Project

General

Profile

Tâche #18221

Scénario #18220: Adapter les règles de FireWalling sur le module SETH

Faire évoluer les règles FW à mettre en place sur un ROCD/RWDC

Added by Emmanuel IHRY over 4 years ago. Updated almost 4 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
12/01/2016
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Liste des flux à prévoir

flux depuis postes clients vers contrôleurs RWDC (et RODC)
---------------------------------------------------------
DNS 53 TCP/UDP
NTP 123 TCP/UDP
Kerberos 88 TCP/UDP
kpasswd 464 TCP/UDP
SMB / CIFS 445 TCP
MSRPC 135 TCP
Service RPC ports 1025 à 5000 (<win2008) ou 49152 à 65535 (>=win2008R2)
LDAPS 636 TCP/UDP (pour les getent group selon la façon de faire coté windbind)
LDAP 389 TCP/UDP (pour les getent group selon la façon de faire coté windbind)
Global Catalog 3268 TCP/UDP
Global Catalog SSL 3269 TCP/UDP

(et peut être aussi de manière temporaire (durant la migration) : Protocole NMB sur NetBIOS 137-138 et SMB en NetBIOS 139 TCP) --> mais ceci peut être évité si on renseigne les DNS des ressources

flux initialisés depuis contrôleur AD vers postes clients
----------------------------------------------------.----
aucun

flux dans les deux sens entre contrôleurs, notamment dans notre cas entre RWDC (centre serveur) et RODC (sites déconcentrés)
--------------------------------------------------------------------------
MSRPC 135 TCP
Service RPC ports 1025 à 5000 (<win2008) ou 49152 à 65535 (>=win2008R2)
Kerberos 88 TCP/UDP
DNS 53 TCP/UDP
Global Catalog 3268 TCP/UDP
Global Catalog SSL 3269 TCP/UDP
ssh TCP/22 pour la synchronisation des sysvol
rsync 873 TCP pour la synchronisation des sysvol

flux depuis LDAP national vers RWDC
-----------------------------------
636 LDAPS
SSH 22 TCP

valeurs des IP / LAN à créoliser

IP des RWDC / RODC
IP du serveur LDAP à l'origine de l'injection de comptes dans l'AD
IP des LAN clients (le filtrage des LAN clients serait un plus pour la migration, cela permet de migrer un services site par site, en autorisant que les sites migrés à dialoguer avec le module SETG


Related issues

Related to Documentations - Tâche #18755: Documenter les restrictions d'accès pour le module Seth 2.6.1 Fermé 01/20/2017
Related to EOLE AD DC - Proposition Scénario #19317: Evolution du filtrage IPTABLE mise en place sur le SETH en 2.6.1 Fermé
Related to Documentations - Tâche #20759: Lorsque la variable "autoriser_netbios_ports" est à oui, Samba devrait écouter sur les ports NetBIOS Fermé 06/09/2017

Associated revisions

Revision 0ab12f48 (diff)
Added by Benjamin Bohard over 4 years ago

Définir précisément les ports ouverts sur Seth.

Ref #18221

Revision 16f629d0 (diff)
Added by Benjamin Bohard over 4 years ago

Ne pas conditionner l’ouverture du port 636.

Ref #18221

Revision c8ac0934 (diff)
Added by Benjamin Bohard over 4 years ago

Permettre de spécifier des plages d’adresses plutôt que des adresses.

Ref #18221

History

#1 Updated by Emmanuel IHRY over 4 years ago

  • Subject changed from Identifier les règles à mettre en place sur un ROCD/RWDC to Identifier les règles FW à mettre en place sur un ROCD/RWDC

#2 Updated by Emmanuel IHRY over 4 years ago

  • Estimated time set to 4.00 h
  • Remaining (hours) set to 4.0

#3 Updated by Emmanuel IHRY over 4 years ago

Après analyse, il y a déjà des règles en place sur SETH 2.6.0

Voici les évolutions proposées :

Limiter les flux suivants à un sous ensemble de LAN saisis dans gen_config, ces LAN identifiant les réseaux où sont situés les postes clients et autres serveur RWDC

flux déjà prévus
udp dpt:53 / tcp dpt:53 (DNS) et aussi udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ?
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
udp dpt:464 / tcp dpt:464 (kpasswd)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
multiport dports 1024:5000
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
udp dpt:137 /udp dpt:138 / tcp dpt:139
tcp dpt:873 (rsync pour la réplication de sysvol)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)

Flux manquants d'après la liste établie dans la présente demande :
udp dpt:3268 (Global Catalog)
udp dpt:3269 (Global Catalog)
Service RPC ports 49152 à 65535 (>=win2008R2)

