EXPOSE : Traitements Intermédiaires : NAT, Proxy, Firewall

Dimension: px
Commencer à balayer dès la page:

Download "EXPOSE : Traitements Intermédiaires : NAT, Proxy, Firewall"

Transcription

1 Juliette André Renaud Pelloux EXPOSE : Traitements Intermédiaires : NAT, Proxy, Firewall Octobre 2002 Le document présenté ci-dessous reprend tout le contenu du site Web que nous avons réalisé. Il traite des mécanismes mis en place à l'intermédiaire de deux réseaux et en particulier de la translation d'adresse, des proxys et des firewalls. Le document qui suit, tout comme le site Web réalisé traitent de la philosophie appliquée aux mécanismes dont nous parlons. Volontairement, nous ne parlerons pas de la façon de les configurer ou de les installer, d'autres exposés réalisés à l'enic traitant de ces sujets plus spécifiques. Nous avons réalisé cet exposé dans le cadre de l'option RIO (Réseaux et Interconnexion d'odinateurs) de l'enic Télécom Lille 1, option qui termine notre cursus scolaire. Aucune mise en page spécifique n'a été appliquée à ce document, il reprend simplement le contenu de chaque page présentée dans le site Web.

2 SOMMAIRE I) [Introduction] II) [Une pénurie d'adresses IP] II.1) [Adressage IPv4] II.2) [Pénurie d'adresses] II.3) [Utilisation des adresses privées] III) [NAT] III.1) [Pricipe Général] III.2) [NAT statique et dynamique] III.3) [NAT multiple] III.4) [Comparaison et Problèmes] IV) [Proxy] IV.1) [Principe de fonctionnement] IV.2) [Services ajoutés aux proxys] IV.3) [Comparaison Proxy et NAT] V) [Firewall] V.1) [Principe de fonctionnement] V.2) [Politique de sécurité] V.3) [Filtre de paquets] V.4) [Passerelles] V.5) [Architectures] V.6) [Problèmes Rencontrés] VI) [Glossaire] VII) [Références] Site réalisé par Juliette André Renaud Pelloux Octobre 2002

3 I) [Introduction] Le site Web qui va suivre a été réalisé dans le cadre de l'option RIO (Réseaux et Interconnexion d'ordinateurs) de l'enic Télécom Lille 1. Il est destiné à présenter les aspects techniques et pratiques relatifs aux : Firewalls, NAT et Proxy En effet, deux problèmes majeurs ont ammené les entreprises à utiliser ce type de matériel : la pénurie d'adresses IP publiques ainsi que la multiplication des attaques sur les réseaux. Une entreprise, quelle qu'elle soit, connectée à l'internet est souvent la cible d'attaques, qui affectent son propre système ou s'installent sur son réseau pour attaquer en toute tranquilité d'autres entreprises. Les concepts de NAT et de proxy sont très liés puisqu'ils sont utilisés pour permettre à des stations ayant des adresses IP privées de communiquer avec des réseaux externes. Avec certaines configurations (NAT dynamique par exemple, filtrage sur les proxys), il est possible d'augmenter un peu le niveau de sécurité du réseau de l'entreprise. Ceci n'est en aucun cas suffisant et c'est pour celà qu'il est préférable d'utiliser des matériels spéciaux pour garantir la sécurité tels que des Pare- Feu ou Firewalls. Le site que nous vous proposons est illustré afin d'en simplifier la compréhension.

4 II) [Une pénurie d'adresses IP] II.1) L'adressage sur IPv4 Le modèle dominant sur Internet est le modèle TCP/IP. Dans ce modèle, les machines et les réseaux des entreprises sont identifiés par une adresse IP. Pour les machines, l'adresse est codée sur 4 octets et écrite de la forme a.b.c.d. Dans cette adresse, on trouve un dientfiant de réseau codé sur 1 à 3 octets selon la classe de l'adresse et un identifiant de machine codé sur 3 à 1 octet. L'ICANN est chargé d'attribuer les adresses réseaux. 5 classes d'adresses, permettant de répartir les adresses sont disponibles : A l'intérieur de ces classes, il existe des adresses réservées qui ne doivent pas être utilisées : identifiant machine tout à 1 : broadcast sur le réseau, identifiant machine tout à 0 : désigne la machine elle-même. II.2) Une pénurie d'adresses Le problème vient aujourd'hui du fait que le nombre de réseaux connectés à l'internet a eu une très forte croissance. De nombreux gaspillages d'adresses ont aussi eu lieu rendant aujourd'hui impossible de trouver une classe A ou une classe B disponible.

5 Des entreprises souhaitant aujourd'hui plus de 254 adresses et voulant se connecter en réseau à Internet ont donc un problème pour disposer d'adresses IP. Il a donc fallu trouver des solutions pour pallier à ce manque. En voici les principales : IPv6 : Ce nouveau protocole permet de coder les adresses IP sur 128 bits, soit 16 octets. Le problème de ce protocole est qu'il n'est pas encore standardisé et donc pas encore employé. CIDR : Il s'agit ici de coupler plusieurs adresses réseaux de classe C choisies pour avoir un masque de sous-réseau commun et pouvoir ainsi communiquer sans passer par un routeur à l'intérieur d'une entreprise disposant de réseaux de classe C en CIDR. Cette solution pourra elle aussi n'être que temporaire puisqu'il viendra un moment où il manquera aussi de réseaux de classe C. De plus, avec ce système, des gaspillages d'adresse réseau sont faits, en effet, une entreprise qui aurait besoin de 3 réseaux de classe C (3*254 adresse machine) se verra attribuer 4 réseaux, une entreprise en ayant besoin de 10 en aura Utilisation des classes d'adresses privées : C'est cette solution que nous allons développer plus précisément par la suite : II.3) Utilisation des adresses privées (RFC 1918) La RFC 1918 définit des plages d'adresses de réseaux de classe A, B et C qui ne peuvent pas être utilisées sur Internet. Par contre, ces adresses peuvent être utilisées en même temps par plusieurs entreprises : Voici la liste des adresses privées disponibles : - classe A : de à soit 1 adresse réseau de classe A privée - classe B : de à soit 16 adresses réseau de classe B privées - classe C : de à soit 255 adresses réseau de classe C privées Le problème d'utiliser les adresses privées vient de leur définition, : pas de routage sur Internet. Il a donc fallu trouver des solutions pour permettre à ceux qui les utilisent de pouvoir communiquer vers l'extérieur. Des mécanismes de traitement intermédiaires ont été mis en place, notamment la translation d'adresse (NAT) et la mise en place de proxys. L'objet de la première partie de ce site Web est de vous présenter ces deux mécanismes. Voyons donc d'abord la translation d'adresse.

