Architectures sécurisées

Dimension: px
Commencer à balayer dès la page:

Download "Architectures sécurisées"

Transcription

1 Architectures sécurisées Hanteville Nicolas CFBS 02/11/2009 Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

2 Introduction aux réseaux : modèles Modèle OSI 1 : Modèle internet : 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau Application Transport Internet 2 Liaison 1 Physique Accès réseau 1. OSI : Open Systems Interconnection Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

3 Introduction aux réseaux : les couches réseau 1 - Physique : Technique de transmission d impulsions électriques (bits) sur un médium. 2 - Liaison : Transmission d information entre deux ordinateurs connectés à un même support de transmission. 3 - Réseau : Mettre en communication deux ordinateurs au travers d un ou plusieurs réseaux élémentaires pouvant être reliés entre eux par des éléments de routage. Cette couche permet la gestion de sous-réseaux, routage des paquets, interconnexion. 4 - Transport : Établir un canal de communication entre deux applications distantes et gestion de la qualité de service. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

4 Introduction aux réseaux : les couches réseau 5 - Session : Permet l organisation, la synchronisation des échanges (par jetons...), les points de reprise d envoi des données. 6 - Présentation : Permet la conversion, le formatage, le chiffrement, la compression des données. 7 - Application : C est le point de contact entre l utilisateur et le réseau. C est donc elle qui va apporter à l utilisateur les services de base offerts par le réseau, comme par exemple le transfert de fichiers, la messagerie... Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

5 Introduction aux réseaux : les classes d adresses Adresses Nb réseaux Nb adresses/r Min Max A B C D Adresses de Multicast E À partir de Réservé Loopback Broadcast 127.x.x.x x.x.x.255 / ou lié au masque Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

6 Introduction aux réseaux : les masques réseau Classes Masques A B C Nous avons un besoin de 4096 adresses (dont l adresse du réseau et celle du broadcast), les bits à 0 sont les bits qui peuvent changer. Représentation / valeur d un octet: (2) = (2) = octet peut prendre 256 valeurs (de 0 à 255) = 2 12 donc le masque que l on choisira contiendra 12 zéro : Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

7 Introduction aux réseaux : TCP/IP TCP (Transmission Control Protocol) est un protocole en mode connecté permettant le transfert de données avec un contrôle d intégrité, IP (Internet Protocol) est un protocole d adressage, il permet le routage des paquets de données. Client ACK Serveur OPEN SYN LISTEN CLOSE FIN SYN-RECEIVED ACK ACK Connexion SYN Déconnexion FIN ESTABLISHED CLOSE OPENED TIME-WAIT ESTABLISHED OPENED Client ACK Serveur ESTABLISHED FIN CLOSE Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

8 Introduction aux réseaux : TCP/IP LISTEN : En attente de connexion externe. SYN-SENT : En attente d une requête de connexion, après l envoi d une requête. SYN-RECEIVED : Connexion en attente de confirmation (les 2 requêtes de connexion se sont croisées). ESTABLISHED : Connexion établie transfert de données possible (état stable). FIN-WAIT1 : En attente d une requête de déconnexion par l application (demande de confirmation). FIN-WAIT2 : En attente d une requête de déconnexion du distant (demande de confirmation). CLOSE-WAIT : En attente d une requête de déconnexion émise par l application. CLOSING : En attente de confirmation de la requête de déconnexion du distant qui a déjà émis sa requête de déconnexion. LAST-ACK : En attente de confirmation de la requête de déconnexion provenant du distant. TIME-WAIT : Temps avant fermeture complète du canal. CLOSED : Connexion fermée. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

9 Introduction aux réseaux : UDP/IP UDP (User Datagram Protocol) est un protocole très simple, en mode non connecté permettant le transfert de données sans contrôle d intégrité, il permet ainsi sur un réseau fiable un envoi de données UNICAST, BROADCAST et MULTICAST, il est aussi plus rapide que TCP. Client Envoi de données Dialogue OK Serveur En écoute Réponse (si besoin) Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

10 Contournement de la sécurité : écoute réseau L écoute réseau consiste à capturer les paquets en transit sur le réseau, n étant pas destinés à la machine en écoute, afin d obtenir des informations. 1 Si le réseau utilise des concentrateurs (hub), tous les paquets sont envoyés à toutes les machines. Solution : utiliser des commutateurs (switches). 2 Il est possible aussi d usurper l adresse MAC d une autre machine afin de récupérer son trafic réseau (Man In The Middle, modification de son adresse MAC...) Solution : mettre en place du MAC-LOCKING sur les ports des éléments actifs, mettre des VLAN pour cloisonner le réseau. 3 Même sans aucune usurpation il est possible de capturer un certain nombre d informations (mode promiscuous) par exemple d effectuer des scans de ports, d usurper les VLAN (by pass). Solution : effectuer du filtrage par TAG de trame, mettre en place des IDS/IPS pour détecter l activation du mode promiscuous sur les cartes du réseau. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

