PPE DMZ

Une DMZ est un rseau ou sous rseau distinct et isol du rseau local et dInternet
par un pare-feu.

Prsentation du sujet

Le projet consiste mettre en place la solution technique sur le rseau de

l'entreprise, en intgrant les diffrents serveurs et en activant les diffrentes
techniques de scurisation : authentifications, cryptage sur le serveur web.

Tches raliser

Mise en place de la documentation.

Schma rseau raliser.
-

Cration et configuration des VMs.

-

Installer et configurer un pare-feu.

-

Mise en place dun serveur FTP.

-

Configurer le site en HTTPS.

-

Mise en place sur des machines relles.

-

Jeux dessai sur ces machines.

-
-
Contraintes imposes pour la ralisation du projet

- Le systme doit tre accessible depuis un ordinateur.

- Lenvironnement doit tre accessible aux seuls acteurs de lentreprise.
- Les donnes ne doivent pas tre accessibles directement de l'extrieur mais
uniquement par des interrogations ralises par le serveur Web.
- Une authentification pralable sera ncessaire pour l'accs au contenu.
- Les changes avec l'extrieur ne doivent pas tre intercepts.
- Serveur Web sera en DMZ. Il hberge le serveur HTTP, le module
dinterprtation des scripts (PHP, ASP, JSP...) et un serveur FTP.
- La base de donnes est prsente sur le rseau local. Seul le serveur Web est
autoris y accder depuis la DMZ, toute autre entre vers ce serveur depuis
la DMZ ou le WAN est interdit.
- Les informaticiens du laboratoire mettent jour les pages sur le serveur Web
grce un client FTP.
Ils doivent tre authentifis par leur compte prsent dans lannuaire de
lentreprise.
Le service FTP nest pas autoris depuis lextrieur.
- Les visiteurs accderont au site Web grce une identification (zone de saisie
du nom et du mot de passe), qui sera contrle avant de donner accs aux
pages de saisie.
Lensemble des interactions sera crypt (SSL/TLS).

Les utilisateurs sont sous Windows XP/Vista/7 !

Membres du projet et tches raliss

Vincent Thomas Christopher Ruddy

Installation du pare-feu.

Configuration du pare-feu.

Installation et configuration
service FTP.

Installation du serveur WEB

Configuration du site en HTTPS.

Aide aux diffrentes activits

des membres du projet.

Mise en place de la
documentation.

Mise en place des solutions sur

machine relle.

Jeux dessai

*Christopher, chef du projet / Vincent, membre du projet/ Ruddy, membre du projet/

Thomas, membre du projet.
Diffrentes taches ralises

1) Mise en place dIP Cop

1.1) Installation dIP Cop

Pr-requis

- Machine avec 3 cartes rseaux (pour linterface RED, ORANGE et GREEN).

- Une image ISO dIP Cop.

Procdure de linstallation

On va commencer par choisir notre langue, puis la version du clavier, puis le

fuseau horaire et enfin la date.

Ensuite IP Cop dtectera votre matriel, choisissez si vous en avez loption et faites
ok et valider la confirmation.

Choisissez
ssez ensuite linstallation disques durs ou flash, jai personnellement pris
disque dur :

Pour la prochaine tape, on fait passer car on ne possde pas de sauvegarde

dIP Cop.

Faites entrer puis ok moins que vous voulez un nom dhte di

diffrent, pareil
pour le nom de domaine.

On choisit une configuration en statique pour linterface RED

RED,, slectionnez l et faites
ok .
Voici les diffrents adressages faites pour les interfaces :

Pour linterface GREEN (reli lordinateur local) on choisit 10.1.3.123/16.

10.1.3.123/16

Pour la RED (reli internet) : 192.168.0.254 /24.

Puis pour lORANGE (permettant d'isoler sur un rseau spar les serveurs
accessibles au public) : 172.16.0.254/24
172.16.0.254/24.