6 III) [NAT] III.1) Principe Général La NAT (Network Adress Translation) est un système utilisé quand on souhaite connecter un réseau consitué de machines posédant des adresses privées à Internet. Le protocole NAT est implémenté sur des routeurs. Ce protocole repose sur IP. Nous présenterons ici le mécanisme de base de la NAT, il existe aujourd'hui des mécanismes beaucoup plus évolués. En effet, une station de travail du réseau (possédant une adresse privée) qui souhaite communiquer vers l'extérieur enverra les données à transmettre vers son routeur par défaut (routeur définit dans la configuration de la machine ou obtenu par DHCP). Le routeur aura donc pour mission de transmettre la demande à l'extérieur, de récupérer la réponse et de la transmettre à la station qui a fait la requête. Pour ce faire, il met en oeuvre la NAT. Trois types de NAT peuvent être utilisés : la NAT statique, la NAT dynamique et la NAT multiple. Voyons dans un premier temps la NAT statique. Son fonctionnement plus simple nous permettra de comprendre plus facilement les autres mécanismes. III.2) NAT Statique et dynamique Le principe de NAT statique et dynamique est très simple et très proche. Voyons dans un premier temps la NAT statique. NAT Statique Son principe est d'associer une adresse IP interne (privée) à une adresse IPpublique. Son fonctionnement est très simple : Lorsque A fait une requête sur le serveur Web : La station A envoie à son routeur par défaut le message en précisant, comme pour toute communication, son adresse IP : IPa (privée) comme adresse source et l'adresse IP du serveur Web : Ipweb comme adresse destination. Le routeur NAT qui reçoit ce datagramme regarde dans sa table et voit qu'à l'adresse privée IPa est associée l'adresse publique (ou virtuelle) IPpub. Il modifie donc le message pour intégrer comme adresse source l'adresse IPpub et fait suivre le message sur son

7 interface connectée à Internet. Le serveur Web recevra donc un message de requête provenant de l'adresse IPpub. Le schéma suivant reprend la vie du message lors de cette phase d'envoi de requête. Une fois que le serveur Web a traité la requête, il doit envoyer la réponse. Voici le cheminement du mesage : Le serveur Web crée sa réponse et l'encapsule dans un datagramme IP avec comme adresse source la sienne : Ipweb et comme adresse destination l'adresse inscrite dans la requête, c'est à dire IPpub. Ce message est donc envoyé et reçu par notre routeur NAT qui reconnaît IPpub comme une adresse ne correspondant pas à une adresse de son réseau mais devant être translatée pour continuer son chemin. Il regarde donc de nouveau sa table de correspondance NAT et constate qu'à l'adresse publique IPpub est associée l'adresse privée IPa. Il modifie le message et le transmet sur le réseau local où la machine A est connectée. Le schéma ci dessous vous résume les étapes décrites.

8 Avec ce système, une station interne aura toujours, lorsqu'elle souhaite se connecter à Internet, la même adresse IP publique. La NAT dynamique La NAT dynamique fonctionne sur le même principe que la NAT statique mis à part que l'adresse publique qui sera attribuée à la station A (station en adressage privé) ne sera pas toujours la même. Cette adresse sera choisie dans un "pool d'adresses" à la disposition du routeur et donnée pour un temps défini. L'adresse obtenue par A sera potentiellement à chaque fois différente. Mais une fois toutes les adresses du pool utilisées, les stations qui feront la demande d'une adresse publique ne pourront pas être satisfaites, il faut donc trouver encore une autre solution permettant de satisfaire tous les utilisateurs. Cette solution peut âr exemple êter la NAT multiple ou PAT. Voyons ceci. III.3) NAT multiple La NAT multiple Ce que l'on appelle communément NAT dynamique est en fait la mise en place d'une autre translation : la translation de port ou PAT (Port Adresse Translation). Ce protocole s'appuyant sur UDP est lui aussi implémenté sur les routeurs en complément de la translation d'adresse. Principe : La translation de port permet d'associer une même adresse IP

