GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Endian firewall

Endian firewall cest une distribution oriente scurit, bas sur Ipcop, qui intgre une panoplie doutils tels que : le Firewall, lIDS, le Proxy, le VPN, la passerelle antivirale etc. Dans ce guide on va dtailler la mise en place des diffrents outils de cette distribution afin davoir une solution de scurit complte dun rseau dentreprise.

Agence Nationale de la Scurit Informatique

Gestion de document Auteur K. J Version 1.0 Date 16/05/2011 Modification apporte Premire version

Document Publique

Document Interne

PLAN

Prsentation dEndian .............................................................................................................................. 3 1. 2. 3. Fonctionnement .................................................................................................................................. 3 Installation ........................................................................................................................................ 4 Configuration des diffrents services dEndian firewall : ...................................................................... 15 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. Le menu system : ................................................................................................................ 15 Le menu status : .................................................................................................................. 15 Le menu rseau : ................................................................................................................. 16 LE MENU SERVICES : ............................................................................................................ 21 LE MENU FIREWALL :........................................................................................................... 29
LE MENU PROXY

: ................................................................................................................ 36

Prsentation dEndian
Endian est une distribution de scurit open source dont le but est dobtenir une distribution Linux compltement ddie la scurit et aux services essentiels d'un rseau afin d'offrir une protection maximale contre le vol de donnes, virus, spyware, spam et autres menaces Internet. Plus concrtement, Endian intgre un firewall qui va jouer le rle dintermdiaire entre un rseau considr comme non sr (Internet) et un rseau que lon souhaite scuriser (le rseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci qui seront grer travers une interface web ( Unified Threat Management UTM). Dans ce guide nous aborderons le fonctionnement des interfaces, linstallation et la configuration dEFW. Ensuite, nous dtaillerons les diffrents services proposs par Endian.

1.

Fonctionnement

La partie firewall dEndian Firewall se compose de plusieurs interfaces dont chacune peut tre ou non utilise : Rouge Zone du rseau risque (Internet). Verte Zone du rseau protger (rseau local). Bleu Zone spcifique pour les priphriques sans fil (wifi). Il nest possible de faire communiquer linterface Verte et linterface Bleu quen crant un VPN. Orange Zone dmilitarise (DMZ), cette zone isole, hbergeant des applications mises disposition du public. Elle est accessible de lextrieur mais ne possde aucun accs

sortant (serveur web, un serveur de messagerie, un serveur FTP public, etc.).

Fig1. Schma de fonctionnement dEFW

2.
-

Installation
Tlchargez la dernire version dEndian http://www.endian.com/en/community/download/ firewall depuis son site officiel :

Une fois le fichier tlcharg, il ne vous reste plus qu' graver cette image sur un CD. Dmarrer linstallation sur une machine ayant : Endian tourne sur une machine ddie (utilise tout le contenu du disque). Caractristiques minimales : processeur i386, 64Mo de RAM et 300Mo de disque dur. Plus de RAM peut tre ncessaire pour les fonctionnalits proxy web ou la dtection d'intrusion, Deux cartes rseau 10/100 Mb/s Un lecteur de CDROM permet une installation aise dEndian mais, vous pouvez installer Endian partir du rseau via le protocole HTTP. Un lecteur de disquette n'est pas obligatoire mais se rvle utile pour la cration de sauvegarde et la restauration de votre configuration. Endian peut galement tre install sur une carte Compact Flash

Tapez sue entre pour procder linstallation

Choisissez la langue

Cliquez sur Ok

Endian vous demande la confirmation pour formater les partitions existantes et procdez linstallation.

Tapez ladresse de la carte rseau verte (celle du rseau local)

Linstallation dEFW est termin cliquez sur Ok . Une fois linstallation dEndian Firewall termin il reste encore finaliser l'installation via l'interface web. Pour cela lancez un navigateur web et tapez : http://<l@IPdendian> https:// <l@IPdendian:10443>

Vous allez tre redirig vers linterface suivante:

Choisissez la langue

Faites accepter la License

Cette option est utile en cas ou vous voulez restaurer le systme qui a t sauvegard en restaurant un fichier de sauvegarde de configuration qui a t sauvegard au paravent. Dans notre cas, choisissez non puisquil sagit dune premire installation.

10

Choisissez les mots de passe du compte admin pour linterface web et du compte root pour se connecter en mode terminal sur le systme.

Choisissez le type dinterface rouge (WAN), dans notre cas cest une interface Ethernet statique.

