Tâche #18221
Scénario #18220: Adapter les règles de FireWalling sur le module SETH
Faire évoluer les règles FW à mettre en place sur un ROCD/RWDC
Description
Liste des flux à prévoir¶
flux depuis postes clients vers contrôleurs RWDC (et RODC)
---------------------------------------------------------
DNS 53 TCP/UDP
NTP 123 TCP/UDP
Kerberos 88 TCP/UDP
kpasswd 464 TCP/UDP
SMB / CIFS 445 TCP
MSRPC 135 TCP
Service RPC ports 1025 à 5000 (<win2008) ou 49152 à 65535 (>=win2008R2)
LDAPS 636 TCP/UDP (pour les getent group selon la façon de faire coté windbind)
LDAP 389 TCP/UDP (pour les getent group selon la façon de faire coté windbind)
Global Catalog 3268 TCP/UDP
Global Catalog SSL 3269 TCP/UDP
(et peut être aussi de manière temporaire (durant la migration) : Protocole NMB sur NetBIOS 137-138 et SMB en NetBIOS 139 TCP) --> mais ceci peut être évité si on renseigne les DNS des ressources
flux initialisés depuis contrôleur AD vers postes clients
----------------------------------------------------.----
aucun
flux dans les deux sens entre contrôleurs, notamment dans notre cas entre RWDC (centre serveur) et RODC (sites déconcentrés)
--------------------------------------------------------------------------
MSRPC 135 TCP
Service RPC ports 1025 à 5000 (<win2008) ou 49152 à 65535 (>=win2008R2)
Kerberos 88 TCP/UDP
DNS 53 TCP/UDP
Global Catalog 3268 TCP/UDP
Global Catalog SSL 3269 TCP/UDP
ssh TCP/22 pour la synchronisation des sysvol
rsync 873 TCP pour la synchronisation des sysvol
flux depuis LDAP national vers RWDC
-----------------------------------
636 LDAPS
SSH 22 TCP
valeurs des IP / LAN à créoliser¶
IP des RWDC / RODC
IP du serveur LDAP à l'origine de l'injection de comptes dans l'AD
IP des LAN clients (le filtrage des LAN clients serait un plus pour la migration, cela permet de migrer un services site par site, en autorisant que les sites migrés à dialoguer avec le module SETG
Demandes liées
Révisions associées
Définir précisément les ports ouverts sur Seth.
Ref #18221
Ne pas conditionner l’ouverture du port 636.
Ref #18221
Permettre de spécifier des plages d’adresses plutôt que des adresses.
Ref #18221
Historique
#1 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Sujet changé de Identifier les règles à mettre en place sur un ROCD/RWDC à Identifier les règles FW à mettre en place sur un ROCD/RWDC
#2 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 4.0
#3 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
Après analyse, il y a déjà des règles en place sur SETH 2.6.0
Voici les évolutions proposées :
Limiter les flux suivants à un sous ensemble de LAN saisis dans gen_config, ces LAN identifiant les réseaux où sont situés les postes clients et autres serveur RWDC¶
flux déjà prévus
udp dpt:53 / tcp dpt:53 (DNS) et aussi udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ?