9 publique à plusieurs adresses IP privées en jouant sur les ports de connexion. Ainsi, plusieurs machines pourront se connecter en même temps à Internet alors que le routeur ne dispose que d'une adresse publique. Prenons comme exemple une situation où deux machines du réseau local souhaitent aller visiter un site Internet en même temps. La première : A, qui possède l'adresse IP IPa, initialise la connexion en choisissant au hasard le port source Porta. Au même instant, la machine B fait la même démarche, elle initialise la connexion en prenant comme port source (choisi de façon aléatoire) le port Portb. Nous allons nous placer dans le cas le plus défavorable, par manque de chance les deux machines A et B ont choisi le même numéro de port (Porta=Portb)... Voyons ce qui se passe au niveau du routeur NAT/PAT : Le routeur reçoit les deux demandes de connexion en même temps. Il va donc regarder dans sa table l'adresse IP source, le port source et l'adresse publique allouée (la seule à sa disposition). Il continue donc à faire suivre le paquet de la machine A sur Internet avec les caractéristiques suivantes = IPpub, port src = Porta... Le paquet provenant de B arrive lui aussi au routeur, le routeur fait de même qu'avec A, il note dans sa table qu'à l'adresse source IPb et numéro de port Portb est associé l'adresse Ip publique IPpub avec le port Portb... Mais, lors de l'arrivée des réponses en provenance du Web, le routeur qui reçoit un paquet : IPpub et port dest Porta (=Portb) ne saura pas à qui l'envoyer... Avec ce mécanisme, il serait possible que le routeur lance des connexions vers l'extérieur avec le même numéro de port, connexions qu'il n'arriverait plus à distinguer par la suite... C'est pour celà que lorsqu'une demande de connexion arrive, le routeur, en plus de changer l'adresse IP source contenue dans le paquet, va aussi modifier le port source en en choisissant un lui même. De cette manière, il ne choisira jamais deux fois le même numéro en même temps, il pourra donc bien suivre toutes les connexions en même temps. Voici donc un schéma synthétisant le fonctionnement de la translation de port: Lors de l'envoi de requêtes :

10 Lors de la réponse à la requête : Les mécanismes de NAT et PAT sont très liés, ils ont le même but, voyons en maintenant une comparaison :

11 III.4) Comparaison et problèmes Comparaison NAT statique et NAT dynamique NAT statique NAT dynamique NAT multiple (PAT) 1 adresse IP publique par machine du réseau local Machines accessibles par l'extérieur Gestion plus facile, on sait qui a quelle adresse IP publique 1 pool d'adresses publiques pour un réseau complet Initialisation des connexions TCP uniquement par l'intérieur Une fois que toutes les adresses du pool sont utilisées, plus de connexion possible Problèmes pour ARP, FTP 1 seule adresse publique pour un réseau complet Initialisation des connexions TCP uniquement par l'intérieur L'idéal serait donc de pouvoir coupler ces sytèmes pour n'en garder que les avantages, ce qui est bien évidemment possible, voici comment faire : Couplage NAT et PAT Sur un réseau, toutes les machines n'ont pas les mêmes besoins en terme de connexion à Internet, d'établissement de connexion par l'extérieur etc... Ainsi, il est possible d'implémenter les deux systèmes sur le routeur NAT. Les machines devant être jointes de l'extérieur ou utilisant fréquemment des services comme FTP peuvent utiliser une NAT statique. Il peut s'agir par exemple de serveurs Web, fréquemment appelés. Pour les postes de simples utilisateurs, il est en général suffisant de faire de la PAT et donc ainsi économiser le nombre d'adresses publiques disponibles dans l'entreprise. Problèmes liés à la NAT Certains problèmes persistent quand même : Requêtes ARP : Lorqu'une requête ARP est à destination d'une machine "NATée", la requête se fait par l'adresse virutelle utilisée en dehors du réseau local. Or aucune machine du réseau ne possède cette adresse, c'est le routeur qui doit répondre à la place de la machine, on dit alors que le routeur fait "proxy ARP". Le proxy ARP est souvent implémenté automatiquement sur les routeurs,sinon il existe plusieurs solutions pour pallier à ce problème : mettre en place un mécanisme de proxy ARP sur la machine qui fait de la NAT statique, ajouter une entrée statique dans la table ARP du routeur Internet (pas le routeur NAT mais le suivant vers Internet) avec l'adresse MAC du routeur commande :

12 ICMP : La NAT multiple demande l'utilisation des ports TCP/UDP mais certains protocoles ne les utilisent pas, c'est par exemple le cas d'icmp, PPP ou Netbios. Par exemple ICMP, il se limite à la couche 3, il n'a donc pas de ports TCP/UDP. La plupart du temps, il faudra mettre en place une méthode spécifique pour permettre la NAT du trafic ICMP, il suffira de baser la translation sur l'identifiant de l'entête IP plutôt que sur les numéros de port. On peut donc se demander pourquoi ce mécanisme, plus universel ne serait pas mis en place pour toutes les translations... Mais il existe maintenant une solution à ce problème, il s'agit du tracking de paquets ICMP. Ce mécanisme permet entre autres d'utiliser le procole ICMP avec la translation d'adresses. le tracking de paquets ICMP est un module compris dans un mécanisme de NAT évolué tel que "Masquerading". FTP : FTP est un protocole qui utilise deux connexions en parallèle, la première pour le contrôle de la connexion et la seconde pour le transfert des données. FTP fonctionne selon deux modes : passif (connexions initialisées de l'extérieur) ou mode actif (la demande de données vient de l'extérieur).cette seconde possibilité empêche de faire de la NAT dynamique. De plus, le protocole FTP contient des informations concernant les machines et donc celà pose problème si les adresses de ces machines sont translatées. Il faut alors utiliser un module capable de lire les informations contenues dans les données FTP ou utiliser un proxy FTP qui sera capable de suivre la connexion et de modifier les données FTP rendant ainsi la connexion possible. Ce type de module est également disponible dans le mécanisme de "masquerading" et il peut ête activé ou non selon l'utilisation. VPN : Les réseaux privés virtuels (VPN) utilisent une communiaction via un tunnel. Le contenu des messages qui transitent dans ce tunnel est crypté, y compris l'entête IP du message (protocole IPsec). Ainsi, il n'est plus possible, une fois le message crypté, de trouver en clair l'adresse IP de l'émetteur ainsi que le port source, il n'est donc pas non plus possible de les modifier. Il est donc difficile de faire de la translation d'adresse dans un VPN. La solution est très simple, elle consiste à translater l'adresse avant de crypter le message IP. Là aussi, des mécanismes évolués tels que le "masquerading" permettent de résoudre le problème. Certains problèmes renconctrés avec la translation d'adresses ne le sont pas avec l'utilisation des proxys, voyons donc comment les proxys fonctionnent.

