Catégories
Expert Réseau Sécurité

Veeam Backup : ouvrir les ports TCP du pare-feu

La solution de sauvegarde Veeam Backup & Replication permet de créer des copies et des réplications de machines virtuelles basées sur hyperviseur VMware vSphere et Microsoft Hyper-V. Ce logiciel est très populaire en entreprise, par sa facilité de mise en oeuvre et sa fiabilité. Il est possible de répliquer les VM sur un SAN, un NAS, un serveur Linux, un Windows Server ou simplement une machine Windows avec un partage CIFS, que ce soit en réseau local LAN ou vers un site distant. Mais comme pour tout transfert de données par le réseau, il faut ouvrir des ports TCP / UDP pour communiquer entre l’hôte et la cible. Ce guide indique quels sont les ports TCP à ouvrir sur le firewall logiciel ou matériel selon l’hyperviseur Microsoft Hyper-V ou VMware vSphere pour recevoir les sauvegardes envoyées par Veeam Backup & Replication.

Il s’agit du même mode de fonctionnement pour Veeam Backup & Replication versions 6, 7, 8 et 9 (9.5 y compris).

 

Ports firewall pour sauvegarde Veeam Backup Repository 9.0

Concerne les connexions à Veeam Backup Repository et Backup Proxy en version Veeam B&R 9.0. Le logiciel utilise les ports TCP 2500 à 5000 pour ses transferts de fichiers depuis un hyperviseur VMware vSphere ou ESXi. Il n’est pas nécessaire d’ouvrir toute la plage mais chaque connexion utilisera un port à partir de 2500, ce qui peut rapidement monter à plus d’une dizaine de ports pour gérer les échanges. Par exemple, ouvrir les ports TCP de 2500 à 3000 sera suffisant pour trois tâches de sauvegarde en simultané.

Ports Veeam Backup & Replication 9.0 pour VMware

Ports Veeam Backup & Replication 9.0 pour Microsoft Hyper-V

Ports Veeam Backup & Replication 9.5 pour VMware

Ports Veeam Backup & Replication 9.5 pour Microsoft Hyper-V

Toutes les informations sur les ports TCP / UDP à ouvrir pour utiliser les solutions de sauvegarde Veeam sur un réseau local ou étendu se trouvent sur sur cette page de Veeam Knowledge Base KB1518, intitulée « Ports requis pour le fonctionnement de Veeam Backup & Replication » avec explication quant à leur rôle.

Catégories
Expert Linux Sécurité

CentOS : désactiver le pare-feu firewalld

D’origine, le système d’exploitation CentOS version 7 est protégé par un logiciel intégré de pare-feu, firewalld. Ce firewall applicatif empêche ainsi les tentatives d’intrusion depuis l’extérieur, c’est-à-dire depuis internet mais également depuis un réseau local. Ainsi, après l’installation d’un serveur web, d’une connexion à distance RDP / VNC ou d’un logiciel métier, il ne faut pas oublier d’autoriser les flux entrants et sortants pour un fonctionnement en réseau des outils. Mais lorsque le réseau d’entreprise possède déjà une protection suffisante, qu’on n’a pas besoin du pare-feu logiciel d’origine ou qu’on préfère ne pas en avoir pour réaliser des tests de connexion, on peut aussi simplement vouloir arrêter le pare-feu logiciel firewalld d’un système CentOS, qu’il soit poste de travail ou serveur.

Passer le firewall sur disable n’est pas recommandé si vous n’avez pas une raison précise pour le faire. La sécurité de la machine, workstation ou server, n’est pas assurée sans protection de type pare-feu. Alternative possible, le logiciel libre iptables. Il est d’ailleurs nécessaire de désactiver firewalld pour utiliser iptables ou un autre logiciel pare-feu.

 

Désactiver le pare-feu logiciel firewalld de CentOS 7

Ces commandes permettent de disable firewalld sur CentOS7.

1. Vérifier si firewalld est actif :

systemctl is-enabled firewalld

2. Si le résultat affiché est « enabled » cela signifie que le pare-feu firewalld est actif sur la machine.

3. Désactiver le démarrage automatique firewalld avec le système d’exploitation :

systemctl disable firewalld

Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

4. La commande suivante permet de couper immédiatement firewalld :

systemctl stop firewalld

5. Vérifier si le pare-feu est bien disable et inactif :

systemctl is-enabled firewalld

disabled

systemctl is-active firewalld

unknown

 

Désactiver le démarrage manuel de firewalld

Si le démarrage automatique de firewalld a été désactivé, il est toujours possible de le relancer  à la main via la commande « systemctl start firewalld » : pour empêcher firewalld de pouvoir être démarré manuellement, saisir la commande suivante :

systemctl mask firewalld

Qui renvoie :

Created symlink from /etc/systemd/system/firewalld.service to /dev/null.