Au niveau du DNS, on choisit comme DNS primaire 10.1.0.1 et comme passerelle par
dfaut 10.1.2.5.

Les diffrents mots de passes sont Eleve123 (le login pour accder la page
daccueil est root).

Faites passer et voila linstallation dIP Cop est termin.

Aprs linstallation dIP Cop,, il faudra alors le configurer.

1.2) Configuration dIP Cop

Accder la page daccueil dIP Cop afin de procder la configuration, pour

nous ladresse ce sera https://10.1.3.123:8443 , et comme identifiant : admin
et mot de passe : Eleve123 .
 Activer le serveur mandataire

Un serveur mandataire est un composant logiciel qui permet de stocker les pages
Web dans un cache (disque dur) pour que la bande passante Internet soit moins
sollicite.

Un serveur mandataire est utilis pour :

- acclrer la navigation ;
- journaliser les requtes ;
- scuriser le rseau local ;
- filtrer les demandes, ...

Pour l'activer : Menu [Services] -> [Serveur mandataire (Proxy)]

o Cochez l'option "Activ sur VERT" ;

o Slectionnez "French" pour la langue des messages ;
o Cochez l'option "Journaux activs:" ;
o Cochez l'option "Enregistrement des URL compltes ;
o Cliquez sur le bouton "Enregistrer".

Paramtrer le pare-feu

Le "Pare-feu" d'IP Cop doit tre paramtr correctement pour forcer l'utilisation du
"Serveur mandataire".

Menu [Pare-feu] -> [Rgles du Pare-feu]

On applique donc les diffrentes rgles de filtrage (trouver partir du sujet) :

 2) Mise en place du serveur WEB

Pr-requis

- Ubuntu server (ici un 15.04) avec au moins 512 Mb de RAM et 5 Go despace

disque

Paramtrage

Une fois que le serveur est install et paramtr, il suffit dinstaller le package
phpmyadmin laide de la commande :

Apt-get install phpmyadmin

Pour rcuprer linterface frais du site web, il faut installer le paquet openssh-
server sur le serveur web ainsi que, ici sur le serveur distant o sont stocks les
fichiers de linterface web :

Apt-get install openssh-server

Ensuite il faut installer le package mysql-server

Apt-get install mysql-server

Ensuite il faut ouvrir un tunnel avec la commande :

scp -r /home/eleve/GSB/ eleve@10.1.156.178:/home/eleve/bdd/

Cette commande permet de copier le rpertoire GSB du serveur distant sur le serveur
web, dans le rpertoire bdd.

Configuration du fichier de configuration permettant lcoute sur les ports 80 (http)

et 443 (https) ainsi que le chemin des fichiers de linterface web.
On accde au site web via ladresse de la passerelle orange ou alors en tapant
directement lURL.

Il faut aussi modifier le fichier /var/www/frais/include/_bdGestionDonnees.lib.php

afin de pouvoir rcuprer les donnes de la base de donnes phpmyadmin distante,
10.1.8.4 :
Sur la machine hte rouge o lon voudra afficher linterface du serveur Web, il
faut modifier le fichier C:\Windows\System32\drivers\etc\hosts et y ajouter cette
ligne :

Mise en place du certificat auto-sign pour connexion scurise en https sur le site :
Pour commencer il faut activer le module SSL et relancer le service apache :

Sudo a2enmod ssl

Sudo service apache2 restart

On procde par la suite la cration du certificat :

Sudo openssl req x509 nodes days 365 newkey rsa:1024 out
/etc/apache2/server.crt keyout /etc/apache2/server.key

On rpond donc aux questions du formulaire.

ATTENTION ! : Common Name remplir avec ladresse IP ou le nom DNS du

serveur Web.

Maintenant on procde ldition du fichier /etc/apache2/ports.conf :

Sudo nano /etc/apache2/ports.conf

Puis ldition de /etc/apache2/sites-available/web :

Sudo nano /etc/apache2/sites-available/web

Puis :

Sudo service apache2 reload