Partie III : Défense & parades Techniques, Moyens & Outils de sécurité

Dimension: px
Commencer à balayer dès la page:

Download "Partie III : Défense & parades Techniques, Moyens & Outils de sécurité"

Transcription

1 Plan chapitre 3 : Les techniques de défense 1. Conseils 1.1. Règles de base Partie III : Défense & parades Techniques, Moyens & Outils de sécurité 06/12/07 Anas Abou El Kalam - Outils sécurité La veille en sécurité Les outils de sécurité 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de sécurité 06/12/07 Anas Abou El Kalam - Outils sécurité 2 Qlq chiffres Qlq chiffres 06/12/07 Anas Abou El Kalam - Outils sécurité 3 06/12/07 Anas Abou El Kalam - Outils sécurité 4

2 Conseils Protection des pwd Verrouillez les stations Protéger les accès, sécurité physiques, cadenas,... Désactiver le boot sur le lecteur de disquette et sur le lecteur de CDROM. Linux : Evitez d'avoir option failsafe au démarrage proposé par Lilo (LInux Loader) Cette option peut permettre d'obtenir les accès root (sans mot de passe) pour la maintenance du système. Windows : Le système de fichier NTFS permet une sécurisation accrue par rapport aux systèmes de fichier FAT et FAT 32. Windows 95, 98 et Me : niveau de sécurité très bas Protéger l'accès du BIOS par un mot de passe! Limitation programmes s'exécutant avec droits administrateur répérer les programmes s'exécutant avec les droits administrateur. Ainsi, vous pouvez changer leurs droits pour qu'ils ne deviennent pas un point critique pour la vulnérabilité du système. # find / -perm liste prog s'exécutant avec droits administrateur 06/12/07 Anas Abou El Kalam - Outils sécurité 5 L'attaque par dictionnaire Le programme utilise une liste de mots prédéfinis dans un fichier externe. Cette liste est appelée un dictionnaire ; ces mots sont la plupart du temps ceux provenant d'un dictionnaire contenant les mots du langage courant. Le programme les chiffre un par un et les compare au mot de passe stocké. Le brute forcing générer des mots de passe avec une suite aléatoire de caractères, les chiffrer et les comparer au mot de passe à découvrir. Tester la fiabilité de vos mots de passe! John te Ripper (www.openwall.com/john/) Programme libre Sous UNIX & Windows Supporte un grand nombre d'algos de chiffrement présente un important paramétrage des attaques. LophtCrack Dernières versions payantes, sous Windows ou sur Unix Cain Test fiabilité pwd (Sous Windows 9x, les pwd sont dispersés dans le répertoire racine de windows dans différents fichiers d'exention ".PWL" portant comme nom celui de l'utilisateur ou sous win.ini,...) 06/12/07 Anas Abou El Kalam - Outils sécurité 6 La veille : sites d'info dédiés à la sécurité Le réseau des Computer Emergency Response Teams publie des rapports sur toute nouvelle faille de sécurité. Ces équipes peuvent aussi fournir une assistance ne cas de piratage. Descriptions précises sur des nouvelles failles de sécurité; outils sécurité... CERT (www.cert.org) de l'université de Carnegie Mellon. CERT RENATER (http://www.renater.fr/spip.php?rubrique19/cert_renater.htm) Centre d'expertise gouvernemental de Réponse et de Traitement des Attaques informatiques (http://www.certa.ssi.gouv.fr/) Archives Bugtraq (http://www.bugtraq.com/) Bugtraq France (http://www.bugtraq-france.com/) Packet storm security ( packetstormsecurity.nl) SecurityFocus (www.securityfocus.com fournit un moteur de recherches thématique pratique pour lister les vulnérabilités liées à un logiciel 06/12/07 Anas Abou El Kalam - Outils sécurité 7 Outis de sécurité Evaluation & diagnoistic réseau Tcpdump (sniffer) - Ethereal (sniffer) - DSniff (sniffer) - Kismet (Wifi) - Airsnort (Wifi) - Nessus (scanner) - Nmap (scanner de ports) - john (mots de passe) - Surveillance & supervision Systèmes & Réseaux Logcheck - IPTraf - IPBand - Nagios - Netflow - Durcissement protocoles réseau TCP_wrapper - xinetd - Tiger - Bastille - 06/12/07 Anas Abou El Kalam - Outils sécurité 8

3 Outis de sécurité Authentification & autorisation Kerberos - LDAP - PAM - Radius - ACL - Chiffrement GnuPG - SSH - OpenSSL Kame/Racoon OpenSwan (IPSec) Gestion des droits & Firewalls IPFilter (FreeBSD) - PF (OpenBSD) - Netfilter (Linux) - IPFW - Outis de sécurité Proxys & contrôle de contenu Squid - Squidguard - DansGuardian - Delegate - Firewall-1 de CheckPoint Mwall de Matranet Amanda - Pix de CISCO Rsync (synchronisation) - Netwall d'evidian Netasq 06/12/07 Anas Abou El Kalam - Outils sécurité 9 HA - 06/12/07 Anas Abou El Kalam - Outils sécurité RAID AntiVirus & AntiSpams ClamAV (moteur), Mailscanner -Amavisd ( ), DansGuardian - SquidClam (navig), mod_clamav (serveur web), ClamWin (poste client), SpamAssassin - Razor - Sauvegardes & Redondance BackupExe - BackupPC - Bacula - Outis de sécurité Plan chapitre 3 IDS Snort (NIDS) - Prelude (NIDS) - AIDE - Tripwire - Filtrage niveau 7 / IDS proactifs l7-filter - Hogwash - flexresp / guardian - cf. Snort Les correctifs anti-débordement mémoire pour le noyau ++ outils complémentaires au noyau Linux permettent de limiter les possibilités d'exécution d'exploits utilisant les bogues de dépassement de mémoire (pile, tas). OpenWall [http://www.openwall.com] grsecurity [http://www.grsecurity.org/] Techniques de défense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de sécurité 06/12/07 Anas Abou El Kalam - Outils sécurité 11 06/12/07 Anas Abou El Kalam - Outils sécurité 12

4 La collecte d'information La collecte d'information : les scanners Mode de fonctionnement du pirate : Avant de mener une attaque, il repére les serveurs offrant des services non protégés. Pour obtenir ces infos, le pirate va utiliser un scanner. Le but de ce section est de savoir utiliser un scanner (e.g., NMAP) pour anticiper les futures attaques présenter des méthodes de protections contre le scan (en utilisant des règles de firewalling sous iptables/ipchains par exemple) Intérêt du scanner trouver dans délai très court, tous les ports ouverts sur une machine distante. Types de scanner certains se contentent juste de donner : la liste des ports ouverts, le type et la version de l'os tournant sur le serveur (e.g., Nmap) D'autres scanners comme Nessus permettent de tester différentes failles connues sur ces services. 06/12/07 Anas Abou El Kalam - Outils sécurité 13 06/12/07 Anas Abou El Kalam - Outils sécurité 14 Plan chapitre 3 Techniques de défense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. La collecte d'information : exemple avec map Utilisons Nmap pour connaître les services en écoute sur la machine IP /root]# nmap Starting nmap V. 2.54BETA31 ( ) Interesting ports on ( ) : (The 1544 ports scanned but not shown below are in state : closed) Port State Service 21/tcp open ftp 53/tcp open domain 80/tcp open http 110/tcp open pop-3 111/tcp open sunrpc 113/tcp open auth 631/tcp open cups 845/tcp open unknown 901/tcp open samba-swat 10000/tcp open snet-sensor-mgmt Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds. ==> Nmap donne un aperçu assez complet des services s'exécutant sur la machine dans un temps assez bref. ==> On peut observer dans l'exemple que des serveurs FTP, DNS, WEB, POP-3... sont en attente de connexion 06/12/07 Anas Abou El Kalam - Outils sécurité 15 06/12/07 Anas Abou El Kalam - Outils sécurité 16

