Remarques :

Ajout de la sécurité à l'architecture du système de noms de domaine à l'aide du pare-feu pfSense

Introduction

OraStage est une entreprise leader dans le secteur de l'énergie, spécialisée dans les solutions d'énergies renouvelables et les technologies énergétiques innovantes, elle a annoncé une décision stratégique de migrer ses workloads vers Oracle Cloud Infrastructure (OCI) pour améliorer les performances, l'évolutivité et la sécurité.

image

Compte tenu des besoins et des conditions spécifiques décrits par OraStage, l'entreprise a besoin d'une solution hybride de système de noms de domaine (DNS) dans le cloud, et par voie hybride ici signifie : utiliser leur propre système DNS de domaine de noms Internet Berkeley version 9 (BIND9) en plus du service DNS OCI, où l'architecture finale qu'ils cherchent à créer est présentée dans l'image suivante.

image

OraStage Exigences relatives au DNS :

Cette série de tutoriels vous guidera pas à pas pour répondre aux exigences décrites ci-dessus et créer la solution complète à partir de zéro. Vous pouvez facilement accéder à chaque tutoriel à partir de la liste ci-dessous :

Présentation

Dans ce tutoriel, nous allons explorer comment améliorer la sécurité de notre architecture DNS en tirant parti de pfSense, un pare-feu open source et une plate-forme de routeur.

Le DNS est un composant essentiel de l'infrastructure réseau, mais il est souvent vulnérable aux attaques telles que l'usurpation de données DNS, l'empoisonnement du cache et le déni de service distribué (DDoS). En intégrant pfSense aux mesures de sécurité DNS, vous pouvez ajouter une couche de protection robuste, garantissant ainsi la sécurité et la résilience du trafic DNS de votre réseau. Il est donc recommandé de configurer votre pare-feu de manière à filtrer les requêtes DNS, à bloquer les domaines malveillants et à renforcer l'intégrité globale du DNS.

Quel est l'avantage supplémentaire de placer un pare-feu pfSense devant un serveur DNS ?

Dans l'ensemble, le fait de placer un pare-feu devant votre serveur DNS améliore la sécurité, les performances et la résilience du serveur en empêchant les accès non autorisés, en détectant le trafic malveillant et en offrant une protection robuste contre un large éventail de menaces liées au DNS.

Objectifs

Remarque :

Architecture finale

image

Prérequis

image

Tâche 1 : configurer les composants réseau de routage et de sécurité

Tâche 1.1 : création d'un réseau cloud virtuel (Hub-VCN)

Assurez-vous que le Hub-VCN (10.4.0.0/16) est déjà créé, contenant le Hub-Private-Subnet (10.4.0.0/24) et le Hub-Public-Subnet (10.4.1.0/24).

image

Remarque :

Tâche 1.2 : configuration du routage et de la sécurité pour Hub-VCN

image

image

image

Tâche 1.3 : configuration du routage et de la sécurité pour LSN-VCN

Tâche 1.4 : configuration du routage et de la sécurité pour DNS-VCN

Tâche 1.5 : configuration du routage et de la sécurité pour le VCN frontal

Tâche 1.6 : configuration du routage et de la sécurité pour le back-end VCN

Remarque : ne modifiez rien dans les règles entrantes et sortantes.

Tâche 1.7 : configurer le routage des réseaux cloud virtuels spoke sur DRG

Le but de cette tâche est de s'assurer que tout le trafic envoyé à partir de l'un des réseaux (DNS/LSN/Frontend/Backend) et reçu sur le DRG, soit acheminé vers le hub, où il sera inspecté par le pare-feu.

Tâche 2 : provisionnement d'un serveur Jump Windows

Tâche 3 : installer et configurer le pare-feu pfSense

Remarque : si vous disposez déjà d'un autre type de solution de pare-feu, vous pouvez ignorer la tâche 3.1 à 3.7 et passer de la version 3.8.

