diff --git a/docs/rapport.md b/docs/rapport.md index f3f75cd5af0b2a8fbcd710169bc24be574bb1b98..c866a20869c8cc5b3a6406a79d20a24b890d69d6 100644 --- a/docs/rapport.md +++ b/docs/rapport.md @@ -53,7 +53,7 @@ Afin de mettre en place notre réseau il faut sélectionner les différents serv <p align="center"> <img src="img/Bind_9_Mark_ISC_Blue.png" alt="drawing" width="75"/> -* **DHCP :** DHCP offre divers avantages,notamment la configuration d'adresse IP fiable. DHCP minimise les erreurs de configuration provoquées par la configuration manuelle des adresses IP. Mais aussi,il permet de donner automatiquement les paramètres réseau à une machine au démarrage du système. +* **DHCP :** ISC-DHCP offre divers avantages, notamment la configuration d'adresse IP fiable. Le DHCP minimise les erreurs de configuration provoquées par la configuration manuelle des adresses IP. Mais aussi, il permet de donner automatiquement les paramètres réseau à une machine au démarrage du système. <p align="center"> <img src="img/ISC-logo-rgb-2048x1149.png" alt="drawing" width="100"/> </p> @@ -185,7 +185,7 @@ Voici les commandes Git les plus utilisées en général : # Schéma explicatif du réseau -<p align="center"> <img src="img/schema.png" alt="drawing"/> +<p align="center"> <img src="img/schema_projet.png" alt="drawing"/> </p> Voici le schéma des deux réseaux mis en place durant ce projet. Les ordinateurs de la partie privée sont en adressage privé, les interfaces extérieures des routeurs sont publiques. @@ -258,7 +258,7 @@ interface Vlan4 ## Routeur -<p align="center"> <img src="img/" alt="drawing" width="200"/> +<p align="center"> <img src="img/cisco-2911.png" alt="drawing" width="250"/> </p> Équipement réseau informatique assurant le routage des paquets. Son rôle est de faire transiter des paquets d'une interface réseau vers une autre selon un ensemble de règles. @@ -325,7 +325,24 @@ router rip Grâce à ce protocole on obtient donc cette table de routage : ``` -Insérer table de routage +Gateway of last resort is not set + + 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks +C 10.0.0.0/8 is directly connected, GigabitEthernet0/1 +L 10.0.0.1/32 is directly connected, GigabitEthernet0/1 + 192.168.40.0/24 is variably subnetted, 2 subnets, 2 masks +C 192.168.40.0/24 is directly connected, GigabitEthernet0/0.1 +L 192.168.10.254/32 is directly connected, GigabitEthernet0/0.1 + 192.168.50.0/24 is variably subnetted, 2 subnets, 2 masks +C 192.168.50.0/24 is directly connected, GigabitEthernet0/0.2 +L 192.168.50.254/32 is directly connected, GigabitEthernet0/0.2 + 192.168.60.0/24 is variably subnetted, 2 subnets, 2 masks +C 192.168.60.0/24 is directly connected, GigabitEthernet0/0.3 +L 192.168.60.254/32 is directly connected, GigabitEthernet0/0.3 +R 192.168.10.0/24 [120/1] via 10.0.0.2, 00:00:07, GigabitEthernet0/1 +R 192.168.20.0/24 [120/1] via 10.0.0.2, 00:00:07, GigabitEthernet0/1 +R 192.168.30.0/24 [120/1] via 10.0.0.2, 00:00:07, GigabitEthernet0/1 + ``` ### Importation des configurations sur les matériels réseaux @@ -347,5 +364,255 @@ Loading backup_cfg_for_router from 192.168.3.1 (via FastEthernet0/0): ! R2# ``` +# Pare-Feu + +<p align="center"> <img src="img/firewall.png" alt="drawing" width="150"/> +</p> + +Afin de sécuriser le réseau comme demandé, un pare-feu *IPTables* a été mis en place sur un PC sous Linux. + +## Règles d'IPTables + +Remise à zéro des règles de base : + + iptables -F + +On active le traffic en localhost + + iptables -A INPUT -i lo -j ACCEPT + + // -A --> pour préciser la chain + // -i --> -i pour préciser l'interface + // lo --> interface utilisé pour les communcation hote local + +Activation connexion HTTP/SSH/HTTPS + + iptables -A INPUT -p tcp --dport 22 -j ACCEPT + // 22 pour le port SSH + + iptables -A INPUT -p tcp --dport 80 -j ACCEPT + // 80 pour le port HTTP + + iptables -A INPUT -p tcp --dport 443 -j ACCEPT + // 443 pour le port HTTPS + + // -p --> préciser le protocole + // -dport --> préciser le port concerné + +Activation connexion DNS + + iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT + + iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT + + iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT + + iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT + + +Activation pour serveur mail: + + + iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT + iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT + + // 25 --> port 25 utilisé pour SMTP(envoie e-mail) + + ---- + + iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT + + iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT + + // 110 --> port 110 utilisé pour POP3(reception d-email) + + ----- + + iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT + + iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT + + // 143 --> port 143 utilisé pour IMAP( stockage des e-mail) + +Autorisation PING : + + iptables -t filter -A INPUT -p icmp -j ACCEPT + + iptables -t filter -A OUTPUT -p icmp -j ACCEPT + + // icmp --> protocole de ping + // - t filter --> table filter qui consiste a indiquer les régles des paquets,port,protocole. + +Refuser tout les autres trafics sauf ceux autorisé : + + /!