11

Si vous allez dfinissez une zone orange pour le DMZ ou une zone bleue pour le wifi. De mme dans notre cas il sagit dun simple firewall entre deux zones vert (Lan) et rouge (WAN).

Vrifiez ladresse de linterface verte.

Slectionnez linterface rouge et la associer son adresse et sa passerelle.

12

Configurez votre DNS

Appliquez la configuration

13

Reconnectez-vous sur linterface web dEndian avec un login admin et le mot de passe que vous avez lui associ si dessus.

14

Voici le tableau de bord dUTM Endian

3.

Configuration des diffrents services dEndian firewall :

3.1. Le menu system :

Cette section permet dafficher toute information concernant le systme et la configuration du rseau et il vous donne la main de reconfigurer le rseau.

3.2. Le menu status :

Cette section permet dafficher : Ltat du systme (les services, mmoire, utilisation disque, modules charg). Ltat du rseau ainsi que les graphs du trafic rseau. Il surveille les connexions tablies par iptables ainsi que par openvpn sil fonctionne.
15

Les statistiques des emails SMTP si la passerelle antivirale est fonctionnelle.

3.3. Le menu rseau :

Ce menu contient trois onglets : Edition des htes :

16

Endian contient un serveur DNS cache (dnsmasq) qui vrifie le fichier hte du systme pour le nom de look-up. Dans cette section, vous pouvez dfinir une entre de l'hte personnalis qui sera alors rsolu pour tous les clients.

Routage : Routage statique :

Permet d'associer des adresses de rseau spcifiques avec des passerelles donnes ou uplink (liaison montante). Cliquez sur le lien Ajouter une nouvelle rgle pour spcifier une rgle de routage statique.

17

Rgles de routage :

Permet d'associer des adresses de rseau spcifiques, des ports de service et des protocoles avec des uplinks donns.

18

Interface : Editer une liaison montante : Des Uplinks supplmentaires peuvent tre dfinies en cliquant sur l'onglet diteur dUplink: choisir le type de liaison montante, puis remplir le formulaire spcifique de ce dernier.

19

VLANs : Les rseaux locaux virtuels (VLAN) peuvent tre dfinis en cliquant sur l'onglet VLAN. Le support des vlans par Endian offre lide dassocier les vlans ids avec les zones du firewall.

20

3.4. LE MENU SERVICES :

Endian peut fournir un certain nombre de services utiles qui peuvent tre configurs dans cette section. En particulier, il s'agit des services utiliss par le proxy tel que : lantivirus clamav. Ainsi que lIDS snort . Voici donc la liste des services qui peuvent tre activs via Endian: a) Serveur DHCP : Le protocole DHCP (Dynamics Host Configuration Protocol) vous permet de contrler la configuration des adresses IP de tous vos priphriques rseau via votre d'Endian UTM de faon centralise. Quand un client (hte client ou une imprimante en rseau, etc) se joint votre rseau, il obtiendra automatiquement une adresse IP valide partir d'une plage d'adresses et d'autres paramtres de la fonction DHCP. Le client doit tre configur pour utiliser DHCP. Vous pouvez choisir d'offrir ce service aux clients de la zone verte, ou comprennent des dispositifs sur le ORANGE (DMZ) ou BLEU (WLAN) zone en cochant les cases cocher qui sont tiquets.

21

b) DNS dynamique: Les fournisseurs de DNS Dynamique comme DynDNS offre un service qui permet d'affecter un nom de domaine des adresses IP. Cela fonctionne mme avec des adresses qui se changent dynamiquement, tels que ceux offerts par des connexions ADSL. Chaque fois que le changement d'adresse IP est effectu, la mise jour doit tre activement propag au fournisseur de DNS dynamique. Endian UTM contient un client DNS dynamique pour les 14 fournisseurs diffrents, si elle est active, il se connectera automatiquement au fournisseur de DNS dynamique et de lui demander la nouvelle adresse IP aprs chaque changement d'adresse.

22

c) Moteur de lantivirus: Ce module vous permet de configurer la manire dont ClamAV devrait traiter les archives et la synchronisation des mises jour de signature. Le dmarrage de mise jour se fait manuellement, ainsi vous pouvez vrifier quand la dernire mise jour a t effectue.

23

d) Serveur de temps: Endian conserve l'heure du systme synchronis au serveur de temps sur internet en utilisant le protocole NTP (Network Time). Un certain nombre de serveur de temps sur internet sont prconfigurs et utilis par le systme. Cliquez sur les serveurs NTP Remplacer par dfaut pour spcifier vos propres serveurs de temps manuellement. Cela peut tre ncessaire si vous utilisez une configuration qui ne permet pas Endian daccder Internet. Ces htes doivent tre ajouts un par ligne.

