RAPPORT SUR LES CAPACITÉS DE PF POUR LA HAUTE DISPONIBILITÉ

Dimension: px
Commencer à balayer dès la page:

Download "RAPPORT SUR LES CAPACITÉS DE PF POUR LA HAUTE DISPONIBILITÉ"

Transcription

1 RAPPORT SUR LES CAPACITÉS DE PF POUR LA HAUTE DISPONIBILITÉ Projet SRS, EPITA Promotion Bertrand Pallier Cyrille Barthelemy Julien Gremillot 6 novembre 2004

2 Sommaire 1 Introduction Présentation de PF Problèmes liés aux firewalls pour la haute disponibilité Présentation des solutions Disponibilité et diffusion Architecture de PF Utilisation de PF Règles de filtrage Table d état Journalisation Performances et sécurité Normalisation de paquets Répartition de charge Performances Architecture de CARP Présentation de CARP Mise en place de CARP sysctl ifconfig Exemple d utilisation Limitations et futur de CARP

3 4 Synchronisation des firewalls : PFsync Fonctionnement Général Considération de sécurité Description de l architecture Protocole et implémentation Base Exemple de synchronisation Exemple de traitement d un paquet PFsync Vision concrète de la synchronisation Intégration dans un parc hétérogène PFsync dans l avenir Etude de cas Architecture réseau Configuration firewall Mise en évidence des capacités pour la haute disponibilité Conclusion 25 Glossaire 26 Bibliographie 27 Page 1

4 CHAPITRE 1. INTRODUCTION Chapitre 1 Introduction 1.1 Présentation de PF PF (Packet Filter) est le firewall d OpenBSD depuis la version 3.0, il est fourni avec le noyau de base (GENERIC), l ancienne solution de filtrage / NAT d OpenBSD n étant plus supportée pour des raisons de licence. PF est actuellement capable d effectuer un filtrage du trafic, des opérations de traduction IP, de normaliser le trafic, de le conditionner ainsi que de fournir des opérations de contrôle de la bande passante et de gestion des priorités sur les paquets. Récemment, avec la version 3.5 sortie en mai 2004, OpenBSD et PF supportent des mécanismes qui permettent d envisager le support de problématiques de l ordre de la haute disponibilité. Ce rapport présente les problématiques liées à un firewall en terme de haute disponibilité, les solutions apportés par OpenBSD et PF, l architecture de ces solutions, ainsi qu une étude de cas concrète de la solution et quelques tests de performance effectués sur la solution. 1.2 Problèmes liés aux firewalls pour la haute disponibilité Sur beaucoup de réseaux le firewall se présente comme un point de rupture (Single Point Of Failure); de nombreuses architectures reposent sur cet unique élément à un point précis de leur réseau. Pour un service de télécoms et réseaux devant fournir un SLA 1 élevé, le firewall devient alors une source de rupture de service importante. Ce point est d autant plus important à prendre en compte avec le rôle du firewall (élément directement impliqué dans la politique de sécurité du réseau) qui se retrouve à 1. Service Level Agreement Page 2

5 CHAPITRE 1. INTRODUCTION la fois point sensible en terme de disponibilité et de type de trafic (étant en première ligne d un réseau à priori hostile). La chute du firewall pouvant représenter divers risques (arrêt du service de consultation du web pour les utilisateurs, indisponibilité des services proposé à l extérieur, mail, dns, serveur web,... ), qui ont généralement un coût financier non négligeable, il est primordial de se pencher sur les problématiques de haute disponibilité quand bien même l environnement ne présente pas de risques apparents. 1.3 Présentation des solutions OpenBSD 3.5 et PF permettent de répondre aux solutions de haute disponibilité pour un firewall en implémentant différentes solutions : construction d un cluster de firewall création d interfaces virtuelles communes aux noeuds du cluster synchronisation de l état interne du firewall constitué par les différents noeuds du cluster L utilisation conjointe de ces solutions via le protocole CARP pour la création d interfaces virtuelles redondantes ainsi que de pfsync pour la synchronisation de l état de PF permet d envisager le maintient du service dans le cas ou l un des noeuds du firewall viendrait à tomber après la concrétisation d un risque quelconque (coupure de courant, erreur matérielle, dénis de service dans une certaine mesure (ciblé sur un noeud par exemple)). Par ailleurs les autres caractéristiques de PF permettent de créer des solutions modifiables finement tant au niveau de la gestion du traffic que de l authentification, on pourra notamment retenir : ALTQ (gestion de la bande passante) AuthPF (passerelle authentifiée) 1.4 Disponibilité et diffusion Ce document est placé sous licence FDL. 2 Merci de prévenir les auteurs pour pour toute utilisation faite de ce document. 2. Page 3

6 CHAPITRE 2. ARCHITECTURE DE PF Chapitre 2 Architecture de PF 2.1 Utilisation de PF PF fait donc partie du noyau d OpenBSD depuis OpenBSD 3.0. Il est venu remplacer IPFilter, dont la licence ne correspondait plus aux idéaux des développeurs OpenBSD. Le but premier de PF est, comme tout bon firewall, d assurer la protection d un réseau envers les attaques issues d un réseau différent. Cela passe par l inspection des paquets transmis d un réseau à l autre, en imposant un certain nombre de contraintes à respecter pour obtenir ce passage, contraintes pouvant être aussi bien au niveau du type de paquet, que du contenu ou de la destination de celui-ci Règles de filtrage Les règles de filtrage consistent en une évaluation des paquets. Tout paquet, entrant ou sortant, peut être amené à être vérifié par les règles définies. Une règle consiste en la vérification d informations concernant le paquet (adresses IP, ports,...). Un paquet à vérifier passe de facon linéaire par toutes les règles définies (hors optimisations effectuées par PF ou par l utilisateur par l intermédiaire du mot clé quick), le traitement à effectuer est alors déterminé. Une règle stipule en effet le traitement réservé à un paquet validé par ses soins : soit il doit être rejeté, soit il doit être accepté. Un paquet peut être rejeté catégoriquement avec l envoi une réponse, ou silencieusement. Un paquet validé peut être transmis tel quel ou modifié. Si un paquet vérifie plusieurs des règles définies dans la liste, c est la dernière règle validée qui l emporte, ce qui permet un système assimilable à un tamis dont la granularité Page 4

