Règle. A Sortant 192.168.22.35 Toutes TCP 80 > 1023 Oui Autoriser. B Entrant Toutes 192.168.22.35 TCP > 1023 80 --- Autoriser



Documents pareils
Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Administration réseau Firewall

Sécurité et Firewall

Configuration du matériel Cisco. Florian Duraffourg

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Formation Iptables : Correction TP

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Les réseaux /24 et x0.0/29 sont considérés comme publics

GENERALITES. COURS TCP/IP Niveau 1

Devoir Surveillé de Sécurité des Réseaux

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Les firewalls libres : netfilter, IP Filter et Packet Filter

Plan. Programmation Internet Cours 3. Organismes de standardisation

FILTRAGE de PAQUETS NetFilter

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Mise en service d un routeur cisco

Proxy et reverse proxy. Serveurs mandataires et relais inverses

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Sécurité des réseaux Firewalls

TP4 : Firewall IPTABLES

Présentation du modèle OSI(Open Systems Interconnection)

Présentation et portée du cours : CCNA Exploration v4.0

avec Netfilter et GNU/Linux

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Travaux pratiques IPv6

TP réseaux Translation d adresse, firewalls, zonage

Configuration et listes d accès pour un routeur CISCO. commandes et exemples

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

pare - feu généralités et iptables

Rappels réseaux TCP/IP

Présentation et portée du cours : CCNA Exploration v4.0

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Linux Firewalling - IPTABLES

comment paramétrer une connexion ADSL sur un modemrouteur

18 TCP Les protocoles de domaines d applications

Iptables. Table of Contents

CONFIGURATION FIREWALL

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Administration de Réseaux d Entreprises

Introduction aux Technologies de l Internet

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Le filtrage de niveau IP

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Les systèmes pare-feu (firewall)

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Documentation : Réseau

La qualité de service (QoS)

Services Réseaux - Couche Application. TODARO Cédric

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Internet Protocol. «La couche IP du réseau Internet»

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Cisco Certified Voice Professional. Comprendre la QoS

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Programme formation pfsense Mars 2011 Cript Bretagne

Sécurité des réseaux Les attaques

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Linux sécurité des réseaux

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Liste des ports. 1 sur 6

UDP/TCP - Protocoles transport


Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

acpro SEN TR firewall IPTABLES

DIGITAL NETWORK. Le Idle Host Scan

SECURIDAY 2012 Pro Edition

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Introduction. Adresses

L3 informatique Réseaux : Configuration d une interface réseau

Chap.9: SNMP: Simple Network Management Protocol

Réseaux TP4 Voix sur IP et Qualité de service. Partie 1. Mise en place du réseau et vérification de la connectivité

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

LAB : Schéma. Compagnie C / /24 NETASQ

Couche Transport TCP et UDP

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Spécialiste Systèmes et Réseaux

Transcription:

Filtrage de paquets: principe Chapitre 8 Filtrage du trafic entrant et du trafic sortant Le firewall laisse passer certains paquets et rejette d autres paquets selon sa politique de sécurité Contrôle d accès, Filtrage et ACL interne Trafic entrant externe LAN Trafic sortant 1 Firewall matériel ou logiciel 2 Filtrage de paquets: principe Le filtrage se fait en analysant les en-têtes des protocoles, en priorité IP, UDP et. En général, on définit une règle de filtrage en considérant 1. Adresse IP source 2. Adresse IP destination 3. Port source 4. Port destination 5. Protocole encapsulé (ICMP, UDP, ) 6. Flag ACK (de ) 7. Type du message ICMP A chaque règle de filtrage est associé une action: Laisser passer le paquet ou Détruire/Rejeter le paquet 3 Exemple de règles de filtrage Politique: Autoriser l extérieur à accéder au service web sur le réseau périphérique Règle Routeur externe Direction paquet Routeur interne 192.168.22.35 IP Source IP Dest Prot Port Source Port Dest Périphérique Privé ACK=1 Action A Sortant 192.168.22.35 Toutes 80 > 1023 Oui Autoriser B Entrant Toutes 192.168.22.35 > 1023 80 --- Autoriser C Toutes Toutes Toutes Tous Tous Tous --- Refuser 4

