Pourquoi PUPPET ?

Puppet est open source et donc gratuit. Il permet d'automatiser un grand nombre de tâches d'administration, comme l'installation de logiciels, de services ou encore de modifier des fichiers.

Puppet permet de faire cela de manière centralisée ce qui permet d'administrer et de mieux contrôler un grand nombre de serveurs hétérogènes ou homogènes.
Puppet fonctionne en mode Client / Serveur.

Sur chaque machine, un client sera installé et c'est lui qui contactera le PuppetMaster, le serveur, par le biais de communication HTTPS, et donc SSL, un système pki est fourni.

PUPPET : télédéploiement d'une solution de sécurité au sein de Châteauroux

Dans le cadre du contexte SPORTLUDIQUE, la mise en place de solutions de sécurité actives ou même passives, est vivement conseillée.

De ce fait, lorsqu'un un administrateur réseau du service SI ou faisant partie de la DSI ayant un accès SSH à des serveurs, dans notre cas basé sur le noyau Linux, ses connexions doivent être très réglementées.

En définitif pour bloquer quelqu'un (hacker, utilisateurs curieux...) voulant se connecter à un serveur, son IP sera bannie et donc bloquée temporairement ou définitivement, si
celui-si essaye à 2 reprises de rentrer des identifiants manuellement ou automatiquement via une attaque par force brute.

PUPPET-SERVEUR (maître)

Le serveur dit "maître" est celui qui va orchestrer le télédéploiement de modules contenus dans ce qu'on appelle le catalogue et contient les "configurations des solutions progiciels".

Ces modules sont télédéployés à travers plusieurs agents "nodes" et se fera via le réseau local "LAN" de façon très rapide.

On peut dire que le puppet-server est un serveur de masteurisation permettant ainsi de configurer les modules, comme une image Windows que l'ont configure et que l'on déploie sur le réseau ainsi lorsque le salarié s'authentifie il ne récupère que le serveur à télédéployer.

Dans notre cas le logiciel FAIL2BAN a été télédéployé sur le LAN pour ainsi renforcer la sécurité des connexion ssh aux serveurs de l'infrastructure tout en étant loggé.

Le puppet-server a été installé et configuré sur un Debian 11.2.3 Bulleyes en ligne de commande, sans interface graphique.

PUPPET-AGENT (esclave)

 Le puppet-agent discute avec le puppetserver de manière cryptée à l'aide d'un certificat propre à chaque nodes du réseau local.


Cet agent va permettre de récupérer les fichiers de configuration qui ont été modifiés sur le serveur distant et une fois que les configurations ont été récupérés tout se met en place automatiquement, il suffit juste de vérifier que la solution a bien été reçue sur l'agent.

Si toute la configuration récupérée est fonctionnelle il faut réaliser un test en simulant volontairement une erreur en s'authentifiant et au bout de 2 essais l'IP de notre machine sera banni et envoyé en "prison" pendant un temps prédéfinit dans FAIL2BAN et sera ensuite sorti de cette prison en fonction de la configuration qui lui a été attribuée.

Les puppet-agent sont installés sur tous les serveur du réseau LAN sous le système Linux, plus précisément sur des Debian 11.2.3 Bulleyes.

Schéma logique de sa mise en place


Ressources utilisées

Afin de mettre en place cette solution sur le réseau LAN j'ai suivi plusieurs sites (install et conf, module FAIL2BAN et conf basique FAIL2BAN) qui expliquent en détail chaque étape à adapter en fonction du réseau que ce soit à la maison ou en entreprise.
Créez votre site web gratuitement ! Ce site internet a été réalisé avec Webnode. Créez le votre gratuitement aujourd'hui ! Commencer