7 CHAPITRE 2. ARCHITECTURE DE PF irait en se réduisant au fur et à mesure des étages (la maille tend à se ressérer, la maille la plus fine possible retenant la pierre). On commence donc par citer des règles grossières qu on affine ensuite, l exemple typique étant le bloquage par défaut de tout paquet, puis une mise en place de règles suivantes laissant passer des paquets spécifiques. Une règle pourra cependant être définie comme finale, ce qui impliquera pour tout paquet la vérifiant la non évaluation des règles suivantes, ce sera donc l action qui lui est attachée qui sera effectuée Table d état Tout paquet ne sera pas forcément passé au crible des règles. Il existe en effet des situations dans lesquelles il est superflu de procéder á une vérification systématique qui sont celles notamment de connexions établies entre deux ordinateurs et dont le flux passe par PF. C est à ce niveau qu intervient la table d état, en gardant une trace des connexions établies pour ne pas avoir à réaliser le coûteux traitement des règles. Chaque règle laissant passer un paquet crée une entrée dans la table d état Ainsi chaque paquet arrivant sera vérifié postérieurement à son évaluation afin de définir si il fait partie d une connexion ou non. Si il y a présence d une connexion établie dans la table d état, il ne sera pas évalué et passera directement. Suivant les protocoles, le traitement diffère. En TCP par exemple, qui est un mode connecté, le suivi de connexion est bien plus aisé qu avec des modes non connectés (UDP, ICMP...). En mode non connecté, la connexion établie est en quelque sorte émulée avec l aide d un timeout, très faible lors du passage du premier paquet puis qui augmente lorsque l on a acquis la certitude qu il s agit d un véritable échange. Une sécurité a été mise en place en ce qui concerne TCP afin de d éviter les attaques sur les numéros de séquence des paquets. Cette sécurité met en oeuvre la vérification de la fenêtre TCP établie, et s applique pour tous les paquets TCP supposés faire partie d une connexion. Page 5

8 CHAPITRE 2. ARCHITECTURE DE PF /* * Trouver des differences entre le dernier * paquet verifie et celui-ci * ip_state.c, v 1.16 */ seq = nthol (tcp->th_seq); ack = nthol (tcp->th_ack); source = (ip->ip_src.s_addr == is->is_src.s_addr); if (source) { seqskew = seq - is->is_seq; ackskew = (ack - 1) - is->is_ack; } else { ackskew = seq - is->is_ack; seqskew = (ack - 1) - is->is_ack; } /* [snip] rendre les valeurs ackskew et seqskew absolues */ /* * si la difference entre sequence et ack se trouve dans la taille * de la fenetre, on enregistre les donnees et on verifie le paquet */ win = ntohs (tcp->th_win); if ((seqskew <= is->is_dwin) && (ackskew <= is->is_swin)) { /* le paquet remplit les conditions de la table d etat */ if (source) { is->is_seq = seq; is->is_ack = ack; if (win!= 0) is->is_swin = win; } else { is->is_seq = ack; is->is_ack = seq; if (win!= 0) is->is_dwin = win; } statistiques ; valeurs de timeout ; autorisation du paquet; } /* le paquet ne correspond pas a l enregistrement de la table d etat */ paquet ne passe pas; Page 6

9 CHAPITRE 2. ARCHITECTURE DE PF En ce qui concerne les protocoles non connectés, la vérification d appartenance à une connexion se fait sur l adresse de l hôte et le port uniquement. Quant aux paquets ICMP contenant des messages d erreur concernant une connexion établie dans la table d état, ils passent directement (ce qui n est pas le cas des paquets ICMP standards qui recoivent le traitement habituel des paquets dont le protocole est non connecté, ce qui permet aux applications telles ping et traceroute de fonctionner). Les états sont stockés dans un AVL afin de garantir un traitement rapide grâce à des algorithmes à la complexité moindre que sur un tableau par exemple, ce qui est très avantageux dans le cadre d un nombre d entrees importantes.. (de l ordre de log(n)) Le NAT est bien entendu supporté. La table d état contient alors trois paires d adresses/ports : interne, gateway et externe, stockées dans deux arbres différents (le premier avec les paires internes et externes et le second avec les paires externes et gateway) afin de pouvoir traiter le paquet en une seule passe. Le PAT est également supporté Journalisation PF présente un système de journalisation tout à fait original. Celui-ci est en effet basé sur une sorte d émulation d un matériel réseau consultable via l interface pflog. Ceci permet par exemple la vérification en temps réel de ce qui se passe dans le firewall grace à la commande tcpdump lancée sur cette interface. L enregistrement peut se configurer et s effectuer par l intermédiaire de pflogd. Chaque paquet sur l interface a un header associé, documentant le paquet, et dont la structure se trouve dans <net/if_pflog.h>. Page 7

10 CHAPITRE 2. ARCHITECTURE DE PF 2.2 Performances et sécurité Normalisation de paquets PF possède une fonctionnalité appellée scrubbing, correspondant à la possibilité qu il a, suivant le mode selon lequel il est configuré, de vérifier certaines données sensibles d un paquet, telle une ambiguïté dans l interprétation d un paquet, le réassemblage des paquets fragmentés ou encore le refus de paquets TCP dont les drapeaux sont positionnés de manière invalide. Le traffic NFS, des protocoles étranges ou des jeux en réseaux peuvent être incompatibles avec l utilisation de scrub. Il est cependant recommandé de l installer dans la mesure du possible. Scrub permet d éviter les attaques basées sur la fragmentation de paquets. Les systèmes *BSD ne sont pas vulnérables à ce type d attaques, mais cela protège les machines équipées de piles IP plus faibles. Une autre des fonctionnalités de sécurité est de permettre de contrer la prédiction d ID pouvant être utilisée pour attaquer certains systèmes d exploitation. Ceci est géré en générant pour le paquet sortant un ID aléatoire Répartition de charge Le load balancing permet de répartir la charge entre n serveurs situés sur un sousréseau. Depuis novembre 2002 cette fonctionnalité est gérée. Il manque cependant certaines fonctionnalités avancées, telles que la gestion d incidents lorsqu un des serveurs tombe Performances Les performances dépendent beaucoup de l utilisation faite du firewall. Bien sûr, des contraintes de puissance processeur, et tous les éléments matériels entrant en ligne de compte, le nombre de bits à traiter chaque seconde sont importants, mais les critères principaux à retenir sont sans nul doute le nombre de requêtes à traiter chaque seconde ainsi que la complexité de la liste de règles à appliquer. Le traitement d un paquet ne variera guère quelle que soit sa taille. La carte réseau est importante. Pour la plupart des utilisations, un ordinateur de récupération avec une carte réseau de qualité donnera d excellentes performances. Page 8

11 CHAPITRE 3. ARCHITECTURE DE CARP Chapitre 3 Architecture de CARP 3.1 Présentation de CARP CARP (Common Address Redundancy Protocol) est un outil permettant à plusieurs machines de partager une interface réseau unique entre elles, afin de pouvoir partager la charge, ou obtenir de la redondance. Historiquement, c est un protocole qui a été développé pour remplacer VRPP (Virtual Router Redundancy Protocol), non seulement à cause de problèmes juridiques liés à un brevet de CISCO, mais aussi afin d obtenir un protocole supérieur (notamment l intégration de la cryptographie, le support d IPv6... ). C est un protocole qui se situe à l intersection de la couche 2 et 3 du modèle OSI (niveau lien et IP). Chaque groupe CARP possède une adresse MAC virtuelle, ainsi que une ou plusieurs adresses IP virtuelles. Les hôtes CARP répondent aux requêtes ARP pour les adresses communes avec l adresse MAC virtuelle, et les paquets d annoncement sont envoyés avec l adresse MAC virtuelle en source,ce qui permets aux switch de facilement savoir à un instant donné sur quel port se situe l adresse MAC virtuelle. Le maître de l adresse envoie régulièrement des paquets d annonce CARP via multicast en utilisant le protocole CARP (protocole IP 112), et les hôtes esclaves reçoivent ces annonces. Quand l annonce s arrête, les hôtes esclaves se mettent à envoyer leurs propres annonces, et celui qui s annonce le plus fréquemment est celui qui deviendra le maître. Page 9

12 CHAPITRE 3. ARCHITECTURE DE CARP 3.2 Mise en place de CARP Le contrôle de CARP s effectue grâce à sysctl et ifconfig sysctl Les variables sysctls qui sont disponibles sont: net.inet.carp.allow - Définit si l hôte gère ou pas les paquets CARP. net.inet.carp.arpbalance - Utilisé pour le load balancing. Un hash de l adresse IP source est utilisée pour sélectionner à partir du groupe l hôte virtuel qui prendra en compte la requête. net.inet.carp.log - Journalisation des erreurs CARP net.inet.carp.preempt - Active la sélection automatique du maître parmis les hôte CARP. Celui qui s annonce le plus fréquemment devient le maître ifconfig Les quatres commandes utilisés par CARP sont advbase - définit le nombre de secondes entre chaque annoncement advskew - divisée par 255, cette valeur est ajouté à advbase pour obtenir une plus grande précision pass - le mot de passe (shared secret) vhid - l ID d hôte virtuel du groupe CARP Les deux premières valeurs définissent la fréquence à laquelle l hôte va s annoncer. La formule exacte, en seconde est T = advbase + (advskew/255). Cela permet de contrôler précisement le temps entre chaque annoncement pour chaque hôte, et donc de définir qui sera le maître (grâce à la sélection automatique du maître, net.inet.carp.preempt). pass définit le mot de passe utilisé pour le hash SHA-1 MAC de signature, tandis que vhid est le numéro d identification d hôte virtuel du groupe CARP. Chaque groupe CARP doit avoir un ID unique, même si ils partagent la même adresse IP. CARP est limité à 255 groupes. Page 10

13 CHAPITRE 3. ARCHITECTURE DE CARP Exemple d utilisation Imaginons que l on dispose de deux serveurs DNS identiques, que l on souhaite utiliser avec CARP. L adresse IP du serveur virtuel sera dans cet exemple. Tout d abord, les commandes suivantes créent l interface carp0, lui assigne un ID de 1 et un mot de passe 8ball. hal9000# ifconfig carp0 create hal9000# ifconfig carp0 vhid 1 pass 8ball Ensuite, la création d un fichier /etc/hostname.carp0 rends la configuration effectuée ci-dessus permanente: inet vhid 1 pass 8ball Une fois ces opérations effectuées sur les deux machines, CARP est en place, et le premier système à démarrer son interface CARP deviendra le maître. 3.3 Limitations et futur de CARP CARP est un protocole multicast, ce qui pose problème dans le cas de cartes réseaux qui ne le supporte pas. De plus, comme CARP manipule directement les adresses MAC, certains switchs vieux ou fonctionnant mal peuvent avoir des problèmes avec CARP (par exemple, un rafraichissement des tables pas assez rapide rallongeant le temps offline ) 1. CARP ne procure aucune redondance à des niveaux plus élevés de la pile (par exemple nécessité d utiliser pfsync pour le firewall). Enfin, CARP ne sait pas gérer tout seul les situations ou une seule des interfaces tombe, mais pas toutes. Par exemple, dans le cas de deux firewalls, celui qui fonctionne encore parfaitement prend le relais du côté où l interface est tombée, mais pas sur l autre. Le problème vient du fait que la communication CARP s effectuant du côté qui est coupé, les deux firewalls ne voyant pas les annoncements de l autre pensent tout deux être maître. Il n y a cependant pas de moyen de résoudre ce problème sans faire appel à une troisième ressource, comme la passerelle, pour savoir quel firewall est en position de router le traffic. Ce dernier problème est assez rare mais l équipe des développeurs OpenBSD est en train de travailler sur ifstated qui permettra de le résoudre. 1. Des améliorations ont été apportées par la version 3.6 d OpenBSD Page 11

14 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC Chapitre 4 Synchronisation des firewalls : PFsync 4.1 Fonctionnement Général PFsync permet de mettre en parallèle deux firewalls sous PF ou plus. L ensemble du traffic passe par le firewall primaire, quand celui-ci devient indisponible, un firewall de secours prends le relai dans la gestion du filtrage du traffic. L ensemble des connections existantes sont préservées. PFsync va permettre de maintenir à jour sur un ensemble de machines les informations suivantes concernant la table d état utilisée pour l inspection des paquets en mode statefull : insertion mise à jour suppression PFsync est logiquement un protocole multicast, destinant la même information à un groupe de machines. Chaque firewall peut émettre des messages visant à mettre à jour les tables d états des différents noeuds du cluster, et écoute également l arrivée de messages émis par d autres noeuds. 4.2 Considération de sécurité Afin de répondre à des problèmes de performances (synchronisation et latence), il n y a ni cryptographie ni processus d authentification dans l échange des messages entre les firewalls. C est pourquoi il est fortement recommandé de relié les noeuds du cluster sur un brin réseau privé, ou dans le cas d un petit nombre de noeuds par l intermédiaire de cartes réseaux dédiées et de câbles réseaux croisés. Page 12

15 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC 4.3 Description de l architecture Concrètement sur le système le mécanisme de synchronisation passe par un pseudo device pfsyncx. Lorsque l interface virtuelle est associée à une interface physique, le mécanisme émet des messages multicast 1 afin d annoncer les changements aux autres noeuds du cluster. L association se fait simplement par la commande suivante : # ifconfig pfsync0 syncif vr0 up Par défaut toute modification de la table d état est annoncée aux autres noeuds, sauf si la connexion est liée à une règle comportant la directive no-sync. Diverses optimisations sont implémentées afin de réduire le traffic PFsync, notamment sur la bufferisation des messages afin de réduire le nombre d émission. 4.4 Protocole et implémentation Base Les fichiers suivant contiennent suffisamment de code relatif à PFsync pour en voir le fonctionnement en détail: sbin/ifconfig.c sys/net/if pfsync.c sys/net/if pfsync.h sys/net/pf.c sys/net/pf ioctl.c sys/net/pfvar.h On peut notamment consulter en détails les différentes actions que deux noeuds synchronisés par pfsync peuvent effectuer l un sur l autre : nettoyer tous les états (PFSYNC_ACT_CLR), insérer un état (PFSYNC_ACT_INS), mettre à jour un état (PFSYNC_ACT_UPD), supprimer un état (PFSYNC_ACT_DEL), mettre à jour un état à partir d un message composé (plusieurs informations dans un message) (PFSYNC_ACT_UPD_C), supprimer un état à partir d un message composé (PFSYNC_ACT_DEL_C), 1. le groupe multicast utilisé est Page 13

16 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC insérer un fragment (PFSYNC_ACT_INS_F), supprimer un fragment (PFSYNC_ACT_DEL_F), demander l envoi d états non composés (PFSYNC_ACT_UREQ), mise à jour de l état des Bulk (PFSYNC_ACT_BUS) Exemple de synchronisation Lors de l insertion d un état au sein de PF (après l ouverture complète d une session TCP par exemple), un appel à l API de PFsync est effectué : /* sys/net/pf.c */ int pf_insert_state(struct pfi_kif *kif, struct pf_state *state) {... #if NPFSYNC pfsync_insert_state(state); #endif } Exemple de traitement d un paquet PFsync La donnée est simplement traitée par la fonction pfsync_input, qui est appelée pour le traitement d un paquet arrivant sur l interface concernée. La fonction effectue un certain nombre de tests afin d assurer l intégrité des données : y a t-il une interface pfsync active? le paquet est-il bien arrivé par une interface pfsync? le ttl est-il égal à 255? (permet de s assurer que le paquet à au moins été émis localement 2 ) Les données sont ensuite extraites, notamment le code de l action à effectuer (cf. listing précédent), qui permet ensuite de traiter le reste des données. 2. cela complique au moins les moyens d attaque du système, même si ce n est pas invulnérable Page 14