Limiter les flux LDAP à des IP / LAN sources identifiés dans gen_config

flux déjà prévus
udp dpt:389
tcp dpt:389
tcp dpt:636

pouvoir désactiver de manière optionnelle les flux des Protocole NMB sur NetBIOS et SMB en NetBIOS, soit udp dpt:137 /udp dpt:138 / tcp dpt:139

Ces flux ne sont plus utiles dans un environnement full AD

Pour mémoire, flux déjà pris en charge sur le SETH qui ne sont pas liés à AD :

udp dpt:69
tcp dpt:4200
tcp dpt:4201
tcp dpt:4202
tcp dpt:8090
tcp dpt:465
tcp dpt:25

#4 Updated by Emmanuel IHRY over 4 years ago

  • Subject changed from Identifier les règles FW à mettre en place sur un ROCD/RWDC to Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC

#5 Updated by Emmanuel IHRY over 4 years ago

  • Subject changed from Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC to Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC
  • Description updated (diff)
  • Assigned To set to Benjamin Bohard

#6 Updated by Emmanuel IHRY over 4 years ago

Pour en reparler avant mise en oeuvre, ci après des commentaires sur ma note #3

Flux manquants d'après la liste établie dans la présente demande :
udp dpt:3268 (Global Catalog)
udp dpt:3269 (Global Catalog)
Service RPC ports 49152 à 65535 (>=win2008R2)

Concernant Global Catalog :

il n'y a effectivement pas lieu d'ajouter l'udp, seul le TCP est nécessaire selon cet article https://support.microsoft.com/en-us/kb/179442

Concernant le service RPC :

Sur les ports complémentaires à ouvrir :

https://support.microsoft.com/en-us/kb/832017
Server 2008 and later versions, and in Windows Vista and later versions, the default dynamic port range changed to the following range:
Start port: 49152 End port: 65535
Windows 2000, Windows XP, and Windows Server 2003 use the following dynamic port range:
Start port: 1025 End port: 5000

--> il faut donc bien prévoir les ports de Start port: 49152 End port: 65535 qui sont devenus les standards depuis Windows Vista client et Windows Server 2008. Nous avions eu des pb de réplication entre deux modules Seth avec de mémoire une forêt en version fonctionnelle 2008, peut être est-ce du à ça ? Réplication OK en level 2003 mais pas 2008 sur SETH ? A vérifier.

Sur l'ouverture de plages complètes coté serveur :

A lire cette doc, https://support.microsoft.com/en-us/kb/179442 j'ai l'impression qu'il faut bien ouvrir les flux dans les deux sens sur SETH ,
client port 49152 -65535/TCP <--> serveur port 49152-65535/TCP

+ ceux-ci si on considère qu'il peut y avoir des OS anciens
client port 1025 -5000/TCP <--> serveur port 1025 -5000/TCP

Ceci se confirme sur cette article

https://technet.microsoft.com/fr-fr/library/2007.07.howitworks.aspx
Les clients Microsoft se connectent à l’Endpoint Mapper RPC sur le port 135. Ensuite, l’Endpoint Mapper indique au client le port d’écoute pour le service demandé. Les numéros de ports sont attribués de façon dynamique et sont compris entre 1024 et 65 535

--> je comprends donc que le port de départ vers le serveur est le 135, correspondant à l’Endpoint Mapper RPC. Le Endpoint Mapper RPC ensuite alloue ensuite dynamiquement un port entre 1024 et 65 535 sur le serveur (ou plutôt soit de 49152 à 65535 soit de 1025 à 5000) et pour des connections entrantes

#7 Updated by Benjamin Bohard over 4 years ago

  • Status changed from Nouveau to En cours

#8 Updated by Benjamin Bohard over 4 years ago

  • Remaining (hours) changed from 4.0 to 3.0

#9 Updated by Emmanuel IHRY over 4 years ago

Voici la proposition finale à mettre en place :

Dans le gen_config, on identifie plusieurs familles d'IP ou LAN sources, pour chaque fammille, des flux spécifiques sont autorisés vers le contrôleur AD.

Famille : Lan autorisés à dialoguer avec le contrôleur (valeur par défaut 0.0.0.0/0.0.0.0)

Flux entrant possibles :

Flux par défaut :
udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
udp dpt:464 / tcp dpt:464 (kpasswd)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
tcp flags:0x17/0x02 multiport dports 49152:65535
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
tcp dpt:873 (rsync pour la réplication de sysvol)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
udp dpt:389 (ldap) --> pour ces trois dernières lignes je ne sais pas à quoi servent ces flux mais T IT me dit qu'il les faut ...
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)

Flux optionnels selon réponse à cette question : "Activer les flux NetBios OUI/NON? valeur par défaut : NON
Si oui : on ajoute ces flux entrants pour la famille Postes clients
udp dpt:137 /udp dpt:138 / tcp dpt:139