5 La collecte d'info : comment marche map map : détermination OS Nmap envoie de paquets sur tous les ports de cette machine et analyse les réponses. Le scan vanilla TCP connect Nmap procède à l'appel de la fonction connect() sur tous les ports de la machine /root]# nmap [ip de la machine cible] ou /root]# nmap -st [ip de la machine cible] Ce type de scan est facilement repérable. Les scans furtifs Le scan en connexion demi-ouverte ou "Syn-scan" Nmap envoie sur chaque port un paquet TCP avec le flag SYN armé ; si 1 port est ouvert, il renverra un paquet avec flags SYN & ACK armés /root]# nmap -ss [adresse IP de la machine cible] Scan FIN envoi paquets TCP avec seulement le flag FIN armé. /root]# nmap -sf [adresse IP de la machine cible] Scan NULL envoi paquets TCP avec seulement le flag NULL armé. /root]# nmap -sn [adresse IP de la machine cible] Xmas scan (traduisez le scan de Noël) envoi paquets TCP avec les flags FIN/URG/PUSHV armés. Anas /root]# Abou El nmap Kalam -sx- Outils [adresse sécurité IP de la machine cible] 17 Pour FIN, NULL, Xmas : système répond avec paquet RST si port fermé et ne répond pas si port ouvert /root]# nmap -O Starting nmap 3.48 ( ) Interesting ports on ( ): (The 1647 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 113/tcp open auth 139/tcp open netbios-ssn 445/tcp open microsoft-ds 515/tcp open printer 587/tcp open submission 901/tcp open samba-swat Device type: general purpose Running: Linux 2.4.X OS details: Linux w/grsecurity.org patch Uptime days (since Tue Sep 2 15:20: ) Nmap run completed -- 1 IP address (1 host up) scanned in seconds ==> Nmap indique que la machine cible utilise un noyau Linux grsec 06/12/07 Anas Abou El Kalam - Outils sécurité 18 map : résumé options utiles -h help -ss Scan TCP SYN -st, pour scanner les ports TCP ouvert -su, pour scanner les ports UDP ouvert -O permet de connaître le système d exploitation qui tourne sur la cible -sv Détection version du service - p permet de spécifier un port spécifique. - v qui permet d avoir plus d informations. -F Scan rapide : seulement ports dans le fichier de services Nmap -P0 Scan sans ping La cible peut IP, classe d'ip : , réseau : nmap *, masque... Exemples Pour une utilisation classique : nmap Pour vérifier si le port du ftp est ouvert (port 21) : nmap p Pour connaître le système d exploitation de la cible : nmap O /12/07 Anas Abou El Kalam - Outils sécurité 19 Difficile de retenir toutes ces options ==> utiliser interface graphique nmapfe map : résumé options de log Option de logs -on -ox -og -sa --resume Exemples affichage écran (normal) log sous forme de fichier XML Log au format Grepable Tous formats de logs Résumé des scans à partir de normal (-on) ou grepable (-og) nmap -og MonLog.gnmap -ox MonLog.xml -os Nmap -sa Monlog Options de traces de packets --packet_trace Nmap affiche détails packets source/destination) --version_trace Un sous ensemble du cas 1), seulement détails sur service 06/12/07 Anas Abou El Kalam - Outils sécurité 20

6 map : fichiers Généralement dans /usr/share/nmap nmap.dtd DTD pour les fichiers logs XML de Nmap nmap.xsl Feuille de stype XML nmap-protocols Fichier texte avec mappage N protocole IP <--> nom nmap-services Fichier texte avec mappage N ports <--> service nmap-services-probes Liste de detection des versions des services map : intérêt & protection Intérêt pouvoir prévoir les futures attaques, pouvoir connaître quels services tournent sur une machine. Une installation faite un peu trop vite peut laisser des services en écoute (donc des ports ouverts sans que cela ne soit nécessaire) et donc vulnérables à une attaque. map : comment s'en protéger? Vérifiez que votre pare-feu (si ce n'est pas iptables) supporte la détection de scans. Configurer votre pare-feu pour empêcher les scans e.g., détecter l'envoi un grand nombre de paquets TCP avec les flags FIN et/ou SYN et/ou ACK et/ou RST arm é(s). iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 06/12/07 Anas Abou El Kalam - Outils sécurité 21 06/12/07 Anas Abou El Kalam - Outils sécurité 22 Plan chapitre 3 Techniques de défense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. 06/12/07 Anas Abou El Kalam - Outils sécurité 23 essus, c'est quoi? Nessus est disponible sous Linux et Windows, et il est entièrement gratuit. Nessus est un scanner de vulnérabilit é de scanner une ou plusieurs machines à la recherche des vulnérabilités : erreurs dans le code, backdoors... Fait des tests de pénétration (pen test) Injecter plusieurs attaques pour savoir si une ou plusieurs machines sont vulnérables Il produit un rapport étendu et propose même des solutions Nessus se compose de partie serveur (nessusd) contient BD vulnérabilités, en charge des attaques Client Sert d'ihm Processus L'utilisateur se connecte sur le serveur grâce au client Authentification utilisateur 06/12/07 Anas Abou El Kalam - Outils sécurité 24 L'utilisateur ordonne au serveur de procéder aux tests d'une ou plusieurs machines.