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
udp dpt:464 / tcp dpt:464 (kpasswd)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
multiport dports 1024:5000
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
udp dpt:137 /udp dpt:138 / tcp dpt:139
tcp dpt:873 (rsync pour la réplication de sysvol)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
Flux manquants d'après la liste établie dans la présente demande :
udp dpt:3268 (Global Catalog)
udp dpt:3269 (Global Catalog)
Service RPC ports 49152 à 65535 (>=win2008R2)
Limiter les flux LDAP à des IP / LAN sources identifiés dans gen_config¶
flux déjà prévus
udp dpt:389
tcp dpt:389
tcp dpt:636
pouvoir désactiver de manière optionnelle les flux des Protocole NMB sur NetBIOS et SMB en NetBIOS, soit udp dpt:137 /udp dpt:138 / tcp dpt:139¶
Ces flux ne sont plus utiles dans un environnement full AD
Pour mémoire, flux déjà pris en charge sur le SETH qui ne sont pas liés à AD :¶
udp dpt:69
tcp dpt:4200
tcp dpt:4201
tcp dpt:4202
tcp dpt:8090
tcp dpt:465
tcp dpt:25
#4 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Sujet changé de Identifier les règles FW à mettre en place sur un ROCD/RWDC à Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC
#5 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Sujet changé de Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC à Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC
- Description mis à jour (diff)
- Assigné à mis à Benjamin Bohard
#6 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
Pour en reparler avant mise en oeuvre, ci après des commentaires sur ma note #3
Flux manquants d'après la liste établie dans la présente demande : udp dpt:3268 (Global Catalog) udp dpt:3269 (Global Catalog) Service RPC ports 49152 à 65535 (>=win2008R2)
Concernant Global Catalog :
il n'y a effectivement pas lieu d'ajouter l'udp, seul le TCP est nécessaire selon cet article https://support.microsoft.com/en-us/kb/179442
Concernant le service RPC :
Sur les ports complémentaires à ouvrir :
https://support.microsoft.com/en-us/kb/832017
Server 2008 and later versions, and in Windows Vista and later versions, the default dynamic port range changed to the following range:
Start port: 49152 End port: 65535
Windows 2000, Windows XP, and Windows Server 2003 use the following dynamic port range:
Start port: 1025 End port: 5000
--> il faut donc bien prévoir les ports de Start port: 49152 End port: 65535 qui sont devenus les standards depuis Windows Vista client et Windows Server 2008. Nous avions eu des pb de réplication entre deux modules Seth avec de mémoire une forêt en version fonctionnelle 2008, peut être est-ce du à ça ? Réplication OK en level 2003 mais pas 2008 sur SETH ? A vérifier.
Sur l'ouverture de plages complètes coté serveur :
A lire cette doc, https://support.microsoft.com/en-us/kb/179442 j'ai l'impression qu'il faut bien ouvrir les flux dans les deux sens sur SETH ,
client port 49152 -65535/TCP <--> serveur port 49152-65535/TCP
+ ceux-ci si on considère qu'il peut y avoir des OS anciens
client port 1025 -5000/TCP <--> serveur port 1025 -5000/TCP
Ceci se confirme sur cette article
https://technet.microsoft.com/fr-fr/library/2007.07.howitworks.aspx
Les clients Microsoft se connectent à l’Endpoint Mapper RPC sur le port 135. Ensuite, l’Endpoint Mapper indique au client le port d’écoute pour le service demandé. Les numéros de ports sont attribués de façon dynamique et sont compris entre 1024 et 65 535
--> je comprends donc que le port de départ vers le serveur est le 135, correspondant à l’Endpoint Mapper RPC. Le Endpoint Mapper RPC ensuite alloue ensuite dynamiquement un port entre 1024 et 65 535 sur le serveur (ou plutôt soit de 49152 à 65535 soit de 1025 à 5000) et pour des connections entrantes
#7 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Statut changé de Nouveau à En cours
#8 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Restant à faire (heures) changé de 4.0 à 3.0
#9 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
Voici la proposition finale à mettre en place :
Dans le gen_config, on identifie plusieurs familles d'IP ou LAN sources, pour chaque fammille, des flux spécifiques sont autorisés vers le contrôleur AD.
Famille : Lan autorisés à dialoguer avec le contrôleur (valeur par défaut 0.0.0.0/0.0.0.0)¶
Flux entrant possibles :
Flux par défaut :
udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
udp dpt:464 / tcp dpt:464 (kpasswd)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
tcp flags:0x17/0x02 multiport dports 49152:65535
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
tcp dpt:873 (rsync pour la réplication de sysvol)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
udp dpt:389 (ldap) --> pour ces trois dernières lignes je ne sais pas à quoi servent ces flux mais T IT me dit qu'il les faut ...
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)
Flux optionnels selon réponse à cette question : "Activer les flux NetBios OUI/NON? valeur par défaut : NON
Si oui : on ajoute ces flux entrants pour la famille Postes clients
udp dpt:137 /udp dpt:138 / tcp dpt:139
Famille : Autres Ip/réseaux autorisés pour les flux LDAP entrants (valeur par défaut : aucun)¶
udp dpt:389 (ldap)
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)
NB Pour mémoire, flux déjà pris en charge sur le SETH qui ne sont pas liés à AD, non concernés oar les filtrage sources ci dessus à mon sens¶
udp dpt:69
tcp dpt:4200
tcp dpt:4201
tcp dpt:4202
tcp dpt:8090
tcp dpt:465
tcp dpt:25
#10 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
Nouvelle version avec 3 familles sources :
Famille : Postes clients autorisés à dialoguer avec le contrôleur (valeur par défaut 0.0.0.0/0.0.0.0)¶
Flux entrant possibles :
Flux par défaut :
udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
udp dpt:464 / tcp dpt:464 (kpasswd)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
tcp flags:0x17/0x02 multiport dports 49152:65535
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
udp dpt:389 (ldap) --> pour ces trois dernières lignes je ne sais pas à quoi servent ces flux mais T IT me dit qu'il les faut ...
