Configuration dun firewall pour scuriser un serveur WEB

Contexte : Dans le cadre de la mise en place dun serveur intranet, il est demand de scuriser son
accs et de le personnaliser en fonction de la provenance de lutilisateur.
Objectifs : Scuriser laccs au serveur web par un firewall pour deux rseaux locaux diffrents, le
rseau du service informatique et le rseau des utilisateurs.

Description de l'activit ralise

Situation initiale : Le serveur web nest pas scuris, les accs vers celui-ci ne peuvent tre ni
restreint ni contrls.

Situation finale : Aprs la ralisation de lactivit, le serveur web est totalement scuris. Les
diffrents rseaux de lentreprise ont des accs personnaliss, un fichier historique (log) permet une
surveillance active de la scurit du serveur web.

Outils utiliss : Nous avons utilis une distribution linux sur laquelle nous avons install un firewall
(iptables) et son manageur (fwbuilder).

Droulement de l'activit :
Le rseau de lentreprise se prsente donc sous la forme de 2 rseaux distincts :
?? Le rseau informatique : 10.26.104.0 / 255.255.255.0
?? Le rseau utilisateurs : 10.25.0.0 / 255.255.255.0
Le serveur web possde donc 2 interfaces rseaux connectes chacune sur un rseau diffrent.
Linterface eth0 a pour adresse ip : 10.26.104.245 et est connecte sur le rseau du service
informatique.
Linterface eth1 a pour adresse ip : 10.25.0.1 et est connecte sur le rseau utilisateurs.

Page 1/1

Le rseau des utilisateurs ne doit avoir accs au serveur web uniquement via le port 80.
Le rseau du service informatique lui doit avoir un accs sur le port 80 bien sur mais aussi sur le ftp,
sur des sessions SSH et par VNC.
1) Installation du firewall
Linstallation du firewall se fait via des fichiers sources tlchargs sur le site www.fwbuilder.org
2) Configuration du firewall
Commenons par crer notre objet firewall en lui paramtrant les diffrentes interfaces dont il
dispose.
Notre objet firewall est maintenant cre nous allons
maintenant le configurer pour que fwbuilder puisse
manager iptables, pour cela nous lui indiquons le chemin
vers le script dinstallation.

Nous allons maintenant faire une compilation de cette configuration, fwbuilder va donc crer un
fichier .xml rsumant la configuration qui jusquici a t choisie.

Page 2/2

Nous allons ensuite crer les deux objets reprsentants les deux rseaux.
o Lan info pour le rseau du service informatique.

o Lan users pour le rseau des utilisateurs.

3) Cration de la politique de scurit

Nous allons maintenant crer les rgles sur le firewall ncessaire la scurisation du serveur web.
Notre politique de scurit est de refuser tout ce qui nest pas accept, nous commenons donc par
crer une rgle refusant tout.

Puis nous allons autoriser le serveur web se connecter en sortie sans restriction.

Procdons lautorisation pour le rseau des utilisateurs se connecter au serveur web sur le port
80.

Page 3/3

Crons maintenant la rgle pour autoriser le rseau du service informatique se connecter aux
diffrents protocoles autoriss.
Avant cela il nous faudra crer un objet nomm vncserver pour autoriser les accs vers le serveur
VNC par le rseau du service informatique.

La rgle donc autorise le rseau informatique se connecter sur le port 80, le port 21, le port 20, le
port 22 et les ports 5900 et 5901

Une fois les rgles mises en place, il nous faut compiler les modifications et les implmenter sur
iptables .
Toutefois il faudra bien sassurer de mettre en place un chmod 777 sur le fichier de configuration du
firewall pour tre sr que les rgles soient bien installes sur iptables .
4) Vrification de la scurit
Nous pouvons donc vrifier si les rgles sont en place protge bien le serveur web.
Nous demandons donc au responsable du service informatique de se connecter sur le serveur web
via le http, le ssh, le ftp et vnc.
Tous les protocoles sont ok
Par exemple le protocole ftp :
C:\>ftp 10.26.104.245
Connected to 10.26.104.245.
220 (vsFTPd 1.1.3)
User (10.26.104.245:(none)): sys-ops
331 Please specify the password.
Password:
230 Login successful. Have fun.
ftp>
ftp>
ftp> dir
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
226 Directory send OK.
ftp>bye

Page 4/4

Alors que les utilisateurs eux ne sont autoriss qu laccs au serveur http et se voit refuser toute
autre connexion.
5) Rgle de simplification dadministration du serveur
Pour simplifier ladministration du serveur par le service informatique, nous allons leur autoriser le
ping vers le serveur pour tre sr quil soit en mesure de procder des diagnostiques rapides en
cas de panne.
Nous ajoutons donc une rgle supplmentaire.

Effectuons un test de ping depuis le rseau du service informatique.

C:\>ping 10.26.104.245
Pinging 10.26.104.245 with 32 bytes of data:
Reply from 10.26.104.245: bytes=32 time<10ms TTL=64
Reply from 10.26.104.245: bytes=32 time<10ms TTL=64
Reply from 10.26.104.245: bytes=32 time<10ms TTL=64
Reply from 10.26.104.245: bytes=32 time<10ms TTL=64
Ping statistics for 10.26.104.245:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Analyse des rsultats obtenus

Objectif atteint : Le site web est totalement scuris grce la mise en place du firewall et de la
politique de scurit. Les diffrents utilisateurs des rseaux se voient attribuer des accs vraiment
personnaliss.

Page 5/5