Sosh passe la vitesse supérieur

Rien ne va plus, tout fou le camp, après avoir constaté avec effroi que mon abonnement FreeMobile était bien bien pourri j’ai fait un petit test de ma ligne téléphonique sur DegroupTest.

Ben c’est pas jojo … en gros si je déménage chez Orange/Sosh j’ai le droit au VDSL (31 mbits/s) et en prime j’ai Youtube

Le Brossais_degrouptestAlors forcement ça commence à me trotter dans la tête surtout avec les nouvelles offres internet + Mobile qui viennent juste de sortir ça devient très intéressant 49,99€ pour exactement les mêmes options, reste à savoir si le lecteur multimédia le la Livebox est aussi complet que celui de la Freebox et je pense vraiment sauter le pas.

Le donjon de Naheulbeuk : La série d’animation

Le donjon de Naheulbeuk tout le monde connais, si tu connais pas tu va cliquer sur le lien //www.penofchaos.com/warham/donjon.htm avant que je te pet’la’yeul.

Et ben le réalisateur veux en faire une série d’animation 3D, joie ! Sauf qu’il a plus d’argent … et qu’il en demande via la plateforme de crowdfounding My Major Company //www.mymajorcompany.com/projects/le-donjon-de-naheulbeuk-la-serie-tv

Alors tu y va et tu lache tes bouzoufs et instantanément tu aura +1 en charisme et en intelligence (et tu te dépêche y’a plus que 50 jours !)

 

Installation VMware Pont-Filtrant Virtuel (Virtual DMZ)

logo

L’installation d’une DMZ sur des serveurs esx est souvent floue, comment sécurisé efficacement une DMZ sur des serveurs virtuels sans mettre en péril l’infra complète ?

Je vous propose dans ce bref tuto de créer une plateforme complète afin d’installer une DMZ totalement sécurisée et virtuelle, je m’appuierai sur la distribution de firewall Pfsense permettant de virtualisé des “boîtiers” de sécurité complet.

Dans un premier temps nous installerons un pont-filtrant permettant de sécurisé le flux en direction de la DMZ, puis nous installerons ensuite le firewall le dernier rempart entre votre DMZ et votre LAN interne.

  • Le pont filtrant c’est quoi

Hop une définition copier/coller qui va bien :

Un pont est un équipement réseau qui permet de relier deux sous-réseaux de manière totalement transparente. Pour ceux qui connaissent un peu le modèle OSI, il effectue une interconnexion au niveau 2, c’est-à-dire qu’il travaille au niveau des trames.
En gros, un pont écoute toute l’activité de chaque sous-réseau auquel il est connecté, les stocke en mémoire et les redirige vers le (ou les) sous-réseaux concernés.
Il n’a pas besoin d’adresse MAC (donc pas besoin d’adresse IP non plus) pour fonctionner, et est donc totalement indétectable.

passons donc a la configuration a proprement parlé afin de schématisé au mieux de flux de données provenant d’internet voici un petit schéma

Internet <->  ISP router <-> Front-end <->  DMZ <->  Back-end <-> Lan network

le pont-filtrant est appelé Front-end et le firewall est appelé Back-end

  • Configuration de VMWARE

La configuration Vmware nous oblige à configurer 2 vswitch qui séparerons 2 VLANs physiques,

  • 1 VLAN nommé VLAN 101 qui n’aura pas d’adressage, il sera relié physiquement au routeur de l’ISP et à nos deux ESX et virtuellement sur une carte du front end
  • 1 VLAN nommé VLAN 103 l’adressage public sera utilisé dans ce VLAN, il contiendra une patte du front-end, la DMZ et une patte du back-end
  • Le pont filtrant sera établie entre le VLAN 101 et le VLAN 103
  • Il faut configurer le promiscious mode sur le vswitch gérant le VLAN 101 et le vswitch gérant le VLAN 103

ca se passe par la //kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004099

  • Configuration Front-end Pfsense

Configuration de la machine virtuelle

La machine virtuelle est déployée depuis un template VMWare :

//pfsense.mirrors.ovh.net/pfsense.org/downloads/pfSense-2.0.3-RELEASE-amd64.ova

Une fois la machine déployé il faudra prendre soin de lui attribué 3 carte réseau, une dans le VLan INTERNET (101) une dans le VLAN 103 (DMZ) et l’autre dans le Vlan 999 (VM Network pour la configuration)

pfsense01

Il faudra bien repérer les MAC de chaque interface afin de les identifié sur la machine.