7 essus, installation Commencez par décompresser les sources des logiciels tar -xzvf /où_est/nessus-libraries tar.gz tar -xzvf /où_est/libnasl tar.gz tar -xzvf /où_est/nessus-core tar.gz tar -xzvf /où_est/nessus-plugins tar.gz Compilez et installez nessus-librairies : cd nessus-libraries/. /configure --prefix=/usr make make install Compilez et installez libnasl : cd../libnasl/./configure prefix=/usr make make install Compilez et installez nessus-core : cd../nessus-core/./configure prefix=/usr make make install Compilez et installez nessus-plugins : cd../nessus-plugins/./configure --prefix=/usr make make install 06/12/07 Anas Abou El Kalam - Outils sécurité 25 essus : configuration Avant de lancer le daemon nessusd, il faut rajouter, au moins, un utilisateur et son pwd # nessus-adduser Possibilité de définir ++ users avec droits # Accept /24 # l'utilisateur a droit de scanner uniquement les classes d'adresses # Deny /24 # peut scanner tout sauf le réseau : /24 # accept client_ip # n'a le droit de scanner que sa machine Ne pas oublier de terminer ses règles avec default accept ou default deny selon le cas Générer, le certificat SSL et les clés privés pour le serveur # nessus-mkcert Afficher fichier config (/usr/etc/nessus/nessusd.conf) nessusd -s lancer le daemon /usr/sbin/nessusd -D Vérifiez 06/12/07 Anas Abou El Kalam - Outils sécurité 26 ps aux grep nessusd #root ? S 19:04 0:00 /usr/sbin/nessusd -D essus : lancement client # nessus & 06/12/07 Anas Abou El Kalam - Outils sécurité 27 essus : lancement du client 8 onglets. "nessusd host". bouton "Log in" -> se connecter sur hôte nessusd SSL se lance ==> préférence pr 2ème option Plugins sélectionner plugins à utiliser pendant scan. Clic pluging ==> description contenu Cochez, "Enable dependencies at runtime". Credentials permet de fournir éventuellement logins/pws pour accéder aux machines à tester Options de scan et port scanner assurez-vous d'avoir cocher nmap. Target (Cible à scanner) nom d'1 ou ++ hôtes, séparés par des virgules 1 ou séparées par des virgules. classe d'adresse, e.g., : /24 gérer paramètres U KB (Knowledge base), base de connaissances. affichage page Crédits. 06/12/07 Anas Abou El Kalam - Outils sécurité 28

8 essus : un scan essus : un scan dans la fenêtre de nessus, cliquez sur "start the scan" pour lancer le scan. Laissez le test se dérouler: Quand le scan est finit, il vous affiche une fenêtre récapitulative. En cliquant sur un hôte vous obtenez les résultats de son scan. Clic sur "save report" ==> sauvegarder le rapport dans le format de votre choix. Si vous choisissez html avec graphe, il vous suffit d'indiquer un répertoire et il créera lui-même les fichiers html et les images qui vont avec. 06/12/07 Anas Abou El Kalam - Outils sécurité 29 06/12/07 Anas Abou El Kalam - Outils sécurité 30 essus : un scan vous pouvez consulter résultats par machine, sous-réseau, port, sévérité... essus : un scan Exemple de rapport d'attaques 06/12/07 Anas Abou El Kalam - Outils sécurité 31 06/12/07 Anas Abou El Kalam - Outils sécurité 32

9 essus : Post-installation Collecte d'info : ETCAT Lancer nessusd démarrage de l'ordinateur rajouter Dans votre /etc/rc.d/rc.local /usr/sbin/nessusd -D Supprimer un utilisateur /usr/sbin/nessus-rmuser informations sur votre installation /usr/etc/nessus/nessusd.conf Fichiers logs /usr/var/nessus/logs/nessusd.messages Netcat permet d'établir une connexion (TCP ou UDP) sur un port souhaité et d'y envoyer ou d'y recevoir des données. /root]# nc ProFTPD 1.2.5rc1 Server (ProFTPD Default Installation) [neuromancer] On obtient directement la version du logiciel utilisé. Netcat comporte d'autres fonctionnalités (comme l'envoi de scripts...). Le pirate n'a plus qu'à trouver faille applicative sur logiciel correspondant Comment s'en protéger? Retirer les bannières donnant les versions de logiciel et les messages d'aide ou de bienvenue d'un service réseau en écoute qui peuvent donner des informations sur votre système. Conseil Utilisez netcat contre vos serveurs pour repérer les services trop «bavards». 06/12/07 Anas Abou El Kalam - Outils sécurité 33 06/12/07 Anas Abou El Kalam - Outils sécurité 34 Collecte d'info : Finger & ident Le service finger permet d'obtenir des informations sur utilisateurs du système # Login Name Tty Idle Login Time Office toto Le toto pts/7 3d Mar :43 (case)// root root pts/4 5d May :20 Le produit le même effet que l'astérisque pour un listing de rép On voit qui est connecté sur le système (toto et root) et depuis quand. finger n'est pas dangereux mais le laisser en écoute, sans en avoir réellement besoin, est une grossière erreur. Comment s'en protéger? Sous Linux Il est conseillé de désactiver le service finger dans /etc/inetd.conf Inetd est un "super-serveur" Internet. Le super-serveur est un programme qui écoute les connexions réseau et les redirige vers le programme approprié Ajouter # devant la ligne relative au service finger. # finger stream tcp nowait root /usr/sbin/tcpd in.fingerd Sous Windows désactivez le programme associé au service finger. Plan chapitre 3 Techniques de défense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de sécurité Si vous ne souhaitez pas désactiver le service finger, configurez votre firewall pour limiter les 06/12/07 accès vers ce service. Anas Abou El Kalam - Outils sécurité 35 06/12/07 Anas Abou El Kalam - Outils sécurité 36

10 Les firewalls : principe Les firewalls : principe La prolifération des attaques externes et leurs conséquences parfois catastrophiques ont poussé les administrateurs réseaux à repenser les architectures réseaux pour aller vers des architectures de sécurité Idée de base - permettre aux gens au sein de l entreprise de pouvoir accéder à des ressources partagées (éventuellement sur Internet) de façon contrôlée - cacher en partie la structure interne du réseau de l entreprise => notion de pare-feu (firewall) sépare deux réseaux par une fonction de filtrage. un réseau est considéré comme "propre" (le réseau interne) l autre non (en principe Internet) faire en sorte que seul le trafic (sortant ou entrant soit autorisé); le Firewall doit être un passage obligé en entrée et en sortie du réseau interne 2 catégories principales : le filtrage de paquets (packet filters) et le relayage de paquets Filtrage de paquets : routeurs permettant le filtrage des paquets en fonction au moins des adresses IP et des numéros de port, source et destination Relayage de paquets Application-Level Gateway : passerelle relayant trafic au niveau des applications Circuit-level Gateway : passerelle relayant trafic au niveau connexions TCP, UDP (au niveau transport) 06/12/07 Anas Abou El Kalam - Outils sécurité 37 06/12/07 Anas Abou El Kalam - Outils sécurité 38 Les firewalls : Principe nouveau paquet arrive, Source & destination? FW confronte ces infos avec ses règles et détermine s il s agit d un paquet «en transit», (ne fait que passer d 1 interfaces à 1 autre) => Passe dans FORWARD paquet adressé au FW ==> confronté au filtre INPUT Si le paquet sort du firewall c est la chaîne OUTPUT qui est concernée. 06/12/07 Anas Abou El Kalam - Outils sécurité 39 Les firewalls : Principe de I PUT / OUTPUT/FORWARD INPUT / OUTPUT connexions à destination et depuis le firewall à lui-même. Ces connexions peuvent arriver et sortir par différentes cartes réseau, mais c est le firewall lui-même qui est concerné par ces filtres. Iptables I INPUT p tcp --dport 80 j ACCEPT autorise les connexions sur le port 80 de la machine concernée. (Serveur Web) Iptables I OUTPUT p tcp --dport 80 j ACCEPT autorise les connexions vers des serveurs sur le port 80 en tcp (le Websurf). FORWARD : pour filtrer trafic transitant entre deux interfaces réseau. Ex: si paquet est reçu par carte connexion Internet et qu il doit aller vers serveur de mail par la carte «DMZ», alors ce paquet transit dans la chaîne FORWARD. iptables I FORWARD i eth0 o eth1 j ACCEPT iptables I FORWARD s d j ACCEPT 06/12/07 Anas Abou El Kalam - Outils sécurité 40 iptables FORWARD i eth0 s o eth1 d p tcp --dport 80 j ACCEPT

11 Les firewalls : filtrage de paquets Les firewalls : ex de filtrage de paquets permet de contrôler le flot de paquets suivant un ensemble de critères entre 2 réseaux - effectué par un routeur (délivré par constructeur ou machine banalisée) possédant : DEUX cartes réseau et logiciel lui permettant d effectuer le filtrage - FW applique les règles de filtrage des paquets sur la base des champs : en-têtes de couche IP (adresse IP source et destination) et transport (N de port UCP ou TCP) Règle implicite : Tout ce qui n est pas autorisé doit être interdit par défaut 06/12/07 Anas Abou El Kalam - Outils sécurité 41 06/12/07 Anas Abou El Kalam - Outils sécurité 42 Les firewalls : ex de filtrage de paquets Les paquets relatifs à la requête du client portent source appartenant au /25 et ont pour adresse destination l adresse du serveur HTTP Ces paquets sont reçus en entrée (E) par l interface externe du filtre B. Cette opération autorisée par règle 1 Chaque paquet est routé par B vers l interface Int en sortie (règle 4) Lors de la réponse du serveur HTTP, les paquets relatifs à la réponse portent du serveur et sont destinés à éqpment ayant émis requête Chaque paquet est reçu en entrée (E) par l interface Int de B (règle 3) B route le paquet vers l interface Ext en sortie ce qui est autorisé par règle 2 Les firewalls : ex de règles sur routeur CISCO chaque règle est appelée une ACL (Access Control List) pour chaque paquet donné, l ACL rend deux valeurs deny (paquet rejeté) permit (paquet peut transiter par le routeur) on associe à chaque interface du routeur une ACL qui peut être du type in (trafic entrant par cette interface) ou out (trafic sortant par cette interface) Routeur(config)# access-list 1 permit Routeur(config)# interface ethernet 0 Routeur(config-if)# ip access-group 1 NETMASK la règle 1 est appliquée aux paquets sortants de l interface 0 Question : Supposons fournisse également telnet, que se passe t il si req client? PORT DEST # access-list 101 deny tcp eq 21 06/12/07 Anas Abou El Kalam - Outils sécurité 43 06/12/07 Anas Abou El Kalam - Outils sécurité 44

12 Les firewalls : exemple d'iptable - syntaxe Les firewalls : ex de règles avec iptables Iptables [PIADR] [INPUT FORWARD OUTPUT]... j [LOG DROP ACCEPT MASQUERADE] -I = insert rule, on ajoute une règle en tête du filtre. -A = append rule, on ajoute une règle à la fin du filtre. -D = delete, on efface une règle. -R = replace, on remplace un règle. -L = list, on liste une chaîne. -F = flush, on efface les règle d une chaîne. -P = Policy, réaction par défaut. Iptables -t filter -A FORWARD -i eth1 -s a.b.c.0/24... Paquet supposé traverser FW Paquet entrant par eth1 Paquet srce fait partie du réseau d e.f.g.0/24 -p tcp --destination-port 23 -j DROP Paquet dest fait partie du réseau... Paquet à dest de telnet Paquet rejeté syntaxe servant à préciser les règles * -s ip source // -d ip cible * -sport port source // -dport port destination * -p type de protocol (tcp/udp/ ) * -m type de match (par exemple state) * --state 06/12/07(NEW, ESTABLISHED, Anas Abou RELATED) El Kalam - Outils sécurité 45 06/12/07 Anas Abou El Kalam - Outils sécurité 46 Les firewalls : exemples d'iptable iptables I INPUT s j DROP Dégage tous les paquets provenant de à destination du firewall iptables I OUTPUT p tcp --dport 80 d j ACCEPT Autorise le firewall à se connecter en port 80 sur uniquement. iptables F INPUT Vide les règles du filtre INPUT iptables P INPUT DROP Règle la politique par défaut à drop sur le filtre INPUT Dans tous les cas, il faut régler la politique par défaut à DROP sur tous les filtres et ensuite accepter seulement les flux «licites» : iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP De cette façon, si vous avez oublié une règle, dans le pire cas le paquet sera dropé, mais il n atteindra pas sa destination. En gros tout ce qui n est pas explicitement autorisé est interdit. 06/12/07 Anas Abou El Kalam - Outils sécurité 47 Les firewalls : exemples d'iptable Je souhaite pouvoir héberger un dns/mail/http/ftp sur ma machine qui fait aussi firewall : Mail : DNS : http : ftp : iptable i INPUT p tcp --dport 25 j ACCEPT iptable i INPUT p udp --dport 53 j ACCEPT iptable i INPUT p TCP --dport 80 j ACCEPT iptable i INPUT p TCP --dport 21 m state --state NEW j ACCEPT iptable i INPUT p TCP --dport 20 m state --state RELATED j ACCEPT Pouvoir héberger un dns/mail/http/ftp sur une machine dédié autre que le FW iptables t nat I PREROUTING d [ip FW] p tcp --dport 25 j DNAT to [ip privé serv mail] iptables t nat I POSTROUTING s [ip privé serv mail] p tcp --sport 25 j SNAT to [ip FW] 06/12/07 Anas Abou El Kalam - Outils sécurité 48

13 Les firewalls : La technique de stateful inspection Les firewalls : La technique de stateful inspection Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. ==> Impossible avec filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur 06/12/07 Anas Abou El Kalam - Outils sécurité 49 le filtrage de type stateful inspection, (existe dans tous FW marché) consiste à filtrer des paquets dont on mémorise le contexte ==> le datagramme IP ne doit pas être analysé de façon isolé mais il faut tenir compte du contexte dans lequel il est émis ==> assurer un suivi des échanges, i.e., tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage ==> à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu, l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu. - le firewall maintient donc une table des connexions ouvertes et lorsqu un nouveau paquet arrive, regarde s il fait partie d une connexion avant de lui appliquer les régles - le firewall est également capable d analyser les paquets jusqu au niveau applicatif 06/12/07 Anas Abou El Kalam - Outils sécurité 50 Les firewalls : La technique de stateful inspection - exemple d une connexion ftp (mode passif) Les firewalls : La technique de stateful inspection - exemple de règles avec le packet filter d'openbsd - sans stateful inspection, il faut laisser passer tous paquets à destination de port > 1024 sur le serveur (on ne sait pas à priori quel port va choisir le serveur) - avec stateful inspection, le port choisi par le serveur pour l échange des données est mémorisé par le firewall et seul ce port est ouvert => la même règle est appliquée aux autres paquets de la connexion : inutile donc de spécifier des règles pour les paquets retour!! 06/12/07 Anas Abou El Kalam - Outils sécurité 51 06/12/07 Anas Abou El Kalam - Outils sécurité 52

