Project

General

Profile

Tâche #20059

Scénario #20131: Traitement express PNE-SR (16-18)

Adapter les règles eSSL à AD

Added by Emmanuel IHRY over 4 years ago. Updated over 4 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
01/23/2017
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Ajouter la saisie de ces informations :
- Adresses IP des Contrôleurs Active Directory hébergés au centre serveurs : 2 IP
- Adresses IP des Contrôleurs Active Directory hébergés par le service : N IP

Autoriser ces flux entrants depuis "sites distants" et "Adresses IP des Contrôleurs Active Directory hébergés au centre serveurs" vers "Adresses IP des Contrôleurs Active Directory hébergés par le service"

  • udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
  • udp dpt:88 /tcp dpt:88 (Kerberos)
  • udp dpt:464 / tcp dpt:464 (kpasswd)
  • tcp dpt:445 (SMB CIFS)
  • tcp dpt:135 (MSRPC)
  • tcp flags:0x17/0x02 multiport dports 1024:5000
  • tcp flags:0x17/0x02 multiport dports 49152:65535
  • tcp dpt:3268 (Global Catalog)
  • tcp dpt:3269 (Global Catalog)
  • tcp dpt:873 (rsync pour la réplication de sysvol)
  • udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
  • udp dpt:389 Communication LDAP lors de la jonction au domaine notamment

Question : est-ce qu'actuellement on identifie les eSBL des sites distants autorisés à dialoguer avec les eCDL du site ou ce trouve le pare-feu, ou bien on ouvre les flux à tout le site distant ? ce qui me parait plus simple.

Pour info : Voir détail des flux ad dans aussi : https://portail.centre-serveur.din.developpement-durable.gouv.fr/projects/eole-active-directory/wiki/Caract%c3%a9ristiques_r%c3%a9seau_VlAN_liste_des_ports_ouverts_sur_le_FW

History

#1 Updated by Emmanuel IHRY over 4 years ago

  • Description updated (diff)
  • Assigned To changed from Emmanuel IHRY to Philippe Carre

#2 Updated by Philippe Carre over 4 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

Nouvelle escroquerie Carréenne...
Je propose d'attendre le lancement de la phase pilote pour vérifier quels sont les flux nécessaires à AD.
Au moins 2 sites ont des eSSL (DIRM et DMSOI) , on mettra en place une règle :
Crtleur AC --> Ctrleur Local , tous les ports , avec Log
Après analyse de ces logs on en saura plus .

#3 Updated by Emmanuel IHRY over 4 years ago

  • Status changed from Résolu to Nouveau
  • Parent task changed from #19892 to #20131

Ces développements ne peuvent attendre ! on en a besoin dès le 24/04 sur nos essl

#4 Updated by Emmanuel IHRY over 4 years ago

Suite à discussion de ce matin en visio de début de sprint, voici les règles à implémenter.

Identifier deux nouvelles sources (libellés sont calés sur ceux du module SETH) :
1)- Adresses IP des serveurs autorisés à se connecter aux Contrôleurs AD locaux
2)- Réseaux autorisés à se connecter aux services Samba

et un nouvelle destination :
3)- Contrôleurs AD locaux : IP individuelles

et prévoir ces flux :

flux possibles depuis 1) vers 3)

  • udp dpt:53 / tcp dpt:53 (DNS)
  • udp dpt:5353 / tcp dpt:5353 (multicast DNS)
  • udp dpt:88 /tcp dpt:88 (Kerberos)
  • udp dpt:464 / tcp dpt:464 (kpasswd)
  • tcp dpt:445 (SMB CIFS)
  • tcp dpt:135 (MSRPC)
  • tcp flags:0x17/0x02 multiport dports 1024:5000
  • tcp flags:0x17/0x02 multiport dports 49152:65535
  • tcp dpt:3268 (Global Catalog)
  • tcp dpt:3269 (Global Catalog)
  • tcp dpt:873 (rsync pour la réplication de sysvol)
  • udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
  • udp dpt:389 Communication LDAP lors de la jonction au domaine notamment
  • tcp dpt:389

flux possibles depuis 2) vers 3)

