Descriptif de la réalisation :
- Routage NAT
- Filtrage/Pare-feu
- VPN SSL
Informations Générales :
Schéma réseau :
Plan d’adressage :
| IN | DMZ | OUT | |
| Réseaux | 192.168.1.0/24 | 172.16.1.0/24 | 172.20.0.0/16 |
| SRV_Debian | 192.168.1.1 | N/A | N/A |
| SRV_Windows2019 | 192.168.1.2 | N/A | N/A |
| SRV_WEB | N/A | 172.16.1.10 | N/A |
| Pool adressage | 192.168.1.100192.168.1.200 | N/A | N/A |
| Passerelles | 192.168.1.254 | 172.16.1.254 | 172.20.255.254 |
| Broadcast | 192.168.1.255 | 172.16.1.255 | 172.20.255.255 |
Login/Mot de passe :
| Equipements | Login | Mot de passe |
| SRV_Debian Administrateur | root | SRVadmin |
| SRV_Debian User | user | SRVuser |
| SRV_Windows2019 | Administrateur | ADadmin1 |
| Compte AD Prof | Prof | Ad@2022 |
| Compte utilisateur | user | Utilisateur2022. |
| SRV_WEB Administrateur | root | DMZadmin |
| SRV_WEB User | user | DMZuser |
| Stormshield Interface Web | admin | admin |
Configuration du Serveur Web :
Configuration Apache2:
Création des ports d’écoute:
> sudo nano /etc/apache2/ports.conf
Configuration d’un site:
> sudo nano /etc/apache2/sites-available/site1.conf
Passage en HTTPS du site1:
> sudo apt install openssl
Création du certificat:
> openssl req -x509 -nodes -days 365 -newkey rsa:1024 -sha256 -out /etc/apache2/site2.crt -keyout /etc/apache2/site2.key
Modification des droits du fichier:
> sudo chmod 440 /etc/apache2/site2.crt
Intégration à la configuration Apache2 pour SSL:
>sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/ssl_site1.conf
> sudo nano /etc/apache2/sites-available/default-ssl.conf
Modifier :
SSLCertificateFile /etc/apache2/server.crt
SSLCertificateKeyFile /etc/apache2/server.key
Activer le SSL:
> sudo a2enmod ssl
> sudo a2ensite default-ssl
> sudo systemctl restart apache2
Configuration du Serveur Windows :
Installation des services
- Donner un nom reconnaissable à votre serveur
- Donner une adresse IP Fixe à votre serveur, il doit également être son propre serveur DNS
- Aller dans le gestionnaire de serveur (dans le menu démarrer ou en exécutant ServerManager.exe)
- Cliquez sur « Ajouter des rôles et des fonctionnalités »
L’assistant d’ajout de rôles et de fonctionnalités va alors s’ouvrir:
- Cliquez sur Suivant
- Sélectionnez le type d’installation « basé sur un rôle ou une fonctionnalité »
- sélectionnez dans le pool, le serveur de destination c’est-à-dire le serveur sur lequel vous souhaitez installer le rôle AD.
- On va maintenant installer le rôle Active Directory sur notre serveur. Dans la liste des rôles, cochez la case correspondant aux « Services AD DS »
- Cliquez sur « Ajoutez des fonctionnalités ».
- Dans la liste des rôles, cochez la case correspondant à « Serveur DNS ».
- Une fois encore, cliquez sur « Ajouter des fonctionnalités » pour le rôle DNS.
- Une fois les deux rôles bien sélectionnés, cliquez sur Suivant.
- Ne modifiez rien dans la fenêtre de sélection des fonctionnalités, cliquez simplement sur Suivant.
- L’assistant vous affichera quelques informations et préconisations sur les services AD DS (Active Directory Domain Services). Cliquez sur Suivant.
- De même pour le service DNS, lisez les informations et cliquez sur Suivant.
- A la fenêtre de confirmation, vérifiez les fonctionnalités qui seront également installées, cochez la case « Redémarrer automatiquement le serveur de destination si nécessaire » et cliquez sur Installer.
- L’installation va alors démarrer sur le serveur. Patientez quelques minutes.
Promulgation du serveur en tant que contrôleur de domaine
Une fois le service AD installé, il faudra déclarer le serveur comme contrôleur de domaine.
- Cliquez sur « Promouvoir ce serveur en contrôleur de domaine ».
Créer un nouveau domaine dans une nouvelle forêt. Ce domaine sera la racine de l’entreprise.
Cocher « Ajouter une nouvelle forêt » et saisir le nom complet du domaine souhaité avec son extension (chat.lan)
- Définir un mot de passe afin de restaurer les services d’annuaire en cas de problème et poursuivre.
- Ne pas tenir compte de l’erreur du service DNS
- Ne pas cocher la case de délégation et cliquer sur Suivant.