Ainsi, il ne sera plus possible de démarrer firewalld :

systemctl start firewalld
Failed to start firewalld.service: Unit firewalld.service is masked.
Catégories
Expert Réseau Sécurité Windows Server 2016

Windows Server 2016 : autoriser le ping dans le pare-feu

Comme tout pare-feu, le firewall logiciel de Microsoft sur Windows Server 2016 bloque par défaut la quasi totalité des ports de communication. D’origine, le ping est également refusé, même dans un réseau local WAN en configuration domaine / serveur membre. Ce tutoriel explique comment configurer le firewall Windows Server 2016 pour qu’il réponde au ping. Cela se fait simplement avec l’utilitaire intégré à WS16 pour paramétrer les règles avancées de sécurité pare-feu.

La procédure est la même sous Windows Server 2016 qu’avec les versions précédentes de WindowsServer (2012 / R2, 2008 / R2). Les mises à jour Windows Server 1709 et 1803 sont aussi concernées par ce guide.

Par défaut, avec le pare-feu Windows actif, un serveur 2016 ne répond pas au ping :

Envoi d’une requête 'ping' sur winserver2016 avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Statistiques Ping pour 192.168.0.10:
Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%)

 

Configurer le pare-feu Windows Server 2016 pour accepter et répondre aux requêtes ping

1. Se connecter en local ou par Bureau à distance sur la machine Windows Server 2016.

2. Ouvrir le Pare-feu Windows, soit par la recherche intégrée, soit par le Menu Démarrer, Outils d’administration Windows, Pare-feu Windows avec fonctions avancées de sécurité.

3. Dans le menu de gauche, cliquer sur « Règles de trafic entrant » :

4. Dans le menu de droite, cliquer sur « Nouvelle règle » .

5. Au premier écran Type de règle, choisir « Personnalisée » et faire Suivant.

6. Laisser « Tous les programmes » puis Suivant.

7. Ouvrir la liste « Type de protocole » pour sélectionner « ICMPv4 » qui correspond au ping (Internet Control Message Protocol). Ne pas changer les autres options de cet écran.

8. Dans la partie Etendue, laisser « Toute adresse IP » dans les deux champs s’il n’y a pas de contrainte particulière. Sinon, indiquer les adresses IP précises, les plages d’IP ou les sous-réseaux autorisés à pinguer la machine.

9. Quelle action entreprendre ? « Autoriser la connexion » pour répondre aux requêtes ping depuis un autre poste.

10. Définir sur quels réseaux cette nouvelle règle doit être appliquée : ne cocher que Domaine pour éviter que le ping soit autorisé sur une autre connexion que celle de l’entreprise (ce qui ne devrait pas changer pour un serveur).

11. Donner un nom à cette règle firewall et cliquer sur Terminer pour la valider.

12. Le ping est immédiatement fonctionnel depuis un autre PC du réseau.

Envoi d’une requête 'ping' sur winserver2016.domaine.local [192.168.0.10] avec 32 octets de données :
Réponse de 192.168.0.10 : octets=32 temps<1ms TTL=128
Réponse de 192.168.0.10 : octets=32 temps<1ms TTL=128
Réponse de 192.168.0.10 : octets=32 temps<1ms TTL=128
Réponse de 192.168.0.10 : octets=32 temps<1ms TTL=128
Statistiques Ping pour 192.168.0.10:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms
Catégories
Expert Linux Sécurité

CentOS / Fedora / Red Hat : désactiver le pare-feu iptables

La référence des logiciels de protection pare-feu sous Linux est iptables. Cet outil de filtrage de paquets est un logiciel libre compatible Red Hat, CentOS et Fedora, tous basés sur RHEL. Ce tutoriel explique comment désactiver iptables et empêcher son redémarrage automatique ou manuel. Ce n’est pas recommandé niveau sécurité mais certains usages peuvent le nécessiter : test, développement ou simplement parce qu’une protection firewall est en place au niveau du réseau physique de l’entreprise.

Remarque : iptables est valable pour le protocole IPv4. Il existe aussi ip6tables pour IPv6, arptables pour ARP et ebtables pour les trames Ethernet. Le module générique noyau s’appelle x_tables. Par défaut, iptables est installé dans le dossier /usr/sbin/iptables.