13 IV) Proxy IV.1) Principe de fonctionnement du proxy Le proxy fonctionne au niveau applicatif. Il est utilisé comme mandataire par des machines présentes sur un réseau, n'ayant pas d'accès direct à l'extérieur et souhaitant s'y connecter pour une application donnée. Comme pour les routeurs, le nom du serveur proxy doit être configuré, pour chaque type d'application, sur les machines clientes. Il peut alors s'agir de proxy HTTP, FTP, ARP etc... Afin de bien comprendre comment tout celà fonctionne, prenons comme exemple l'architecture réseau suivante avec un proxy HTTP. Exemple 1 : La station A veut consulter le site Web Interne Voici, vus de la machine A les mécanismes mis en place : Résolution DNS pour le serveur WebInterne Connexion TCP de A vers le serveur WebInterne A vers WebInterne : requête http GET URL index.htm WebInterne vers A : envoi du contenu de index.htm Ici, le serveur WebInterne communique donc directement avec la station A.

14 Exemple 2 : La station A veut consulter le site Web Externe La machine A ne peut pas se connecter directement à Internet, elle regarde donc dans sa configuration et voit qu'elle doit passer par le proxy Voici, tout d'abord vus de la machine A les mécanismes mis en place : Résolution DNS pour le serveur ProxyHttp Connexion TCP de A vers le ProxyHttp A vers ProxyHttp : requête http GET URL WebExterne/index.htm ProxyHttp vers A : envoi du contenu de WebExterne/index.htm Voici ensuite, vus du proxy les mécanismes mis en place : Connexion TCP de A A vers ProxyHttp : requête http GET URL WebExterne/index.htm Connexion TCP de ProxyHttp vers WebExterne ProxyHttp vers WebExterne GET URL index.htm WebExterne vers ProxyHttp envoi du contenu de index.htm Proxy vers A envoi du contenu de WebExterne/index.htm Nous voyons donc ici que la station A ne communique jamais directment avec le WebExterne (pas de connexion TCP entre A et le serveur WebExterne. En règle génrérale, on profite du proxy pour lui adjoindre des fonctionnalités spéciales. Nous allons donc voir quels services peuvent lui être ajoutés. IV.2) Services ajoutés au proxy Comme nous venons de la voir, le proxy est simplement un intermédiaire de connexion entre une station du réseau local et des stations placées sur d'autres réseaux. Néanmoins, des options lui sont souvent associées, en voici quelques-unes : Proxy-Cache Très souvent, un cache est installé sur les proxys. Le cache est une mémoire installée sur les proxys lui permettant de conserver dans sa propre mémoire le contenu des requêtes qui ont déjà été effectuées. Le serveur de cache, avant de se connecter au réseau externe pour relayer la demande de son client interne, détermine s il peut satisfaire la demande du client avec son cache. Un serveur Proxy utilisant le cache place une copie des objets téléchargés dans le cache et associe à ces objets une durée de vie. Pendant toute sa durée de vie, toutes les demandes pour cet objet seront satisfaites par le cache. Quand la durée de vie de cet objet est passée, le prochain client qui demandera cet objet en recevra un tout nouveau reçu du réseau externe. Si le cache du Proxy est plein, le serveur Proxy élimine les objets de son cache suivant

15 certains critères tels que l'âge, l utilisation et la taille. Il est possible de paramètrer le cache afin de donner un temps de validité limité aux pages stockées. Ceci donne donc l'avantage d'économiser la bande passante disponible pour toute l'entreprise et aussi les coûts de connexion à Internet si l'entreprise ne dispose pas d'une connexion permanente à Internet. L'utilisation d'un proxy-cache a quand même des inconvénients. Le premier est que le serveur qui héberge le cache doit avoir de bonnes performances afin de ne pas trop ralentir les requêtes, de plus, le passage dans ce serveur peut provoquer un goulet d'étranglement au niveau du réseau (le temps de traitement des requêtes adressées au proxy n'est pas négligeable). Il est néanmoins possible de placer plusieurs proxys en parallèle afin de leur répartir la charge. Proxy-Authentification Le fait de relier un serveur proxy à un mécanisme d'authentification permet de ne donner l'accès à Internet qu'à certaines personnes autorisées à qui on distribue un login et un mot de passe. On évite ainsi que toute l'entreprise ait accès à Internet si les personnes qui en ont besoin sont très rares. On peut aussi profiter de ce mode de fonctionnement pour répartir les frais de la connexion à Internet en donnant un mot de passe par service et ainsi on calcule le trafic inhérent à chaque service pour redistribuer les coûts. Proxy Anonyme Le proxy anonyme est utilisé pour permettre une conservation de la vie privée. En effet,lorsqu'une connexion Internet a lieu, des informations sur le système sont fournies au site Web. Des informations peuvent alors être utilisées pour suivre les mouvements de l'internaute. Afin d'éviter de divulguer des informations sur sa vie privée, il est possible de mettre en place des proxys anonymes. Ceux-ci détruisent les informations issues des entêtes des requêtes provenant d'un ordinateur spécifique. Afin de bénéficier d'un niveau de sécurité optimal, il est possible de chainer des proxys. Au lieu de saisir une demande de connexion à un site Internet de la façon suivante : on tape : ou Failles de sécurité Comme tout équipement, le proxy souffre de failles de sécurité. Même si les pirates les détectent plus vite que les administrateurs réseaux, il est préférable d'en connaître les principaux défauts.