17 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC Vision concrète de la synchronisation La capture correspond à la création d une connection vers un serveur ssh protégé par le cluster de firewall. # tcpdump -i pfsync0 -s vv 15:45: UPD ST: self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:16, expires in 00:00:00, 16:0 pkts, 896:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 15:45: INS ST: self tcp :22 < :22 < :32787 CLOSED:SYN_SENT [0 + 1] [ ] age 00:00:00, expires in 00:00:00, 0:0 pkts, 0:0 bytes id: a creatorid: 61c92b99 15:45: UPD ST: self tcp :22 < :22 < :32787 ESTABLISHED:ESTABLISHED [ ] wscale 7 [ ] wscale 0 age 00:00:00, expires in 00:00:00, 1:0 pkts, 60:0 bytes id: a creatorid: 61c92b99 updates: 27 self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:17, expires in 00:00:00, 17:0 pkts, 952:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 15:45: UPD ST: self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:20, expires in 00:00:00, 19:0 pkts, 1064:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 self tcp :22 < :22 < :32787 ESTABLISHED:ESTABLISHED [ ] wscale 7 [ ] wscale 0 age 00:00:03, expires in 00:00:00, 14:15 pkts, 1758:2228 bytes id: a creatorid: 61c92b99 updates: 12 15:45: UPD ST: self carp > vrrp.mcast.net SINGLE:NO_TRAFFIC age 00:00:22, expires in 00:00:00, 21:0 pkts, 1176:0 bytes, rule 1 id: a creatorid: 61c92b99 updates: 0 self tcp :22 < :22 < :32787 FIN_WAIT_2:FIN_WAIT_2 [ ] wscale 7 [ ] wscale 0 age 00:00:05, expires in 00:00:00, 21:21 pkts, 2730:3004 bytes id: a creatorid: 61c92b99 updates: 10 Page 15

18 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC On a donc l occasion de voir le passage du message indiquant une nouvelle connexion (15:45: INS ST), l établissement de la connexion (15:45: UPD ST), puis plus tard la fermeture de la connexion (15:45: UPD ST). On a d ailleurs plusieurs exemples de la concaténation de plusieurs messages d états au sein d une seule émission. Cette synchronisation se confirme d ailleurs plus simplement en examinant les informations données par PF sur les deux noeuds à un même moment : # pfctl -s state STATES: self tcp :22 < :22 < :32787 ESTAB self carp > SINGLE:NO_TRAFFIC self carp > SINGLE:NO_TRAFFIC # pfctl -s state STATES: self tcp :22 < :22 < :32787 ESTAB self carp > SINGLE:NO_TRAFFIC self carp > SINGLE:NO_TRAFFIC 4.5 Intégration dans un parc hétérogène On pourra considérer l outil PFFLOWD [1], qui permet de convertir les messages de synchronisation émis par le mécanisme pfsync vers des datagrammes Cisco Netflow. Cela permet notamment de synchroniser les statistiques de flux et d expiration de connexion. La solution n est pas parfaite, principalement du à des problèmes de capacités des compteurs de flux dans le kernel d OpenBSD, mais le problème reste mineur. Il s agit en tout cas d une solution à prendre à considération, surtout en regard de sa facilité de mise en oeuvre. Exemple d envoi de synchronisation vers un routeur Cisco Netflow v5 adressé en : # pfflowd -n :1030 -i pfsync0 -v 5 -d 4.6 PFsync dans l avenir La nouvelle version d OpenBSD sortie le 1er novembre 2004, apporte quelques modifications à pfsync notamment sur la gestion de timeouts adaptatifs. Page 16

19 CHAPITRE 4. SYNCHRONISATION DES FIREWALLS : PFSYNC Les développeurs d OpenBSD prévoit les fonctionnalités suivantes dans les futures versions de pfsync : mécanisme d authentification pour l échange des messages support d autres fonctionnalité de PF (altq, tables etc... ) coopération avec CARP (meilleure réactivité) Page 17

20 CHAPITRE 5. ETUDE DE CAS Chapitre 5 Etude de cas Ce chapitre présente une mise en place d un cluster de firewalls basé sur PF, CARP et pfsync. Le but de l étude était de considérer concrètement la mise en place de l architecture ainsi que de faire quelques tests afin de constater concrètement la stabilité du système. Le lecteur intéressé par des tests plus complet sur les firewalls, pourra s orienter sur la RFC3511. Cette dernière est consacrée à la présentation d une méthodologie pour la réalisation de tests de performances sur des firewalls. Plus détails sur cette RFC sont disponibles dans les documents suivants : [2] et [3]. 5.1 Architecture réseau L architecture réseau décrite ici sert à simuler un modèle classique isolant deux réseaux distincts, qui peut éventuellement servir à isoler simplement un réseau privé d un réseau non sûr (local-dmz, local-internet, dmz-internet...) ou bien être intégré dans une infrastructure plus grande. Les postes utilisés dans les deux réseaux séparés par le clusters ont servis à simuler des clients classiques, des serveurs publics ainsi que des postes hostiles. Les deux serveurs ont les configurations suivantes: pfclus1 pfclus2 CPU Celeron 400 Mhz P3 1Ghz RAM 196 Mo 512 Mo NIC lan interne Dlink D390 Dlink D390 NIC lan externe Realtek 3Com 3c905c NIC PFsync Dlink D390 Dlink 390 Page 18

21 CHAPITRE 5. ETUDE DE CAS 5.2 Configuration firewall Les deux machines ont des configurations miroirs, à faire varier selon le nom des interfaces réseaux concernées. Dans notre cas, c est la machine pfclus1 qui servira d exemple : Le tableau suivant précise la configuration des interfaces réseaux : Nom Réseau Configuration IP vr1 lan interne /24 ne3 lan externe /24 vr0 PFsync /24 À cela viennent s ajouter 3 interfaces virtuelles crées lors de la configuration de CARP et pfsync : Page 19

