III.8.1.2. Construction finale de SRVFWL
Nous devons faire un transfert de carte réseau de la
SVRLAN au SVRFWL, après notre nouvelle configuration réseau du
serveur SVRFWL est :
Figure 55 : configuration final des interfaces du
serveur SVRFWL
Nous devons mettre comme DNS dans le fichier
/etc/resolv.conf sur SVRFWL. Dans un premier temps soit l'adresse de
notre FAI (fournisseur d'accès à Internet) soie celle de notre
routeur
Rédiger par NGOUCHEME MBOUOMBOUO A. Page
52
Concevoir et déployer d'une architecture de
réseau sécurisée à l'IUT
accédant à l'Internet. Mettons le NAT et le
routage dans le fichier /etc/rc.lan avec les lignes identiques
à celles que nous avions sur SVRLAN : echo 1 >
/proc/sys/net/ipv4/ip_foward et Iptables -t nat -A
POSTROUTING -o eth0 -j MASQUERADE
III.8.1.3. sécurisation du DNS - Utilisation
de RNDC
BIND9 contient un utilitaire appelé RNDC qui permet
d'utiliser des lignes de commande pour administrer la démo,
named à partir de l'hôte local ou d'un hôte distant
(cas d'un serveur secondaire). Afin d'empêcher l'accès non
autorisé au démon named, BIND9 utilise une
méthode de clé secrète partagée pour accorder des
privilèges aux hôtes. Dans une telle situation, une clé
identique doit être présente aussi bien dans /etc/named.conf
que dans le fichier de configuration RNDC, àsavoir
/etc/rndc.conf. Pour que RNDC puisse se connecter au service
bind9, créons une déclaration controls et une
inclusion du fichier rndc.key dans le fichier /etc/bind/named.conf
(après la directive options) :
Cette déclaration indique à named de se
mettre à l'écoute du port 953 par défaut de l'adresse
inversée et d'autoriser les commandes rndc provenant de
l'hôte local, si la clé adéquate est
présentée. Nous utilisons l'utilitaire rndc-confgen
(clé 256 bits, appelée clé TSIG, Transaction
SIGnatures)
Nous pouvons voir le contenu du fichier /etc/bind/rndc.key
crée par rndc-confgen
Figure 56 : contenu du fichier
/etc/bind/rndc.key
- Utilisation des ACL (Access Control List)
Les listes ACL (ou contrôle d'accès) sont des
listes établissant une correspondance nommée. Déjà
aborde avec le proxy Squid et SquidGuard. Dans notre cas nous aurons une liste
ACL, celle pour le réseau interne, l'autre n'est pas nécessaire
car le mot clé any suffix. Pour le réseau « interne
» est plus parlant que 192.168.2.0 non ? Nous allons passer à la
création de l'ACL dans le fichier /etc/bind/named.conf :
Rédiger par NGOUCHEME MBOUOMBOUO A. Page
53
Concevoir et déployer d'une architecture de
réseau sécurisée à l'IUT
Figure 57 : définition d'une ACL pour le
LAN
Modifions l'instruction match-clients, notre ACL est
en place : match-clients { lans ; } ; enfin relancer le service BIND
sur SVRDMZ
- Emprisonner le serveur
Cette technique (chroot) consiste à faire croire au
démon bind9 que son répertoire d'exécution
correspond à la racine root (/). En cas d'intrusion
via le service bind9, notre système est préservé.
Pour mettre en place cette technique, on doit créer l'arborescence
minimale de l'environement `chrooté', placer les fichiers et droits
adéquats et démarrer le démon bind9 avec l'option
-t pour l'utilisateur bind. Dans d'autres distributions on
trouve un paquetage qui réalise tout cela à notre place
:bind-chroot. Ce n'est pas le cas pour Ubuntu donc, nous devons
créer l'arborescence minimale nécessaire :
Figure 58 : création de
l'arborescence
Ensuite créons quelque fichier spécial
nécessaire à notre système :
· mknod dev/null c 1 3
· mknod dec/random c 1 8
· mknod dev/urandom c 1 9
· chmod 666 dev/null
· chmod 640 dev/random
dev/urandom
· chmod 775 var/run/bind
var/run/bind/run
· chown root.bind dev/random
dev/urandom
· chown root.bind var/run/bind var/run/bind/run
Utilisons en la recopiant la configuration DNS existante :
· cp /etc/bind/* etc/bind/
· cp /etc/locatetime etc/
· chown bind.bind etc/bind/*
· cp -Rf /var/cache/bind/* var/cache/bind/
2>/dev/null
· chown -R bind.bind
var/cache/bind/*
· chgrp bind var/cache/bind/
L'importance est que les fichiers dans la nouvelle
arborescence appartiennent à bind. Il faut maintenant prendre
en compte la nouvelle configuration. De plus, comme le changement est long
Rédiger par NGOUCHEME MBOUOMBOUO A. Page
54
Concevoir et déployer d'une architecture de
réseau sécurisée à l'IUT
et fastidieux, nous utiliserons une configuration de BIND sans
RNDC ni la configuration en serveur secondaire de la zone
virtualiut.lan.
Figure 59 : nouvelle configuration du fichier
virtualiut.lan
La modification essentielle passe par l'ajout du nouveau
démon bind dans le fichier de configuration par défaut
/etc/default/bind9 : OPTIONS ='-u bind -t /var/lib/bind'
Nous disposons maintenant d'un DNS sécurisé propre
à réagir aux situations d'entreprise les courantes. Notre
degré de sécurité est optimal mais no maximal. Il y a
encore d'autres réglages plus poussés à faire comme la
possibilité d'interdire les spoofers d'IP par la directive nospoofcn
dans le fichier /etc/host.conf
| 