24

e) Apprentissage Spam: SpamAssassin peut tre configur pour faire un apprentissage automatique des e-mails qui sont classs comme spams. Pour tre en mesure d'apprendre, il doit se connecter un serveur IMAP et vrifier avec les blacklists de spam existants.

25

f) Prvention dintrusion: Endian inclut comme moteur de dtection dintrusion systme snort . Vous pouvez lactivez seulement sur la zone verte. Pour les rgles de snort, soit : Dactiver loption de rcupration des rgles automatiquement et de planifier les mises jour. Dimporter des rgles personnalises et manuellement.

26

g) Traffic Monitoring: La supervision du trafic se fait par ntop et peut tre active ou dsactive en cliquant sur l'interrupteur principal sur cette page. Une fois que la supervision du trafic est active un lien vers l'interface d'administration de ntop saffiche dans un autre onglet. Cette interface d'administration est assure par ntop et comprend des statistiques dtailles sur le trafic rseau. Ce dernier peut tre analys par hte, protocole, interface rseau ainsi que des autres types d'informations.

h) Serveur SNMP:

27

Le Simple Network Management Protocol (SNMP) est peut tre utilis pour contrler les diffrents lments du rseau. Endian intgre un serveur SNMP.

Si vous voulez lactiver, un peu d'options apparatra : Community string : cest une cl qui est ncessaire pour lire les donnes avec un client SNMP. System contact email address : Le serveur SNMP ncessite une adresse email de ladministrateur systme pour tre configur.

i) Qualit de service : Permet de classer par priorit le trafic IP qui passe par votre firewall en fonction du service. Les applications qui ont gnralement besoin d'avoir la priorit sur le trafic en vrac comme les tlchargements sont des services interactifs tels que Secure Shell (SSH) ou de la voix sur IP (VoIP). Vous devez alors configurer : Les priphriques : ajouter les priphriques (zone, interface, liaison montante, VPN IPSEC). Les classes : classez les priphriques ajouts par classe. Les rgles : attribuez les priorits aux diffrents priphriques et/ou classes dj dfinis.

28

3.5. LE MENU FIREWALL :

Cette section vous permet de configurer les rgles de votre firewall qui spcifient comment le trafic rseau sera dirig. Voici une liste de liens qui apparaissent sur le ct gauche de l'cran: Port forwarding/NAT : pour configurer la redirection des ports et le NAT (network address translation). Outgoing traffic : permet dautoriser ou dinterdire le traffic sortant (vers le rouge) et le paramtrer par zone, hte, port, etc Inter-Zone traffic : permet dautoriser ou dinterdire la circulation entre les zone VPN traffic : afin de prciser si les htes se connectant via un VPN doivent tre pass par le firewall. System Access : accorder l'accs l'hte Endian

a) Port forwarding/NAT:

29

Destination NAT :

Destination NAT est gnralement utilis pour permettre l'accs rseau limit partir d'un rseau non scuris, ou de translater certains ports dautres adresses. Il est possible de dfinir quel port de l'interface qui doit tre transmis un hte donn et le port. Source NAT :

Cette section permet de dfinir quel trafic sortant la Source NAT doit tre appliqu. Cette dernire peut tre utile dans le cas o vous avez un serveur derrire votre firewall Endian qui possde sa une adresse IP externe et vous voulez que les paquets sortants utilisent une adresse IP autre que celle de linterface RED du pare-feu. Pour ce cas, il faut ajouter des rgles NAT Source est similaire l'ajout de rgles de transfert de port. Exemple: 1- Configuration d'un serveur SMTP fonctionne sur IP 123.123.123.123 (en supposant que 123.123.123.123 est son adresse IP externe) dans la zone dmilitarise avec NAT source. 2- Configurer votre zone orange que vous le souhaitez. 3- Configurer le serveur SMTP l'coute sur le port 25 sur un rseau IP appartenant la zone orange. 4- Ajouter une liaison montante (uplink) avec Ethernet IP statique 123.123.123.123 votre firewall Endian dans la section interface rseau.

30

5- Ajouter une rgle source NAT et spcifier, en tant quadresse source, l'adresse IP ORANGE du serveur SMTP. Veillez utiliser NAT et dfinir la source de NAT l'adresse IP 123.123.123.123.

