reply

Marsh Posté le 16-11-2008 à 16:25:53    

up, personne pour me répondre? merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed