RAPPORT SUR LES CAPACITÉS DE PF POUR LA HAUTE DISPONIBILITÉ

Dimension: px
Commencer à balayer dès la page:

Download "RAPPORT SUR LES CAPACITÉS DE PF POUR LA HAUTE DISPONIBILITÉ"

Transcription

1 RAPPORT SUR LES CAPACITÉS DE PF POUR LA HAUTE DISPONIBILITÉ Projet SRS, EPITA Promotion Bertrand Pallier Cyrille Barthelemy Julien Gremillot 6 novembre 2004

2 Sommaire 1 Introduction Présentation de PF Problèmes liés aux firewalls pour la haute disponibilité Présentation des solutions Disponibilité et diffusion Architecture de PF Utilisation de PF Règles de filtrage Table d état Journalisation Performances et sécurité Normalisation de paquets Répartition de charge Performances Architecture de CARP Présentation de CARP Mise en place de CARP sysctl ifconfig Exemple d utilisation Limitations et futur de CARP

3 4 Synchronisation des firewalls : PFsync Fonctionnement Général Considération de sécurité Description de l architecture Protocole et implémentation Base Exemple de synchronisation Exemple de traitement d un paquet PFsync Vision concrète de la synchronisation Intégration dans un parc hétérogène PFsync dans l avenir Etude de cas Architecture réseau Configuration firewall Mise en évidence des capacités pour la haute disponibilité Conclusion 25 Glossaire 26 Bibliographie 27 Page 1

4 CHAPITRE 1. INTRODUCTION Chapitre 1 Introduction 1.1 Présentation de PF PF (Packet Filter) est le firewall d OpenBSD depuis la version 3.0, il est fourni avec le noyau de base (GENERIC), l ancienne solution de filtrage / NAT d OpenBSD n étant plus supportée pour des raisons de licence. PF est actuellement capable d effectuer un filtrage du trafic, des opérations de traduction IP, de normaliser le trafic, de le conditionner ainsi que de fournir des opérations de contrôle de la bande passante et de gestion des priorités sur les paquets. Récemment, avec la version 3.5 sortie en mai 2004, OpenBSD et PF supportent des mécanismes qui permettent d envisager le support de problématiques de l ordre de la haute disponibilité. Ce rapport présente les problématiques liées à un firewall en terme de haute disponibilité, les solutions apportés par OpenBSD et PF, l architecture de ces solutions, ainsi qu une étude de cas concrète de la solution et quelques tests de performance effectués sur la solution. 1.2 Problèmes liés aux firewalls pour la haute disponibilité Sur beaucoup de réseaux le firewall se présente comme un point de rupture (Single Point Of Failure); de nombreuses architectures reposent sur cet unique élément à un point précis de leur réseau. Pour un service de télécoms et réseaux devant fournir un SLA 1 élevé, le firewall devient alors une source de rupture de service importante. Ce point est d autant plus important à prendre en compte avec le rôle du firewall (élément directement impliqué dans la politique de sécurité du réseau) qui se retrouve à 1. Service Level Agreement Page 2

5 CHAPITRE 1. INTRODUCTION la fois point sensible en terme de disponibilité et de type de trafic (étant en première ligne d un réseau à priori hostile). La chute du firewall pouvant représenter divers risques (arrêt du service de consultation du web pour les utilisateurs, indisponibilité des services proposé à l extérieur, mail, dns, serveur web,... ), qui ont généralement un coût financier non négligeable, il est primordial de se pencher sur les problématiques de haute disponibilité quand bien même l environnement ne présente pas de risques apparents. 1.3 Présentation des solutions OpenBSD 3.5 et PF permettent de répondre aux solutions de haute disponibilité pour un firewall en implémentant différentes solutions : construction d un cluster de firewall création d interfaces virtuelles communes aux noeuds du cluster synchronisation de l état interne du firewall constitué par les différents noeuds du cluster L utilisation conjointe de ces solutions via le protocole CARP pour la création d interfaces virtuelles redondantes ainsi que de pfsync pour la synchronisation de l état de PF permet d envisager le maintient du service dans le cas ou l un des noeuds du firewall viendrait à tomber après la concrétisation d un risque quelconque (coupure de courant, erreur matérielle, dénis de service dans une certaine mesure (ciblé sur un noeud par exemple)). Par ailleurs les autres caractéristiques de PF permettent de créer des solutions modifiables finement tant au niveau de la gestion du traffic que de l authentification, on pourra notamment retenir : ALTQ (gestion de la bande passante) AuthPF (passerelle authentifiée) 1.4 Disponibilité et diffusion Ce document est placé sous licence FDL. 2 Merci de prévenir les auteurs pour pour toute utilisation faite de ce document. 2. Page 3

6 CHAPITRE 2. ARCHITECTURE DE PF Chapitre 2 Architecture de PF 2.1 Utilisation de PF PF fait donc partie du noyau d OpenBSD depuis OpenBSD 3.0. Il est venu remplacer IPFilter, dont la licence ne correspondait plus aux idéaux des développeurs OpenBSD. Le but premier de PF est, comme tout bon firewall, d assurer la protection d un réseau envers les attaques issues d un réseau différent. Cela passe par l inspection des paquets transmis d un réseau à l autre, en imposant un certain nombre de contraintes à respecter pour obtenir ce passage, contraintes pouvant être aussi bien au niveau du type de paquet, que du contenu ou de la destination de celui-ci Règles de filtrage Les règles de filtrage consistent en une évaluation des paquets. Tout paquet, entrant ou sortant, peut être amené à être vérifié par les règles définies. Une règle consiste en la vérification d informations concernant le paquet (adresses IP, ports,...). Un paquet à vérifier passe de facon linéaire par toutes les règles définies (hors optimisations effectuées par PF ou par l utilisateur par l intermédiaire du mot clé quick), le traitement à effectuer est alors déterminé. Une règle stipule en effet le traitement réservé à un paquet validé par ses soins : soit il doit être rejeté, soit il doit être accepté. Un paquet peut être rejeté catégoriquement avec l envoi une réponse, ou silencieusement. Un paquet validé peut être transmis tel quel ou modifié. Si un paquet vérifie plusieurs des règles définies dans la liste, c est la dernière règle validée qui l emporte, ce qui permet un système assimilable à un tamis dont la granularité Page 4

7 CHAPITRE 2. ARCHITECTURE DE PF irait en se réduisant au fur et à mesure des étages (la maille tend à se ressérer, la maille la plus fine possible retenant la pierre). On commence donc par citer des règles grossières qu on affine ensuite, l exemple typique étant le bloquage par défaut de tout paquet, puis une mise en place de règles suivantes laissant passer des paquets spécifiques. Une règle pourra cependant être définie comme finale, ce qui impliquera pour tout paquet la vérifiant la non évaluation des règles suivantes, ce sera donc l action qui lui est attachée qui sera effectuée Table d état Tout paquet ne sera pas forcément passé au crible des règles. Il existe en effet des situations dans lesquelles il est superflu de procéder á une vérification systématique qui sont celles notamment de connexions établies entre deux ordinateurs et dont le flux passe par PF. C est à ce niveau qu intervient la table d état, en gardant une trace des connexions établies pour ne pas avoir à réaliser le coûteux traitement des règles. Chaque règle laissant passer un paquet crée une entrée dans la table d état Ainsi chaque paquet arrivant sera vérifié postérieurement à son évaluation afin de définir si il fait partie d une connexion ou non. Si il y a présence d une connexion établie dans la table d état, il ne sera pas évalué et passera directement. Suivant les protocoles, le traitement diffère. En TCP par exemple, qui est un mode connecté, le suivi de connexion est bien plus aisé qu avec des modes non connectés (UDP, ICMP...). En mode non connecté, la connexion établie est en quelque sorte émulée avec l aide d un timeout, très faible lors du passage du premier paquet puis qui augmente lorsque l on a acquis la certitude qu il s agit d un véritable échange. Une sécurité a été mise en place en ce qui concerne TCP afin de d éviter les attaques sur les numéros de séquence des paquets. Cette sécurité met en oeuvre la vérification de la fenêtre TCP établie, et s applique pour tous les paquets TCP supposés faire partie d une connexion. Page 5

8 CHAPITRE 2. ARCHITECTURE DE PF /* * Trouver des differences entre le dernier * paquet verifie et celui-ci * ip_state.c, v 1.16 */ seq = nthol (tcp->th_seq); ack = nthol (tcp->th_ack); source = (ip->ip_src.s_addr == is->is_src.s_addr); if (source) { seqskew = seq - is->is_seq; ackskew = (ack - 1) - is->is_ack; } else { ackskew = seq - is->is_ack; seqskew = (ack - 1) - is->is_ack; } /* [snip] rendre les valeurs ackskew et seqskew absolues */ /* * si la difference entre sequence et ack se trouve dans la taille * de la fenetre, on enregistre les donnees et on verifie le paquet */ win = ntohs (tcp->th_win); if ((seqskew <= is->is_dwin) && (ackskew <= is->is_swin)) { /* le paquet remplit les conditions de la table d etat */ if (source) { is->is_seq = seq; is->is_ack = ack; if (win!= 0) is->is_swin = win; } else { is->is_seq = ack; is->is_ack = seq; if (win!= 0) is->is_dwin = win; } statistiques ; valeurs de timeout ; autorisation du paquet; } /* le paquet ne correspond pas a l enregistrement de la table d etat */ paquet ne passe pas; Page 6

9 CHAPITRE 2. ARCHITECTURE DE PF En ce qui concerne les protocoles non connectés, la vérification d appartenance à une connexion se fait sur l adresse de l hôte et le port uniquement. Quant aux paquets ICMP contenant des messages d erreur concernant une connexion établie dans la table d état, ils passent directement (ce qui n est pas le cas des paquets ICMP standards qui recoivent le traitement habituel des paquets dont le protocole est non connecté, ce qui permet aux applications telles ping et traceroute de fonctionner). Les états sont stockés dans un AVL afin de garantir un traitement rapide grâce à des algorithmes à la complexité moindre que sur un tableau par exemple, ce qui est très avantageux dans le cadre d un nombre d entrees importantes.. (de l ordre de log(n)) Le NAT est bien entendu supporté. La table d état contient alors trois paires d adresses/ports : interne, gateway et externe, stockées dans deux arbres différents (le premier avec les paires internes et externes et le second avec les paires externes et gateway) afin de pouvoir traiter le paquet en une seule passe. Le PAT est également supporté Journalisation PF présente un système de journalisation tout à fait original. Celui-ci est en effet basé sur une sorte d émulation d un matériel réseau consultable via l interface pflog. Ceci permet par exemple la vérification en temps réel de ce qui se passe dans le firewall grace à la commande tcpdump lancée sur cette interface. L enregistrement peut se configurer et s effectuer par l intermédiaire de pflogd. Chaque paquet sur l interface a un header associé, documentant le paquet, et dont la structure se trouve dans <net/if_pflog.h>. Page 7

