Segmentation et Sécurisation des réseaux

Segmentation et Sécurisation des réseaux

Dans le cadre d'un projet Personnel encadré nous avons dû améliorer un réseau existant. Les objectifs :
- La sécurisation (Séparation de flux Logique)
- Segmentation (moins de paquet en broadcast)
- Meilleure gestion du réseau
Partie 1 : Segmentation du réseaux Nous avons eu a disposition :
- 1 Switch Cisco SG300-20
- 1 Switch Cisco SG200-8
- 1 Routeur Pfsense
Tout d'abord on va configurer le switch via son interface web dans le menu "vlan management" et "create Vlan" puis sur le bouton "Add"
Segmentation et Sécurisation des réseaux
Dans cette fenêtre on va renseigner le numéro de vlan et un nom qui nous permettra de mieux les reconnaître
Segmentation et Sécurisation des réseaux
Toujours dans l'interface web du swicth on va aller dans le menu "Vlan Management" puis "Interface Settings"
Segmentation et Sécurisation des réseaux
Puis on sélectionne un port que l'on veut modifier puis on clique sur le bouton "Edit"
Segmentation et Sécurisation des réseaux
Dans cette fenêtre on va choisir le mode du Vlan
- Access pour que un port affecte seulement 1 vlan
- Trunk si une machine ou un routeur a besoin de plusieurs vlan
Toujours sur l'interface du Swicth on va aller dans le menu "Vlan Management" puis "Port to Vlan"
Segmentation et Sécurisation des réseaux
Dans "Filter: VLAN ID equals To" Choisissez le vlan que vous souhaiter affecter à tel ou tel port puis appuyer sur "Go" Dans le cas d'un port en mode Access il faudra choisir Untagged dans le cas d'un port en mode Trunk il faudra sélectionner Tagged pour chacun des vlan auquel on associe le port Dans le menu "Vlan Management" et "Port Vlan Menbership" on peut voir l’état de nos ports
cisco_sg300-20_portvlanmembership
Ici on voit que
Le port 1-2 sont dans le vlan 10
Le port 3-4 sont dans le vlan 20
Le port 5-6 sont dans le vlan 30
le port 7-8 sont dans le vlan 40
Le port 17 Tagge les Vlan 1 , 10, 20, 30, 40
Maintenant on va placer le switch dans le vlan10 pour qu'il posséde une Ip dans le Vlan10 Dans le menu "Administration" et "Management Interface" puis "Ipv4 Interface" On peut voir quelle Vlan on pourra l'administré ici on choisi le Vlan10, Puis on choisie l'adresse Ip Fixe du switch siwtchvlan10ipmanagement Connectez-vous à votre interface administration de pfsense puis allé dans le menu "Interface" puis "Assign"
pfsense_virt_interface_assign
Puis sélectionner l'onglet Vlan
pfsense_virt_interface_assign_vlan
Appuyer sur le bouton : pfsense_addbutton Pour ajouter un nouveau vlan ici sélectionner l'interface physique sur laquelle doit se trouver le vlan ( normalement sur l'interface LAN) Dans "vlan Tag" Inscrivez le numéro du vlan dans "vlan description" Renseigner un commentaire pour une meilleure organisation puis cliquée sur Save
pfsense_virt_interface_assign_vlan_add
Recommencer pour chacun vlan Maintenant allée sur l'onglet "interface Assignement" et Cliqué sur le bouton : pfsense_addbutton Cela aura effet de vous rajouter l'interface Virtuelle associée au vlan Recommencer pour chaque Vlan, normalement le bouton disparaîtra quand toutes les interfaces seront créées
pfsense_virt_interface_assign_netport
Retenez bien le nom de l'interface avec lequel est associé le vlan elle portera le nom d'Optx (X étant un chiffre) (Photo avec interface déjà renommé) Maintenant allé dans le menu interface
pfsense_virt_interface_assign
Puis sélectionner l'interface "OPTX" (Photo avec interface déjà renommée) Cocher la case "Enable" Interface puis renseigner les différentes cases "Description" vous permettra de renommer l'interface d'Optx" en "informatique" par exemple Il faudra donné une adresse IP à cette interface qui correspondra à l'adresse Ip du routeur mais dans un vlan différent vérifier bien que cases situées dans la partie "Private Network" soit décoché
pfsense_virt_interface_optx
Recommencer pour chaque interface PfSense a la possibilité de pouvoir faire un serveur DHCP pour chaque interface Virtuelle pour cela allé dans le menu "Service" puis "DHCP Serveur", sélectionner l'interface Virtuelle à laquelle vous voulez créer le serveur DHCP, Cocher la case "enable DHCP" et renseigner les informations dont vous aurez besoin en fonction de chaque réseau. Puis Cliquer sur SAVE
pfsense_virt_service_dhcpserver
Partie 2 : Sécurisation du réseau La mise en place du routeur relier au vlan fait que le routeur fait du routage inter vlan, ce qui m'est en cause la segmentation et la sécurisation de celui-ci On va donc mètre en place des règles qui empêchent la communication entre les vlan en fonction du cahier des charges On va aller dans l'onglet "Firewall" puis "Rules"
pfsense_firewall_rules
Puis on choisit l'interface à laquelle on veut attribuer une règle
pfsense_rules_add
On va maintenant ajouter une règle en appuyant sur le bouton : ici on va choisir l'action que va faire la règle "Autorisé" ou "Bloqué" "Disable rule" : permet de désactiver momentanément la règle "Interface" : cela permet de choisir sur quelle interface doit s'appliquer la règle "Protocole" : cela permet de choisir le type de protocole "Tcp Udp Icmp) ou encore beaucoup d'autres "Source" permet de spécifier l'adresse ip qui va envoyer le paquet "Destination" permet de spécifier l'adresse ip qui va recevoir le paquet "Destination port" permet de spécifier le port qui va recevoir le paquet d'autres paramètres peuvent entrer en jeu comme un planificateur l’état du paquet pour bloquer 2 vlan entre eux il faut avoir comme règle dans chacun d'eux
Dans vlan5 bloquait, tout protocole, toute source vers vlan10
Dans vlan10 bloquait, tout protocole, toute source vers vlan5
Si on veut autoriser certaines machines à pouvoir accéder d'un vlan a l'autre il faut faire une règle qui autorise avant celle qui bloque, l'ordre des règles est très important car le paquet va passer une à une la règle et s'il correspond à une règle il ne testera pas les autres règles Vous pouvez retrouver toute la documentation utilisé et produite