pfsense02

 

Dans la configuration de pfSense en routeur transparent nous sommes dans l’obligation d’utiliser l’adresse WAN comme adresse de configuration. C’est une limitation système que nous ne pouvons contourner. Dans l’exemple du dessus nous pouvons donc établir la correspondance suivant :

Carte 00:50 :56 :86 :00 :1b => VM LAN 999 (VM Network) => Carte WAN pfSense => em0

Une fois votre machine configurer et booter vous arriverez sur le menu de configuration :

pfsense03

D’ici nous allons configurer l’interface WAN et uniquement celle-ci, elle ne servira qu’a la configuration de ce pont filtrant les autres interfaces servirons a faire le Bridge entre le vlan101 et le vlan 103

Sélectionné l’option 1 et repérer l’interface WAN grâce à son adresse MAC pour moi il s’agit de l’interface em0

A la question de création de VLAN mettre no

pfsense04

A la question

pfsense05

Je réponds em0 afin d’attribué l’interface 00 :1b connecter dans le VM Network à l’interface WAN

pfsense07

Maintenant l’adresse WAN est la seule configurée et vous devez obtenir une IP du DHCP server (si configuré dans votre VLAN)

pfsense08

Nous allons fixer cette adresse avec l’option 2

pfsense09

Une fois cette configuration faite vous pourrez vous connecter à l’interface web de configuration, mais uniquement depuis le VLAN 999 (les routes de retours pour les autres VLAN n’existent pas encore)

Connexion avec le user login par défaut admin : pfsense renseigner les différents paramètres, mettre en adresse LAN 0.0.0.0/32 (pas d’adressage pour le bridge)

Une fois que cette première étape de configuration est faite vous devrez recommencer les premières afin de désactiver l’interface LAN fraichement configuré.

Enfin vous aurez accès à l’interface web

pfsense10

Configuration de l’Antilockout

Premièrement nous allons créer une règle d’antilockout sur l’interface WAN, elle permettra l’accès à l’interface sur le port 80 et 443 pour la conf, nous devons explicitement en créer une nouvelle car celle par défaut va migrer sur l’interface LAN aussitôt celle-ci up

Dans Firewall => Rules

pfsense11

Configuration de l’interface WAN –Conf – VLAN 999

Sur l’interface WAN nous allons devoir désactiver une option tout en bas

pfsense12

A partir de la vous devriez etre capable de vous connecter à votre interface de conf depuis n’importe quel VLAN

Configuration de l’interface LAN – Internet – VLAN 101

 L’interface LAN correspond au VLAN 101 c’est-à-dire ce qui est branché avec votre routeur ISP, ce qui est exposé aux réseaux extérieur, nous allons activer cette interface sans lui assigné d’adresse, elle n’en a pas besoin, tout le flux est bloqué par défaut à part certain ports :

Interfaces> assign > sélectionner le ‘+’ > vérifier que l’adresse mac correspond avec la carte réseau dans le VLAN 100 et faite SAVE

Ensuite dans interfaces > LAN

pfsense13

 

Configuration de l’interface OPT1 – DMZ – VLAN 103

Comme pour l’interface LAN nous allons activer l’interface OPT1 qui sera le lien avec la DMZ public

Interfaces > assign > le signe ‘+’ > vérification une nouvelle fois de la MAC address et SAVE

Interfaces > OPT1

pfsense14

 

Configuration Bridge LAN-OPT1

Interfaces > assign > onglet bridges > ‘+’

Sélectionner l’interface LAN et OPT en se servant de la touche CTRL du clavier puis SAVE

pfsense15

Mise en place du « Filtering Bridge »

Rendez vous dans System > advanced et sélectionner System Tunables

Repérer la ligne :  “net.link.bridge.pfil_bridge”

Double cliquer dessus pour l’éditer à une valeur de 1  et Appliquer

pfsense16

Une fois cette configuration faite vous n’aurez plus qu’à établir vos règles sur les différentes interfaces.

Les règles par défaut sont de tout autorisé sur l’interface OPT1 (sortie de DMZ) et de filtrer tout sur l’interface LAN (tout bloqué sauf certain paquets)