22 CHAPITRE 5. ETUDE DE CAS L interface carp0 servant de front-end virtuel sur le LAN privé, crée par le fichier suivant : # cat /etc/hostname.carp0 inet vhid 1 pass p4sscarp0 De la même manière, l interface carp1 pour le LAN externe, crée par le fichier suivant : # cat /etc/hostname.carp1 inet vhid 2 pass p4sscarp1 Le champ vhid détermine un identifiant commun à toutes les interfaces physiques appartenant au groupe de cette interface CARP. Le champ pass définit un mot de passe pour le groupe. D autre part la synchronisation des firewalls est mise en place par la création du fichier suivant : # cat /etc/hostname.pfsync0 up syncif vr0 Par ailleurs il est nécessaire de paramétrer le système via les deux entrées suivantes : # cat /etc/sysctl.conf net.inet.ip.forwarding=1... # cat /etc/rc.conf pf=yes... pf_rules=/etc/pf.conf Enfin en dernier lieu, il est nécessaire de configurer le firewall. Lors de la création du firewall, il est important de prendre en compte certaines informations relatives aux interfaces virtuelles crées par le système : Autoriser le traffic pfsync sur l interface de synchronisation. Autoriser le traffic carp sur les interfaces physiques. Lorsque l on travaille en contexte d interface, on utilise uniquement des interfaces physiques. Lorsque l on travaille en contexte d adresse on peut utiliser les adresses relatives aux interfaces virtuelles. Ci-dessous un fichier de configuration d exemple de pf, il est totalement incomplet pour un cas réel, mais suffisant pour le cas de l étude, sous réserve d adapter le jeu de Page 20

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

OpenBSD. Packet Filter. Par Loïc Blot

OpenBSD. Packet Filter. Par Loïc Blot OpenBSD Packet Filter Par Loïc Blot Thématiques OpenBSD Présentation Packet Filter Commandes d'administration Le filtrage NAT et redirection de ports PFLog Aller plus loin Firewall redondé Partie I OpenBSD

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

Projet «[VPN Redondant]»

Projet «[VPN Redondant]» Projet «[VPN Redondant]» 10 janvier 2006 Historique des révisions Date Version Description Auteur 11 octobre 2005 1.0 Création du document Guillaume Coqueblin 26 octobre 2005 1.1 Révision Guillaume Coqueblin

Plus en détail

Haute disponibilité avec OpenBSD

Haute disponibilité avec OpenBSD Haute disponibilité avec OpenBSD Matthieu Herrb Capitoul, 16 Octobre 2008 http://www.laas.fr/~matthieu/talks/obsd-ha.pdf Plan 1 Introduction 2 CARP + pfsync 3 relayd 4 Autres services 5 Conclusion Agenda

Plus en détail

IPFilter. IPFilter IPFILTER: IN/OUT/FORWARD? IPFilter: chaîne FORWARD? Exemple: IPFilter: syntaxe de base

IPFilter. IPFilter IPFILTER: IN/OUT/FORWARD? IPFilter: chaîne FORWARD? Exemple: IPFilter: syntaxe de base IPFilter ipfilter est un coupe feu à état fournissant aussi des fonctionnalités de traduction d'adresses ipfilter est en standard sous FreeBSD, NetBSD et Solaris 10. il a été testé sous : solaris 2.3-9,open

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Réseau - VirtualBox. Sommaire

Réseau - VirtualBox. Sommaire Réseau - VirtualBox 2015 tv - v.1.0 - produit le 10 mars 2015 Sommaire Le réseau virtuel 2 Introduction.............................................. 2 Modes réseaux............................................

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Mise en place d un cluster NLB (v1.12)

Mise en place d un cluster NLB (v1.12) Mise en place d un cluster NLB (v1.12) Tutorial conçu et rédigé par Michel de CREVOISIER Avril 2013 SOURCES Présentation du NLB : http://technet.microsoft.com/en-us/library/bb742455.aspx Installation :

Plus en détail

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr IHM OpIOS Quelques fonctionnalités utiles Auteur : Hozzy TCHIBINDA 08 Mars 2014 Version 1.2 www.openip.fr Table des matières 1 Présentation 2 2 Personnalisation de l OpIOS 3 2.1 Configuration des utilisateurs.................................

Plus en détail

Administration réseau Routage et passerelle

Administration réseau Routage et passerelle Administration réseau Routage et passerelle A. Guermouche A. Guermouche Cours 2 : Routage et passerelle 1 Plan 1. Introduction 2. Routage dans IP Principes de base Manipulation des tables de routage 3.

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen 2008. MAPMO Projet SDS

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen 2008. MAPMO Projet SDS OpenBSD Spamd Nicolas Greneche MAPMO Projet SDS Mathrice Rouen 2008 Sommaire 1 Introduction 2 Architecture et Algorithmes 3 Composants 4 Lancement et Paramètres 5 Exploitation 2 / 15 Introduction - OpenBSD

Plus en détail

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION )

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) Présentation du TP le firewall sera une machine virtuelle sous Devil Linux le firewall a deux cartes réseaux eth0 ( interface externe ) et eth1 (interface interne)

Plus en détail

TD2 : CORRECTION. Exercice 1 : 1. Quel est l avantage de la séparation de l adressage en deux parties dans l adressage Internet?

TD2 : CORRECTION. Exercice 1 : 1. Quel est l avantage de la séparation de l adressage en deux parties dans l adressage Internet? TD2 : CORRECTION I. connaître son environnement réseau a. Quelle est l adresse IPv4 de votre PC? l adresse IPv6? ipconfig : Adresse IPv4..............: 192.168.1.13 Masque de sous-réseau.... : 255.255.255.0

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Guide Utilisateur Rapide

Guide Utilisateur Rapide Guide Utilisateur Rapide Interface Graphique Opios (Version 1) Auteurs : Hozzy TCHIBINDA 11 Avril 2013 Version 1.0 www.openip.fr Table des matières 1 Présentation 2 1.1 Présentation de l Opios....................................