10 CHAPITRE 2. ARCHITECTURE DE PF 2.2 Performances et sécurité Normalisation de paquets PF possède une fonctionnalité appellée scrubbing, correspondant à la possibilité qu il a, suivant le mode selon lequel il est configuré, de vérifier certaines données sensibles d un paquet, telle une ambiguïté dans l interprétation d un paquet, le réassemblage des paquets fragmentés ou encore le refus de paquets TCP dont les drapeaux sont positionnés de manière invalide. Le traffic NFS, des protocoles étranges ou des jeux en réseaux peuvent être incompatibles avec l utilisation de scrub. Il est cependant recommandé de l installer dans la mesure du possible. Scrub permet d éviter les attaques basées sur la fragmentation de paquets. Les systèmes *BSD ne sont pas vulnérables à ce type d attaques, mais cela protège les machines équipées de piles IP plus faibles. Une autre des fonctionnalités de sécurité est de permettre de contrer la prédiction d ID pouvant être utilisée pour attaquer certains systèmes d exploitation. Ceci est géré en générant pour le paquet sortant un ID aléatoire Répartition de charge Le load balancing permet de répartir la charge entre n serveurs situés sur un sousréseau. Depuis novembre 2002 cette fonctionnalité est gérée. Il manque cependant certaines fonctionnalités avancées, telles que la gestion d incidents lorsqu un des serveurs tombe Performances Les performances dépendent beaucoup de l utilisation faite du firewall. Bien sûr, des contraintes de puissance processeur, et tous les éléments matériels entrant en ligne de compte, le nombre de bits à traiter chaque seconde sont importants, mais les critères principaux à retenir sont sans nul doute le nombre de requêtes à traiter chaque seconde ainsi que la complexité de la liste de règles à appliquer. Le traitement d un paquet ne variera guère quelle que soit sa taille. La carte réseau est importante. Pour la plupart des utilisations, un ordinateur de récupération avec une carte réseau de qualité donnera d excellentes performances. Page 8

11 CHAPITRE 3. ARCHITECTURE DE CARP Chapitre 3 Architecture de CARP 3.1 Présentation de CARP CARP (Common Address Redundancy Protocol) est un outil permettant à plusieurs machines de partager une interface réseau unique entre elles, afin de pouvoir partager la charge, ou obtenir de la redondance. Historiquement, c est un protocole qui a été développé pour remplacer VRPP (Virtual Router Redundancy Protocol), non seulement à cause de problèmes juridiques liés à un brevet de CISCO, mais aussi afin d obtenir un protocole supérieur (notamment l intégration de la cryptographie, le support d IPv6... ). C est un protocole qui se situe à l intersection de la couche 2 et 3 du modèle OSI (niveau lien et IP). Chaque groupe CARP possède une adresse MAC virtuelle, ainsi que une ou plusieurs adresses IP virtuelles. Les hôtes CARP répondent aux requêtes ARP pour les adresses communes avec l adresse MAC virtuelle, et les paquets d annoncement sont envoyés avec l adresse MAC virtuelle en source,ce qui permets aux switch de facilement savoir à un instant donné sur quel port se situe l adresse MAC virtuelle. Le maître de l adresse envoie régulièrement des paquets d annonce CARP via multicast en utilisant le protocole CARP (protocole IP 112), et les hôtes esclaves reçoivent ces annonces. Quand l annonce s arrête, les hôtes esclaves se mettent à envoyer leurs propres annonces, et celui qui s annonce le plus fréquemment est celui qui deviendra le maître. Page 9

12 CHAPITRE 3. ARCHITECTURE DE CARP 3.2 Mise en place de CARP Le contrôle de CARP s effectue grâce à sysctl et ifconfig sysctl Les variables sysctls qui sont disponibles sont: net.inet.carp.allow - Définit si l hôte gère ou pas les paquets CARP. net.inet.carp.arpbalance - Utilisé pour le load balancing. Un hash de l adresse IP source est utilisée pour sélectionner à partir du groupe l hôte virtuel qui prendra en compte la requête. net.inet.carp.log - Journalisation des erreurs CARP net.inet.carp.preempt - Active la sélection automatique du maître parmis les hôte CARP. Celui qui s annonce le plus fréquemment devient le maître ifconfig Les quatres commandes utilisés par CARP sont advbase - définit le nombre de secondes entre chaque annoncement advskew - divisée par 255, cette valeur est ajouté à advbase pour obtenir une plus grande précision pass - le mot de passe (shared secret) vhid - l ID d hôte virtuel du groupe CARP Les deux premières valeurs définissent la fréquence à laquelle l hôte va s annoncer. La formule exacte, en seconde est T = advbase + (advskew/255). Cela permet de contrôler précisement le temps entre chaque annoncement pour chaque hôte, et donc de définir qui sera le maître (grâce à la sélection automatique du maître, net.inet.carp.preempt). pass définit le mot de passe utilisé pour le hash SHA-1 MAC de signature, tandis que vhid est le numéro d identification d hôte virtuel du groupe CARP. Chaque groupe CARP doit avoir un ID unique, même si ils partagent la même adresse IP. CARP est limité à 255 groupes. Page 10

