Projet

Général

Profil

Tâche #20059

Scénario #20131: Traitement express PNE-SR (16-18)

Adapter les règles eSSL à AD

Ajouté par Emmanuel IHRY il y a environ 7 ans. Mis à jour il y a presque 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Philippe Carre
Version cible:
sprint 2017 16-18 Equipe PNE-SR
Début:
23/01/2017
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
2.00 h
Restant à faire (heures):
0.0

Description

Ajouter la saisie de ces informations :
- Adresses IP des Contrôleurs Active Directory hébergés au centre serveurs : 2 IP
- Adresses IP des Contrôleurs Active Directory hébergés par le service : N IP

Autoriser ces flux entrants depuis "sites distants" et "Adresses IP des Contrôleurs Active Directory hébergés au centre serveurs" vers "Adresses IP des Contrôleurs Active Directory hébergés par le service"

  • udp dpt:53 / tcp dpt:53 (DNS) ( et aussi on a déjà sur SET udp dpt:5353 / tcp dpt:5353 (multicast DNS) --> 5353 est-il utile à AD ? je ne sais pas sur ce point )
  • udp dpt:88 /tcp dpt:88 (Kerberos)
  • udp dpt:464 / tcp dpt:464 (kpasswd)
  • tcp dpt:445 (SMB CIFS)
  • tcp dpt:135 (MSRPC)
  • tcp flags:0x17/0x02 multiport dports 1024:5000
  • tcp flags:0x17/0x02 multiport dports 49152:65535
  • tcp dpt:3268 (Global Catalog)
  • tcp dpt:3269 (Global Catalog)
  • tcp dpt:873 (rsync pour la réplication de sysvol)
  • udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
  • udp dpt:389 Communication LDAP lors de la jonction au domaine notamment

Question : est-ce qu'actuellement on identifie les eSBL des sites distants autorisés à dialoguer avec les eCDL du site ou ce trouve le pare-feu, ou bien on ouvre les flux à tout le site distant ? ce qui me parait plus simple.

Pour info : Voir détail des flux ad dans aussi : https://portail.centre-serveur.din.developpement-durable.gouv.fr/projects/eole-active-directory/wiki/Caract%c3%a9ristiques_r%c3%a9seau_VlAN_liste_des_ports_ouverts_sur_le_FW

Historique

#1 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Description mis à jour (diff)
  • Assigné à changé de Emmanuel IHRY à Philippe Carre

#2 Mis à jour par Philippe Carre il y a environ 7 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

Nouvelle escroquerie Carréenne...
Je propose d'attendre le lancement de la phase pilote pour vérifier quels sont les flux nécessaires à AD.
Au moins 2 sites ont des eSSL (DIRM et DMSOI) , on mettra en place une règle :
Crtleur AC --> Ctrleur Local , tous les ports , avec Log
Après analyse de ces logs on en saura plus .

#3 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Statut changé de Résolu à Nouveau
  • Tâche parente changé de #19892 à #20131

Ces développements ne peuvent attendre ! on en a besoin dès le 24/04 sur nos essl

#4 Mis à jour par Emmanuel IHRY il y a environ 7 ans

Suite à discussion de ce matin en visio de début de sprint, voici les règles à implémenter.

Identifier deux nouvelles sources (libellés sont calés sur ceux du module SETH) :
1)- Adresses IP des serveurs autorisés à se connecter aux Contrôleurs AD locaux
2)- Réseaux autorisés à se connecter aux services Samba

et un nouvelle destination :
3)- Contrôleurs AD locaux : IP individuelles

et prévoir ces flux :

flux possibles depuis 1) vers 3)

  • udp dpt:53 / tcp dpt:53 (DNS)
  • udp dpt:5353 / tcp dpt:5353 (multicast DNS)
  • udp dpt:88 /tcp dpt:88 (Kerberos)
  • udp dpt:464 / tcp dpt:464 (kpasswd)
  • tcp dpt:445 (SMB CIFS)
  • tcp dpt:135 (MSRPC)
  • tcp flags:0x17/0x02 multiport dports 1024:5000
  • tcp flags:0x17/0x02 multiport dports 49152:65535
  • tcp dpt:3268 (Global Catalog)
  • tcp dpt:3269 (Global Catalog)
  • tcp dpt:873 (rsync pour la réplication de sysvol)
  • udp dpt:5722 / tcp dpt 5722 (Microsoft DFS Replication Service)
  • udp dpt:389 Communication LDAP lors de la jonction au domaine notamment
  • tcp dpt:389

flux possibles depuis 2) vers 3)