Plus en détail

Plan. Programmation Internet Cours 3. Organismes de standardisation

Plan. Programmation Internet Cours 3. Organismes de standardisation Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

Installation de Pfsense avec synchronisation

Installation de Pfsense avec synchronisation Installation de Pfsense avec synchronisation Il s agit de mettre en place une solution qui va permettre de mettre en place 2 firewalls virtuels pfsense en mode Fail-over. Pour illustrer ceci, on peut s

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 OUTILS D'ANALYSE ET DE DÉTECTION RÉSEAUX... 2 1.1 ethereal... 2 1.1.1 Installation... 2 1.1.2 Utilisation d'ethereal (sans X11)... 3 1.1.3 Utilisation d'ethereal (graphique)... 4 1.2

Plus en détail

Le Multicast. A Guyancourt le 16-08-2012

Le Multicast. A Guyancourt le 16-08-2012 Le Multicast A Guyancourt le 16-08-2012 Le MULTICAST Définition: On entend par Multicast le fait de communiquer simultanément avec un groupe d ordinateurs identifiés par une adresse spécifique (adresse

Plus en détail

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet Chapitre I La couche réseau 1. Couche réseau 1 Historique de l Internet Né 1969 comme projet (D)ARPA (Defense) Advanced Research Projects Agency; US Commutation de paquets Interconnexion des universités

Plus en détail

DIFF AVANCÉE. Samy. samy@via.ecp.fr

DIFF AVANCÉE. Samy. samy@via.ecp.fr DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Semestre 6 2008-09. Licence miage Université Lille 1 Pour toutes remarques : Alexandre.Sedoglavic@univ-lille1.fr. Quelques outils systèmes pour IP

Semestre 6 2008-09. Licence miage Université Lille 1 Pour toutes remarques : Alexandre.Sedoglavic@univ-lille1.fr. Quelques outils systèmes pour IP V0 (01-02-2009) Licence miage Université Lille 1 Pour toutes remarques : Alexandre.Sedoglavic@univ-lille1.fr Semestre 6 2008-09 Définition Entre l ensemble de protocoles, de structures de données et de

Plus en détail

Partager sa connexion internet ADSL avec OpenBSD et protéger l'accès en Wifi avec Authpf

Partager sa connexion internet ADSL avec OpenBSD et protéger l'accès en Wifi avec Authpf Partager sa connexion internet ADSL avec OpenBSD et protéger l'accès en Wifi avec Authpf Tout est dans le titre, cette doc devrait vous permettre de protéger vos ordinateurs d'internet, de contrôler l'accès

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Services d infrastructure réseaux

Services d infrastructure réseaux Services d infrastructure réseaux Cours de Réseaux Tuyêt Trâm DANG NGOC Université de Cergy-Pontoise 2012-2013 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 1 / 30 Plan 1 Adressage

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Livres disponibles à la bibliothèque (RDC)

Livres disponibles à la bibliothèque (RDC) Livres disponibles à la bibliothèque (RDC) Réseaux, 3 ème édition, A.TANENBAUM, 1997. TCP/IP : Architecture, protocoles et applications, 3 ème édition, D.COMER, 1998 TCP/IP : Administration de réseaux,

Plus en détail

Pile de protocoles TCP / IP

Pile de protocoles TCP / IP Pile de protocoles TCP / IP Fiche de cours La pile de protocoles TCP/IP est le standard de fait le plus utilisé au monde comme ensemble protocolaire de transmission dans les réseaux informatiques. La raison

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Configuration du serveur ESX

Configuration du serveur ESX Configuration du serveur ESX 1. La licence vsphere Le serveur ESX a besoin d une licence. Cliquez sur votre serveur ESX. Puis allez dans l onglet Configuration. Rubrique Software ; Licence Features. Cliquez

Plus en détail

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir. Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Éléments de Sécurité sous Linux

Éléments de Sécurité sous Linux Éléments de Sécurité sous Linux Objectif: Pare-feu sous GNU/Linux Contenu: Principes de base fonctionnement de Netfilter architecture: DMZ configuration par iptables par Shorewall Principe du pare-feu

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

pfsense Manuel d Installation et d Utilisation du Logiciel

pfsense Manuel d Installation et d Utilisation du Logiciel LAGARDE Yannick Licence R&T Mont de Marsan option ASUR yannicklagarde@hotmail.com Manuel d Installation et d Utilisation du Logiciel Centre Hospitalier d'arcachon 5 allée de l'hôpital - BP40140 33164 La

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Étude détaillée du protocole TCP La récupération d erreur et le contrôle de flux

Étude détaillée du protocole TCP La récupération d erreur et le contrôle de flux RICM 4 Étude détaillée du protocole TCP La récupération d erreur et le contrôle de flux M. Heusse, P. Sicard Introduction L objectif de ce TP est de comprendre les fonctionnalités du protocole TCP (Transfert

Plus en détail

Exercice 1 : Routage et adressage

Exercice 1 : Routage et adressage NOM Prénom : Tous les documents manuscrits ou imprimés sont autorisés (polycopiés de cours, notes personnelles, livres, etc.). Il est interdit de prêter ses documents à ses voisins. L'usage de la calculatrice

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Configuration IP sous Debian Gnu/Linux. Projet réseau 2006-200. /etc/network/interfaces. routage sous linux. Plateforme 1.

Configuration IP sous Debian Gnu/Linux. Projet réseau 2006-200. /etc/network/interfaces. routage sous linux. Plateforme 1. Projet réseau 2006-200 routage sous Linux: configuration réseau et routage sous linux travail personnel: (1) mise en place d'un routeur linux. traduction d'adresse sujet: translation d'adresse (NAPT) travail

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

Étude détaillée du protocole TCP La récupération d erreur et le contrôle de flux

Étude détaillée du protocole TCP La récupération d erreur et le contrôle de flux Master 1 Étude détaillée du protocole TCP La récupération d erreur et le contrôle de flux M. Heusse, P. Sicard Introduction L objectif de ce TP est de comprendre les fonctionnalités du protocole TCP (Transfert

Plus en détail

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas FACILITER LES COMMUNICATIONS Le gestionnaire de réseau global de Saima Sistemas Afin d'améliorer le service proposé à ses clients, SAIMA SISTEMAS met à leur disposition le SAIWALL, gestionnaire de réseau

