Académique Documents
Professionnel Documents
Culture Documents
Zone
Démilitarisée
Mise en place d’un périmètre et
solution de sécurité
Oscar Loret
13/02/2021
2021
Oscar LORET 1
2021
Introduction
Nous sommes chargés de l’étude de la mise en place d’un nouveau pare-feu, afin de remplacer
l’ancien firewall PROXYLAB, et de permettre de sécuriser le réseau LAN du groupe. Cette étude sera
basée sur une solution de type Pfsense.
Notre travail devra prendre la forme d’une maquette virtualisée permettant l’installation et le
paramétrage du pare-feu PFSENSE en respectant la mise en place d’une Zone Démilitarisée (DMZ),
qui hébergera dans un premier temps un serveur Web (IIS ou Apache), puis un serveur de
messagerie. L’accès au serveur Web devra se faire aussi bien pour les utilisateurs du LAN du groupe
GSB, ainsi que pour les visiteurs médicaux se trouvant dans le WAN.
On nous charge, dans un second temps, de rendre accessible le serveur de messagerie hébergé dans
la DMZ depuis le LAN et le WAN ; nous devrons également permettre l’accès à des applications
distante, via une passerelle située dans la DMZ.
Le responsable informatique du groupe GSB nous a donné la topologie suivante à titre d’exemple afin
de nous aider à la réalisation de notre maquette d’étude :
Topologie de référence
Oscar LORET 2
2021
Préparation
Pour vérifier le bon fonctionnement de PfSense et de ses paramétrages, nous utiliserons donc le
poste client du WAN et du LAN, qui se connecteront au site Web et aux applications distantes. Nous
vérifierons également si l’échange de mails fonctionne entre le WAN et le LAN.
Nous exploiterons un environnement virtuel hébergé via le freeware VirtualBox. Afin que notre
infrastructure respecte nos attentes, nous pouvons organiser l’architecture ainsi :
• LAN : une machine virtuelle jouant le rôle de contrôleur de domaine et de serveur DNS, une
autre qui sera hôte de session RDS, où seront hébergées les applications distantes , et une
autre sur laquelle sera installée le Broker RDS. Nous ajouterons plus tard une machine
virtuelle jouant le rôle d’un poste client.
• DMZ : une machine virtuelle hébergeant un serveur Web, une autre jouant le rôle de
Passerelle des services RDS et une dernière hébergeant un serveur Mail.
A propos de pfSense :
PfSense est entièrement administrable via une interface web. Parmi les fonctionnalités qu’il propose,
on retrouve entre autres :
Oscar LORET 3
2021
Passerelle par
VM Nom NetBIOS Adresse IPv4 CIDR Rôle(s)
défaut
N°1 DC1 172.16.34.1 24 172.16.34.254 AD / DNS (LAN)
N°2 RDS-01 172.16.34.2 24 172.16.34.254 RemoteApp Host (LAN)
N°3 RDS-BROKER 172.16.34.3 24 172.16.34.254 Broker RDS (LAN)
N°4 PC-USER 172.16.34.4 24 172.16.34.254 Poste de test (LAN)
N°5 RDS-GW 192.168.200.1 24 192.168.200.254 RDS Gateway (DMZ)
N°6 SRV-WEB 192.168.200.2 24 192.168.200.254 Web server (DMZ)
N°7 SRV-MAIL 192.168.200.3 24 192.168.200.254 Mail server (DMZ)
N°8 PC-GUEST DHCP 24 DHCP Poste de test (WAN)
em0 : DHCP – PfSense
24
192.168.0.31 em0 = WAN
N°9 - 24 -
em1 : 172.16.34.254 em1 = LAN
24
em2 : 192.168.200.254 em2 = DMZ
VirtualBox nous permet de nommer des réseaux internes, afin définir auquel de ces réseaux une
interface doit être connectée. Ici, les serveurs ainsi que l’interface serveur du routeur
(172.16.34.254/24) seront donc placé sur le réseau interne nommé « lan ». La seconde interface du
routeur, correspondant à l’interface de la DMZ (192.168.200.0/24), sera sur le réseau interne
« dmz». La dernière interface, correspondant à la passerelle vers Internet, sera bridgée avec la carte
réseau de notre hôte de virtualisation. Ce sera notre box qui distribuera donc une adresse ip à
l’interface WAN de PfSense, ainsi qu’au poste PC-GUEST. Outre cela, une IP virtuelle sera notamment
attribuée à l’interface WAN, pour permettre de réaliser du NAT vers l’un des sites.