Incoming routed traffic :

Avec ce module, vous pouvez rediriger le trafic qui a t achemin par le biais de votre firewall Endian. Ceci est trs utile si vous avez plus d'une adresse IP externe et que vous souhaitez utiliser certains d'entre eux dans votre DMZ sans avoir utiliser NAT. b) Outgoing traffic

31

Endian est prconfigur avec un ensemble de rgles, qui autorisent le trafic sortant de la zone verte en ce qui concerne les services les plus courants (HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAP, DNS, ping). Tous les autres services sont bloqus par dfaut. De mme, l'accs HTTP, HTTPS, DNS et ping est autorise partir de la zone bleue (WLAN) alors que DNS et ping sont autoriss de la zone orange (DMZ).

Tout le reste est interdit par dfaut. Dans ce module, vous pouvez activer/dsactiver, modifier ou supprimer des rgles en cliquant sur l'icne approprie sur la ct droite de la table. Vous pouvez galement ajouter vos propres rgles en cliquant sur le lien Ajouter un nouveau rgle pare-feu. NB : l'ordre des rgles est important: la premire rgle correspondant au paquet dcide si ce dernier est autoris ou non, peu importe combien de rgles de correspondance pourrait le suivre. c) Inter-Zone traffic:

32

Cette section vous permet de mettre en place des rgles qui dterminent la faon dont le trafic peut circuler entre les diffrentes zones rseau, l'exclusion de la zone rouge. Endian est fourni avec un ensemble simple de rgles prconfigures: Le trafic est autoris de la zone verte toute autre zone (orange et bleu) et la circulation est autorise dans chaque zone. Tout le reste est interdit par dfaut.

Similaire au module Outgoing traffic , vous pouvez activez/dsactivez, modifier ou supprimer des rgles en cliquant sur l'icne approprie sur la ct droite du tableau. Vous pouvez galement ajouter vos propres rgles en cliquant sur le lien Ajouter une rgle de pare-feu Inter-Zone

33

Le firewall Inter-Zone peut tre activs/dsactivs dans son ensemble en utilisant l'option Activer le pare-feu Inter-Zone . NB : Lorsqu'il est dsactiv, tout le trafic est autoris entre toutes les zones autres que la zone rouge. d) VPN traffic :

Le firewall VPN permet d'ajouter des rgles appliques aux htes qui sont connects via un VPN. Par dfaut, le firewall VPN est dsactiv, ce qui signifie que le trafic entre les htes VPN et les htes de la zone verte puissent circuler librement, ainsi quavec toute les autres zones. NB : Noter que les htes VPN ne sont pas soumis aux autres sections du firewall Inter-Zone traffic et Outgoing traffic . La manipulation des rgles est identique la section Outgoing traffic .

34

e) System Access :

Dans cette section, vous pouvez dfinir des rgles qui accordent ou refusent l'accs au firewall Endian lui-mme. f) Firewall Diagrams :

35

Sur cette page vous pouvez trouver une liste de tous les modules du firewall. Pour chacun des modules, un diagramme a t cr pour mieux comprendre le trafic.

3.6.

LE MENU

PROXY :

Un proxy est un service sur votre Endian qui peut agir comme un contrleur d'accs entre les clients et les services rseau. Si tout le trafic web passe par un proxy on lappelle proxy transparent. Un proxy non transparent est reli par la configuration de votre navigateur. Voici une liste de proxy qui est disponible sur Endian Firewall. Chaque proxy peut tre configur via les liens qui se trouvent dans le sous-menu sur la ct gauche de l'cran: HTTP : configurer le proxy Web, y compris les politiques d'accs, d'authentification, filtrage de contenu et antivirus. POP3 : configurer le proxy pour la rcupration du courrier via le protocole POP, y compris filtre anti-spam et antivirus. FTP : activer ou dsactiver le proxy FTP (scan des fichiers, qui sont tlchargs via FTP, pour les virus).

36

SMTP : configurer le proxy pour l'envoi ou la rcupration du courrier via le protocole SMTP, y compris filtre anti-spam et antivirus. DNS : configurer un cache pour le serveur de noms de domaine (DNS), y compris anti-spyware.

HTTP :

Configuration : Activez le proxy sur la zone que vous voulez que le trafic http passe travers lui.(la zone verte, orange ou bleue). Choisissez le mode de proxy, soit: Mode transparent : tout le trafic passe travers lui sans aucune configuration sur les navigateurs. Mode non transparent : vous devez configurer les navigateurs manuellement. Configurer les autres champs.