11 Contournement de la sécurité : services verbeux Un grand nombre de protocoles sont très verbeux et permettent une identification du fonctionnement et de l adressage du réseau : ARP : (Address Resolution Protocol) à la base de toutes les communication IP, ne peut être désactivé. CDP : (Cisco Discovery Protocol) ; HSRP : ( Hot Standby Router Protocol) ; STP : (Spanning Tree Protocol) ; VRRP : (Virtual Router Redundancy Protocol) permettent l identification et la gestion d un cœur de réseau (Qualité de service, reprise en cas de rupture de lien...)... S ils ne sont pas utilisés il faut les désactiver! Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

12 Contournement de la sécurité : MitM Le MITM ou Man in the Middle (l homme au milieu), est une attaque qui consiste à s insérer entre deux éléments du réseau qui communiquent. La manière de faire la plus simple est l ARP poisoning (empoisonnement de cache ARP), il permet la récupération de toutes les informations envoyées sur le réseau par les cibles (mots de passe, mails...). Il existe d autre manière d empoisonnement, DNS cache poisonning... Note : on peut s en protéger en figeant la table ARP ou en configurant des sondes IDS/IPS. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

13 Contournement de la sécurité : MitM Principe du Man in the Middle par de l ARP poisonning : fonctionnement standard (Bob et Alice communiquent). Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

14 Contournement de la sécurité : MitM Principe du Man in the Middle par de l ARP poisonning : le pirate envoie un grand nombre de trames pour effectuer un empoisonnement du cache ARP de Alice et Bob. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

15 Contournement de la sécurité : MitM Principe du Man in the Middle par de l ARP poisonning : le pirate peut maintenant intercepter toute communication (même chiffré avec les bon outils). Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

16 Contournement de la sécurité : DoS/DDoS Le Deny of Service ou Distributed Denial of Service est le principe d attaque par saturation, c est une attaque sur un serveur informatique qui résulte en l incapacité pour le serveur de répondre aux requêtes de ses clients. Note : c est le type d attaque le plus difficile à contrer, il faut avoir plusieurs points d entrée et sortie du système. En cas d attaque prendre contact avec un CERT (Computer Emergency Response Team). Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

17 Contournement de la sécurité : vulnérabilité Definition Wikipédia : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l intégrité de ce système, c est-à-dire à son fonctionnement normal, à la confidentialité et l intégrité des données qu il contient. On parle aussi de faille de sécurité informatique. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

18 Contournement de la sécurité : vulnérabilité Un exemple de failles de logiciels : Buffer Over Flow, Denial of Service, by-pass de l authentification : Faille Cisco de 2001 : IP/ level/ <NUMLEVEL>/exec/ show/ run Faille Cisco de 2004 : IP//level/ <NUMLEVEL>/configure/-/ enable/ secret/ mdp Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

19 Moyens de protection : IDS/IPS Afin de protéger un système, une application, un réseau un grand nombre d éléments de sécurité existent : IDS : (Intrusion Detection System) système de détection d intrusion (fonctionnement : capture, signature, alerte) il en existe trois sortes : NIDS (Network Based Intrusion Detection System), qui surveillent l état de la sécurité au niveau du réseau. HIDS (HostBased Intrusion Detection System), qui surveillent l état de la sécurité au niveau des hôtes. IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. IPS : (Intrusion Prevention System) système de prévention d intrusion, similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d impact d une attaque. C est un IDS/Firewall actif, il peut bloquer des ports automatiquement. IDS/IPS Open source : Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

20 Moyens de protection : proxy/reverse-proxy Proxy : (serveur mandataire) a pour fonction de relayer des requêtes entre un poste client et un serveur. Serveur proxy open source : et Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : cache réseau (et optimisation de la bande passante) ; la journalisation des requêtes ; la sécurité du réseau local ; le filtrage et l anonymat ; identification et authentification. Reverse proxy : habituellement placé en frontal de serveurs web, il permet de protéger les serveurs web des attaques provenant de l extérieur, il est possible d y appliquer des règles de filtrage des requêtes : avec le mode mandatory. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

21 Moyens de protection : firewall Firewall : un firewall (mur de feu/pare-feu) est un système permettant d effectuer un contrôle des flux entrants et sortants sur un réseau ou une machine. Netfilter est un firewall open source sous linux, intégré au noyau et dont les règles de configuration sont écrites en iptable : Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