L’architecture que nous allons mettre en place peut être représentée ainsi :
Oscar LORET 4
2021
DC1
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Services AD DS, DNS
Carte réseau Réseau Interne (lan)
RDS-01
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Hôte de session RDS
Carte réseau Réseau Interne (lan)
RDS-BROKER
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Broker RDS
Carte réseau Réseau Interne (lan)
PC-USER
Processeurs alloués 1
RAM allouée 1 Go
Taille du disque virtuel 20 Go
Système d’exploitation Windows 7
Rôles Poste de test
Carte réseau Réseau Interne (lan)
RDS-GW
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Passerelle des services RDS
Carte réseau Réseau Interne (dmz)
Oscar LORET 5
2021
SRV-WEB
Processeurs alloués 1
RAM allouée 1 Go
Taille du disque virtuel 20 Go
Système d’exploitation Debian 10.4
Rôles Serveur Web
Carte réseau Réseau Interne (dmz)
SRV-MAIL
Processeurs alloués 1
RAM allouée 2 Go
Taille du disque virtuel 32 Go
Système d’exploitation Windows Server 2019 Datacenter
Rôles Serveur Mail
Carte réseau Réseau Interne (dmz)
pfSense
Processeurs alloués 1
RAM allouée 500 Mo
Taille du disque virtuel 5 Go
Système d’exploitation pfSense 2.4.4
Cartes réseau NIC1 : Réseau Interne (lan)
NIC2 : Réseau Interne (dmz)
NIC3 : Réseau Interne (wan)
PC-GUEST
Processeurs alloués 1
RAM allouée 1 Go
Taille du disque virtuel 20 Go
Système d’exploitation Windows 7 Entreprise
Carte réseau Réseau Interne (wan)
Oscar LORET 6
2021
IV. Prérequis
L’objectif de cette documentation étant de tester l’installation d’un routeur/pare-feu PfSense, nous
ne nous attarderons pas sur la mise en place de l’infrastructure globale. Voici donc la pré-
configuration que vous devez avoir mise en place avant l’installation des rôles RDS.
1. Serveurs
Avant de mettre en place le routeur/pare-feu PfSense, vous devriez avoir installé :
Avant d’installer PfSense, vous pouvez placer tous les serveurs cités précédemment sur le même
réseau pour vous faciliter la tâche. Ensuite, nous créerons deux réseaux supplémentaires à
l’installation de PfSense, et nous disposerons les serveurs comme décidé en introduction.
Assurez-vous que votre infrastructure est fonctionnelle avant la mise en place de PfSense.
2. Configuration du DNS
La seconde configuration à appliquer se fait au niveau du DNS, sur DC1. La zone de recherche directe
doit être configurée ainsi :
Oscar LORET 7
2021
I. Installation de base
Dans cette première partie, nous verrons comment configurer le routeur/pare-feu pfSense et ses
interfaces.
Procédons à l’installation de pfSense. Dans VirtualBox, nous avons créé une machine FreeBSD x64, et
avons utilisé l’ISO de pfSense 2.4.5. Lançons la machine virtuelle :
Oscar LORET 8
2021
Sélectionnez Reboot.
Dans le menu de pfSense, on peut remarquer que chaque interface a un nom qui lui est propre (em0,
em1 et em2). Entrez 1 pour configurer les interfaces telles que :
Oscar LORET 9
2021
Vous pouvez adresser chaque interface en entrant 2. Vous devriez avoir la configuration suivante :
Vous pouvez ensuite accéder au configurateur Web via le navigateur de n’importe quel poste du
LAN, en entrant l’adresse ip de la passerelle LAN dans la barre de recherche.