  • udp dpt:53 / tcp dpt:53 (DNS)
  • NTP 123 TCP/UDP
  • udp dpt:88 /tcp dpt:88 (Kerberos)
  • udp dpt:464 / tcp dpt:464 (kpasswd)
  • tcp dpt:445 (SMB CIFS)
  • tcp dpt:135 (MSRPC)
  • tcp flags:0x17/0x02 multiport dports 1024:5000
  • tcp flags:0x17/0x02 multiport dports 49152:65535
  • LDAPS 636 TCP/UDP
  • LDAP 389 TCP/UDP
  • tcp dpt:3268 (Global Catalog)
  • tcp dpt:3269 (Global Catalog)
  • Protocole NMB sur NetBIOS 137-138
  • SMB en NetBIOS 139 TCP

#5 Updated by Philippe Carre over 4 years ago

  • Status changed from Nouveau to En cours
  • % Done changed from 100 to 0
  • Estimated time set to 4.00 h
  • Remaining (hours) set to 3.0
Questions :
- dans le module seth (menu AD) , 3 variables pour les autorisations d'accès :
  • Adresses IP des serveurs autorisés à se connecter : ad_servers_netmask
  • Réseaux autorisés à se connecter aux services Samba : ad_clients_ip
  • Adresses IP autorisées à se connecter au service LDAP : ad_ldap_clients_ip

Elles sont utilisées dans /usr/share/eole/creole/distrib/90-samba_dynamic_rules
(pour l'ajout des regles sur le seth) :

%for %%ip in %%servers_and_clients
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 135 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp --syn -m multiport --dports 1024:5000 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m multiport --dports 1024:5000 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp --syn -m multiport --dports 49152:65535 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m multiport --dports 49152:65535 -j ACCEPT
%if %%getVar('ad_server_role', 'membre') == 'controleur de domaine'
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 53 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 53 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 5353 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 5353 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 88 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 88 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 5722 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 5722 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 3268 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 3269 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
%end if
%end for
%for %%ip in %%clients
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 464 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
%if %%getVar('autoriser_netbios_ports', 'non') == 'oui'
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 137 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 138 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
%end if
%end for
%for %%ip in %%ldap_clients
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 389 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 389 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 636 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Ce script décrit les règles pour les serveurs, puis les ajouts pour les clients, et le cas ldap

Question : pour quels postes seront appliquées les règles "ldap" ? Dans quels cas ? A quoi sert cette variable ??
Je note aussi qu'il y a une différence entre serveurs contrôleur de domaine ou non : %if %%getVar('ad_server_role', 'membre') == 'controleur de domaine'

Il semblerait que les flux "tcp dpt:873 (rsync pour la réplication de sysvol)" et "NTP 123 TCP/UDP" soient absent coté Seth. Tâche à ajouter ?

Au final, les règles eSSL sont plus précises que celles appliquées sur le Seth!

#6 Updated by Emmanuel IHRY over 4 years ago

- %%ldap_clients --> c'est pour identifier le serveur du PNE-AM sur lequel tourne le script de synchro. Ça ne concerne donc que les VM hébergées au DOIP, pas besoin coté essl donc

- tcp dpt:873 --> en fait la synchro des sysvol se fait en rsync sur du ssh, c'est donc le port 22 qui doit être ouvert

-"NTP 123 TCP/UDP --> pas de flux entrants à prévoir, chaque seth pointe vers un NTP national

- différence entre serveurs contrôleur de domaine ou non : %if %%getVar('ad_server_role', 'membre') : je ne suis pas sur que ce soit implémenté en tous cas qu'il y ait de <> significatives entre un membre et un DC

#7 Updated by Philippe Carre over 4 years ago

  • % Done changed from 0 to 50
  • Remaining (hours) changed from 3.0 to 1.5

Ajouts effectués pour l'eSSL standard , version 2.5.2.
Reste à valider en prod sur les eSSL Nantes et IdA.

Et à faire les ajouts pour l'eSSL 2.6.1
et éventuellement l'eSSL-SPC ?

#8 Updated by Philippe Carre over 4 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 50 to 100
  • Remaining (hours) changed from 1.5 to 0.0

Règles active sur l'eSSL DTerOuest.
+ règles spécifiques de AD_distants vers le controleur dans la DMZ. Avec log.
Je surveille les logs avant de reporter sur toutes les versions, et toutes les variantes.
Tâche à reporter dans le prochain sprint

#9 Updated by Emmanuel IHRY over 4 years ago

  • Status changed from Résolu to Fermé

sera testé dans le prochain sprint #20426

Also available in: Atom PDF