22 Firewall : fonctionnement Que sait faire un pare-feu? filtrer le trafic entrant & sortant (par port, protocole/service et application) ; rediriger le trafic ; enregistrer l activité du réseau ; protection du réseau interne contre les flux externes. Que ne sait pas faire un pare-feu? il ne protège pas le réseau de toutes les menaces existantes (DoS, MitM...) ; il ne protège pas du social engineering ; il ne protège pas s il est mal configuré ou mal utilisé ; il ne protège pas des menaces internes au réseau. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

23 Firewall : fonctionnalités avancées Authentification des connexions : Certains pare-feu permettent l authentification (via RADIUS...). Canal de communication sécurisé : Le tunneling permet un accès distant au site protégé via des protocoles de chiffrement. Chiffrement : Certains pare-feu permettent de chiffrer les données en transit sur un réseau peu sûr. Analyse des paquets : Principe même du pare-feu, pour filtrer les paquets mais aussi pour identifier les informations, notamment pour la journalisation ou l analyse par l administrateur en temps réel. Journalisation des flux : La gestion est effectuée à travers des alertes de sécurité (accepter/refuser une connexion). Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

24 Firewall : fonctionnement possible Entre deux réseaux internes : Pour protéger une DMZ par exemple. En coupure entre le réseau et l extérieur : Filtrage des flux, entrants/sortants, autorisation de l accès extérieur aux machines autorisées. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

25 Firewall : DNS Dans le cas où l on veut isoler complètement les clients du reste du réseau, le routeur/firewall peut aussi simuler le DNS (on installe sur le routeur un serveur DNS). Exemple d installation : sudo apt-get install bind9 sudo gedit /etc/bind/named.conf.options options { directory /var/cache/bind ; forwarders{ ; }; auth-nxdomain no; # conform to RFC1035 listen-on-v6 {any; }; }; sudo /etc/init.d/bind9 restart sudo gedit /etc/resolv.conf nameserver nameserver Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

26 Netfilter / Iptables Analyse au niveau TCP/IP (couches 1-3), permet du filtrage et de la gestion de translation d adresse NAT, modification et marquage de paquet (MANGLE). Par Netfilter on désigne l ensemble des fonctions internes du noyau qui réalisent les opérations de filtrage/firewall. Iptables sert d interface de configuration, il fonctionne en mode utilisateur. Dans les noyaux 2.2.x avec ipchains, le code du firewall est éparpillé à travers la couche applicative réseau, ce qui ne facilite pas la maintenance. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

27 Netfilter / Iptables Le noyau 2.4 avec Netfilter a apporté aux couches réseau de niveau 3 (IPv4, IPv6, IPX, ARP...) une série de points d entrée spécifiques à chaque couche (hooks), et retour (callbacks), ce qui permet d exporter le code de filtrage en dehors de la couche réseau. (Avec en plus la gestion complète du NAT, une interface d altération des en-têtes : packet mangling...) Sans oublier l utilisation stateful (pare-feu à état), où c est le noyau qui enregistre les sessions (conntrack -E ou more /proc/net/ip conntrack). Historiques des firewall sous linux : noyau 2.4.x : iptables noyau 2.2.x : ipchains noyau 2.0.x : ipfwadm Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

28 Netfilter / Iptables : Objectif Objectif, de la partie firewall : mise en place d un firewall/routeur pour utilisation avec des clients qui ont un firewall de configuré : Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

29 Configuration réseau sudo gedit /etc/network/interfaces auto lo iface lo inet loopback auto eth0 allow-hotplug eth0 iface eth0 inet static address [1-12] netmask network broadcast gateway dns-nameservers dns-search unix.cfbs.dga.defense.gouv.fr Redémarrer le service : /etc/init.d/networking restart Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

30 Configuration réseau Modifier le nom de la machine : sudo gedit /etc/hostname Redémarrer le service : /etc/init.d/hostname restart Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

31 Configuration réseau Vérifier la configuration : ifconfig -a route -n Configuration de l IP forwarding : (sur le firewall/routeur) echo 1 >/proc/sys/net/ipv4/ip forward ou sysctl -w net.ipv4.ip forward=1 ou en modifiant directement le fichier /etc/sysctl.conf Protection contre le spoofing : (sur le firewall/routeur) sysctl -w net.ipv4.conf.default.rp filter=1 Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

32 Importation de l image du PC virtuel Énumération des fichiers disponibles : flamethrower --list Le nom de la distribution doit être indiqué. Téléchargement en simultané par tous après signal du formateur! flamethrower --verbose --directory /virtualbox/vdi --module Nom fichier --nosync Une fois l image récupérée, il faut créer un identifiant unique par machine virtuelle : VBoxManage internalcommands setvdiuuid Nom fichier.dvi Il ne reste plus qu à configurer le réseau! Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

33 Architecture Netfilter Voici les hooks (points d ancrage/intervention) de Netfilter : NF IP PRE ROUTING : paquets entrants sur l interface. NF IP LOCAL IN : paquets destinés à la machine locale. NF IP FORWARD : paquets à router. NF IP LOCAL OUT : paquets émis depuis la machine locale. NF IP POST ROUTING : paquets sortants de l interface. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

34 Architecture Netfilter Résultat des hooks de Netfilter : NF ACCEPT : le paquet est accepté. NF DROP : le paquet est refusé. NF STOLEN : le paquet sera traité ailleurs (en attente). NF QUEUE : le paquet est en attente d envoi à l utilisateur. NF REPEAT : le paquet est rebouclé pour test. NF CONTINUE : le paquet passe à la règle suivante. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

35 Architecture Netfilter : filter Il existe trois tables standard, elles constituent les règles de filtrage. FILTER : contient les règles de filtrage pour les paquets entrants et sortants localement sur la machine, c est la table par défaut si non spécifiée. INPUT : filtre les paquets entrants. OUTPUT : filtre les paquets sortants. FORWARD : filtre les paquets routés qui passent d une interface à l autre. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

36 Architecture Netfilter : nat NAT : Gère la translation d adresse et ports. PREROUTING : translate les adresses de destination (externe). POSTROUTING : translate/masque les adresses de source (local). OUTPUT : permet de modifier les adresses de destination préroutage. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

37 Architecture Netfilter : mangle MANGLE : marquage des paquets, contrôle de débit, priorité des flux. PREROUTING : marquage des paquets en entrée. INPUT : marquage des paquets avant leur envoi (vers l intérieur). FORWARD : les paquets passant d une interface à l autre sont marqués. POSTROUTING : marquage des paquets prêts à être envoyés. OUTPUT : marquage des paquets avant leur envoi (vers extérieur). Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

38 Architecture Netfilter : les fichiers /etc/init.d/iptables save (sauvegarde de la configuration actuelle dans /etc/sysconfig/iptables) /etc/init.d/iptables start ou restart (restaure la configuration à partir de /etc/sysconfig/iptables) /etc/init.d/iptables stop (efface toutes les règles : met tout à ACCEPT) /etc/init.d/iptables panic (bloque toutes les connexions) iptables -t filter -L -v -n --line(liste les règles et informations de la table filter.) Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

39 Architecture Netfilter : construction d une règle 1 iptables (appel de la commande) 2 iptables chaîne (chaîne de commande) exemple : iptables -P INPUT -j DROP 3 iptables chaîne motifs de reconnaissance exemple : iptables -A INPUT -s j DROP 4 iptables chaîne motifs de reconnaissance cibles exemple : iptables -A INPUT -s j DROP Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

40 Netfilter / Iptables : tableau des flux La première étape de la mise en place d un filtrage est l élaboration d un tableau des flux. Composants : service (DNS, HTTP...) ; protocole (TCP/UDP...) ; interface (eth0, eth1...) ; les adresses (source, destination) ; les ports (source, destination) ; Il faut maintenant créer un tableau des flux! Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

41 Netfilter / Iptables : règles par défaut Avant de commencer nous allons créer un fichier : gedit script iptable.sh qui contiendra l initialisation de la configuration et les règles de filtrage. Possibilité d ajouter des commentaires avec : # Les commandes de gestion des règles : iptables-save >fichier de sauvegarde ou iptables-restore <fichier de sauvegarde On refuse tout par défaut! /sbin/iptables -t filter -P INPUT DROP /sbin/iptables -t filter -P OUTPUT DROP /sbin/iptables -t filter -P FORWARD DROP Il est aussi possible d interdire une machine : /sbin/iptables -t filter -s P INPUT DROP Ou d interdire ce qui ne provient pas d une machine : /sbin/iptables -t filter -s! P INPUT DROP Pour lancer le script : sh script iptable.sh Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

42 Netfilter / Iptables : aide Exemples de commandes iptables -h : aide iptables -I chain [numéro] [règle] : insérer une règle en position numéro. iptables -D chain [numéro] : effacer une règle. iptables -R chain [numéro] [règle] : remplacer une règle. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

43 Netfilter / Iptables : initialisation des chaînes # suppression de toutes les chaînes /sbin/iptables -t filter -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F # suppression des chaînes utilisateur /sbin/iptables -t filter -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X # remise à zéro des compteurs /sbin/iptables -t filter -Z /sbin/iptables -t nat -Z /sbin/iptables -t mangle -Z Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

44 Netfilter / Iptables : filtrage simple (DNS, ICMP) # autoriser le loopback /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # autoriser le DNS pour la machine locale # (1ère utilisation de stateful : firewall à état) /sbin/iptables -A OUTPUT -o eth0 -s m state --state NEW,ESTABLISHED -p UDP --sport 1023: --dport 53 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -d m state --state ESTABLISHED,RELATED -p UDP --sport 53 --dport 1023: -j ACCEPT # autoriser le PING (ICMP) pour la machine locale /sbin/iptables -A OUTPUT -o eth0 -s m state --state NEW,ESTABLISHED -p ICMP -j ACCEPT /sbin/iptables -A INPUT -i eth0 -d m state --state ESTABLISHED,RELATED -p ICMP -j ACCEPT Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