Plus en détail

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N 2011 SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Center Balance de charge et tolérance de panne Interface

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Introduction aux réseaux

Introduction aux réseaux Introduction aux réseaux Présentation de TCP/IP et de la programmation. Julien OLIVAIN julien.olivain@lsv.ens-cachan.fr> LSV - ENS de Cachan Plan Introduction générale. Protocoles de communication. Organisation

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP sur IP L'objectif de ce premier TP est de vous montrer comment les données circulent dans un réseau, comment elles

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Conception des réseaux Contrôle Continu 1

Conception des réseaux Contrôle Continu 1 NOM: PRENOM: Conception des réseaux Contrôle Continu 1 Durée : 2 heures Seuls les documents manuscrits ou distribués en cours sont autorisés. Les réponses doivent tenir dans l encadré prévu à cet effet

Plus en détail

TP N o 2 de Réseaux Etude des protocoles ARP et ICMP

TP N o 2 de Réseaux Etude des protocoles ARP et ICMP TP N o 2 de x Etude des protocoles ARP et ICMP Pascal Sicard 1 INTRODUCTION L objectif de ce TP est d observer et comprendre le protocole de résolution d adresse ARP, et un protocole annexe : ICMP. Nous

Plus en détail

La répartition de charge (Cluster NLB)

La répartition de charge (Cluster NLB) La répartition de charge (Cluster NLB) La répartition de charge devient indispensable quand un seul serveur ne suffit plus pour tenir la charge ou maintenir un temps de réponse acceptable. Si le besoin

Plus en détail

Concepts de base de l Internet Protocol IPv4. Module 2

Concepts de base de l Internet Protocol IPv4. Module 2 Concepts de base de l Internet Protocol IPv4 Module 2 Objectifs Comprendre les bases du protocole IPv4 IPv4 Internet Protocol version 4 (IPv4) est la 4ème version du protocole d internet et la première

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Mise en route d'un Routeur/Pare-Feu

Mise en route d'un Routeur/Pare-Feu Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011 2 Suivi des Versions Version : Date : Nature des modifications

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

TP SIMULATION RESEAU Logiciel PACKET TRACER

TP SIMULATION RESEAU Logiciel PACKET TRACER TP SIMULATION RESEAU Logiciel PACKET TRACER Objectif du TP : Choix du matériel pour faire un réseau Comprendre l adressage IP Paramétrer des hôtes sur un même réseau pour qu ils communiquent entre eux

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant CRÉATION ET SIMULATION D UN RÉSEAU INFORMATIQUE

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant CRÉATION ET SIMULATION D UN RÉSEAU INFORMATIQUE 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/15 INFORMATIQUE Objectifs de l activité pratique : Choisir le matériel pour construire un réseau

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

TD7 Réseau IP, DNS, ARP, routage, transport {Nicolas.Ollinger, Emmanuel.Godard, Yann.Esposito}@lif.univ-mrs.fr 24 novembre 2004

TD7 Réseau IP, DNS, ARP, routage, transport {Nicolas.Ollinger, Emmanuel.Godard, Yann.Esposito}@lif.univ-mrs.fr 24 novembre 2004 TD7 Réseau IP, DNS, ARP, routage, transport {Nicolas.Ollinger, Emmanuel.Godard, Yann.Esposito}@lif.univ-mrs.fr 4 novembre 004 Internet peut-être vu comme un réseau de sous-réseaux hétérogènes. Le ciment

Plus en détail

Cluster High Availability. Holger Hennig, HA-Cluster Specialist

Cluster High Availability. Holger Hennig, HA-Cluster Specialist Cluster High Availability Holger Hennig, HA-Cluster Specialist TABLE DES MATIÈRES 1. RÉSUMÉ...3 2. INTRODUCTION...4 2.1 GÉNÉRALITÉS...4 2.2 LE CONCEPT DES CLUSTERS HA...4 2.3 AVANTAGES D UNE SOLUTION DE

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

NFA083 Réseau et Administration Web TCP/IP

NFA083 Réseau et Administration Web TCP/IP NFA083 Réseau et Administration Web TCP/IP Sami Taktak sami.taktak@cnam.fr Centre d Étude et De Recherche en Informatique et Communications Conservatoire National des Arts et Métiers Rôle de la Couche

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

Travaux pratiques : configuration des protocoles HSRP et GLBP Topologie

Travaux pratiques : configuration des protocoles HSRP et GLBP Topologie Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 9 Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par

Plus en détail

Programme formation pfsense Mars 2011 Cript Bretagne

Programme formation pfsense Mars 2011 Cript Bretagne Programme formation pfsense Mars 2011 Cript Bretagne I.Introduction : les réseaux IP...2 1.A.Contenu pédagogique...2 1.B....2 1.C...2 1.D....2 II.Premiers pas avec pfsense...2 2.A.Contenu pédagogique...2

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

Parcours IT Projet réseaux informatiques Christophe DOIGNON

Parcours IT Projet réseaux informatiques Christophe DOIGNON FORMATION INGENIEURS ENSPS EN PARTENARIAT (2008-2009) MODULE MI6 DU PARCOURS INFORMATIQUE ET TELECOMMUNICATIONS MISE EN OEUVRE D'UN RESEAU INFORMATIQUE LOCAL EMULE ROUTAGE SOUS LINUX 1. Introduction La

Plus en détail

Cours de Réseau et communication Unix n 6

Cours de Réseau et communication Unix n 6 Cours de Réseau et communication Unix n 6 Faculté des Sciences Université d Aix-Marseille (AMU) Septembre 2013 Cours écrit par Edouard Thiel, http://pageperso.lif.univ-mrs.fr/~edouard.thiel. La page du

Plus en détail

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Topologie Objectifs 1ère partie : Télécharger et installer Wireshark (facultatif) 2e partie : Capturer et analyser les données ICMP

Plus en détail