Note :

Ajout de la sécurité à l'architecture du système de noms de domaine à l'aide du pare-feu pfSense

Présentation

OraStage est une entreprise leader dans le secteur de l'énergie, spécialisée dans les solutions d'énergie renouvelable et les technologies d'énergie innovantes, la société a annoncé une décision stratégique de migrer ses charges de travail vers Oracle Cloud Infrastructure (OCI) afin d'améliorer la performance, l'évolutivité et la sécurité.

Image

Compte tenu des besoins et conditions spécifiques que OraStage a décrits, l'entreprise a besoin d'une solution hybride de système de noms de domaine (DNS) dans le nuage, et par hybride ici signifie : utiliser leur propre système DNS Berkeley Internet Name Domain version 9 (BIND9) en plus du service DNS OCI, où l'architecture finale qu'ils cherchent à créer est affichée dans l'image suivante.

Image

OraStage Exigences relatives au DNS :

Cette série de tutoriels vous guidera étape par étape pour atteindre les exigences décrites ci-dessus, en construisant l'ensemble de la solution à partir de zéro. Vous pouvez facilement accéder à chaque tutoriel à partir de la liste ci-dessous :

Aperçu

Dans ce tutoriel, nous allons explorer comment améliorer la sécurité de notre architecture DNS en tirant parti de pfSense, un pare-feu à code source libre et une plate-forme de routeur.

Le DNS est un composant essentiel de l'infrastructure de réseau, mais il est souvent vulnérable aux attaques telles que l'usurpation de DNS, l'empoisonnement de la mémoire cache et le déni de service distribué (DDoS). En intégrant pfSense aux mesures de sécurité DNS, vous pouvez ajouter une couche de protection robuste qui garantit la sécurité et la résilience du trafic DNS de votre réseau. Il est donc recommandé de configurer votre pare-feu de manière à filtrer les requêtes DNS, bloquer les domaines malveillants et renforcer l'intégrité globale du DNS.

Quel est l'avantage supplémentaire de placer un pare-feu pfSense devant un serveur DNS?

Dans l'ensemble, placer un pare-feu devant votre serveur DNS améliore la sécurité, les performances et la résilience du serveur en empêchant les accès non autorisés, en détectant le trafic malveillant et en offrant une protection robuste contre un large éventail de menaces liées au DNS.

Objectifs

Note :

Architecture finale

Image

Préalables

Image

Tâche 1 : Configurer les composants de routage et de réseau de sécurité

Tâche 1.1 : Créer un réseau en nuage virtuel (Hub-VCN)

Assurez-vous que Hub-VCN (10.4.0.0/16) est déjà créé, contenant Hub-Private-Subnet (10.4.0.0/24) et Hub-Public-Subnet (10.4.1.0/24).

Image

Note :

Tâche 1.2 : Configurer le routage et la sécurité pour Hub-VCN

Image

Image

Image

Tâche 1.3 : Configurer le routage et la sécurité pour LSN-VCN

Tâche 1.4 : Configurer le routage et la sécurité pour le DNS-VCN

Tâche 1.5 : Configurer le routage et la sécurité pour le VCN frontal

Tâche 1.6 : Configurer le routage et la sécurité pour le VCN dorsal

Note : Ne modifiez rien dans les règles entrantes et sortantes.

Tâche 1.7 : Configurer le routage des réseaux en nuage virtuels satellite sur la passerelle DRG

Le but de cette tâche est de s'assurer que tout le trafic envoyé à partir de l'un des réseaux (DNS/LSN/Frontend/Backend) et reçu sur la passerelle DRG, soit acheminé vers le concentrateur, où il sera inspecté par le pare-feu.

Tâche 2 : Provisionner un serveur de saut Windows

Tâche 3 : Installer et configurer le pare-feu pfSense

Note : Si vous avez déjà un autre type de solution de pare-feu en place, vous pouvez ignorer les tâches 3.1 à 3.7 et passer de la version 3.8.