Famille : Autres Ip/réseaux autorisés pour les flux LDAP entrants (valeur par défaut : aucun)

udp dpt:389 (ldap)
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)

NB Pour mémoire, flux déjà pris en charge sur le SETH qui ne sont pas liés à AD, non concernés oar les filtrage sources ci dessus à mon sens

udp dpt:69
tcp dpt:4200
tcp dpt:4201
tcp dpt:4202
tcp dpt:8090
tcp dpt:465
tcp dpt:25

#10 Updated by Emmanuel IHRY over 4 years ago

Nouvelle version avec 3 familles sources :

Famille : Postes clients autorisés à dialoguer avec le contrôleur (valeur par défaut 0.0.0.0/0.0.0.0)

Flux entrant possibles :

Flux par défaut :
udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
udp dpt:464 / tcp dpt:464 (kpasswd)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
tcp flags:0x17/0x02 multiport dports 49152:65535
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
udp dpt:389 (ldap) --> pour ces trois dernières lignes je ne sais pas à quoi servent ces flux mais T IT me dit qu'il les faut ...
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)

Flux optionnels selon réponse à cette question : "Activer les flux NetBios OUI/NON? valeur par défaut : NON
Si oui : on ajoute ces flux entrants pour la famille Postes clients
udp dpt:137 /udp dpt:138 / tcp dpt:139

Famille : Autres contrôleurs autorisés à dialoguer avec le contrôleur (valeur par défaut 0.0.0.0/0.0.0.0)

Flux entrant possibles :

Flux par défaut :
udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
tcp flags:0x17/0x02 multiport dports 49152:65535
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
tcp dpt:873 (rsync pour la réplication de sysvol)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
udp dpt:389 (ldap)
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)

Famille : Autres Ip/réseaux autorisés pour les flux LDAP entrants (valeur par défaut : aucun)

udp dpt:389 (ldap)
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)

NB Pour mémoire, flux déjà pris en charge sur le SETH qui ne sont pas liés à AD, non concernés oar les filtrage sources ci dessus à mon sens

udp dpt:69
tcp dpt:4200
tcp dpt:4201
tcp dpt:4202
tcp dpt:8090
tcp dpt:465
tcp dpt:25

#11 Updated by Emmanuel IHRY over 4 years ago

pour info, précision sur les besoins en flux ldap depuis les postes client :

A l'ouverture de session, les postes utilisent les champs types SRV
- SRV types _ldap pour trouver les contrôleur de domaine
- SRV types _kerberos pour trouver un contrôleur de domaine fournissant le service authentification KDC
cd: https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that-are-required-for-proper-functionality-of-active-directory/

Pour exemple, à l'ouverture de session un poste cherche les champs SRV _ldap et font une tentative de connexion sur le port ldap en question afin de valider que le DC est joignable pour une ouverture de session.
Un autre peut intervenir est lors d'utilisation de certaines GPO, le poste peut faire des requêtes types ldap (exemple monter un lecteur réseaux suivant l'appartenance à un groupe par exemple)

#12 Updated by Benjamin Bohard over 4 years ago

  • % Done changed from 0 to 90

Tous les ports sont gérés dans un template. La déclaration dans le dictionnaire ne permet pas de combiner plusieurs ensembles de restriction (nécessaire pour les différents ensembles de sources autorisées et les différents rôles de serveur).

Les ensembles de sources sont :
  • les contrôleurs de domaine additionnels ;
  • les serveurs membres ;
  • les clients supplémentaires du service LDAP ;
  • les postes clients.
Les différents rôles sont :
  • contrôleur de domaine ;
  • serveur membre.

#13 Updated by Benjamin Bohard over 4 years ago

  • Remaining (hours) changed from 3.0 to 1.0

#14 Updated by Benjamin Bohard over 4 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 90 to 100
  • Remaining (hours) changed from 1.0 to 0.5

#15 Updated by Emmanuel IHRY over 4 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

sera testé dans le cadre de ce scénario #18740

#16 Updated by Benjamin Bohard over 4 years ago

  • Related to Tâche #18755: Documenter les restrictions d'accès pour le module Seth 2.6.1 added

#17 Updated by Benjamin Bohard about 4 years ago

#18 Updated by Joël Cuissinat almost 4 years ago

  • Related to Tâche #20759: Lorsque la variable "autoriser_netbios_ports" est à oui, Samba devrait écouter sur les ports NetBIOS added

#19 Updated by Joël Cuissinat almost 4 years ago

  • Subject changed from Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC to Faire évoluer les règles FW à mettre en place sur un ROCD/RWDC

Also available in: Atom PDF