16 La principale faille concerne la liste des utilisateurs autorisés à se connecter. En effet, si la liste est inexistante ou mal configurée, n'importe qui pourra venir s'y connecter pour aller de façon anonyme sur Internet. Il est relativement simple pour un hacker de se procurer sur Internet une liste de serveurs proxys et de leur configuration car certaines entreprises publient sans s'en rendre compte leur adresse de proxy et leur configuration. IV.3) Comparaison Proxy et NAT Les proxys et la translation d'adresse ont le même but, connecter des machines à Internet, mais quel système est-il préférable d'utiliser? Vaut-il mieux mettre en place la translation d'adresse ou utiliser des serveurs proxys? Selon les besoins de l'entreprise, chaque matériel peut avoir ses avantages et ses inconvénients, voici ce qui peut faire pencher la balance... Penchant sur les proxys : Le Proxy est dédié à une seule application, l'avantage est qu'il peut interpréter le contenu de ce qu'il voit passer et donc il évite des problèmes tels que l'utilisation du protocole FTP avec la NAT. Il est possible de mettre un cache sur un proxy, permettant ainsi de réduire significativement le trafic de l'entreprise vers l'extérieur si de nombreuses personnes se connectent souvent au même site. La bande passante est alors mieux utilisée. Avec les proxys, il est possible d'autoriser ou non l'accès à certaines ressources et il est possible d'avoir un bon contrôle de ce qui passe sur le réseau. Les proxys ne sont pas seulement utilisés quand l'entreprise possède un réseau en adresses privées, les services à valeur ajoutée proposés le rendent flexible.il peut donc être utilisé pour accroître quelque peu la sécurité sur un réseau. Penchant pour la NAT : La NAT est transparente pour les utilisateurs, c'est à dire que rien ne doit être configuré sur leurs postes pour que le système fonctionne. Elle est indépendante des applications utilisées, si une nouvelle application apparait, elle peut tout de suite communiquer vers l'extérieur, il n'est pas nécessaire d'installer un nouveau proxy. Maintenant que la connexion à Internet est assurée, il faut voir comment se protéger des malveillances qui peuvent provenir de l'extérieur. Pour celà, étudions les firewalls.

17 V) Firewall V.1) Principe général Selon la définition de Cheswick et Bellovin, un firewall (ou pare-feu en français) est un ensemble de composants placé entre deux réseaux ayant les propriétés suivantes : Tout le trafic transitant entre les deux réseaux passe nécessairement par le firewall Seul le trafic explicitement autorisé par la politique de sécurité appliquée localement est autorisé à passer au travers du firewall Le firewall est immunisé contre toute intrusion. Il s'agit donc ici de contrôler tout ce qui se passe à l'interconnection des deux réseaux et de garantir que l'équipement réalisant ce contrôle ne peut pas lui-même être attaqué afin de modifier ses règles de filtrage. Les notions de NAT et de proxy vues précédemment aideront largement à la compréhension du fonctionnement des firewalls puisque ces mécanismes y sont utilisés. Deux principaux types de firewalls existent, les filtres de paquets et les passerelles applicatives, ceci fera l'objet de la suite de ce site. Il faut néanmoins noter qu'il ne suffit pas de mettre en place un firewall pour se prémunir de toutes les attaques sur un réseau, une politique de gestion de la sécurité doit être définie, surveillée et mise à jour régulièrement, n'oublions pas que la machine ne fera que ce que l'homme (la femme) lui aura demandé de faire! Voyons donc comment se définit une politique de sécurité. V.2) Politique de sécurité Stratégies de configuration d'un firewall Deux grandes stratégies sont utilisées pour configurer les firewalls : Tout ce qui n'est pas explicitement interdit est autorisé Tout ce qui n'est psa explicitement permis est interdit. La seconde règle est la plus utilisée, elle permet en effet de limiter les failles de sécurité dues à des oublis ou à de nouvelles sortes d'attaques. Elle est néanmoins longue à mettre

18 en place et à appliquer. c'est celle qui est la plus souvent choisie. Un langage de définition des politiques de sécurité a été créé afin de définir les règles de filtrage. Il a été étudié à l'ietf et peut se résumer comme suit : SI <condition> ALORS <action> La condition reprend un critère de sélection (par exemple l'adresse IP source) en relation avec un opérateur et une catégorie d'utilisateurs. Les opérateurs sont les suivants : IN, NOT IN, EQUALS, GREATER THAN, GREATER THAN OR EQUAL TO, LESS THAN, LESS THAN OR EQUAL TO. Les actions sont PERMIT (trafic autorisé) et DENY (trafic interdit). Il existe également une action REJECT qui, en plus de refuser le passage du paquet, avertit l'émetteur que son paquet a été détruit. Cette action est très peu utilisée car elle peut donner des informations à l'éventuel intru, on préfèrera donc utiliser DENY. Différents types de firewalls dans la suite de ce document, vous connaitrez les deux principaux types de firewall, leurs fonctionnalités, leur mise en place et leurs protections. Le filtre de paquets La passerelle applicative V.3) Filtres de paquets Il filtre le trafic des données au niveau des couches réseau et transport (niveaux 3 et 4 du modèle OSI). Le filtrage est principalement réalisé en fonction des critères suivants : Numéros de protocole Adresses IP source et destination Numéros de ports sources et destinations Drapeaux de connexion TCP Grâce aux numéros de port, il est possible d'effectuer un filtrage en fonction des services proposés car il existe une correspondance entre les numéros de ports et les services associés. Néanmoins, ceci n'est pas tout à fait satisfaisant car des numéros de port non réservés existent et peuvent être utilisés sans être filtrés. Il faut donc bien faire l'inventaire