Rendez-vous directement dans les règles de filtrage (Onglet Pare-Feu > Règles).
Comme vous pouvez le constater , des règles existent par défaut. Le message en jaune vous indique
que comme vous n’en avez encore créé aucune de vous-même, toutes les connexions entrantes
seront bloquées nativement.
Supprimez les règles par défaut que vous voyez sur chaque interface, en les sélectionnant et en
cliquant sur Supprimer :
Oscar LORET 10
2021
Vous pouvez ensuite tester le bon fonctionnement des règles appliquées précédemment en
effectuant un ping de PC-USER vers votre machine hôte de virtualisation. Si le ping n’obtient pas de
réponse, vérifiez vos adresses ip, et vos règles. Vus devriez même pouvoir accéder à Internet.
Si vos tests sont concluants, procédez au déplacement des serveurs si vous les aviez placés tous dans
le même réseau : changez leurs adresses ip de manière à être conforme au plan d’adressage établit
en introduction. Vérifiez que vos enregistrements DNS concordent, et si vous devez changer des
enregistrements en conséquence, faites un ipconfig /flushdns sur vos serveurs.
Oscar LORET 11
2021
Nous allons voir ensemble comment créer une règle de translation. Rendez-vous dans l’onglet NAT >
Transfert de port, et cliquez sur Ajouter.
Dans les champs Adresses Source et Ports Source, laissez tout. Dans le champ Adresse de
destination, mettez WAN Address et sélectionnez le port 443 (HTTPS) ; dans IP de redirection cible,
mettez l’adresse de RDS-GW en précisant également le port 443. Enregistrez, et appliquez les
modifications. Vous venez de créer une règle de translation redirigeant les requêtes HTTPS arrivant
sur l’interface WAN vers RDS-GW, sur son port 443.
En revanche, pour la translation vers le serveur SRV-WEB, vous ne pourrez pas utiliser le port HTTPS
sur l’interface WAN, puisqu’il est utilisé pour le portail RDS. Pour résoudre ce problème, nous
pourrions envisager plusieurs options :
C’est cette dernière solution, très simple à mettre en place, que nous allons utiliser.
Oscar LORET 12
2021
Rendez-vous dans Pare-feu > IPs virtuels, puis cliquez sur Ajouter.
Configurez l’adresse ainsi : Type = Alias IP, Interface = WAN, et Adresse = 192.168.0.3/24 (ou
n’importe quelle adresse du réseau WAN, sauf celle de l’interface physique) :
Enregistrez et appliquez. Votre interface WAN possède désormais deux IPs. Vous pouvez ensuite
configurer le NAT en conséquence.
Règles PAT
Assurez-vous ensuite d’avoir les règles suivantes :
Oscar LORET 13
2021
LAN
DMZ
WAN
Ici, les règles de NAT indiquées précédemment ont permis la génération automatique de règles de
filtrage.
Oscar LORET 14
2021
Testing
I. Applications distantes
Vous devriez pouvoir accéder au portail RDS via https://rds-gw.gsb.com/RDweb depuis le LAN
comme le WAN :
LAN
WAN
Oscar LORET 15
2021
LAN
WAN
Oscar LORET 16
2021
IV. Mailing
Vous devriez pouvoir envoyer des mails entre jdoe@gsb.com et pdupont@gsb.com depuis le WAN et
le LAN :
LAN
WAN
Envoi
Réception
Oscar LORET 17
2021
Sources
Règles NAT :
https://www.provya.net/?d=2019/11/19/09/53/08-
Remote Desktop :
https://fr.wikipedia.org/wiki/Remote_Desktop_Protocol
https://serverfault.com/questions/12005/what-port-should-i-open-to-allow-remote-desktop
https://hichamkadiri.wordpress.com/tag/liste-des-ports-rds/
Mail :
https://www.hostinger.fr/tutoriels/mail-pop3-smtp-imap/
Oscar LORET 18