45 Netfilter / Iptables : filtrage simple (HTTP/HTTPS) # autoriser le HTTP/HTTPS pour la machine locale /sbin/iptables -A OUTPUT -o eth0 -s m state --state NEW,ESTABLISHED -p TCP --sport 1023: --dport 80 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -d m state --state ESTABLISHED,RELATED -p TCP --sport 80 --dport 1023: -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -s m state --state NEW,ESTABLISHED -p TCP --sport 1023: --dport 443 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -d m state --state ESTABLISHED,RELATED -p TCP --sport dport 1023: -j ACCEPT Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

46 Netfilter / Iptables : filtrage à deux cartes réseaux (routeur) # activer le routage des paquets (masquage d adresse) /sbin/iptables -t nat -A POSTROUTING -s /24 -o eth0 -j MASQUERADE # autoriser le HTTP/HTTPS pour le réseau /sbin/iptables -A FORWARD -p tcp -i eth1 -o eth0 -s /24 --sport 1023: --dport 80 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -i eth0 -o eth1 -d /24 --sport 80 --dport 1023: -j ACCEPT /sbin/iptables -A FORWARD -p tcp -i eth1 -o eth0 -s /24 --sport 1023: --dport 443 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -i eth0 -o eth1 -d /24 --sport dport 1023: -j ACCEPT Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

47 Netfilter / Iptables : filtrage FTP # FTP connexion vers toutes les machines (partie commandes) /sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP -s sport 1023: --dport 21 -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISHED -p TCP -d sport 21 --dport 1023: -j ACCEPT # FTP (partie transfert des données en mode actif) # pour tester le FTP lors de la connexion on passe en mode : # connexion active avec la commande passive /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -p TCP -d sport 20 --dport 1023: -j ACCEPT /sbin/iptables -A OUTPUT -m state --state ESTABLISHED -p TCP -s sport 1023: --dport 20 -j ACCEPT Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

48 Netfilter / Iptables : filtrage FTP Module complémentaire pour le FTP : Vérifier s il est actif : lsmod Activation : /sbin/modprobe ip tables /sbin/modprobe iptable filter /sbin/modprobe ip conntrack ftp ou aussi dans les fichiers /etc/sysconfig/iptables-config ou pour DEBIAN /etc/modules modifier la ligne IPTABLES MODULES= ip conntrack ftp... Redémarrage du filtrage : iptables restart # FTP (partie transfert des données en mode passif) /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -p TCP -s sport 1023: --dport 1023: -j ACCEPT /sbin/iptables -A OUTPUT -m state --state ESTABLISHED -p TCP -d sport 1023: --dport 1023: -j ACCEPT Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

49 Netfilter / Iptables : filtrage par adresse MAC /sbin/iptables - A INPUT -m MAC --mac-source 00:11:22:33:44:55 Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

50 Netfilter / Iptables : règles de sécurité # règles de protection : fragmentation, et scan réseau /sbin/iptables -A INPUT -m state --state INVALID -j DROP /sbin/iptables -A OUTPUT -m state --state INVALID -j DROP /sbin/iptables -A FORWARD -m state --state INVALID -j DROP # utilisation de l option limit, limit est pris en compte au bout de 5 trames # dans l exemple ci-dessous un scan syn est limité par seconde après # les 5 premiers. /sbin/iptables -A FORWARD -p tcp --syn -l limit 1/s -j ACCEPT Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

51 Netfilter / Iptables : NAT (redirection de flux) # redirection de toutes les connexions TELNET distantes # vers le TELNET de la machine locale /sbin/iptables -t NAT - A OUTPUT -p TCP --dport 23 -j DNAT --to-destination Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

52 Netfilter / Iptables : journaux # journalisation /sbin/iptables -N LOG DROP /sbin/iptables -A INPUT -j LOG DROP /sbin/iptables -A OUTPUT -j LOG DROP /sbin/iptables -A FORWARD -j LOG DROP /sbin/iptables -A LOG DROP -j LOG --log-prefix [IPTABLES DROP] : --log-tcp-options --log-ip-options /sbin/iptables -A LOG DROP -j DROP Affichage interactif des journaux : tail -f /var/log/messages Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

53 Netfilter / Iptables : installation au démarrage Copier le fichier de script dans /etc/init.d/ : Ne pas oublier les paramétrages du FORWARD pour le routeur dans le fichier : # init : activation du forward des paquets sysctl -w net.ipv4.ip forward=1 # démarrage du service DNS /etc/init.d/bind9 start Installer le script : update-rc.d script iptable.sh defaults Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