13 CHAPITRE 3. ARCHITECTURE DE CARP Exemple d utilisation Imaginons que l on dispose de deux serveurs DNS identiques, que l on souhaite utiliser avec CARP. L adresse IP du serveur virtuel sera dans cet exemple. Tout d abord, les commandes suivantes créent l interface carp0, lui assigne un ID de 1 et un mot de passe 8ball. hal9000# ifconfig carp0 create hal9000# ifconfig carp0 vhid 1 pass 8ball Ensuite, la création d un fichier /etc/hostname.carp0 rends la configuration effectuée ci-dessus permanente: inet vhid 1 pass 8ball Une fois ces opérations effectuées sur les deux machines, CARP est en place, et le premier système à démarrer son interface CARP deviendra le maître. 3.3 Limitations et futur de CARP CARP est un protocole multicast, ce qui pose problème dans le cas de cartes réseaux qui ne le supporte pas. De plus, comme CARP manipule directement les adresses MAC, certains switchs vieux ou fonctionnant mal peuvent avoir des problèmes avec CARP (par exemple, un rafraichissement des tables pas assez rapide rallongeant le temps offline ) 1. CARP ne procure aucune redondance à des niveaux plus élevés de la pile (par exemple nécessité d utiliser pfsync pour le firewall). Enfin, CARP ne sait pas gérer tout seul les situations ou une seule des interfaces tombe, mais pas toutes. Par exemple, dans le cas de deux firewalls, celui qui fonctionne encore parfaitement prend le relais du côté où l interface est tombée, mais pas sur l autre. Le problème vient du fait que la communication CARP s effectuant du côté qui est coupé, les deux firewalls ne voyant pas les annoncements de l autre pensent tout deux être maître. Il n y a cependant pas de moyen de résoudre ce problème sans faire appel à une troisième ressource, comme la passerelle, pour savoir quel firewall est en position de router le traffic. Ce dernier problème est assez rare mais l équipe des développeurs OpenBSD est en train de travailler sur ifstated qui permettra de le résoudre. 1. Des améliorations ont été apportées par la version 3.6 d OpenBSD Page 11

14 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC Chapitre 4 Synchronisation des firewalls : PFsync 4.1 Fonctionnement Général PFsync permet de mettre en parallèle deux firewalls sous PF ou plus. L ensemble du traffic passe par le firewall primaire, quand celui-ci devient indisponible, un firewall de secours prends le relai dans la gestion du filtrage du traffic. L ensemble des connections existantes sont préservées. PFsync va permettre de maintenir à jour sur un ensemble de machines les informations suivantes concernant la table d état utilisée pour l inspection des paquets en mode statefull : insertion mise à jour suppression PFsync est logiquement un protocole multicast, destinant la même information à un groupe de machines. Chaque firewall peut émettre des messages visant à mettre à jour les tables d états des différents noeuds du cluster, et écoute également l arrivée de messages émis par d autres noeuds. 4.2 Considération de sécurité Afin de répondre à des problèmes de performances (synchronisation et latence), il n y a ni cryptographie ni processus d authentification dans l échange des messages entre les firewalls. C est pourquoi il est fortement recommandé de relié les noeuds du cluster sur un brin réseau privé, ou dans le cas d un petit nombre de noeuds par l intermédiaire de cartes réseaux dédiées et de câbles réseaux croisés. Page 12

15 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC 4.3 Description de l architecture Concrètement sur le système le mécanisme de synchronisation passe par un pseudo device pfsyncx. Lorsque l interface virtuelle est associée à une interface physique, le mécanisme émet des messages multicast 1 afin d annoncer les changements aux autres noeuds du cluster. L association se fait simplement par la commande suivante : # ifconfig pfsync0 syncif vr0 up Par défaut toute modification de la table d état est annoncée aux autres noeuds, sauf si la connexion est liée à une règle comportant la directive no-sync. Diverses optimisations sont implémentées afin de réduire le traffic PFsync, notamment sur la bufferisation des messages afin de réduire le nombre d émission. 4.4 Protocole et implémentation Base Les fichiers suivant contiennent suffisamment de code relatif à PFsync pour en voir le fonctionnement en détail: sbin/ifconfig.c sys/net/if pfsync.c sys/net/if pfsync.h sys/net/pf.c sys/net/pf ioctl.c sys/net/pfvar.h On peut notamment consulter en détails les différentes actions que deux noeuds synchronisés par pfsync peuvent effectuer l un sur l autre : nettoyer tous les états (PFSYNC_ACT_CLR), insérer un état (PFSYNC_ACT_INS), mettre à jour un état (PFSYNC_ACT_UPD), supprimer un état (PFSYNC_ACT_DEL), mettre à jour un état à partir d un message composé (plusieurs informations dans un message) (PFSYNC_ACT_UPD_C), supprimer un état à partir d un message composé (PFSYNC_ACT_DEL_C), 1. le groupe multicast utilisé est Page 13

16 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC insérer un fragment (PFSYNC_ACT_INS_F), supprimer un fragment (PFSYNC_ACT_DEL_F), demander l envoi d états non composés (PFSYNC_ACT_UREQ), mise à jour de l état des Bulk (PFSYNC_ACT_BUS) Exemple de synchronisation Lors de l insertion d un état au sein de PF (après l ouverture complète d une session TCP par exemple), un appel à l API de PFsync est effectué : /* sys/net/pf.c */ int pf_insert_state(struct pfi_kif *kif, struct pf_state *state) {... #if NPFSYNC pfsync_insert_state(state); #endif } Exemple de traitement d un paquet PFsync La donnée est simplement traitée par la fonction pfsync_input, qui est appelée pour le traitement d un paquet arrivant sur l interface concernée. La fonction effectue un certain nombre de tests afin d assurer l intégrité des données : y a t-il une interface pfsync active? le paquet est-il bien arrivé par une interface pfsync? le ttl est-il égal à 255? (permet de s assurer que le paquet à au moins été émis localement 2 ) Les données sont ensuite extraites, notamment le code de l action à effectuer (cf. listing précédent), qui permet ensuite de traiter le reste des données. 2. cela complique au moins les moyens d attaque du système, même si ce n est pas invulnérable Page 14