19 des ports utilisés par les applications de l'entreprise et veiller à n'ouvrir que ces ports. Dans le cas du filtrage par paquets, le firewall ne prête aucune attention aux données véhiculées sur le réseau. De ce fait, il ne peut s'agir que d'une maille dans le système de sécurité et il ne constitue en lui même pas un rempart suffisant. 2 types de filtres de paquets : Filtre sans Etat : Il ne garde en mémoire aucun contexte, il traite de façon identique tous les paquets IP qu'il voit passer, c'est à dire qu'il analyse l'entête IP selon ses règles de filtrage. C'est le type de filtre de paquet le plus couramment utilisé. Filtre avec Etat : Le premier paquet d'une communication IP est analysé selon les règles de filtrage. L'action réalisée (DENY ou PERMIT) est gardée en mémoire. Les paquets suivants faisant partie de la même communication seront traités avec la même action. En règle générale, les filtres de niveau paquet offrent de très bonnes performances en terme de temps de traitement, par contre, ils ne savent pas comprendre ce qui circule dans la partie "donnée" des messages ce qui peut être également dangereux. Pour ce faire, les passerelles applicatives ont été créées. V.4) Les Passerelles La passerelle agit de la couche transport à la couche application du modèle OSI. Ici, le firewall effectue un filtrage plus ou moins fin sur les données échangées entre deux réseaux, pour un service TCP/IP particulier. La passerelle sera donc placée sur le même réseau que le client qui devra obligatoirement passer par elle pour se connecter à l'extérieur. Ainsi, deux connexions TCP doivent être prises en compte : une connexion du client vers la passerelle applicative et une autre de la passerelle applicative vers l'extérieur. Dans ce cas, le firewall effectue un contrôle pour voir s'il autorise ou non le transit des paquets sur ces connexions. Le firewall va alors chercher dans ses règles de fonctionnement pour savoir s'il doit relayer le trafic ou le bloquer.

20 Il existe deux principaux types de passerelles, les passerelles de niveau circuit et les passerelles applicatives. Elles sont en général regroupées sous le terme générique de "passerelles applicatives" mais ne fonctionnent en fait pas de la même manière : Passerelles de niveau circuit : Dans ce cas, le client effectue une connexion TCP vers la passerelle pour demander sa connexion au serveur. La passerelle peut effectuer des contrôles relatifs permettant : de contrôler l'adresse IP d'un client, d'autoriser pour une durée maximale fixée les communications sur un port donné de permettre la réutilisation d'un même port seulement après un délai fixé d'authentifier un terminal Ici, une seule passerelle peut être mise en oeuvre pour toutes les applications basées sur TCP/IP. Dans ce type de configuration, il est nécessaire de modifier la configuration de la pile TCP/IP du client afin de forcer le client à se connecter via la passerelle. Passerelles Applicatives : Il s'agit en fait ici de mettre en oeuvre le mécanisme de proxy

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

La Translation d'adresses. F. Nolot

La Translation d'adresses. F. Nolot La Translation d'adresses F. Nolot 1 Introduction Adressage internet sur 32 bits : a peu près 4 milliards d'adresses Découpage en classes réduit ce nombre Le nombre de machines sur Internet pourrait atteindre

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS INFO PPE 4 Firewall Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le réseau de M2L. Ce projet s'appuiera sur le logiciel

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

1 Généralités sur les réseaux informatiques. 2 Organisation de l'internet. 3 Les services de l'internet. 4 Les protocoles TCP IP

1 Généralités sur les réseaux informatiques. 2 Organisation de l'internet. 3 Les services de l'internet. 4 Les protocoles TCP IP 1 sur les réseaux informatiques 2 Organisation de l'internet 3 Les services de l'internet 4 Les protocoles TCP IP 5 Moyens de connexion à l'internet 6 Sécurité sur l'internet 89 4 Les protocoles TCP IP

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage. TD réseau - Réseau : interconnexion de réseau Réseau : Interconnexion de réseaux, routage et application de règles de filtrage. Un réseau de grande importance ne peut pas seulement reposer sur du matériel

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Réseaux et Télécommunication Interconnexion des Réseaux

Réseaux et Télécommunication Interconnexion des Réseaux Réseaux et Télécommunication Interconnexion des Réseaux 1 Concevoir un réseau Faire évoluer l existant Réfléchir à toutes les couches Utiliser les services des opérateurs (sous-traitance) Assemblage de

Plus en détail

Table des matières 1 NAT et ICS sous Windows 2008 Server...2 1.1 Introduction...2

Table des matières 1 NAT et ICS sous Windows 2008 Server...2 1.1 Introduction...2 Table des matières 1 NAT et ICS sous Windows 2008 Server...2 1.1 Introduction...2 1.2 Fonctionnement du NAT...3 1.3 Port Forwarding...5 2011 Hakim Benameurlaine 1 1 NAT et ICS sous Windows 2008 Server

Plus en détail

Cours de Réseau et communication Unix n 6

Cours de Réseau et communication Unix n 6 Cours de Réseau et communication Unix n 6 Faculté des Sciences Université d Aix-Marseille (AMU) Septembre 2013 Cours écrit par Edouard Thiel, http://pageperso.lif.univ-mrs.fr/~edouard.thiel. La page du

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Installation d un serveur DHCP sous Gnu/Linux

Installation d un serveur DHCP sous Gnu/Linux ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Installation d un serveur DHCP sous Gnu/Linux DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Installation

Plus en détail

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1). Chapitre 5 Protocoles réseaux Durée : 4 Heures Type : Théorique I. Rappel 1. Le bit Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1). 2. L'octet C'est un ensemble de 8 bits.

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

VoIP et NAT VoIP et NAT 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau VoIP et "NAT" VoIP et "NAT" Traduction d'adresse dans un contexte de Voix sur IP 1/ La Traduction d'adresse réseau("nat") 3/ Problèmes dus à la présence de "NAT" 1/ La Traduction d'adresse réseau encore

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes.