14 Les firewalls : La technique de stateful inspection Les firewalls : La technique de stateful inspection un autre exemple avec Conntrack # iptables -P INPUT DROP # iptables -A INPUT -i! eth1 -j ACCEPT # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Supponsins que l'on veuille faire du ssh vers hote.distant.com Après avoir lancé ssh hote.dist.com, notre machine envoie paquet pour établir connexion Ce paquet particulier est dans l'état NEW, et notre pare-feu le laisse passer, puisque nous bloquons seulement paquets qui entrent dans notre FW, pas ceux qui en sortent. La réponse de hote.distant.com passe par notre chaîne INPUT Il ne correspond pas à 1ère règle (car arrive de eth1) donc passe à 2nd& dernière règle FW reconnaît en 1er que ce paquet fait partie d'une connexion existante Puisqu'il s'agit d'un paquet entrant, FW vérifie si cette connexion a déjà eu du trafic sortant et trouve que c'est le cas (le paquet NEW initial que nous avons envoyé). paquet entrant est classé ESTABLISHED, comme le seront tous les futurs paquets reçus ou 06/12/07 envoyés qui seront associés Anas Abou avec El Kalam cette - Outils connexion. sécurité 53 Paquet accepté parrer aux attaques d'ip spoofing Eliminer tous les paquets entrant avec comme adresse source une adresse interne Solution? Ex lignes à ajouter soit au script de FW, soit dans script qui active vos interfaces for x in lo eth0 eth1 do echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter done Autre solution (contexte : Passerelle IP entre WAN et LAN à usage domestique) # En entrée du WAN : iptables -A filter_from_wan -s /16 -j DROP iptables -A filter_from_wan -s /12 -j DROP # En sortie vers le WAN : iptables -A filter_to_wan -d /16 -j dest_unreachable 06/12/07 Anas Abou El Kalam - Outils sécurité 54 iptables -A filter_to_wan -d /12 -j dest_unreachable Les firewalls : La technique de stateful inspection parrer aux attaques fragmentation (Tiny( ou Overlapping) Eliminer paquets possédant le champ fragmentation offset à 1 l attaque du type "Ping of Death" Interdire trafic ICMP les attaques DNS interdire tout accès direct au serveur DNS (nécessite une mise en oeuvre d autres mécanismes, e.g., authentification) Les firewalls : La technique de stateful inspection Avantages - concept simple - complètement transparent pour l utilisateur interne ou externe (aucune modification de sa machine ou de ses logiciels) - rapide Inconvénients - difficultés à paramétrer la configuration de façon cohérente (certains logiciels ne gèrent pas la cohérence des règles!!) - pas de mécanisme d authentification 06/12/07 Anas Abou El Kalam - Outils sécurité 55 06/12/07 Anas Abou El Kalam - Outils sécurité 56

15 Firewalls : Relayage de paquets (application-level gateway) Firewalls : Relayage de paquets (application-level gateway) Principe - permet d établir un relai entre le réseau internet et le réseau externe en se basant sur le contenu des messages au niveau applicatif - basé sur le principe de l'authentification : un U externe demande une connexion TCP/IP à la passerelle, qui l authentifie et qui, en cas de succès, contacte l application que l utilisateur demande - nécessite la collaboration de la part des systèmes finaux => exemple : utilisation d un serveur proxy cache http pour sortir sur internet depuis un réseau interne ; il est nécessaire sur le poste client de modifier la configuration du browser pour qu il utilise bien le serveur http interne Exemple de connexion Dans un premier temps, l'utilisateur externe envoie une demande de connexion à la passerelle par l'intermédiaire d'un outil TCP/IP comme «telnet» ou «FTP». Suite à cette requête, la passerelle va requérir une identification, e.g., par le renseignement d'un mot de passe ou d'un autre système d'authentification. Après vérification, Si l'utilisateur est reconnu, la connexion est établie avec l'application par l'intermédiaire d'un numéro de port prédéfini. Sinon, la requête est rejetée. 06/12/07 Anas Abou El Kalam - Outils sécurité 57 06/12/07 Anas Abou El Kalam - Outils sécurité 58 Firewalls : Relayage de paquets (application-level gateway) Avantages - plus haut niveau de sécurité que le simple filtrage de paquets => mécanisme d authentification et de logging spécifique sur le relai l'authentification ne s'effectue pas uniquement par rapport à IP ou à N port, mais sur l'identité même d'1 individu (quelque soit la machine qu'il utilise). Plus légère que la précédente, car seuls les flux concernant les applications autorisées (souvent peu nombreuses) à filtrer sont contrôlés. Très simple à mettre en place, car elle ne nécessite que de renseigner quelles applications peuvent être utilisées ou non à travers le firewall. Firewalls : Relayage de paquets (circuit-level gateway) Principe - permet d établir un relai au niveau transport - empêche l établissement d une connexion TCP (ou UDP) point à point => établissement de deux connexions différentes : Intérêt la première dans le réseau protégé avec la machine interne et la seconde avec la machine externe Masquer ce qui se passe derrière le firewall le réseau interne est totalement invisible pour le domaine externe Inconvénients - overhead introduit peut être important (pas vrai dans le cas d un proxy http qui, au contraire, en se comportant en cache, peut améliorer les performances) - pas toujours possible d effectuer des contrôles car le contenu de la transaction n est pas toujours 06/12/07visible (par exemple, Anas s il Abou est El chiffré Kalam - Outils avec sécurité SSL) 59 06/12/07 Anas Abou El Kalam - Outils sécurité 60