17 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC Vision concrète de la synchronisation La capture correspond à la création d une connection vers un serveur ssh protégé par le cluster de firewall. # tcpdump -i pfsync0 -s vv 15:45: UPD ST: self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:16, expires in 00:00:00, 16:0 pkts, 896:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 15:45: INS ST: self tcp :22 < :22 < :32787 CLOSED:SYN_SENT [0 + 1] [ ] age 00:00:00, expires in 00:00:00, 0:0 pkts, 0:0 bytes id: a creatorid: 61c92b99 15:45: UPD ST: self tcp :22 < :22 < :32787 ESTABLISHED:ESTABLISHED [ ] wscale 7 [ ] wscale 0 age 00:00:00, expires in 00:00:00, 1:0 pkts, 60:0 bytes id: a creatorid: 61c92b99 updates: 27 self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:17, expires in 00:00:00, 17:0 pkts, 952:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 15:45: UPD ST: self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:20, expires in 00:00:00, 19:0 pkts, 1064:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 self tcp :22 < :22 < :32787 ESTABLISHED:ESTABLISHED [ ] wscale 7 [ ] wscale 0 age 00:00:03, expires in 00:00:00, 14:15 pkts, 1758:2228 bytes id: a creatorid: 61c92b99 updates: 12 15:45: UPD ST: self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:22, expires in 00:00:00, 21:0 pkts, 1176:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 self tcp :22 < :22 < :32787 FIN_WAIT_2:FIN_WAIT_2 [ ] wscale 7 [ ] wscale 0 age 00:00:05, expires in 00:00:00, 21:21 pkts, 2730:3004 bytes id: a creatorid: 61c92b99 updates: 10 Page 15

18 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC On a donc l occasion de voir le passage du message indiquant une nouvelle connexion (15:45: INS ST), l établissement de la connexion (15:45: UPD ST), puis plus tard la fermeture de la connexion (15:45: UPD ST). On a d ailleurs plusieurs exemples de la concaténation de plusieurs messages d états au sein d une seule émission. Cette synchronisation se confirme d ailleurs plus simplement en examinant les informations données par PF sur les deux noeuds à un même moment : # pfctl -s state STATES: self tcp :22 < :22 < :32787 ESTAB self carp > SINGLE:NO_TRAFFIC self carp > SINGLE:NO_TRAFFIC # pfctl -s state STATES: self tcp :22 < :22 < :32787 ESTAB self carp > SINGLE:NO_TRAFFIC self carp > SINGLE:NO_TRAFFIC 4.5 Intégration dans un parc hétérogène On pourra considérer l outil PFFLOWD [1], qui permet de convertir les messages de synchronisation émis par le mécanisme pfsync vers des datagrammes Cisco Netflow. Cela permet notamment de synchroniser les statistiques de flux et d expiration de connexion. La solution n est pas parfaite, principalement du à des problèmes de capacités des compteurs de flux dans le kernel d OpenBSD, mais le problème reste mineur. Il s agit en tout cas d une solution à prendre à considération, surtout en regard de sa facilité de mise en oeuvre. Exemple d envoi de synchronisation vers un routeur Cisco Netflow v5 adressé en : # pfflowd -n :1030 -i pfsync0 -v 5 -d 4.6 PFsync dans l avenir La nouvelle version d OpenBSD sortie le 1er novembre 2004, apporte quelques modifications à pfsync notamment sur la gestion de timeouts adaptatifs. Page 16

19 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC Les développeurs d OpenBSD prévoit les fonctionnalités suivantes dans les futures versions de pfsync : mécanisme d authentification pour l échange des messages support d autres fonctionnalité de PF (altq, tables etc... ) coopération avec CARP (meilleure réactivité) Page 17

20 CHAPITRE 5. ETUDE DE CAS Chapitre 5 Etude de cas Ce chapitre présente une mise en place d un cluster de firewalls basé sur PF, CARP et pfsync. Le but de l étude était de considérer concrètement la mise en place de l architecture ainsi que de faire quelques tests afin de constater concrètement la stabilité du système. Le lecteur intéressé par des tests plus complet sur les firewalls, pourra s orienter sur la RFC3511. Cette dernière est consacrée à la présentation d une méthodologie pour la réalisation de tests de performances sur des firewalls. Plus détails sur cette RFC sont disponibles dans les documents suivants : [2] et [3]. 5.1 Architecture réseau L architecture réseau décrite ici sert à simuler un modèle classique isolant deux réseaux distincts, qui peut éventuellement servir à isoler simplement un réseau privé d un réseau non sûr (local-dmz, local-internet, dmz-internet...) ou bien être intégré dans une infrastructure plus grande. Les postes utilisés dans les deux réseaux séparés par le clusters ont servis à simuler des clients classiques, des serveurs publics ainsi que des postes hostiles. Les deux serveurs ont les configurations suivantes: pfclus1 pfclus2 CPU Celeron 400 Mhz P3 1Ghz RAM 196 Mo 512 Mo NIC lan interne Dlink D390 Dlink D390 NIC lan externe Realtek 3Com 3c905c NIC PFsync Dlink D390 Dlink 390 Page 18

21 CHAPITRE 5. ETUDE DE CAS 5.2 Configuration firewall Les deux machines ont des configurations miroirs, à faire varier selon le nom des interfaces réseaux concernées. Dans notre cas, c est la machine pfclus1 qui servira d exemple : Le tableau suivant précise la configuration des interfaces réseaux : Nom Réseau Configuration IP vr1 lan interne /24 ne3 lan externe /24 vr0 PFsync /24 À cela viennent s ajouter 3 interfaces virtuelles crées lors de la configuration de CARP et pfsync : Page 19