54 Netfilter / Iptables : installation au démarrage (DEBIAN) Il existe des dossiers spécifiques pour les scripts liés aux interfaces réseaux : /etc/network/if-post-down.d sera lancé automatiquement après chaque arrêt d une interface réseau. /etc/network/if preup.d/ sera lancé automatiquement après chaque démarrage d une interface réseau. Pour que les scripts fonctionnent il faut respecter les points suivant : Il doivent être exécutables (chmod +x) En première ligne du script doit être indiqué l interpréteur #!/bin/sh Le nom ne doit contenir que des caractères, chiffres, et -, sans aucun point. Des variables sont accessibles au script (permet d agir en fonction) : ADDRFAM, IFACE, LOGICAL, METHOD, MODE, PHASE et VERBOSITY Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

55 Netfilter / Iptables : installation au démarrage (DEBIAN) Il existe des dossiers spécifiques pour les scripts liés aux interfaces réseaux : /etc/network/if-post-down.d sera lancé automatiquement après chaque arrêt d une interface réseau. /etc/network/if preup.d/ sera lancé automatiquement après chaque démarrage d une interface réseau. Pour que les scripts fonctionnent il faut respecter les points suivant : Il doivent être exécutables (chmod +x) En première ligne du script doit être indiqué l interpréteur #!/bin/sh Le nom ne doit contenir que des caractères, chiffres, et -, sans aucun point. Des variables sont accessibles au script (permet d agir en fonction) : ADDRFAM, IFACE, LOGICAL, METHOD, MODE, PHASE et VERBOSITY Attention, si vous avez plusieurs interfaces réseaux, évitez cette solution. Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

56 Netfilter / Iptables : installation au démarrage Il est aussi possible d exploiter les directives pre-up et post-down dans le fichier /etc/network/interfaces : auto eth0 iface eth0 inet dhcp pre-up /etc/firewall-start.sh post-down /etc/firewall-stop.sh Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

57 Liens Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

58 Des questions? Contact : Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/ / 57

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Administration avancée sous Linux

Administration avancée sous Linux Administration avancée sous Linux Anthony Busson 1 Plan du cours 1. Compilation (gcc) 2. Gestion des utilisateurs et des groupes 3. Montage des périphériques et des systèmes de fichiers 4. Scripts 5. Archivage

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall? TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le

Plus en détail

NetFilter & Iptables Le pare-feu selon Linux

NetFilter & Iptables Le pare-feu selon Linux NetFilter & Iptables Le pare-feu selon Linux Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005 NetFilter 15 mai 2005 Diapositive

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Linux Firewalling - IPTABLES

Linux Firewalling - IPTABLES Linux Firewalling - IPTABLES Aujourd hui tout le monde sait ce que c est qu un firewall ainsi que son utilité sur un réseau, un serveur ou même un ordinateur personnel. En gros, c est la partie du système

Plus en détail

Administration réseau Firewall

Administration réseau Firewall Administration réseau Firewall A. Guermouche Cours 5 : Firewall 1/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 2/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 3/13 Pourquoi

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Administration Réseaux

Administration Réseaux M1 Réseaux Informatique et Applications Administration Réseaux Travaux Pratique n 2 : Firewall Auteurs : Professeur : Patrick Guterl A rendre pour le Mardi 27 Mars 2007 Chapitre : / Préliminaires Préliminaires

Plus en détail

Netfilter : le firewall de linux 2.4 et 2.6

Netfilter : le firewall de linux 2.4 et 2.6 Netfilter : le firewall de linux 2.4 et 2.6 Netfilter: le logiciel, IPTABLES: la commande permettant de le configurer netfilter (noyaux 2.4 et premiers noyaux 2.6): filtre à état pour ipv4 filtre de paquet

Plus en détail

Sécurité GNU/Linux. Iptables, principe de base

Sécurité GNU/Linux. Iptables, principe de base Sécurité GNU/Linux Iptables, principe de base By sharevb Sommaire I.Qu est-ce qu un pare-feu?...1 II.Architecture d iptables...2 III.Les différents types de filtrages : les tables...2 IV.Fonctionnement

Plus en détail

Compte rendu PTI #03

Compte rendu PTI #03 Compte- rendu PTI #03 Cette troisième PTI couvre le domaine du paramétrage réseau et de la sécurité du réseau par la mise en place d'un système de filtrage de paquets via Netfilter (iptables) sous GNU/Linux.