37

Authentification : Endian supporte quatre types dauthentification: Local Authentication (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) and Radius. Chaque type dauthentification ncessite une configuration des paramtres diffrents.

Access Policy: Les politiques daccs seront appliques pour tous les clients connects via le proxy, indpendamment de leur authentification. Les rgles de politique d'accs sont les politiques d'accs bas sur : le temps daccs, la source, la destination, l'authentification, le type de navigateur, les types MIME, dtection de virus et filtrage de contenu. Vous pouvez slectionner un type de filtre pour chaque rgle pour spcifier si laccs internet est bloqu ou autoris, dans ce dernier cas, vous pouvez activer et slectionnez un type de filtre. Pour ajouter une nouvelle rgle suffit de cliquer sur Crer une rgle et de remplir vos paramtres. Content filter : Pour tre en mesure d'utiliser le filtre de contenu, vous devez crer un profil ContentFilter dans une rgle de politique d'accs. Le filtre de contenu dEndian (DansGuardian) utilise trois techniques de filtrage qui peuvent tre dfinies chacun par un profil de filtre : 1- Le premier est appel PICS (Platform for Internet Content Selection). Il est une spcification cre par W3C qui utilise les mtadonnes pour les pages Web afin d'aider l'tiquette de contrle parental. 2- Le second est bas sur un systme de pondration de phrase, il analyse le texte des pages web et de calcule un score pour chaque page. 3- La dernire mthode utilise une liste noire d'URL et des domaines. Toutes les URL demandes seront recherches dans cette liste et ne sont desservies que si elles ne sont pas trouves. Antivirus :

38

Dans cette section vous pouvez configurer le moteur de scanner de virus utilis par le proxy HTTP. (ClamAV, de Sophos Antivirus est disponible depuis la version 2.3). Spcifiez la taille maximale des fichiers qui doivent tre scanns par lantivirus. Vous pouvez ajouter une liste d'URL qui ne seront pas scanns par lantivirus.

AD join : Dans cette section, vous pouvez joindre lannuaire Active Directory. Cela n'est possible que lorsque l'authentification est dfinie bien sre sur Windows Active Directory (NTLM).

POP3 :

Dans cette section, vous pouvez activer ou dsactiver le proxy POP3 pour chaque zone. Vous pouvez configurer les paramtres globaux du proxy POP3. Il est galement possible d'activer l'antivirus et le filtre anti-spam pour les e-mails entrants. Si vous voulez logger chaque connexion sortante POP3, vous pouvez activer Enregistrer les connexions sortantes dans le journal du pare-feu .

FTP :

39

Le FTP (File Transfer Protocol) proxy est disponible seulement comme proxy transparent, ce qui permet la recherche de virus sur les tlchargements FTP. Vous pouvez activer le proxy transparent FTP sur la zone verte. Les options suivantes peuvent tre configures : Enregistrer les connexions sortantes dans le journal du pare-feu. Spcifiez les sources ( gauche) ou destinations ( droite), qui ne sont pas soumis FTP proxy transparent. Toujours spcifier un masque de sous-rseau, une adresse IP ou une adresse mac par ligne par ligne. Passer outre le relai transparent depuis la Source Passer outre le relai transparent vers la destination

SMTP:

40

Le proxy SMTP (Simple Mail Transfer Protocol) relais et filtre le trafic e-mail comme il est envoy vers les serveurs de messagerie. Le rle du proxy SMTP est de contrler et optimiser le trafic SMTP en gnral et pour protger votre rseau contre les menaces en utilisant ce protocole. Le SMTP est utilis chaque fois qu'un courrier lectronique sera envoy par votre client de messagerie un serveur distance (courrier sortant). Il sera galement utilis si vous avez un serveur de messagerie en cours d'excution sur votre rseau local (interface VERTE) ou votre DMZ (interface ORANGE) et permettent aux mails envoys de l'extrieur de votre rseau (demandes entrantes). La configuration de proxy SMTP est divise en plusieurs sous-sections.

DNS :

41

Dans cette section, vous pouvez activer le DNS proxy transparent pour la zone verte, orange et zone bleue (si elle est active). Vous pouvez galement dfinir quels adresses qui ne seront pas soumis DNS proxy. Dans la partie gauche, Sources pouvant franchir le serveur mandataire transparent , soit un rseau, adresse IP ou adresse mac par ligne. Dans la partie droite, Destinations pouvant traverser le relais transparent , soit un sous-rseau ou adresse IP par ligne.

42