16 Firewalls : Relayage de paquets (circuit-level gateway) Les firewalls : règles de bon usage caractéristiques Les Circuit-Level Gateways sont moins connus que les deux premiers et sont le plus souvent combinés avec un Application-Level Gateway en fait c'est une déclinaison, une fonctionnalité offerte par le second type de FW Aucun filtrage, ni contrôle du service n'est réalisé entre les deux connexions TCP, la passerelle est simplement assimilée à un tuyau de communication. ==> De ce fait l'administrateur doit avoir une totale confiance dans les utilisateurs du parc de machines dont il a la responsabilité. Toutefois, étant plus souple, ils sont souvent utilisés comme protection pour les communications sortant du réseau local pour aller vers l'extérieur. Les connexions entrantes sont alors protégées par une passerelle d'application très restrictive. Un firewall doit être imprenable car sinon votre réseau entier est compromis. Règle de base : tout refuser et ensuite de n accepter que les flux nécessaires. Un FW efficace doit posséder ++ interfaces réseau pour pouvoir faire filtrage fine entre plusieurs zones. L idéal c est qu à chaque zone du SI corresponde une interface. Ex, une pour la connexion internet, une pour la DMZ (serveurs visible depuis Internet, possédant IP Publique), et une pour le LAN. Plus la granularité est fine, meilleure la sécurité sera. 06/12/07 Anas Abou El Kalam - Outils sécurité 61 06/12/07 Anas Abou El Kalam - Outils sécurité 62 Les firewalls : règles de bon usage Filtrage au niveau IP limiter l'accès à votre réseau à des U connus utilisant IP statique rejeter toutes les autres requêtes venant d'u IP non autorisée. Fermez tous les ports en écoute sur les différents serveurs et ouvrez seulement ceux dont vous avez besoin. Filtrez ces ports (rejetez autres requêtes sur autres ports que ceux en écoute) Empêchez toutes les connexions sortantes sur des services non autorisés. définir nombre limité de services auxquels les serveurs et les clients peuvent accéder (mail, ftp, web...). Ensuite, configurer le firewall pour rejeter les connexions depuis l'intérieur vers l'extérieur sur des services différant de ceux définis. Les firewalls : ATTAQUES CO TRE... déterminer règles actives sur FW savoir quels ports ne sont pas filtrés. Par ex /root]# nmap Starting nmap V. 2.54BETA31 ( ) Interesting ports on ( ) : (The 1549 ports scanned but not shown below are in state : closed) Port State Service 21/tcp filtered ftp 22/tcp filtered ssh 111/tcp open sunrpc 515/tcp open printer 1024/tcp open kdm Nmap run completed -- 1 IP address (1 host up) scanned in 1 second ==> Les ports 21 (ftp) et 22 (ssh) sont filtrés. 06/12/07 Anas Abou El Kalam - Outils sécurité 63 06/12/07 Anas Abou El Kalam - Outils sécurité 64

17 Les firewalls : ATTAQUES & PARADES Les firewalls : Firewalking Protégez-vous contre le scanning firewalking Firewalk est un outil de reconnaissance active de la sécurité réseau essaye de déterminer protocoles (de couche 4) qu'une console d'ip forwarding poura passer. Il détermine Nbre routeurs entre machines source et cible (située derrière FW). Ensuite, il envoie des paquets tests (TCP, UDP) avec un TTL égal à ce nombre de routeurs + 1. Si le paquet est accepté, il traverse le firewall et on obtient une réponse. Sinon paquet est bloqué par l'acl du FW, il sera abandonné et aucune réponse ne sera envoyé ou bien un paquet de filtre admin ICMP de type 13 sera envoyé. Syntaxe firewalk -p [protocol] -d [destination_port] -s [source_port] [internal_ip] [gateway_ip] Options -d sépcifie le port destination initial à utiliser lors de la phase de ramping -h help. -i Interface_name Specifie interface à utiliser -n pas de résolution IP <-> hostnames -P faire une pause, afin d'éviter de flooder le réseau -p TCP,UDP Type de scan à exécuter -r conformance stricte à la RFC 793 -S , (1-130,139,1025) ports à scanner 06/12/07 Anas Abou El Kalam - Outils sécurité 65 Exemples [root: ~]# firewalk -ptcp -S Ramping up hopcounts to binding host... probe: 1 TTL: 1 port 33434: expired from [...] probe: 2 TTL: 2 port 33434: expired from [...] probe: 3 TTL: 3 port 33434: Bound scan at 3 hops [...] port 137: open port 138: open port 139: * port 140: open Parade Bloquer les paquets ICMP TTL EXPIRED au niveau de l'interface externe, mais le problème est que ses performances risque d'en prendre un sérieux coup car des clients se connectant légitimement ne seront jamais ce qui est arrivé à leur connexion 06/12/07 Anas Abou El Kalam - Outils sécurité 66 Les firewalls : C/C Plan chapitre 3 il ne suffit pas d utiliser un firewall du type filtre de paquets ou passerelle applicative il faut ensuite prévoir une topologie de protection qui consiste en une configuration (parfois complexe) de l architecture réseau en utilisant souvent plusieurs catégories de firewall - on peut citer trois configurations à titre d exemple : + Screened host firewall system (single-homed bastion host) + Screened host firewall system (dual-homed bastion host) + Screened-subnet firewall system Techniques de défense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de sécurité 06/12/07 Anas Abou El Kalam - Outils sécurité 67 06/12/07 Anas Abou El Kalam - Outils sécurité 68

18 Architectures & sécurité Architectures & sécurité Screened host firewall system with single-homed bastion host Cette architecture se compose de deux systèmes : un filtrage de paquets et une passerelle d'application, aussi appelée «Bastion host». Même machine pour servs web, messagerie et partage de connexion Internet. machine connectée directement à Internet. ==>aucune forme de sécurité : connexion non-sécurisée!! 06/12/07 Anas Abou El Kalam - Outils sécurité 69 06/12/07 Anas Abou El Kalam - Outils sécurité 70 Architectures & sécurité Screened host firewall system with single-homed bastion host - une machine bastion (bastion host) est un firewall de niveau application dont le rôle est critique pour la sécurité globale du système => cette machine a en général une version de système d exploitation particulièrement sécurisée et spécifiquement protégée contre certaines attaques - seuls les paquets en provenance et à destination du bastion host sont autorisés - la bastion host agit comme proxy et effectue une authentification "musclée" Pbmes : la robustesse du premier filtrage, le filtrage de paquets, est primordiale en cas de panne, le réseau interne entier sera compromit. l'accès direct à Internet est plus complexe, car nécessite le passage par la passerelle. Pour l'alléger et dans le cas où un très haut niveau de sécurité n'est pas requit, le système peut laisser filtrer les paquets en direction du port affecté au serveur Web 06/12/07 Anas Abou El Kalam - Outils sécurité 71 Architectures & sécurité Screened host firewall system with dual-homed bastion host Elle est toujours constituée de deux systèmes, correspondant à un filtrage par paquets et à une passerelle d'application. Toutefois cette solution exploite 2 ports de connexion (interfaces réseau) différents L'intérêt d'utiliser deux ports physiques distincts est de protéger le réseau privé contre une panne du système de Packet-Filtering. En effet, le SW est coupé du réseau interne et doit nécessairement passer par la passerelle pour y accéder : l'isolation est donc totale. 06/12/07 Anas Abou El Kalam - Outils sécurité 72