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

pare - feu généralités et iptables

pare - feu généralités et iptables pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall B.T.S Informatique de Gestion Option Administrateur de Réseaux Locaux d Entreprise Session 2004/2005 EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES Nom et prénom du candidat : TAGLIAFERRI Eric ACTIVITE

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

M2-RADIS Rezo TP1 : Mise en place d un réseau correction

M2-RADIS Rezo TP1 : Mise en place d un réseau correction M2-RADIS Rezo TP1 : Mise en place d un réseau correction Gaétan Richard gaetan.richard@info.unicaen.fr Dans le cadre des TPs de réseaux, vous allez progressivement monter et adminstrer un réseau de type

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Table des matières. Formation Iptables

Table des matières. Formation Iptables Table des matières 1.COURS...2 1.1.Mise en situation...2 1.2.Que puis je faire avec iptables/netfilter?...3 1.3.Qu'est ce qu'une chaîne?...3 1.4.Comment placer une règle dans une chaîne?...5 2.TP IPTABLES...6

Plus en détail

avec Netfilter et GNU/Linux

avec Netfilter et GNU/Linux 1/53 Sécurité/Firewall avec Netfilter et GNU/Linux 2/53 Copyright c 2002 Vincent Deffontaines, Hervé Eychenne, Jean-Pierre Messager, Alcôve. Ce document peut être reproduit, distribué et/ou modifié selon

Plus en détail

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Filtrage IP MacOS X, Windows NT/2000/XP et Unix Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix

Plus en détail

TP 3 Réseaux : Subnetting IP et Firewall

TP 3 Réseaux : Subnetting IP et Firewall TP 3 Réseaux : Subnetting IP et Firewall Durée approximative du temps à passer sur chaque partie: I) 1h II-A) 1h II-B) 1h II-C) 45 mn II-D) 15 mn Important Il est nécessaire de ne pas avoir de services

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION )

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) Présentation du TP le firewall sera une machine virtuelle sous Devil Linux le firewall a deux cartes réseaux eth0 ( interface externe ) et eth1 (interface interne)

Plus en détail

Filtrage IP Statique

Filtrage IP Statique Filtrage IP Statique Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux Les concepts du filtrage de paquets(1) Analyse des entêtes d'un paquet : Protocole Adresse

Plus en détail

Exemples de commandes avec iptables.

Exemples de commandes avec iptables. Exemples de commandes avec iptables. * Présentation d'iptables IpTables est une solution complète de firewall (noyau 2.4) remplaçant ipchains (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet

Plus en détail

Sécurité GNU/Linux. Iptables : passerelle

Sécurité GNU/Linux. Iptables : passerelle Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat

Plus en détail

IPv6. ARGOS - Mars 2010. Olivier Morel. Université Paris Sud 11

IPv6. ARGOS - Mars 2010. Olivier Morel. Université Paris Sud 11 IPv6 ARGOS - Mars 2010 Olivier Morel 1 Plan de l exposé Le point sur IPv6 Un peu de technique Le déploiement Exemple de configuration 2 Le point sur IPv6 L IANA a attribuée ses derniers blocs d adresse

Plus en détail

Administration Linux - Pare-feu

Administration Linux - Pare-feu Administration Linux - Pare-feu 2014 tv - v.1.0 - produit le 25 avril 2014 Sommaire Mise en situation 2 Pare-feu (firewall) 2 Filtrage de paquets (firewall stateless)...............................

Plus en détail

REPARTITION AUTOMATIQUE DE SURCHARGE RESEAU

REPARTITION AUTOMATIQUE DE SURCHARGE RESEAU Master 2 Informatique Année universitaire 2009/2010 REPARTITION AUTOMATIQUE DE SURCHARGE RESEAU Etudiants : Nicolas FINESTRA, Julien COSMAO & Paul LE LANN Sommaire Introduction... 3 I Présentation du projet...

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I. LA MISSION Dans le TP précédent vous avez testé deux solutions de partage d une ligne ADSL de façon à offrir un accès internet à tous vos utilisateurs. Vous connaissez

Plus en détail

TP DE PROGRAMMATION RESEAU : LES SOCKETS

TP DE PROGRAMMATION RESEAU : LES SOCKETS - ENSEIRB - TP DE PROGRAMMATION RESEAU : LES SOCKETS Patrice KADIONIK - 1/11- TABLE DES MATIERES www.enseirb.fr/~kadionik 1. BUT DES TRAVAUX PRATIQUES...3 2. SEANCE 1 : UTILISATION DES COMMANDES UNIX/LINUX

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre 2012. Durée : 2h Documents autorisés

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre 2012. Durée : 2h Documents autorisés Master 1 ère année UE Réseaux Avancés I Corrections décembre 2012 Durée : 2h Documents autorisés NetFilter & Gestion de congestion (12 points) 1 Le responsable d une petite entreprise vous appelle pour

Plus en détail

TP Sécurité réseau :

