Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

technique:adminsys:ldap:firewall [2020/02/06 15:28]
qduchemi ↷ Page déplacée de ldap:firewall à technique:ldap:firewall
technique:adminsys:ldap:firewall [2020/02/14 14:13]
Ligne 1: Ligne 1:
-====== Mise en place d'un pare-feu sur le serveur LDAP ====== 
  
-===== Motivations ===== 
- 
-Le serveur LDAP est un **service critique** de l'​infrastructure Picasoft. 
-En effet, un attaquant qui aurait pris contrôle du LDAP pourrait facilement se donner les accès à **tout le reste** de l'​infrastructure. 
- 
-===== Contre-mesure ===== 
- 
-Pour limiter le risque, on fait du LDAP un service **interne**. En effet, il n'a pas vocation a être utilisé depuis l'​extérieur. 
-Pour cela, on utilisera le service [[https://​fr.wikipedia.org/​wiki/​Iptables|iptables]]. 
- 
-Les machines étant autorisées à utiliser le LDAP sont : 
-  * ''​pica01-test''​ 
-  * ''​pica01''​ 
-  * ''​pica02''​ 
-  * ''​alice''​ 
-  * ''​bob''​ 
- 
-On configure donc iptables sur ''​monitoring''​ : 
-<​code>​ 
-# iptables -I DOCKER-USER -m multiport -p tcp --dports 389,636 -j DROP 
-# iptables -I DOCKER-USER -m multiport -p tcp -s pica01-test.picasoft.net,​pica01.picasoft.net,​pica02.picasoft.net,​monitoring.picasoft.net,​alice.picasoft.net,​bob.picasoft.net --dports 389,636 -j RETURN 
-</​code>​ 
- 
-**Explications :** 
-  * On configure la chaîne ''​DOCKER-USER''​ qui est une sous-chaîne de ''​FORWARD''​ (pour le ''​NAT''​ docker) 
-  * On ajoute une règle qui drop les paquets qui arrivent sur les ports ''​ldap''​ et ''​ldaps''​ 
-  * Au dessus, on insère une règle qui indique que le serveur répond si la requête vient d'un des serveurs de Picasoft 
  • technique/adminsys/ldap/firewall.txt
  • Dernière modification: il y a 5 mois
  • (modification externe)