Re: Ouverture port IMAP sur firewall

トップ ページ

このメッセージに返信
著者: Olivier_Allard-Jacquin
日付:  
To: guilde
題目: Re: Ouverture port IMAP sur firewall
> Ok, vu pour les soucis en perspective :o(

        Ben, tu cherches les coups aussi... :)



> Mon beauf m'a parle de ca. Comment ca marche, exactement ? Comment
> configure-t-on cette machine ? Sur le routeur, j'ai vu qu'on peut
> parametrer ca...



        Pour une DMZ, il faut une machine (appelons-la "FWL"), peu 
puissante, qui a 3 cartes réseaux :
- Une relié à ton routeur
- Une relié à ton serveur IMAP
- Une relié à ton réseau local :


+---------+
| Routeur |

  +---------+
       |
       |eth0
  +---------+eth2    +---------+

| FWL |--------| IMAP |

  +---------+        +---------+
       |eth1
       |
      LAN


        Au niveau de FWL, on va écrire des règle iptables, du type "si 
j'ai un paquet entrant par eth0 et à destination du port 143 (imap), alors 
je le redirige sur eth2, à destination du serveur IMAP". Ainsi, le serveur 
IMAP ne reçoit que ce qui le concerne.


        Mais le plus intéressant, c'est le trafic IMAP -> reste du monde. 
Grâce à Netfilter et au suivi de connexion (conntrack), seul les réponses 
au requêtes externes peuvent être autorisées à passer à travers FWL, et à 
sortir sur Internet. Ainsi, si un intrus arrive à être root sur IMAP, il 
ne pourra rien faire du tout. Même lancer une attaque sur le LAN, ou sur 
FWL.


        Cependant, tu peux noter qu'une telle architecture n'est pas très 
adaptée à ta configuration. En effet, la fonction de routage de ton 
routeur est rendu inutile par FWL, qui se charge de faire suivre les 
paquets de eth0 à eth1. Aussi, cette seconde architecture est plus adaptée 
:


+---------+
| Routeur |

  +---------+
       |
       |  eth0
       |  +---------+        +---------+
       |--|   FWL   |--------|  IMAP   |
       |  +---------+        +---------+
       |         eth1 
       |
      LAN


        Dans ce cas là, FWL ne sert plus de routeur entre ton LAN et le 
reste du monde. Par contre, elle protège toujours efficacement IMAP, ou 
plus exactement, elle interdit strictement à IMAP de se connecter toute 
seul à Internet ou au LAN.


        A noter que dans ce cas là, le LAN n'est pas protégé par FWL. 
C'est donc au routeur, situé en tête du réseau, d'assurer la protection 
complète du LAN (comme c'est le cas actuellement)... On ne peut donc plus 
vraiment parlé de DMZ.


        J'en profite pour répond au mail de François Pacull :


> Attention toutefois en DMZ la machine est encore + vulnérable car non
> protégé par le routeur.


François veut parler je pense d'une configuration plus classique de DMZ
:

    INTERNET
       |
       |eth0
  +---------+eth2    +---------+

| FWL |--------| IMAP |

  +---------+        +---------+
       |eth1
       |
      LAN


        Là, c'est effectivement FWL qui est en prise directe avec 
Internet. A lui donc d'assurer la protection du réseau, et à faire le NAT 
pour le LAN, et le port forwarding pour le serveur IMAP. Mais encore une 
fois, avec des bonnes règles de conntrack, et des ports bien fermés, il 
n'y a pas de raison que FWL se fasse pirater.



> Une DMZ c'est overkill comme feature.


        Pour écraser une mouche, pourquoi se contenter d'une simple baffe 
? Alors qu'une bonne enclume peut tout aussi bien servir !!! ;)



> Mais une machine en DMZ est-elle accessible depuis mon réseau local ?


        Oui : Avec Netfilter/iptables, tu peux autoriser les connexions 
que tu désires entre ton LAN et IMAP. Il suffit d'écrire les bonnes 
règles. Tu peux même n'autoriser que une seule machine du LAN pour faire 
du ssh sur IMAP. Et autoriser toutes les machines du LAN pour accéder au 
serveur IMAP sur la machine IMAP.


        Pour mettre en oeuvre ces différentes techniques, il faut bien 
comprendre les techniques de port forwarding et d'ip masquerading. J'en ai 
parlé dans la documentation de ma conférence : 
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.html



                                        Olivier