22 CHAPITRE 5. ETUDE DE CAS L interface carp0 servant de front-end virtuel sur le LAN privé, crée par le fichier suivant : # cat /etc/hostname.carp0 inet vhid 1 pass p4sscarp0 De la même manière, l interface carp1 pour le LAN externe, crée par le fichier suivant : # cat /etc/hostname.carp1 inet vhid 2 pass p4sscarp1 Le champ vhid détermine un identifiant commun à toutes les interfaces physiques appartenant au groupe de cette interface CARP. Le champ pass définit un mot de passe pour le groupe. D autre part la synchronisation des firewalls est mise en place par la création du fichier suivant : # cat /etc/hostname.pfsync0 up syncif vr0 Par ailleurs il est nécessaire de paramétrer le système via les deux entrées suivantes : # cat /etc/sysctl.conf net.inet.ip.forwarding=1... # cat /etc/rc.conf pf=yes... pf_rules=/etc/pf.conf Enfin en dernier lieu, il est nécessaire de configurer le firewall. Lors de la création du firewall, il est important de prendre en compte certaines informations relatives aux interfaces virtuelles crées par le système : Autoriser le traffic pfsync sur l interface de synchronisation. Autoriser le traffic carp sur les interfaces physiques. Lorsque l on travaille en contexte d interface, on utilise uniquement des interfaces physiques. Lorsque l on travaille en contexte d adresse on peut utiliser les adresses relatives aux interfaces virtuelles. Ci-dessous un fichier de configuration d exemple de pf, il est totalement incomplet pour un cas réel, mais suffisant pour le cas de l étude, sous réserve d adapter le jeu de Page 20

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

OpenBSD. Packet Filter. Par Loïc Blot

OpenBSD. Packet Filter. Par Loïc Blot OpenBSD Packet Filter Par Loïc Blot Thématiques OpenBSD Présentation Packet Filter Commandes d'administration Le filtrage NAT et redirection de ports PFLog Aller plus loin Firewall redondé Partie I OpenBSD

Plus en détail

IPFilter. IPFilter IPFILTER: IN/OUT/FORWARD? IPFilter: chaîne FORWARD? Exemple: IPFilter: syntaxe de base

IPFilter. IPFilter IPFILTER: IN/OUT/FORWARD? IPFilter: chaîne FORWARD? Exemple: IPFilter: syntaxe de base IPFilter ipfilter est un coupe feu à état fournissant aussi des fonctionnalités de traduction d'adresses ipfilter est en standard sous FreeBSD, NetBSD et Solaris 10. il a été testé sous : solaris 2.3-9,open

Plus en détail

Haute disponibilité avec OpenBSD

Haute disponibilité avec OpenBSD Haute disponibilité avec OpenBSD Matthieu Herrb Capitoul, 16 Octobre 2008 http://www.laas.fr/~matthieu/talks/obsd-ha.pdf Plan 1 Introduction 2 CARP + pfsync 3 relayd 4 Autres services 5 Conclusion Agenda

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Réseau - VirtualBox. Sommaire

Réseau - VirtualBox. Sommaire Réseau - VirtualBox 2015 tv - v.1.0 - produit le 10 mars 2015 Sommaire Le réseau virtuel 2 Introduction.............................................. 2 Modes réseaux............................................

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Mise en place d un cluster NLB (v1.12)

Mise en place d un cluster NLB (v1.12) Mise en place d un cluster NLB (v1.12) Tutorial conçu et rédigé par Michel de CREVOISIER Avril 2013 SOURCES Présentation du NLB : http://technet.microsoft.com/en-us/library/bb742455.aspx Installation :

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION )

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) Présentation du TP le firewall sera une machine virtuelle sous Devil Linux le firewall a deux cartes réseaux eth0 ( interface externe ) et eth1 (interface interne)

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen 2008. MAPMO Projet SDS

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen 2008. MAPMO Projet SDS OpenBSD Spamd Nicolas Greneche MAPMO Projet SDS Mathrice Rouen 2008 Sommaire 1 Introduction 2 Architecture et Algorithmes 3 Composants 4 Lancement et Paramètres 5 Exploitation 2 / 15 Introduction - OpenBSD

Plus en détail

Plan. Programmation Internet Cours 3. Organismes de standardisation

Plan. Programmation Internet Cours 3. Organismes de standardisation Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet Chapitre I La couche réseau 1. Couche réseau 1 Historique de l Internet Né 1969 comme projet (D)ARPA (Defense) Advanced Research Projects Agency; US Commutation de paquets Interconnexion des universités

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

Installation de Pfsense avec synchronisation

Installation de Pfsense avec synchronisation Installation de Pfsense avec synchronisation Il s agit de mettre en place une solution qui va permettre de mettre en place 2 firewalls virtuels pfsense en mode Fail-over. Pour illustrer ceci, on peut s

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

pfsense Manuel d Installation et d Utilisation du Logiciel

pfsense Manuel d Installation et d Utilisation du Logiciel LAGARDE Yannick Licence R&T Mont de Marsan option ASUR yannicklagarde@hotmail.com Manuel d Installation et d Utilisation du Logiciel Centre Hospitalier d'arcachon 5 allée de l'hôpital - BP40140 33164 La

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

Le Multicast. A Guyancourt le 16-08-2012

Le Multicast. A Guyancourt le 16-08-2012 Le Multicast A Guyancourt le 16-08-2012 Le MULTICAST Définition: On entend par Multicast le fait de communiquer simultanément avec un groupe d ordinateurs identifiés par une adresse spécifique (adresse