TP Sécurité réseau : TP Sécurité réseau : Firewalls et outils d audit réseau CE TP ILLUSTRERA 1 Configuration réseau d un routeur filtrant 2 Utilisation des règles de filtrage ACL avec un routeur CISCO 1605 3 Utilisation de

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Iptables. Table of Contents

Iptables. Table of Contents Iptables Dérnières modifications : Monday 07 April 2003 La dérnière version de ce document est disponible ici : http://tuxz.org/cours/iptables/ Stéphane Salès s.sales@tuxz.org Table of Contents 1.COURS

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

LES RESEAUX SOUS LINUX

LES RESEAUX SOUS LINUX LES RESEAUX SOUS LINUX AVERTISSEMENT : Les commendes utilisées dans ce document ne sont toutes valables que pour les distributions LINUX de type DEBIAN PROGRAMME DE FORMATION I. GENERALITES SUR LES RESEAUX

Plus en détail

DIFF AVANCÉE. Samy. samy@via.ecp.fr

DIFF AVANCÉE. Samy. samy@via.ecp.fr DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur

Plus en détail

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux

Plus en détail

Internet Protocol. «La couche IP du réseau Internet»

Internet Protocol. «La couche IP du réseau Internet» Internet Protocol «La couche IP du réseau Internet» Rôle de la couche IP Emission d un paquet sur le réseau Réception d un paquet depuis le réseau Configuration IP par l administrateur Noyau IP Performance

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente Dans le cadre de SECURIDAY 2009 SECURINETS Présente Atelier : Mise en place d'une architecture sécurisée contre les attaques DDOS. Formateurs : 1. Fitouri Abdelkrim 2. Ghoulem Adel 3. Yahia Marwen 4. Zoghlami

Plus en détail

Jeudi 27 Janvier Thomas Petazzoni

Jeudi 27 Janvier Thomas Petazzoni Réseau sous GNU/Linux «Connectez vos passions» Jeudi 27 Janvier Thomas Petazzoni Unité de transmission En réseau, l'unité de transmission est le paquet. 0x0000: 00e0 4cec 59d7 00e0 4cec 323b 0800 4500..L.Y...L.2;..E.

Plus en détail

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP Topologie Première partie (FTP) La première partie mettra l accent sur une capture TCP d une session FTP. Cette topologie

Plus en détail

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage: Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Environnements informatiques

Environnements informatiques Environnements informatiques Premiers pas sous Linux (seconde partie) 26 septembre 2008 blansche@dpt-info.u-strasbg.fr 1 /12 Administration sous Linux 2 /12 Démarrage Démarrage de Linux Niveaux de démarrage

Plus en détail

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION Olivier ALLARD-JACQUIN olivieraj@free.fr Version 0.9.1-20 avril 2004 Ce document est publié sous la Licence de Libre Diffusion de Documents (LLDD) Ce document

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

Spécialiste Systèmes et Réseaux

Spécialiste Systèmes et Réseaux page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

Les systèmes pare-feu (firewall)

Les systèmes pare-feu (firewall) Copyright (c) 2003 tv Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published

Plus en détail

La Translation d'adresses. F. Nolot

La Translation d'adresses. F. Nolot La Translation d'adresses F. Nolot 1 Introduction Adressage internet sur 32 bits : a peu près 4 milliards d'adresses Découpage en classes réduit ce nombre Le nombre de machines sur Internet pourrait atteindre

Plus en détail

Plan. Programmation Internet Cours 3. Organismes de standardisation

Plan. Programmation Internet Cours 3. Organismes de standardisation Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1

Plus en détail

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline. Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en

Plus en détail

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent

Plus en détail

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel 2. Pare-feu 21Pare 2.1 Pare-feu feu:sonrôle Filtrer les accès Entrant et sortant Pare-feu personnel Sur les postes Contrôle couches 1 à 7 Pare-feu professionnel Equipement réseau Couches 1 à 3 2 2.2 Filtrage

Plus en détail

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe : TP1 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),

Plus en détail

Cours de Réseau et communication Unix n 6

Cours de Réseau et communication Unix n 6 Cours de Réseau et communication Unix n 6 Faculté des Sciences Université d Aix-Marseille (AMU) Septembre 2013 Cours écrit par Edouard Thiel, http://pageperso.lif.univ-mrs.fr/~edouard.thiel. La page du

Plus en détail

IN411-TP1 Conception d'une zone démilitarisée

IN411-TP1 Conception d'une zone démilitarisée IN411-TP1 Conception d'une zone démilitarisée RENOUX Charles ROUESSARD Julien TARRALLE Bruno ROHAUT Fanny SCHAPIRA Boris TEA Christophe le 16 Octobre 2005 Table des matières Introduction 2 1 Routage Classique

Plus en détail