Tâche #20059
Scénario #20131: Traitement express PNE-SR (16-18)
Adapter les règles eSSL à AD
Description
Ajouter la saisie de ces informations :
- Adresses IP des Contrôleurs Active Directory hébergés au centre serveurs : 2 IP
- Adresses IP des Contrôleurs Active Directory hébergés par le service : N IP
Autoriser ces flux entrants depuis "sites distants" et "Adresses IP des Contrôleurs Active Directory hébergés au centre serveurs" vers "Adresses IP des Contrôleurs Active Directory hébergés par le service"
- udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
- udp dpt:88 /tcp dpt:88 (Kerberos)
- udp dpt:464 / tcp dpt:464 (kpasswd)
- tcp dpt:445 (SMB CIFS)
- tcp dpt:135 (MSRPC)
- tcp flags:0x17/0x02 multiport dports 1024:5000
- tcp flags:0x17/0x02 multiport dports 49152:65535
- tcp dpt:3268 (Global Catalog)
- tcp dpt:3269 (Global Catalog)
- tcp dpt:873 (rsync pour la réplication de sysvol)
- udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
- udp dpt:389 Communication LDAP lors de la jonction au domaine notamment
Question : est-ce qu'actuellement on identifie les eSBL des sites distants autorisés à dialoguer avec les eCDL du site ou ce trouve le pare-feu, ou bien on ouvre les flux à tout le site distant ? ce qui me parait plus simple.
Pour info : Voir détail des flux ad dans aussi : https://portail.centre-serveur.din.developpement-durable.gouv.fr/projects/eole-active-directory/wiki/Caract%c3%a9ristiques_r%c3%a9seau_VlAN_liste_des_ports_ouverts_sur_le_FW
Historique
#1 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Description mis à jour (diff)
- Assigné à changé de Emmanuel IHRY à Philippe Carre
#2 Mis à jour par Philippe Carre il y a environ 7 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Nouvelle escroquerie Carréenne...
Je propose d'attendre le lancement de la phase pilote pour vérifier quels sont les flux nécessaires à AD.
Au moins 2 sites ont des eSSL (DIRM et DMSOI) , on mettra en place une règle :
Crtleur AC --> Ctrleur Local , tous les ports , avec Log
Après analyse de ces logs on en saura plus .
#3 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Statut changé de Résolu à Nouveau
- Tâche parente changé de #19892 à #20131
Ces développements ne peuvent attendre ! on en a besoin dès le 24/04 sur nos essl
#4 Mis à jour par Emmanuel IHRY il y a environ 7 ans
Suite à discussion de ce matin en visio de début de sprint, voici les règles à implémenter.
Identifier deux nouvelles sources (libellés sont calés sur ceux du module SETH) :
1)- Adresses IP des serveurs autorisés à se connecter aux Contrôleurs AD locaux
2)- Réseaux autorisés à se connecter aux services Samba
et un nouvelle destination :
3)- Contrôleurs AD locaux : IP individuelles
et prévoir ces flux :
flux possibles depuis 1) vers 3)
- udp dpt:53 / tcp dpt:53 (DNS)
- udp dpt:5353 / tcp dpt:5353 (multicast DNS)
- udp dpt:88 /tcp dpt:88 (Kerberos)
- udp dpt:464 / tcp dpt:464 (kpasswd)
- tcp dpt:445 (SMB CIFS)
- tcp dpt:135 (MSRPC)
- tcp flags:0x17/0x02 multiport dports 1024:5000
- tcp flags:0x17/0x02 multiport dports 49152:65535
- tcp dpt:3268 (Global Catalog)
- tcp dpt:3269 (Global Catalog)
- tcp dpt:873 (rsync pour la réplication de sysvol)
- udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
- udp dpt:389 Communication LDAP lors de la jonction au domaine notamment
- tcp dpt:389
flux possibles depuis 2) vers 3)
- udp dpt:53 / tcp dpt:53 (DNS)
- NTP 123 TCP/UDP
- udp dpt:88 /tcp dpt:88 (Kerberos)
- udp dpt:464 / tcp dpt:464 (kpasswd)
- tcp dpt:445 (SMB CIFS)
- tcp dpt:135 (MSRPC)
- tcp flags:0x17/0x02 multiport dports 1024:5000
- tcp flags:0x17/0x02 multiport dports 49152:65535
- LDAPS 636 TCP/UDP
- LDAP 389 TCP/UDP
- tcp dpt:3268 (Global Catalog)
- tcp dpt:3269 (Global Catalog)
- Protocole NMB sur NetBIOS 137-138
- SMB en NetBIOS 139 TCP
#5 Mis à jour par Philippe Carre il y a presque 7 ans
- Statut changé de Nouveau à En cours
- % réalisé changé de 100 à 0
- Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 3.0
- dans le module seth (menu AD) , 3 variables pour les autorisations d'accès :
- Adresses IP des serveurs autorisés à se connecter : ad_servers_netmask
- Réseaux autorisés à se connecter aux services Samba : ad_clients_ip