Tâche 3.1 : télécharger l'image pfSense

Tâche 3.2 : création d'un bucket OCI Object Storage

Dans cette tâche, nous allons créer un bucket OCI Object Storage qui sera utilisé pour télécharger l'image pfSense et utiliser cette image d'objet pour créer une image personnalisée dans OCI.

Tâche 3.3 : téléchargement de l'image pfSense vers le bucket de stockage

Tâche 3.4 : création d'une image personnalisée

Nous avons téléchargé l'image pfSense. Maintenant, nous devons créer une image personnalisée OCI à partir de celle-ci. Cette image personnalisée sera utilisée pour créer l'instance de pare-feu pfSense.

image

Tâche 3.5 : création d'une instance à l'aide de l'image pfSense personnalisée

Tâche 3.6 : installer pfSense sur l'instance

Nous devons effectuer l'installation initiale et configurer le pare-feu pfSense. Nous avons déjà l'instance en cours d'exécution.

Tâche 3.7 : connexion à l'interface utilisateur graphique Web (GUI) pfSense et exécution de la configuration initiale

L'installation est terminée, nous devons maintenant nous connecter à l'interface graphique Web du pare-feu pfSense. Mais avant cela, veillez à autoriser le trafic HTTP/HTTPS provenant de Hub-Public-Subnet, car nous allons nous connecter à l'interface graphique du pare-feu à partir du Jump-Server qui y est placé. Nous avons déjà autorisé tout le trafic de tous les réseaux cloud virtuels (10.0.0.0/8) à passer par le pare-feu dans la tâche 1.2.

Tâche 3.8 : acheminer le trafic vers le pare-feu pfSense

Dans la tâche 1, nous avons configuré le routage sur nos réseaux cloud virtuels et DRG, de manière à forcer tout le trafic envoyé par les rayons à entrer dans le réseau hub (flèche verte). Cette tâche explique comment acheminer tout ce trafic vers le pare-feu pfSense (flèche rouge).

image

Pour ce faire, nous allons créer une table de routage entrante (table de routage de transit). Il s'agit essentiellement d'une table de routage que vous créez au niveau du VCN, mais que vous l'affectez dans le DRG, de sorte que le trafic entrant dans le hub sera acheminé vers une destination spécifique de votre choix (pare-feu pfSense dans notre scénario).

Tâche 3.9 : autoriser le trafic à passer par pfSense

Dans ce tutoriel, nous allons tirer parti de deux fonctionnalités de pfSense.

Gardez à l'esprit que vous pouvez faire beaucoup plus avec pfSense, mais notre objectif ici est davantage d'installer pfSense dans OCI et de l'intégrer à notre architecture réseau existante avec l'implémentation du routage et de la sécurité appropriés dans OCI.

Première règle (facultatif) :

image

Deuxième règle :

image

Troisième règle :

image

Quatrième règle :

image

Cinquième règle :

image

Sixième règle :

image

Tâche 4 : tester et valider

Scénario de test 1

Scénario de test 2

Conclusion

Félicitations ! Nous sommes enfin arrivés à la fin de notre parcours DNS.

Dans ce tutoriel, nous avons mis l'accent sur l'amélioration de l'architecture DNS d'OraStage avec pfSense, qui fournit une couche cruciale de défense contre une variété d'attaques et de vulnérabilités basées sur DNS. En filtrant le trafic, en appliquant des protocoles DNS sécurisés et en bloquant les domaines malveillants, OraStage peut garantir que leurs serveurs DNS fonctionnent de manière sécurisée et efficace.

Tout au long de la série, vous avez acquis des compétences importantes dans OCI. Chaque tutoriel s'est construit sur le dernier, vous donnant une base solide dans OCI tout en vous appuyant sur une approche d'apprentissage progressive. Ces compétences vous aideront à gérer et optimiser efficacement votre infrastructure cloud :

Remerciements

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.