À vous de jouer !
Vous arrivez dans votre nouvelle entreprise en tant que RSSI et constatez que le réseau n'est pas cloisonné ou filtré. Le réseau est actuellement à plat.
Vous souhaitez proposer une nouvelle architecture qui segmentera les catégories suivantes d'utilisateurs :
Les membres du Comité Exécutif qui disposent des informations stratégiques et en particulier le projet d'acquisition d'un concurrent ;
Les administrateurs de la DSI ;
Les utilisateurs standards, répartis dans 3 divisions métier différentes.
En dehors des utilisateurs, le système d'information héberge :
deux contrôleurs de domaine Active Directory et deux serveurs Radius. Les serveurs Active Directory assurent le rôle de serveurs DNS et DHCP ;
trois serveurs, chacun hébergeant les applications métier d'une division. Toutes les applications métier sont développées en PHP/MySQL par la DSI ;
un serveur de fichiers et d'impressions ;
un serveur de messagerie électronique ;
un proxy Web ;
un relais filtrant pour les mails entrants ;
le serveur Web de l'entreprise, permettant à des clients externes de passer des commandes. Ce serveur repose sur un serveur de bases de données hébergé sur le réseau interne, partagé avec le serveur et l'application qui gèrent la logistique (2e division métier).
L'entreprise dispose également d'imprimantes ou multicopieurs.
Parmi ses équipements réseau, elle dispose de switchs supportant le Port Security, DHCP Snooping et 802.1x. Le pare-feu dispose de 8 interfaces réseau.
Enfin, l'entreprise dispose de nombreuses salles de réunion. Les réunions peuvent comporter des personnes externes à l'entreprise. Les employés connectés au réseau en salle de réunion doivent absolument avoir accès à leurs applications métier.
Consigne
Proposez une architecture avec les différentes zones définies soit sur le pare-feu, soit sur les équipements réseau internes. Implémentez les règles de filtrage entre chaque zone avec un pare-feu de type iptables sous Linux.
Livrables attendus
Vous devrez réaliser les trois fichiers suivants :
Un schéma d'architecture réseau exporté sous forme de fichier PNG ou Jpeg. Vous pouvez créer un tel schéma à partir de Visio ou du site web Draw.io. Le schéma présentera les différentes zones, celles créées au niveau du pare-feu ou celles créées au niveau des switchs. Il positionnera les différents serveurs ou groupes de postes de travail dans chaque zone.
Un fichier LibreOffice Writer ou exporté en PDF qui contiendra
Dans une première partie, la liste des zones (VLAN ou zones cloisonnées par une interface du pare-feu), leurs adresses ou plages d'adresse et l'équipement et son IP qui en assurent le routage
Dans une seconde partie, la description de la solution proposée pour que les utilisateurs gardent leur contexte réseau lorsqu'ils sont connectés en salle de réunion.
Troisièmement, un fichier texte décrivant les règles de pare-feu iptables.
Vérifiez votre travail
Le schéma d'architecture et le fichier texte décrivant les règles de pare-feu doivent répondre à au moins 3 des caractéristiques suivantes :
Les serveurs recevant des connexions entrantes initiées d'Internet (mail, Web) sont cloisonnés du reste du réseau, ils sont dans une DMZ sur une interface dédiée du pare-feu.
Le proxy Web initiant des flux directs vers Internet est séparé du reste du réseau, il est dans une DMZ sur une interface dédiée du pare-feu.
Le serveur de bases de données est accessible à la fois de la DMZ externe et depuis un serveur interne de la logistique. Il doit être cloisonné du reste du réseau, soit dans un VLAN dédié, soit sur une interface dédiée du pare-feu.
Les serveurs internes sont séparés dans un VLAN chacun et arrivent ensemble sur une interface du pare-feu
Les 6 zones clients (COMEX, DSI, 3 métiers et imprimantes) sont dans des VLAN séparés et arrivent sur une interface du pare-feu. Il serait envisageable de considérer les imprimantes comme un VLAN au même niveau que les serveurs internes, et non les postes de travail, mais leur implémentation géographique implique qu'il est plus simple de les configurer au même niveau qu'un poste de travail (les VLAN seront propagés sur les mêmes switchs).
Le fichier texte décrivant les règles de pare-feu doit répondre à au moins 4 des caractéristiques suivantes :
La définition des interfaces réseau du pare-feu et les zones caractérisées par les adresses IP ou sous-réseau respectent les caractéristiques définies ci-dessus concernant le schéma d'architecture.
La politique par défaut est définie à DROP pour toutes les chaînes de traitement.
Les règles sont écrites avec le suivi d'état et la journalisation des flux.
Une règle de NAT permet la translation d'adresse entre les plages d'adresses IP internes respectant la RFC 1918 et Internet.
Aucune connexion réseau directe n'est autorisée entre le réseau interne et Internet.
Seules les flux justifiés fonctionnellement sont autorisés.
Aucun système ne peut se connecter sur les postes d'administration.
Seuls les postes d'administration peuvent se connecter sur les services réseau d'administration des serveurs, des postes de travail, des équipements réseau et du pare-feu.
Le fichier LibreOffice Writer ou PDF doit répondre à au moins une des caractéristiques suivantes :
Pour la première partie :
Toutes les zones et les VLAN décrits ci-dessus concernant le schéma d'architecture doivent figurer dans la liste.
Tous les systèmes ou sous-réseaux internes doivent avoir une plage d'adresse IP respectant la RFC1918.
Le routage pour tous les VLAN passe par le pare-feu. Aucun routage n'est effectué sur les équipements intermédiaires (sinon, aucun filtrage ne serait réalisé inter-VLAN).
Pour la seconde partie :
les principes de la mise en place de 802.1x, qui permet à un utilisateur de garder son contexte réseau (son VLAN et donc sa zone et les règles de filtrage associées) quel que soit son point de connexion doivent être décrits. Par exemple, il peut être connecté soit à son bureau, soit en salle de réunion et gardera la même configuration réseau et aura accès aux mêmes services.