Tâche 3.1 : Télécharger l'image pfSense

Tâche 3.2 : Créer un seau de stockage d'objets OCI

Dans cette tâche, nous allons créer un seau de stockage d'objets OCI qui sera utilisé pour charger l'image pfSense et utiliser cette image d'objet pour créer une image personnalisée dans OCI.

Tâche 3.3 : Charger l'image pfSense dans le seau de stockage

Tâche 3.4 : Créer une image personnalisée

Nous avons chargé l'image pfSense. Maintenant, nous devons créer une image personnalisée OCI à partir de celle-ci. Cette image personnalisée sera utilisée pour créer l'instance de pare-feu pfSense.

Image

Tâche 3.5 : Créer une instance avec l'image pfSense personnalisée

Tâche 3.6 : Installer pfSense sur l'instance

Nous devons procéder à l'installation initiale et à la configuration du pare-feu pfSense. Nous avons déjà l'instance en cours d'exécution.

Tâche 3.7 : Se connecter à l'interface utilisateur graphique Web pfSense et terminer la configuration initiale

L'installation est terminée, nous devons maintenant nous connecter à l'interface graphique Web du pare-feu pfSense. Mais avant cela, assurez-vous d'autoriser le trafic HTTP/HTTPS provenant de Hub-Public-Subnet, car nous allons nous connecter à l'interface graphique du pare-feu à partir du serveur de saut placé là-bas. Nous avons déjà autorisé tout le trafic de tous les réseaux en nuage virtuels (10.0.0.0/8) à passer par le pare-feu dans la tâche 1.2.

Tâche 3.8 : Acheminer le trafic vers le pare-feu pfSense

Dans la tâche 1, nous avons configuré le routage sur nos réseaux en nuage virtuels et DRG, de manière à forcer tout le trafic envoyé à partir des rayons, à entrer dans le réseau central (flèche verte). Cette tâche explique comment acheminer tout ce trafic vers le pare-feu pfSense (flèche rouge).

Image

Pour ce faire, nous créerons une table de routage de trafic entrant (table de routage de transit). Il s'agit essentiellement d'une table de routage que vous créez au niveau du VCN, mais que vous l'affectez dans la passerelle DRG, afin que le trafic entrant dans le concentrateur soit acheminé vers une destination spécifique de votre choix (pare-feu pfSense dans notre scénario).

Tâche 3.9 : Autoriser le trafic à passer par pfSense

Dans ce tutoriel, nous allons tirer parti de deux fonctions de pfSense.

Gardez à l'esprit que vous pouvez faire beaucoup plus avec pfSense, mais notre objectif ici est davantage d'installer pfSense dans OCI et de l'intégrer à notre architecture réseau existante avec la mise en œuvre du routage et de la sécurité appropriés dans OCI.

Première règle (facultatif) :

Image

Deuxième règle :

Image

Troisième règle :

Image

Quatrième règle :

Image

Cinquième règle :

Image

Sixième règle :

Image

Tâche 4 : Tester et valider

Scénario de test 1

Scénario de test 2

Conclusion

Félicitations! Nous sommes enfin arrivés à la fin de notre parcours DNS.

Dans ce tutoriel, nous avons mis l'accent sur l'amélioration de l'architecture DNS d'OraStage avec pfSense, qui fournit une couche de défense cruciale contre une variété d'attaques et de vulnérabilités basées sur DNS. En filtrant le trafic, en appliquant des protocoles DNS sécurisés et en bloquant les domaines malveillants, OraStage peut s'assurer que ses serveurs DNS fonctionnent de manière sécurisée et efficace.

Tout au long de la série, vous avez acquis des compétences importantes dans OCI. Chaque tutoriel s'est appuyé sur le dernier, ce qui vous donne une base solide dans OCI tout en vous appuyant sur une approche d'apprentissage progressif. Ces compétences vous aideront à gérer et à optimiser votre infrastructure infonuagique efficacement :

Remerciements

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.