  • udp dpt:53 / tcp dpt:53 (DNS)
  • NTP 123 TCP/UDP
  • udp dpt:88 /tcp dpt:88 (Kerberos)
  • udp dpt:464 / tcp dpt:464 (kpasswd)
  • tcp dpt:445 (SMB CIFS)
  • tcp dpt:135 (MSRPC)
  • tcp flags:0x17/0x02 multiport dports 1024:5000
  • tcp flags:0x17/0x02 multiport dports 49152:65535
  • LDAPS 636 TCP/UDP
  • LDAP 389 TCP/UDP
  • tcp dpt:3268 (Global Catalog)
  • tcp dpt:3269 (Global Catalog)
  • Protocole NMB sur NetBIOS 137-138
  • SMB en NetBIOS 139 TCP

#5 Mis à jour par Philippe Carre il y a presque 7 ans

  • Statut changé de Nouveau à En cours
  • % réalisé changé de 100 à 0
  • Temps estimé mis à 4.00 h
  • Restant à faire (heures) mis à 3.0
Questions :
- dans le module seth (menu AD) , 3 variables pour les autorisations d'accès :
  • Adresses IP des serveurs autorisés à se connecter : ad_servers_netmask
  • Réseaux autorisés à se connecter aux services Samba : ad_clients_ip
  • Adresses IP autorisées à se connecter au service LDAP : ad_ldap_clients_ip

Elles sont utilisées dans /usr/share/eole/creole/distrib/90-samba_dynamic_rules
(pour l'ajout des regles sur le seth) :

%for %%ip in %%servers_and_clients
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 135 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp --syn -m multiport --dports 1024:5000 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m multiport --dports 1024:5000 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp --syn -m multiport --dports 49152:65535 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m multiport --dports 49152:65535 -j ACCEPT
%if %%getVar('ad_server_role', 'membre') == 'controleur de domaine'
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 53 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 53 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 5353 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 5353 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 88 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 88 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 5722 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 5722 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 3268 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 3269 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
%end if
%end for
%for %%ip in %%clients
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 464 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
%if %%getVar('autoriser_netbios_ports', 'non') == 'oui'
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 137 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 138 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
%end if
%end for
%for %%ip in %%ldap_clients
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p udp -m udp --dport 389 -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 389 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
/sbin/iptables -A eth%%{int_idx}-root -s %%ip -p tcp -m tcp --dport 636 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Ce script décrit les règles pour les serveurs, puis les ajouts pour les clients, et le cas ldap

Question : pour quels postes seront appliquées les règles "ldap" ? Dans quels cas ? A quoi sert cette variable ??
Je note aussi qu'il y a une différence entre serveurs contrôleur de domaine ou non : %if %%getVar('ad_server_role', 'membre') == 'controleur de domaine'

Il semblerait que les flux "tcp dpt:873 (rsync pour la réplication de sysvol)" et "NTP 123 TCP/UDP" soient absent coté Seth. Tâche à ajouter ?

Au final, les règles eSSL sont plus précises que celles appliquées sur le Seth!

#6 Mis à jour par Emmanuel IHRY il y a presque 7 ans

- %%ldap_clients --> c'est pour identifier le serveur du PNE-AM sur lequel tourne le script de synchro. Ça ne concerne donc que les VM hébergées au DOIP, pas besoin coté essl donc

- tcp dpt:873 --> en fait la synchro des sysvol se fait en rsync sur du ssh, c'est donc le port 22 qui doit être ouvert

-"NTP 123 TCP/UDP --> pas de flux entrants à prévoir, chaque seth pointe vers un NTP national

- différence entre serveurs contrôleur de domaine ou non : %if %%getVar('ad_server_role', 'membre') : je ne suis pas sur que ce soit implémenté en tous cas qu'il y ait de <> significatives entre un membre et un DC

#7 Mis à jour par Philippe Carre il y a presque 7 ans

  • % réalisé changé de 0 à 50
  • Restant à faire (heures) changé de 3.0 à 1.5

Ajouts effectués pour l'eSSL standard , version 2.5.2.
Reste à valider en prod sur les eSSL Nantes et IdA.

Et à faire les ajouts pour l'eSSL 2.6.1
et éventuellement l'eSSL-SPC ?

#8 Mis à jour par Philippe Carre il y a presque 7 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 50 à 100
  • Restant à faire (heures) changé de 1.5 à 0.0

Règles active sur l'eSSL DTerOuest.
+ règles spécifiques de AD_distants vers le controleur dans la DMZ. Avec log.
Je surveille les logs avant de reporter sur toutes les versions, et toutes les variantes.
Tâche à reporter dans le prochain sprint

#9 Mis à jour par Emmanuel IHRY il y a presque 7 ans

  • Statut changé de Résolu à Fermé

sera testé dans le prochain sprint #20426

Formats disponibles : Atom PDF