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes. 1 2 Deux groupes guident les évolutions de l Internet : un groupe de recherche, l IRTF (Internet Research Task Force) un groupe de développement, l IETF (Internet Engineering Task Force) ; travaille sur

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation

Plus en détail

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires

Plus en détail

Les menaces informatiques

Les menaces informatiques Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une «attaque» est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

Configurer ma Livebox Pro pour utiliser un serveur VPN

Configurer ma Livebox Pro pour utiliser un serveur VPN Solution à la mise en place d un vpn Configurer ma Livebox Pro pour utiliser un serveur VPN Introduction : Le VPN, de l'anglais Virtual Private Network, est une technologie de Réseau Privé Virtuel. Elle

Plus en détail

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall? TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

TAGREROUT Seyf Allah TMRIM

TAGREROUT Seyf Allah TMRIM TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I. LA MISSION Dans le TP précédent vous avez testé deux solutions de partage d une ligne ADSL de façon à offrir un accès internet à tous vos utilisateurs. Vous connaissez

Plus en détail

Sécurité des Systèmes d Information. CM2: Implémentation concrète de la sécurité

Sécurité des Systèmes d Information. CM2: Implémentation concrète de la sécurité Sécurité des Systèmes d Information CM2: Implémentation concrète de la sécurité Sommaire 1. Les stratégies de sécurité 2. Les outils et technologies 3. La sécurité périmétrique 4. Les antix 2 Sommaire

Plus en détail

Chapitre 1 Comment se connecter à Internet... 13

Chapitre 1 Comment se connecter à Internet... 13 Chapitre 1 Comment se connecter à Internet... 13 1.1 Adresse IP permanente ou temporaire... 16 1.2 Débit d une connexion... 16 1.3 Utilisation occasionnelle (RTC, Numéris)... 20 RTC... 20 RNIS... 24 1.4

Plus en détail

Routeur VPN Cisco RV180

Routeur VPN Cisco RV180 Fiche technique Routeur VPN Cisco RV180 Une connectivité sécurisée et hautement performante à un prix abordable. Donnée 1. Routeur VPN Cisco RV180 (vue avant) Principales caractéristiques Des ports Gigabit

Plus en détail

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX Guide de connexion à RENAULT SA et PSA PEUGEOT CITROËN via ENX Mise en œuvre de votre raccordement à RENAULT SA et/ou PSA PEUGEOT CITROËN via ENX Version française du 31/10/2014 1 Table des matières 1

Plus en détail

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services Oléane VPN : Les nouvelles fonctions de gestion de réseaux Orange Business Services sommaire 1. Qu'est-ce que la fonction serveur/relais DHCP? Comment cela fonctionne-t-il?...3 1.1. Serveur DHCP...3 1.2.

Plus en détail

MAUREY SIMON PICARD FABIEN LP SARI

MAUREY SIMON PICARD FABIEN LP SARI MAUREY SIMON PICARD FABIEN LP SARI FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE TRAVAUX PRATIQUES 4 TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 1 SOMMAIRE 1. INTRODUCTION 2. MATERIEL

Plus en détail

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse

Plus en détail

Technique de défense dans un réseau

Technique de défense dans un réseau Technique de défense dans un réseau Projet présenté dans le cadre des Bourses d'excellence ASIQ 2011-2012 Présenté par : Frédérik Paradis fredy_14@live.fr Gregory Eric Sanderson gzou2000@gmail.com Louis-Étienne

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM Copyright TECH 2012 Technext - 8, avenue Saint Jean - 06400 CANNES Société - TECHNEXT France - Tel : (+ 33) 6 09 87 62 92 - Fax :

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

SOMMAIRE Thématique : Réseaux et télécommunications

SOMMAIRE Thématique : Réseaux et télécommunications SOMMAIRE Thématique : Réseaux et télécommunications Rubrique : Réseaux - Télécommunications... 2 1 SOMMAIRE Rubrique : Réseaux - Télécommunications Evolution et perspective des réseaux et télécommunications...

Plus en détail

Installation VPN Windows 2003 serveur

Installation VPN Windows 2003 serveur Installation VPN Windows 2003 serveur 1. Utilité d'un VPN au sein de Tissea SARL 1.1. Présentation Un réseau privé virtuel (VPN) est un moyen pour se connecter à un réseau privé par le biais d'un réseau

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Réseaux locaux virtuels : VLAN

Réseaux locaux virtuels : VLAN Réseaux locaux virtuels : VLAN I. Historique Les premiers réseaux Ethernet (on se situe donc en couche 2) étaient conçus à base de câbles coaxiaux raccordés entre eux et connectés aux ordinateurs, si bien

Plus en détail

Comment communiquer efficacement des informations entre les systèmes et/ou les humains?

Comment communiquer efficacement des informations entre les systèmes et/ou les humains? Sciences et Technologies de l Industrie et du Développement Durable Réseaux et internet CI0 : transmission de l'information cours Tle STI2D TRANS Comment communiquer efficacement des informations entre

Plus en détail

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) Nom du routeur Type de routeur Adresse FA0 Adresse FA1 Adresse S0 Adresse S1 Masque de sousréseau Routage Mot de passe enable Mot

Plus en détail

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 Table des matières CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 COMMUTATEUR... 2 ROUTEUR... 2 FIREWALL... 2 VLAN... 2 Types de VLAN :...2 Intérêt des VLAN...3 VPN... 3 DMZ... 3 DECT... 3 DATACENTER...

Plus en détail

Les Réseaux. Par THOREZ Nicolas

Les Réseaux. Par THOREZ Nicolas Les Réseaux Par THOREZ Nicolas V - Description des protocoles de la couche Internet @ et MSR L'adresse est l'adresse d'un poste sur un réseau. Elle est noté pas une suite de 4 nombres décimaux compris

Plus en détail

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier Plan 1. ARP 2. DHCP 3. ICMP et ping 4. DNS 5.Paquet IPv4 1.