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

DIFF AVANCÉE. Samy. samy@via.ecp.fr

DIFF AVANCÉE. Samy. samy@via.ecp.fr DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas FACILITER LES COMMUNICATIONS Le gestionnaire de réseau global de Saima Sistemas Afin d'améliorer le service proposé à ses clients, SAIMA SISTEMAS met à leur disposition le SAIWALL, gestionnaire de réseau

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir. Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail

Cours de Réseau et communication Unix n 6

Cours de Réseau et communication Unix n 6 Cours de Réseau et communication Unix n 6 Faculté des Sciences Université d Aix-Marseille (AMU) Septembre 2013 Cours écrit par Edouard Thiel, http://pageperso.lif.univ-mrs.fr/~edouard.thiel. La page du

Plus en détail

Administration avancée sous Linux

Administration avancée sous Linux Administration avancée sous Linux Anthony Busson 1 Plan du cours 1. Compilation (gcc) 2. Gestion des utilisateurs et des groupes 3. Montage des périphériques et des systèmes de fichiers 4. Scripts 5. Archivage

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Programme formation pfsense Mars 2011 Cript Bretagne

Programme formation pfsense Mars 2011 Cript Bretagne Programme formation pfsense Mars 2011 Cript Bretagne I.Introduction : les réseaux IP...2 1.A.Contenu pédagogique...2 1.B....2 1.C...2 1.D....2 II.Premiers pas avec pfsense...2 2.A.Contenu pédagogique...2

Plus en détail

Travaux pratiques : configuration des protocoles HSRP et GLBP Topologie

Travaux pratiques : configuration des protocoles HSRP et GLBP Topologie Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 9 Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par

Plus en détail

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Filtrage IP MacOS X, Windows NT/2000/XP et Unix Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

7.3 : Ce qu IPv6 peut faire pour moi

7.3 : Ce qu IPv6 peut faire pour moi 7.3 : Ce qu IPv6 peut faire pour moi Qu y a-t-il dans mon PC? Qu y a-t-il dans ma CrétinBox? Qu y a-t-il dans un routeur ipv6 ready? 2014 Eric Levy-Abégnoli (Cisco) Stéphane Frati (Unice) On a tout vu

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Les clés d un réseau privé virtuel (VPN) fonctionnel

Les clés d un réseau privé virtuel (VPN) fonctionnel Les clés d un réseau privé virtuel (VPN) fonctionnel À quoi sert un «VPN»? Un «VPN» est, par définition, un réseau privé et sécurisé qui évolue dans un milieu incertain. Ce réseau permet de relier des

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N 2011 SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Center Balance de charge et tolérance de panne Interface

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 24 Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 24 Introduction IPv6 est la version d IP normalisée en 1995-1998 (RFC

Plus en détail

Mise en route d'un Routeur/Pare-Feu

Mise en route d'un Routeur/Pare-Feu Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011 2 Suivi des Versions Version : Date : Nature des modifications

Plus en détail

Internet Protocol. «La couche IP du réseau Internet»

Internet Protocol. «La couche IP du réseau Internet» Internet Protocol «La couche IP du réseau Internet» Rôle de la couche IP Emission d un paquet sur le réseau Réception d un paquet depuis le réseau Configuration IP par l administrateur Noyau IP Performance

Plus en détail

TRAFFIC SHAPING SOLUTIONS OPEN SOURCE

TRAFFIC SHAPING SOLUTIONS OPEN SOURCE I.F.I.P.S. Informatique Cinquième année Spécialité Architecture des Réseaux TRAFFIC SHAPING SOLUTIONS OPEN SOURCE Thibault Blaiset Franck Massé Aurélien Méré Page 1 sur 31 SOMMAIRE 1. INTRODUCTION 3 1.1.

Plus en détail

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

Configuration du serveur ESX

Configuration du serveur ESX Configuration du serveur ESX 1. La licence vsphere Le serveur ESX a besoin d une licence. Cliquez sur votre serveur ESX. Puis allez dans l onglet Configuration. Rubrique Software ; Licence Features. Cliquez

Plus en détail

Les commandes de réseau sous UNIX et GNU/Linux

Les commandes de réseau sous UNIX et GNU/Linux Les commandes de réseau sous UNIX et GNU/Linux Principales commandes : ifconfig, ping, arp, rarp, route, ssh et traceroute Les commandes principales de réseau sous le système GNU/Linux sont des outils

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

MAUREY Simon PICARD Fabien LP SARI. TP 5 : Routage IP Statique et Dynamique

MAUREY Simon PICARD Fabien LP SARI. TP 5 : Routage IP Statique et Dynamique MAUREY Simon PICARD Fabien LP SARI TP 5 : Routage IP Statique et Dynamique SOMMAIRE Matériels requis... 3 1. Routage statique Objectifs... 3 Architecture physique du réseau à mettre en oeuvre... 3 Configuration

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

IUT d Angers License Sari Module FTA3. Compte Rendu. «Routage IP statique et dynamique» Par. Sylvain Lecomte

IUT d Angers License Sari Module FTA3. Compte Rendu. «Routage IP statique et dynamique» Par. Sylvain Lecomte IUT d Angers License Sari Module FTA3 Compte Rendu «Routage IP statique et dynamique» Par Sylvain Lecomte Le 17/12/2007 Sommaire 1. Introduction... 2 2. Matériels requis... 3 3. Routage statique... 4 3.1