- Adresses IP autorisées à se connecter au service LDAP : ad_ldap_clients_ip
Elles sont utilisées dans /usr/share/eole/creole/distrib/90-samba_dynamic_rules
(pour l'ajout des regles sur le seth) :
%for %%ip in %%servers_and_clients /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 135 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp --syn -m multiport --dports 1024:5000 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m multiport --dports 1024:5000 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp --syn -m multiport --dports 49152:65535 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m multiport --dports 49152:65535 -j ACCEPT %if %%getVar('ad_server_role', 'membre') == 'controleur de domaine' /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 53 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 53 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 5353 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 5353 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 88 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 88 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 5722 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 5722 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 3268 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 3269 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT %end if %end for %for %%ip in %%clients /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 464 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT %if %%getVar('autoriser_netbios_ports', 'non') == 'oui' /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 137 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 138 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT %end if %end for %for %%ip in %%ldap_clients /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 389 -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 389 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT /sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 636 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
Ce script décrit les règles pour les serveurs, puis les ajouts pour les clients, et le cas ldap
Question : pour quels postes seront appliquées les règles "ldap" ? Dans quels cas ? A quoi sert cette variable ??
Je note aussi qu'il y a une différence entre serveurs contrôleur de domaine ou non : %if %%getVar('ad_server_role', 'membre') == 'controleur de domaine'
Il semblerait que les flux "tcp dpt:873 (rsync pour la réplication de sysvol)" et "NTP 123 TCP/UDP" soient absent coté Seth. Tâche à ajouter ?
Au final, les règles eSSL sont plus précises que celles appliquées sur le Seth!
#6 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- %%ldap_clients --> c'est pour identifier le serveur du PNE-AM sur lequel tourne le script de synchro. Ça ne concerne donc que les VM hébergées au DOIP, pas besoin coté essl donc
- tcp dpt:873 --> en fait la synchro des sysvol se fait en rsync sur du ssh, c'est donc le port 22 qui doit être ouvert
-"NTP 123 TCP/UDP --> pas de flux entrants à prévoir, chaque seth pointe vers un NTP national
- différence entre serveurs contrôleur de domaine ou non : %if %%getVar('ad_server_role', 'membre') : je ne suis pas sur que ce soit implémenté en tous cas qu'il y ait de <> significatives entre un membre et un DC
#7 Mis à jour par Philippe Carre il y a presque 7 ans
- % réalisé changé de 0 à 50
- Restant à faire (heures) changé de 3.0 à 1.5
Ajouts effectués pour l'eSSL standard , version 2.5.2.
Reste à valider en prod sur les eSSL Nantes et IdA.
Et à faire les ajouts pour l'eSSL 2.6.1
et éventuellement l'eSSL-SPC ?
#8 Mis à jour par Philippe Carre il y a presque 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 50 à 100
- Restant à faire (heures) changé de 1.5 à 0.0
Règles active sur l'eSSL DTerOuest.
+ règles spécifiques de AD_distants vers le controleur dans la DMZ. Avec log.
Je surveille les logs avant de reporter sur toutes les versions, et toutes les variantes.
Tâche à reporter dans le prochain sprint
#9 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Statut changé de Résolu à Fermé
sera testé dans le prochain sprint #20426