Plus en détail

Protocole TCP/IP. On classe généralement les protocoles en deux catégories selon le niveau de contrôle des données que l'on désire :

Protocole TCP/IP. On classe généralement les protocoles en deux catégories selon le niveau de contrôle des données que l'on désire : Nom.. Prénom.. Protocole TCP/IP Qu'est-ce qu'un protocole? Un protocole est une méthode de codage standard qui permet la communication entre des processus s'exécutant éventuellement sur différentes machines,

Plus en détail

Plan. 1. Introduction. 1.1 Notion de réseau. Réseau extrémité. Le cœur du réseau. Les Protocoles de Télécommunications Evolution Internet Cours de DEA

Plan. 1. Introduction. 1.1 Notion de réseau. Réseau extrémité. Le cœur du réseau. Les Protocoles de Télécommunications Evolution Internet Cours de DEA Plan Les Protocoles de Télécommunications Evolution Internet Cours de DEA Isabelle CHRISMENT ichris@loria.fr Introduction Routage dans l Internet IPv6 Communication de groupes et l Internet x sans fils,

Plus en détail

Les systèmes pare-feu (firewall)

Les systèmes pare-feu (firewall) Copyright (c) 2003 tv Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published

Plus en détail

Réseaux - Cours 4. IP : introduction et adressage. Cyril Pain-Barre. version du 18/2/2013. IUT Informatique Aix-en-Provence

Réseaux - Cours 4. IP : introduction et adressage. Cyril Pain-Barre. version du 18/2/2013. IUT Informatique Aix-en-Provence Réseaux - Cours 4 : introduction et adressage Cyril Pain-Barre IUT Informatique Aix-en-Provence version du 18/2/2013 1/34 Cyril Pain-Barre : introduction et adressage 1/26 TCP/ l architecture d Internet

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

M1 Informatique 2015/16. E. Godard. Couche Réseau IPv4

M1 Informatique 2015/16. E. Godard. Couche Réseau IPv4 Réseaux M1 Informatique 2015/16 E. Godard Aix-Marseille Université Couche Réseau IPv4 Introduction Vous êtes Ici - Partie 1 Vous êtes Ici - Partie 1 7 OSI Application TCP/IP Application 6 5 Presentation

Plus en détail

Enseignement transversal Réseaux Informatiques fonctionnant sous I.P. INTRODUCTION

Enseignement transversal Réseaux Informatiques fonctionnant sous I.P. INTRODUCTION INTRODUCTION «Tous les deux jours, nous produisons autant d informations que nous en avons générées depuis l aube de la civilisation jusqu en 2003» Une estimation d'eric Schmidt, patron de Google, lors

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau : DHCP TP Le protocole DHCP (Dynamic Host Configuration Protocol) est un standard TCP/IP conçu pour simplifier la gestion de la configuration d'ip hôte. DHCP permet d'utiliser des serveurs pour affecter

Plus en détail

Sécurité GNU/Linux. Virtual Private Network

Sécurité GNU/Linux. Virtual Private Network Sécurité GNU/Linux Virtual Private Network By ShareVB Sommaire I.Le concept de réseau privé virtuel...1 a)introduction...1 b)un peu plus sur le fonctionnement du VPN...2 c)les fonctionnalités du VPN en

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Les réseaux informatiques

Les réseaux informatiques Les réseaux informatiques Support de formation réalisé dans le cadre du convoi Burkina Faso de Septembre 2007 Ce document est largement inspiré de: http://christian.caleca.free.fr/ Table des matières Objectifs......3

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SECURITE DES DONNEES 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Table des matières 1. INTRODUCTION... 3 2. ARCHITECTURES D'ACCÈS À DISTANCE... 3 2.1 ACCÈS DISTANT PAR MODEM...

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Installation d'un serveur DHCP sous Windows 2000 Serveur

Installation d'un serveur DHCP sous Windows 2000 Serveur Installation d'un serveur DHCP sous Windows 2000 Serveur Un serveur DHCP permet d'assigner des adresses IP à des ordinateurs clients du réseau. Grâce à un protocole DHCP (Dynamic Host Configuration Protocol),

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Table des matières. Formation Iptables

Table des matières. Formation Iptables Table des matières 1.COURS...2 1.1.Mise en situation...2 1.2.Que puis je faire avec iptables/netfilter?...3 1.3.Qu'est ce qu'une chaîne?...3 1.4.Comment placer une règle dans une chaîne?...5 2.TP IPTABLES...6

Plus en détail

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage: Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan

Plus en détail

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas FACILITER LES COMMUNICATIONS Le gestionnaire de réseau global de Saima Sistemas Afin d'améliorer le service proposé à ses clients, SAIMA SISTEMAS met à leur disposition le SAIWALL, gestionnaire de réseau

Plus en détail

2. DIFFÉRENTS TYPES DE RÉSEAUX

2. DIFFÉRENTS TYPES DE RÉSEAUX TABLE DES MATIÈRES 1. INTRODUCTION 1 2. GÉNÉRALITÉS 5 1. RÔLES DES RÉSEAUX 5 1.1. Objectifs techniques 5 1.2. Objectifs utilisateurs 6 2. DIFFÉRENTS TYPES DE RÉSEAUX 7 2.1. Les réseaux locaux 7 2.2. Les

Plus en détail

Tutoriel d'introduction à TOR. v 1.0

Tutoriel d'introduction à TOR. v 1.0 Tutoriel d'introduction à TOR. v 1.0 1. Qu'est-ce que TOR 2. Quel est le principe de fonctionnement de TOR? 3. Comment utiliser TOR pour naviguer anonymement? 4. Comment aider (en seulement quelques clics)

Plus en détail