- Définir par la suite le nom NetBIOS du domaine, laisser le nom attribué par défaut qui sera en général la première partie du nom de domaine.
- Vérifier les options renseignées et cliquer sur installer
Création d’un nouvel objet:
La console utilisée pour gérer les ressources du domaine est « Utilisateurs et Ordinateurs Active Directory »
- Faire un clic droit sur l’OU « Users », cliquez sur Nouveau et sur Utilisateur.
- Renseigner les informations de l’utilisateur.
- Attribuer ensuite un mot de passe à l’utilisateur. Cocher les cases qui répondent aux besoins.
Création de GPO:
Rechercher “stratégie de groupe” dans la barre de recherche.
Faire un clique droit sur “Objet de stratégie de groupe” et “Nouveau”
Double clique dessus et :
Double clique sur :
Configuration du DNS :
Installer la fonctionnalité DNS sur le serveur Windows.
Déclarer la zone du domaine (chat.lan), dans la zone déclarer les différents hôtes.
Pour un hôte venant OUT :
Déclarer à nouveau le site 1 dans le DNS du serveur Windows.
Configuration du serveur Debian E5:
Configuration réseau:
Configuration du DHCP :
Installer le service :
> sudo apt install isc-dhcp-server
Indiquer à l’interface v4 le port d’écoute.
> sudo nano /etc/default/isc-dhcp-server
Décommenter la ligne DHCPDv4_CONF= /etc/dhcp/dhcpd.conf
Modification du fichier de configuration :
La config du serveur dhcp se trouve dans le fichier /etc/dhcp/dhcpd.conf.
Modifier :
Configuration du routeur Stormshield :
Pour changer le nom du routeur allez dans:
>Système/Configuration
Pour changer les interfaces réseau allez dans:
>Configuration/Réseau/Interface
Configuration Règles NAT:
Aller dans:
>Configuration/Politique de sécurité/Filtrage et NAT
Configuration du Filtrage:
Mise en place d’un accès VPN SSL:
Chaque utilisateur souhaitant utiliser le VPN SSL doit disposer d’un compte enregistré dans le LDAP (soit Active Directory, soit interne au firewall). Dans le cas présent, c’est l’annuaire LDAP du SNS (routeur Stormshield).
Une fois le service correctement configuré, les utilisateurs concernés pourront récupérer après authentification leur fichier de configuration sur le portail captif du pare-feu actif sur l’interface externe.
Pour créer un annuaire interne sur Stormshield allez dans: >Configuration/Utilisateurs/Configuration des annuaires
Une fois l’annuaire créé, créer un groupe VPN qui contiendra les utilisateurs qui auront un accès VPN.
Créer un utilisateur qui aura accès au VPN et pour cela allez dans configuration/Utilisateurs/utilisateurs/ajouter un utilisateur.
Créer le groupe VPN et intégrer l’utilisateur, pour cela allez dans configuration/Utilisateurs/utilisateurs/ajouter un groupe.
Donner les droits d’accès au groupe VPN, dans Utilisateurs/utilisateurs/droits d’accès et Choisir accès détaillé, ajouter le groupe VPN et donner l’accès au VPN SSL.
Activer le VPN SSL et autoriser l’accès au VPN SSL.
Dans VPN/VPN SSL créer 2 objets réseaux qui vont servir pour les clients VPN en UDP ou TCP.
Reseau_VPN_UDP avec pour valeur 192.168.10.0/24
Reseau_VPN_TCP avec pour valeur 192.168.20.0/24
Activer le portail captif pour que l’utilisateur puisse se connecter afin de récupérer les certificats.
Allez dans configuration/utilisateurs/authentification/portail captif
Vérifier que l’interface OUT est bien activée sinon il faut la rajouter.
Ajouter une machine Windows qui va simuler le client VPN nomade, cette machine doit être sur le réseau 172.20.0.0/16 (réseau OUT).
Puis se connecter avec un navigateur sur le portail captif (https://172.20.255.254) pour récupérer les certificats et le client VPN à installer qui est OpenVPN (https://openvpn.net/client-connect-vpn-forwindows/)
Une fois le client VPN installé, se connecter au portail captif en tapant dans un navigateur de recherche https://172.20.255.254 puis se connecter avec l’utilisateur que vous avez créé dans l’annuaire LDAP.
Télécharger le profil VPN SSL pour les clients OpenVPN, un dossier compressé est alors télécharger, le décompresser et l’intégrer au client OpenVPN.
« c:\Utilisateurs\ »votreutilisateur »\OpenVPN\config\
Ouvrir OpenVPN et ajouter les fichiers télécharger et dézipper en amont :
Vérifier l’adresse qui est attribuée avec la commande ipconfig au niveau de la carte réseau OpenVPN.