19 Architectures & sécurité Screened subnet firewall system Elle se décompose en trois systèmes : deux filtrages de paquets et une passerelle d'application. DMZ = zone tampon où sont installés les éléments pouvant porter préjudice à sécurité du réseau privé, en cas de panne. e.g., passerelle d'application SW, serv POP... trois niveaux de protection : passage par un Packet-Filtering, puis une Application Gateway avant de finir par un nouveau filtrage de paquets Architectures & sécurité Screened subnet firewall system Elle se décompose en trois systèmes : deux filtrages de paquets et une passerelle d'application (machine bastion). DMZ = zone tampon où sont installés les éléments pouvant porter préjudice à sécurité du réseau privé, et dont la chute ne mettra pas en cause le réseau interne trois niveaux de protection : passage par un Packet-Filtering, puis une Application Gateway avant de finir par un nouveau filtrage de paquets 06/12/07 Anas Abou El Kalam - Outils sécurité 73 06/12/07 Anas Abou El Kalam - Outils sécurité 74 Architectures & sécurité Screened subnet firewall system si la machine bastion est attaquée, il est plus difficile d exploiter ensuite cette machine (2ième niveau de filtrage) le routeur externe ne permet l accès qu à la DMZ; de cette façon, le réseau interne est invisible depuis l extérieur autorise les accès sur les SW/messagerie (depuis RL comme depuis ext), mais empêchera tentatives de connexion sur autres services Routeur interne empêche toute connexion de l'extérieur vers RL, et autorisera seulement connexions depuis RL sur nbre limité de services les accès directs de l'intérieur vers l'extérieur sont interdits 06/12/07 Anas Abou El Kalam - Outils sécurité 75 Architectures & sécurité Limites des firewall 80% des problèmes (intentionels ou pas) de sécurité proviennent de l'intérieur Un U interne peut, par ex, ouvrir une connexion dite parallèle vers l'extérieur par l'utilisation d'un modem (connecté à une machine du réseau privé). Cette nouvelle connexion permet donc à l'information de filtrer sans passer par le système de protection mis en place. Il peut également introduire types de supports externes, comme des clés USB, des CD-ROM ou autres disquettes et ainsi copier des données non filtrées Abus de privilèges Certains contenus ne sont pas contrôlés par "firewall" FW ne peut empêcher le passage de programmes boggés ou corrompus par un virus En effet, que ce soit au niveau du filtrage de paquets ou au niveau de l'authentification applicatif, le contenu des données envoyées, une fois la connexion établie, n'est jamais filtré directement par la barrière. 06/12/07 Anas Abou El Kalam - Outils sécurité 76 Données chiffrées,

20 Architectures & sécurité : les IDS Architectures & sécurité Sonde NDIS entre FW et RL et dans DMZ. Si un pirate venait à envoyer requêtes suspectes/exploits, les NIDS génére alarme (de l'intérieur ou de l'extérieur). Manager NDIS se situera dans le réseau local. 1 machine / service Zone de décontamination entre Internet et le réseau interne. Zone de décontamination car permet de détecter des signatures d'attaques dans les flux de données provenant d'internet et d'éviter la propagation dans le reste du réseau. Contient analyseurs de contrôle de contenu, antivirus et autres utilitaires surveillant (IDS) Tous les flux entrants et sortants passeront par cette zone de décontamination. Ces proxys applicatifs peuvent prendre la décision de couper la connexion en cas d'attaques ou de simplement rejeter la demande. Pour le réseau local, nous le subdiviserons en sous-réseaux, chaque sous-réseau possédera un NDIS (sonde + manager). Ces sous-réseaux seront reliés entre eux par des switchs. Utilisation de tunels... 06/12/07 Anas Abou El Kalam - Outils sécurité 77 06/12/07 Anas Abou El Kalam - Outils sécurité 78

Sécurité 2. Université Kasdi Merbah Ouargla. Département d Informatique et des Technologies de l Information. Septembre 2014

Sécurité 2. Université Kasdi Merbah Ouargla. Département d Informatique et des Technologies de l Information. Septembre 2014 Sécurité 2 Université Kasdi Merbah Ouargla Département d Informatique et des Technologies de l Information Les techniques de défense et les outils de sécurité 2 ème Année Master RCS Septembre 2014 Master

Plus en détail

face à la sinistralité

face à la sinistralité Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Administration réseau Firewall

Administration réseau Firewall Administration réseau Firewall A. Guermouche Cours 5 : Firewall 1/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 2/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 3/13 Pourquoi

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Éléments de Sécurité sous Linux

Éléments de Sécurité sous Linux Éléments de Sécurité sous Linux Objectif: Pare-feu sous GNU/Linux Contenu: Principes de base fonctionnement de Netfilter architecture: DMZ configuration par iptables par Shorewall Principe du pare-feu

Plus en détail

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall? TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

IPTABLES Etude d'un système de pare-feu

IPTABLES Etude d'un système de pare-feu IPTABLES Etude d'un système de pare-feu Ce TP consiste à mettre en place un réseau d'entreprise connecté à Internet via un firewall. Cette entreprise dispose d'un serveur Web et SSH qui sert aussi de proxy

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Filtrage IP Statique

Filtrage IP Statique Filtrage IP Statique Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux Les concepts du filtrage de paquets(1) Analyse des entêtes d'un paquet : Protocole Adresse

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Sécurité GNU/Linux. Iptables : passerelle

Sécurité GNU/Linux. Iptables : passerelle Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

pare - feu généralités et iptables

pare - feu généralités et iptables pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Netfilter : le firewall de linux 2.4 et 2.6

Netfilter : le firewall de linux 2.4 et 2.6 Netfilter : le firewall de linux 2.4 et 2.6 Netfilter: le logiciel, IPTABLES: la commande permettant de le configurer netfilter (noyaux 2.4 et premiers noyaux 2.6): filtre à état pour ipv4 filtre de paquet

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

NetFilter & Iptables Le pare-feu selon Linux

NetFilter & Iptables Le pare-feu selon Linux NetFilter & Iptables Le pare-feu selon Linux Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005 NetFilter 15 mai 2005 Diapositive

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Table des matières. Formation Iptables

Table des matières. Formation Iptables Table des matières 1.COURS...2 1.1.Mise en situation...2 1.2.Que puis je faire avec iptables/netfilter?...3 1.3.Qu'est ce qu'une chaîne?...3 1.4.Comment placer une règle dans une chaîne?...5 2.TP IPTABLES...6

Plus en détail

Les Firewalls 03-01-2006. Gérald Masquelier Antoine Mottier Cédric Pronzato

Les Firewalls 03-01-2006. Gérald Masquelier Antoine Mottier Cédric Pronzato Les Firewalls 03-01-2006 Gérald Masquelier Antoine Mottier Cédric Pronzato Plan Pourquoi un firewall? Les différentes catégories de firewall Qualité de service NetFilter Les différents types de firewall

Plus en détail

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse

Plus en détail

Iptables. Table of Contents

Iptables. Table of Contents Iptables Stéphane Salès s.sales@tuxz.org Table of Contents 1.TP IPTABLES 2 1.1.Opérations sur une seule chaîne et sur la table filter: 2 1.1.1.paramètre protocole 2 1.1.2.paramètre source 2 1.1.3.chaîne

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Exercice 1 : Routage et adressage

Exercice 1 : Routage et adressage NOM Prénom : Tous les documents manuscrits ou imprimés sont autorisés (polycopiés de cours, notes personnelles, livres, etc.). Il est interdit de prêter ses documents à ses voisins. L'usage de la calculatrice

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Sécurité GNU/Linux NAT

Sécurité GNU/Linux NAT Sécurité GNU/Linux NAT By sharevb Sommaire I.Qu'est-ce qu'une passerelle?...1 II.Qu'est-ce que NAT?...2 III.Types de NAT...2 a)nat Statique...3 b)nat dynamique/ip masquerading/pat...4 c)oui, mais ICMP

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe :

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe : TP3 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 CONFIGURER UN PARE-FEU AVEC IPTABLES... 2 1.1 INSTALLATION... 2 1.2 FILTRER LES PAQUETS... 2 1.3 TABLES... 2 1.3.1 Table NAT... 2 1.4 TABLE FILTER... 2 1.5 TABLE MANGLE... 2 1.6 CHAÎNES...