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)
Flux optionnels selon réponse à cette question : "Activer les flux NetBios OUI/NON? valeur par défaut : NON
Si oui : on ajoute ces flux entrants pour la famille Postes clients
udp dpt:137 /udp dpt:138 / tcp dpt:139
Famille : Autres contrôleurs autorisés à dialoguer avec le contrôleur (valeur par défaut 0.0.0.0/0.0.0.0)¶
Flux entrant possibles :
Flux par défaut :
udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
udp dpt:123 (NTP)
udp dpt:88 /tcp dpt:88 (Kerberos)
tcp dpt:445 (SMB CIFS)
tcp dpt:135 (MSRPC)
tcp flags:0x17/0x02 multiport dports 1024:5000
tcp flags:0x17/0x02 multiport dports 49152:65535
tcp dpt:3268 (Global Catalog)
tcp dpt:3269 (Global Catalog)
tcp dpt:873 (rsync pour la réplication de sysvol)
udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
udp dpt:389 (ldap)
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)
Famille : Autres Ip/réseaux autorisés pour les flux LDAP entrants (valeur par défaut : aucun)¶
udp dpt:389 (ldap)
tcp dpt:389 (ldap)
tcp dpt:636 (ldap)
NB Pour mémoire, flux déjà pris en charge sur le SETH qui ne sont pas liés à AD, non concernés oar les filtrage sources ci dessus à mon sens¶
udp dpt:69
tcp dpt:4200
tcp dpt:4201
tcp dpt:4202
tcp dpt:8090
tcp dpt:465
tcp dpt:25
#11 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
pour info, précision sur les besoins en flux ldap depuis les postes client :
A l'ouverture de session, les postes utilisent les champs types SRV
- SRV types _ldap pour trouver les contrôleur de domaine
- SRV types _kerberos pour trouver un contrôleur de domaine fournissant le service authentification KDC
cd: https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that-are-required-for-proper-functionality-of-active-directory/
Pour exemple, à l'ouverture de session un poste cherche les champs SRV _ldap et font une tentative de connexion sur le port ldap en question afin de valider que le DC est joignable pour une ouverture de session.
Un autre peut intervenir est lors d'utilisation de certaines GPO, le poste peut faire des requêtes types ldap (exemple monter un lecteur réseaux suivant l'appartenance à un groupe par exemple)
#12 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- % réalisé changé de 0 à 90
Tous les ports sont gérés dans un template. La déclaration dans le dictionnaire ne permet pas de combiner plusieurs ensembles de restriction (nécessaire pour les différents ensembles de sources autorisées et les différents rôles de serveur).
Les ensembles de sources sont :- les contrôleurs de domaine additionnels ;
- les serveurs membres ;
- les clients supplémentaires du service LDAP ;
- les postes clients.
- contrôleur de domaine ;
- serveur membre.
#13 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Restant à faire (heures) changé de 3.0 à 1.0
#14 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 90 à 100
- Restant à faire (heures) changé de 1.0 à 0.5
#15 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0
sera testé dans le cadre de ce scénario #18740
#16 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Lié à Tâche #18755: Documenter les restrictions d'accès pour le module Seth 2.6.1 ajouté
#17 Mis à jour par Benjamin Bohard il y a environ 7 ans
- Lié à Proposition Scénario #19317: Evolution du filtrage IPTABLE mise en place sur le SETH en 2.6.1 ajouté
#18 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Lié à Tâche #20759: Lorsque la variable "autoriser_netbios_ports" est à oui, Samba devrait écouter sur les ports NetBIOS ajouté
#19 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Sujet changé de Faire évoleur les règles FW à mettre en place sur un ROCD/RWDC à Faire évoluer les règles FW à mettre en place sur un ROCD/RWDC