Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
| technique:old:ldap_firewall [2021/01/20 23:38] – ↷ Page déplacée de technique:internal_serv:old:ldap_firewall à technique:old:ldap_firewall qduchemi | technique:old:ldap_firewall [2021/11/22 21:49] (Version actuelle) – qduchemi | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | {{indexmenu_n> | ||
| + | ====== Mise en place d'un pare-feu sur le serveur LDAP ====== | ||
| + | |||
| + | < | ||
| + | Depuis que LDAPS est utilisé, le pare-feu a été retiré. | ||
| + | </ | ||
| + | |||
| + | ===== Motivations ===== | ||
| + | |||
| + | Le serveur LDAP est un **service critique** de l' | ||
| + | En effet, un attaquant qui aurait pris contrôle du LDAP pourrait facilement se donner les accès à **tout le reste** de l' | ||
| + | |||
| + | ===== Contre-mesure ===== | ||
| + | |||
| + | Pour limiter le risque, on fait du LDAP un service **interne**. En effet, il n'a pas vocation a être utilisé depuis l' | ||
| + | Pour cela, on utilisera le service [[https:// | ||
| + | |||
| + | Les machines étant autorisées à utiliser le LDAP sont : | ||
| + | * '' | ||
| + | * '' | ||
| + | * '' | ||
| + | * '' | ||
| + | * '' | ||
| + | |||
| + | On configure donc iptables sur '' | ||
| + | < | ||
| + | # iptables -I DOCKER-USER -m multiport -p tcp --dports 389,636 -j DROP | ||
| + | # iptables -I DOCKER-USER -m multiport -p tcp -s pica01-test.picasoft.net, | ||
| + | </ | ||
| + | |||
| + | **Explications :** | ||
| + | * On configure la chaîne '' | ||
| + | * On ajoute une règle qui drop les paquets qui arrivent sur les ports '' | ||
| + | * Au dessus, on insère une règle qui indique que le serveur répond si la requête vient d'un des serveurs de Picasoft | ||
| + | |||
| + | Notez que les ports utilisés (`389`, `636`) sont les ports **du conteneurs** et non pas les ports de l' | ||