 

Arrêter iptables sur Red Hat, CentOS, Fedora

1. Regarder le statut actuel de iptables :

systemctl status iptables

2. Stopper iptables :

systemctl stop iptables

 

Désactiver le démarrage automatique de iptables

1. Désactiver iptables pour empêcher son démarrage automatique :

systemctl disable iptables

2. Empêcher son démarrage manuel :

systemctl mask iptables
Catégories
Intermédiaire Sécurité

Windows 10 : désactiver le Pare-feu Windows

Comme toutes les versions de Windows depuis XP, Microsoft livre d’origine un logiciel pare-feu pour protéger les ordinateurs des attaques extérieures. Et comme avec chaque nouvelle version de Windows, il est possible de désactiver cette fonction intégrée au système d’exploitation. Que ce soit pour un simple test, pour installer un autre programme ou parce que la protection par défaut n’est pas nécessaire, il est possible de désactiver la protection pare-feu de Windows 10 en seulement quelques clics.

Il n’est pas du tout recommandé de supprimer la protection firewall de Windows. Ce tutoriel n’est à suivre que sur recommandation d’un administrateur réseau de l’entreprise. Ce n’est en tout cas absolument pas nécessaire de désactiver le pare-feu de Windows 10 sur un ordinateur de la maison, les risques seraient bien trop graves (perte de vos fichiers personnels, piratage de compte bancaire, etc).

Ce guide a été réalisé sur Windows 10 Creators Update, la mise à jour 1703 de 2017.

 

Désactiver le firewall de Windows 10

1. Ouvrir le menu Démarrer et trouver le programme « Centre de sécurité Windows Defender » dans la liste des applications.

On peut aussi y accéder par les Paramètres, Mise à jour et sécurité, Windows Defender (Windows 10 Creators Update).

2. Normalement, le message « Votre appareil est protégé » devrait apparaitre à l’écran. On voit aussi que le « Pare-feu et protection du réseau » est activé et :

3. Cliquer sur « Pare-feu et protection du réseau » pour modifier la configuration du firewall logiciel de Windows 10.

4. Pour désactiver le pare-feu du réseau privé (LAN domestique, d’université ou d’entreprise), cliquer sur « Réseau privé (détectable) » :

Il n’est pas du tout recommandé de désactiver le pare-feu sur le réseau public, c’est-à-dire pour des connexions wifi ouvertes et non sécurisées comme dans un hôtel, un McDonald’s ou dans un centre commercial.

5. Dans « Pare-feu Windows » , cliquer sur le bouton bleu pour passer la fonction de protection sur « Désactivé » et valider la demande de sécurité de Windows. Le message est explicite avec une sécurité plus faible sans le parefeu actif.

6. Une notification Windows 10 confirme que l’ordinateur n’est plus protégé par le logiciel firewall de Windows 10 Defender. Ce message apparaitra à chaque démarrage du PC, jusqu’à réactivation du pare-feu Windows ou l’installation d’un firewall logiciel d’un autre éditeur.

Catégories
Intermédiaire Sécurité Windows 10

Windows 10 : configurer le Pare-feu (firewall)

Comme ses prédécesseurs, Windows 10 est toujours nativement protégé par un pare-feu. Ce firewall logiciel est gratuit et protège des attaques qui viennent de l’extérieur (depuis Internet), depuis le réseau local (LAN) mais aussi pour empêcher que votre ordinateur pollue les autres machines autour de lui.

S’il fallait auparavant passer par le Panneau de configuration pour arriver aux paramètres du Pare-feu Microsoft, la procédure est quelque peu différente avec Windows 10, dont voici le tutoriel.

 

Accéder aux options du Pare-feu de Windows 10

1. Aller sur le menu Démarrer et ouvrir les Paramètres (icône de roue dentée) :

2. Cliquer sur « Réseau et Internet » :

3. Au premier écran « Statut du réseau » , descendre et cliquer sur « Pare-feu Windows » :

4. La configuration du Pare-feu de Windows 10 est la même que sur les versions antérieures du système d’exploitation.

 

Activer ou désactiver le Pare-feu Windows 10

1. Sur l’écran de configuration du Pare-feu Windows, cliquer sur « Activer ou désactiver le Pare-feu Windows » dans le menu de gauche.

2. Si l’on peut considérer que le pare-feu logiciel est optionnel dans un réseau local d’entreprise, parce qu’un firewall physique type Cisco, Netasq ou Watchguard protège efficacement les postes du LAN, il en est tout autre à la maison. La simple box ADSL ou fibre de votre opérateur n’est pas la mieux protégée du monde et il est fortement recommandé de laisser activé le parfeu de Windows 10.

Il ne faut surtout pas désactiver le pare-feu des réseaux publics, ces connexions non protégées dans les lieux publics, les hôtels, les restaurants, etc. Désactiver le firewall Windows dans ces conditions reviendrait à conduire une voiture sans ceinture ou piloter une moto sans porter un casque : les risques sont énormes (ici pour votre PC).

3. Valider les modifications par OK, l’application est immédiate.

4. Une notification Windows est affiché lorsque l’on désactive l’un des pare-feux. Cette alerte reviendra à chaque démarrage de Windows 10 tant que le firewall logiciel sera désactivé.