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

Fonctions Réseau et Télécom. Haute Disponibilité

Fonctions Réseau et Télécom. Haute Disponibilité Appliance FAST360 Technical Overview Fonctions Réseau et Télécom Haute Disponibilité Copyright 2008 ARKOON Network Security 2/17 Sommaire I. Performance et disponibilité...3 1. Gestion de la bande passante

Plus en détail

Cluster High Availability. Holger Hennig, HA-Cluster Specialist

Cluster High Availability. Holger Hennig, HA-Cluster Specialist Cluster High Availability Holger Hennig, HA-Cluster Specialist TABLE DES MATIÈRES 1. RÉSUMÉ...3 2. INTRODUCTION...4 2.1 GÉNÉRALITÉS...4 2.2 LE CONCEPT DES CLUSTERS HA...4 2.3 AVANTAGES D UNE SOLUTION DE

Plus en détail

Filtrage IP Statique

Filtrage IP Statique Filtrage IP Statique Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux Les concepts du filtrage de paquets(1) Analyse des entêtes d'un paquet : Protocole Adresse

Plus en détail

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Fiche Technique Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Cisco IDS Network Module fait partie des solutions intégrées de sécurité de réseau Cisco IDS (système de détection

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

Réseaux IUP2 / 2005 IPv6

Réseaux IUP2 / 2005 IPv6 Réseaux IUP2 / 2005 IPv6 1 IP v6 : Objectifs Résoudre la pénurie d'adresses IP v4 Délai grâce à CIDR et NAT Milliards d'hôtes même avec allocation inefficace des adresses Réduire la taille des tables de

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Netfilter : le firewall de linux 2.4 et 2.6

Netfilter : le firewall de linux 2.4 et 2.6 Netfilter : le firewall de linux 2.4 et 2.6 Netfilter: le logiciel, IPTABLES: la commande permettant de le configurer netfilter (noyaux 2.4 et premiers noyaux 2.6): filtre à état pour ipv4 filtre de paquet

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

«clustering» et «load balancing» avec Zope et ZEO

«clustering» et «load balancing» avec Zope et ZEO IN53 Printemps 2003 «clustering» et «load balancing» avec Zope et ZEO Professeur : M. Mignot Etudiants : Boureliou Sylvain et Meyer Pierre Sommaire Introduction...3 1. Présentation générale de ZEO...4

Plus en détail

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les

Plus en détail

Supervision de réseaux avec ZNeTS. Ismael Zakari Touré Thierry Descombes

Supervision de réseaux avec ZNeTS. Ismael Zakari Touré Thierry Descombes Supervision de réseaux avec ZNeTS Ismael Zakari Touré Thierry Descombes ZNeTS : «The Network Traffic Supervisor» Objectifs : 1) Traçabilité de la matrice des flux réseaux. 2) Analyse fine (Moteur de recherche

Plus en détail

Haka : un langage orienté réseaux et sécurité

Haka : un langage orienté réseaux et sécurité Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network

Plus en détail

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7) Protocole DHCP (S4/C7) Le protocole DHCP (Dynamic Host Configuration Protocol) Le service DHCP permet à un hôte d obtenir automatiquement une adresse IP lorsqu il se connecte au réseau. Le serveur DHCP

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP sur IP L'objectif de ce premier TP est de vous montrer comment les données circulent dans un réseau, comment elles

Plus en détail

La mise en place de la quarantaine réseau

La mise en place de la quarantaine réseau La mise en place de la quarantaine réseau La quarantaine réseau n est pas une véritable solution de sécurité, mais c est un élément dont l objectif est de maintenir en bonne santé les éléments présents

Plus en détail

Livre blanc Haute disponibilité sous Linux

Livre blanc Haute disponibilité sous Linux Livre blanc Haute disponibilité sous Linux Nicolas Ferre 29 septembre 2000 Résumé Ce livre blanc décrit une solution informatique à haute disponibilité. Les technologies mises

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel 2. Pare-feu 21Pare 2.1 Pare-feu feu:sonrôle Filtrer les accès Entrant et sortant Pare-feu personnel Sur les postes Contrôle couches 1 à 7 Pare-feu professionnel Equipement réseau Couches 1 à 3 2 2.2 Filtrage

Plus en détail

TP1 DNS. 1) Configurez le serveur DNS primaire en vous appuyant sur l annexe ou en consultant les liens indiqués.

TP1 DNS. 1) Configurez le serveur DNS primaire en vous appuyant sur l annexe ou en consultant les liens indiqués. TP1 DNS 1) Configurez le serveur DNS primaire en vous appuyant sur l annexe ou en consultant les liens indiqués. // This is the primary configuration file for the BIND DNS server named. // // Please read

Plus en détail

Travaux pratiques : collecte et analyse de données NetFlow

Travaux pratiques : collecte et analyse de données NetFlow Topologie Table d adressage Objectifs Périphérique Interface Adresse IP Passerelle par défaut R1 G0/0 192.168.1.1/24 N/A S0/0/0 (DCE) 192.168.12.1/30 N/A R2 G0/0 192.168.2.1/24 N/A S0/0/0 192.168.12.2/30

Plus en détail

m0n0wall Présentation pour le groupe SUR (Sécurité Unix et Réseaux) de l'ossir Maxime Brémond et Guy Widloecher

m0n0wall Présentation pour le groupe SUR (Sécurité Unix et Réseaux) de l'ossir Maxime Brémond et Guy Widloecher m0n0wall Présentation pour le groupe SUR (Sécurité Unix et Réseaux) de l'ossir Maxime Brémond et Guy Widloecher m0n0wall Un firewall en logiciel libre Retour d'expérience Un peu de vocabulaire m0n0wall

Plus en détail