\ Attention: Cette commande est à appliquer en dernière régle sinon blocage de tout le reste./!\ + + iptables -A INPUT -j DROP + + +Nous n'avons cependant pas intégré de pare-feu suite à notre choix de ne pas intégrer de *DMZ* étant donné l'avancement de notre projet. En effet en intégrer une reviendrait à revoir toute notre infrastructure et nos configuration. + +Notre solution de subtitution est *ACL*. + +# ACL + +# DHCP + +<p align="center"> <img src="img/ISC-logo-rgb-2048x1149.png" alt="drawing" width="200"/> +</p> + +Pour notre DHCP nous avons décidé d'applique les plages d'adresses dynamiques suivantes. Nous avons décidé d'utiliser 20 adresses (de .30 à .50) car cela est suffisant pour notre infrastructure. + +| | Réseau | Adresse Minimum | Adresse Maximum | Passerelle | +|--------|-----------------|-----------------|-----------------|----------------| +| VLAN 2 | 192.168.40.0/24 | 192.168.40.30 | 192.168.40.50 | 192.168.40.254 | +| VLAN 3 | 192.168.50.0/24 | 192.168.50.30 | 192.168.50.50 | 192.168.50.254 | +| VLAN 4 | 192.168.60.0/24 | 192.168.60.30 | 192.168.60.50 | 192.168.60.254 | + +Configuration du DHCP + +``` +default-lease-time 600; +max-lease-time 7200; +allow booting; +allow bootp; + + +ddns-update-style none; + + +server-identifier 192.168.40.150; +authoritative; +ddns-update-style interim; + +#VLAN 2 + + subnet 192.168.40.0 netmask 255.255.255.0 { + range dynamic-bootp 192.168.40.20 192.168.40.100; + option routers 192.168.40.254;https://gitlab.univ-lille.fr/hugo.lacherez.etu/networkandco.git + option subnet-mask 255.255.255.0; + option domain-name "networkandco.org"; + option domain-name-servers 192.168.40.151; + } + +#VLAN 3 + + subnet 192.168.50.0 netmask 255.255.255.0 { + range dynamic-bootp 192.168.50.20 192.168.50.100; + option routers 192.168.50.254; + option subnet-mask 255.255.255.0; + option domain-name "networkandco.org"; + option domain-name-servers 192.168.40.151; + } + +#VLAN 4 + + subnet 192.168.60.0 netmask 255.255.255.0 { + range dynamic-bootp 192.168.60.20 192.168.60.100; + option routers 192.168.60.254; + option subnet-mask 255.255.255.0; + option domain-name "networkandco.org"; + option domain-name-servers 192.168.40.151; + } +----- + host dns { + hardware ethernet "MAC ADRESSE SERVEUR DNS" + fixed-adress "IP DNS" + } + + //PARTIE DNS DYNAMIQUE + + host dhcp { + hardware ethernet "MAC ADRESSE SERVEUR dhcp" + fixed-adress "IP dhcp" + } +-------- + + key "dhcp-update-key" { + algorithm hmac-md5; + secret "7R1U767pLKhR+O/0hF11TfeNmoVpVU+lfLnL3GhvWpI="; + } + + zone networkandco.org { + primary 192.168.40.151; + key "rndc-key"; + } + + zone 40.168.192.in-addr-arpa + { + primary 192.168.40.151; + key "rndc-key"; + } + + ddns-domainname "networkandco.org."; + ddns-rev-domainname "in-addr.arpa."; + + + + + + +### Configuration dhcp inter-vlan: + +#### Installation package inter-vlan : + + sudo apt-get update + sudo apt-get install vlan + +#### configuration fichier /etc/network/interfaces + + + nano /etc/network/interfaces : + + # The primary network interface + allow-hotplug enp0s3 + iface enp0s3 inet static + address 192.168.40.150 //adresse ip static du serveur dhcp + gateway 192.168.40.254 + + + #INTER VLAN + + #VLAN 2 + + auto enp0s3 + iface Admin inet static + address 192.168.40.3 + netmask 255.255.255.0 + gateway 192.168.40.254 + vlan-raw-device enp0s3 + + #VLAN 3 + + auto enp0s3 + iface Comptabilite inet static + address 192.168.50.3 + netmask 255.255.255.0 + gateway 192.168.50.254 + vlan-raw-device enp0s3 + + #VLAN 4 + + auto enp0s3 + iface Production inet static + address 192.168.60.3 + netmask 255.255.255.0 + gateway 192.168.60.254 + vlan-raw-device enp0s3 +``` + +# DNS + +<p align="center"> <img src="img/Bind_9_Mark_ISC_Blue.png" alt="drawing" width="100"/> + +Le DNS va nous permettre d'acceder plus facilement au serveur web car il permet de ne pas avoir à entrer une adresse IP, il permet d'associer une adresse IP à un nom de domaine. +Ici nous avons utilisé *bind9* pour notre DNS + +Configuration du DNS + +# Service Mail + +<p align="center"> <img src="img/Postfix_logo.png" alt="drawing" width="175"/> +</p>