Plus en détail

IPTables Analyse et réalisation

IPTables Analyse et réalisation IPTables Analyse et réalisation Page 1 sur 15 Table des matières IPTables - analyse...3 Qu est-ce que c est?...3 Vocabulaire...3 Chaîne...3 Motif de reconnaissance...3 Cible...3 Policy...3 Policy Accept...3

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

TP réseau Les ACL : création d'une DMZ

TP réseau Les ACL : création d'une DMZ 1 But TP réseau Les ACL : création d'une DMZ Le but de se TP est de se familiariser avec l'utilisation des listes de contrôle d'accès étendues. Pour illustrer leur utilisation, vous allez simuler la mise

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION )

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) Présentation du TP le firewall sera une machine virtuelle sous Devil Linux le firewall a deux cartes réseaux eth0 ( interface externe ) et eth1 (interface interne)

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

Administration avancée sous Linux

Administration avancée sous Linux Administration avancée sous Linux Anthony Busson 1 Plan du cours 1. Compilation (gcc) 2. Gestion des utilisateurs et des groupes 3. Montage des périphériques et des systèmes de fichiers 4. Scripts 5. Archivage

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Sécurité GNU/Linux. Iptables, principe de base

Sécurité GNU/Linux. Iptables, principe de base Sécurité GNU/Linux Iptables, principe de base By sharevb Sommaire I.Qu est-ce qu un pare-feu?...1 II.Architecture d iptables...2 III.Les différents types de filtrages : les tables...2 IV.Fonctionnement

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

L IDLE PORT SCAN. elalitte. 29 octobre 2015

L IDLE PORT SCAN. elalitte. 29 octobre 2015 L IDLE PORT SCAN elalitte 29 octobre 2015 Table des matières 1 Introduction 5 2 L idle port scan 7 2.1 Qu est-ce que l idle port scan?........................... 7 2.2 Comment est-ce possible?.............................

Plus en détail

Administration réseau Iptables et NAT

Administration réseau Iptables et NAT Administration réseau Iptables et NAT A. Guermouche A. Guermouche Cours 4 : Iptables et NAT 1 Plan 1. Logiciels de filtrage de paquets 2. Ipfwadm 3. Ipchains 4. Iptables A. Guermouche Cours 4 : Iptables

Plus en détail

La collecte d informations

La collecte d informations La collecte d informations Nous allons décrire le fonctionnement des outils permettant de récupérer des informations à distance. Ces utilitaires sont fréquemment utilisés par les pirates pour préparer

Plus en détail

Pare-feu. 2. Zone Démilitarisée (DMZ) 1. Qu'est-ce qu'un pare-feu?

Pare-feu. 2. Zone Démilitarisée (DMZ) 1. Qu'est-ce qu'un pare-feu? Pare-feu Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une intrusion pouvant compromettre l'intégrité du système ou bien

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 OUTILS D'ANALYSE ET DE DÉTECTION RÉSEAUX... 2 1.1 ethereal... 2 1.1.1 Installation... 2 1.1.2 Utilisation d'ethereal (sans X11)... 3 1.1.3 Utilisation d'ethereal (graphique)... 4 1.2

Plus en détail

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs)

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs) Configuration d un Firewall IPCOP 1. Présentation : IPCOP est une distribution linux (Open Source), basée sur Linux From Scratch, destinée à assurer la sécurité d un réseau. C est un système d exploitation

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

IN411-TP1 Conception d'une zone démilitarisée

IN411-TP1 Conception d'une zone démilitarisée IN411-TP1 Conception d'une zone démilitarisée RENOUX Charles ROUESSARD Julien TARRALLE Bruno ROHAUT Fanny SCHAPIRA Boris TEA Christophe le 16 Octobre 2005 Table des matières Introduction 2 1 Routage Classique

Plus en détail

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28-

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28- SOMMAIRE Introduction Organisation Les Axes d attaques Planification du projet Social engineering Dénis de service Exploite Conclusion - 2 /28- INTRODUCTION Sensibilisation à la sécurité des SI Approfondissement

Plus en détail

Compte rendu PTI #03

Compte rendu PTI #03 Compte- rendu PTI #03 Cette troisième PTI couvre le domaine du paramétrage réseau et de la sécurité du réseau par la mise en place d'un système de filtrage de paquets via Netfilter (iptables) sous GNU/Linux.

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

TP SECURITE ARS-IRT 2008-2009 nmap tcpdump wireshark et filtrage iptables statique

TP SECURITE ARS-IRT 2008-2009 nmap tcpdump wireshark et filtrage iptables statique TP SECURITE ARS-IRT 2008-2009 nmap tcpdump wireshark et filtrage iptables statique NMAP est un scanner de ports TCPDUMP et WIRESHARK sont des sniffers Ce tp se fera directement sur la mandriva serveur

Plus en détail

Julien Canet Christos Toyas ESSI3 - SAR SECURITE. Encadrants. B. Martin et J.Y. Tigli

Julien Canet Christos Toyas ESSI3 - SAR SECURITE. Encadrants. B. Martin et J.Y. Tigli SECURITE Encadrants B. Martin et J.Y. Tigli 2001 Table Des Matières 1 Audit et supervision... 4 2 Sécurisation par le biais de la cryptographie... 4 2.1 Les mots de passes jetables : OTP... 4 2.2 Un shell

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Filtrage IP Statique. 22/01/2009 Formation Permanente Paris6 17

Filtrage IP Statique. 22/01/2009 Formation Permanente Paris6 17 Filtrage IP Statique 22/01/2009 Formation Permanente Paris6 17 Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux 22/01/2009 Formation Permanente Paris6 18 Les

Plus en détail

Sécurité 2. Université Kasdi Merbah Ouargla. ETUDE DES ATTAQUES Les attaques réseau : exemples. 2 ème Année Master RCS.

Sécurité 2. Université Kasdi Merbah Ouargla. ETUDE DES ATTAQUES Les attaques réseau : exemples. 2 ème Année Master RCS. Sécurité 2 Université Kasdi Merbah Ouargla Département d Informatique et des Technologies de l Information ETUDE DES ATTAQUES Les attaques réseau : exemples 2 ème Année Master RCS Septembre 2014 Master

Plus en détail

Ch.4 - Les outils réseau

Ch.4 - Les outils réseau Présentation Ch.4 - Les outils réseau Sous Linux, beaucoup d'outils sont utilisables en mode commande Aide en ligne info commande man commande commande - -help Olivier HUBERT - LGEP/CNRS 1 Ch.4-1. La commande

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall B.T.S Informatique de Gestion Option Administrateur de Réseaux Locaux d Entreprise Session 2004/2005 EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES Nom et prénom du candidat : TAGLIAFERRI Eric ACTIVITE

Plus en détail