Types de filtrage Filtrage sans état: Stateless Filtrage simple: Regarder chaque paquet à part et le comparer à une liste de règles préconfigurées (ACL) Implémenté sur les routeurs et les systèmes d exploitations Limites Utiliser un trop grand nombre de règles pour que le Firewall offre une réelle protection Sensibles aux attaques IP spoofing / IP flooding; attaques DoS Types de filtrage Filtrage à état: Statefull Tracer les sessions et les connexions dans des tables d'états internes au Firewall Décider en fonction des états de connexions Exemple: vérifier que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens L application des règles est possible sans lire les ACL à chaque fois (les paquets d une connexion actives seront acceptés) 5 6 Types de filtrage Filtrage applicatif (firewall de type proxy ) Réalisé au niveau de la couche Application Permet d extraire les données du protocole applicatif pour les étudier Chaque protocole est filtré par un processus dédié Limites Problèmes de performance pour les réseaux à grand trafic Processus de développement de filtres Définition des règles de filtrage Utiliser le maximum de critères (@IP, port, ACK etc) Permet de mieux lutter contre les attaques Pour chaque service interne et externe Définir des règles pour autoriser les utilisateurs interne à accéder à des services externes Définir des règles pour autoriser des utilisateurs externes à accéder à des serveurs (services) sur le réseau interne Pour un service à autoriser r Accepter le flux dans les deux sens (client serveur et serveur client) Pour un service à bloquer Il suffit de bloquer le flux du client serveur 7 8

Exemple: Processus de développement de filtres Soit la politique: Accepter HTTP en entrée et en sortie et rien d autre. Autoriser les utilisateurs internes à accéder aux serveurs web externes Autoriser les utilisateurs externes à accéder au serveur web interne Objectif : développer les règles correspondantes Exemple de règles Processus de développement de filtres Règle Direction @ source @ Dest. Protocole Port Port ACK=1 Action src. dest. A Entrant Externe 192.168.22.35 >1023 80 --- Autoriser B Sortant 192.168.22.35168 22 Externe 80 >1023 oui Autoriser C Sortant Interne Externe >1023 80 --- Autoriser D Entrant Externe Interne 80 >1023 oui Autoriser E Toutes Toutes Toutes Tous Tous Tous --- Refuser 192.168.22.35 Périphérique Privé 9 Client externe Client interne B D C A 192.168.22.35 Périphérique Privé 10 Firewall matériel / logiciels Firewalls matériels Routeurs filtrants Firewalls sous forme de boîtiers Firewalls matériels téil / logiciels iil Firewall logiciels Firewall professionnels Firewall libre : Netfilter / iptables Firewall commercial : CheckPoint Firewall-1, ASA, PIX Firewall personnels Kerio, Zone Alarm 11 12

Firewall matériel: Routeurs filtrants interne ( LAN ) Un routeur filtrant externe () Examine chaque paquet afin de déterminer s'il doit l'acheminer ou l'abandonner Bien adapté aux PME Pas de fichiers logs et pas de statistiques La fonction de filtrage est implémentée dans la plupart des routeurs du marché Sous forme de listes d accès ACL En utilisant une syntaxe spécifique par routeur 13 Firewall matériel: Routeurs filtrants Inconvénients Accès à des parties limitées des entêtes des paquets. Aucune information de l état d une communication de bout en bout. «IP-Spoofing Ready»: pas d authentification de l origine du paquet: ne sait pas si l auteur du paquet est bien celui qui l émet Sensibles aux attaques par fragmentation 14 Firewall matériel: Firewall sous forme boîtiers Conçus uniquement pour faire du filtrage OS spécifique, associé au boîtier Rapidité de traitement Supportent rarement les interfaces WAN nécessité d être associés à des routeurs pour la connectivité Exemple : Access Control Lists (ACL) Cisco ASA (Adaptive Security Appliance) Cisco PIX (Private exchange) 15 16

ACL dans les routeurs Permet d implémenter des règles de filtrage dans les routeurs Contrôler l accès entre différents réseaux Une ACL créée doit être associée à une interface du routeur où le filtrage sera exécuté. Interface in (incoming: paquets entrant dans le routeur) Interface out (outcoming: paquets sortant du routeur) inbound outbound «In» access list «out» access list Les paquets sont traités avant d être routé vers l interface outbound Les paquets sont traités lorsqu ils arrivent à l interface outbound 17 ACL: Processus de contrôle des paquets Un paquet est comparé aux règles de l ACL d une manière séquentielle Top- Down La comparaison s arrête dès qu un paquet vérifie l une des règles de l ACL L action (permit/deny) de la règle trouvée est appliquée au paquet Les ACL se terminent par une règle «deny all» implicite pour rejeter les paquets qui ne vérifient aucune règle 18 ACL numbers Standard IP access lists (1-99) Router(config)#access-list? <1-99> IP standard access list <100-199> IP extended access list <200-299> Protocol type-code access list <300-399> DECnet access list <400-499> XNS standard access list <500-599> 599 XNS extended d access list <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> 1299 IPX summary address access list 19 Filtrage en se basant sur l adresse IP source uniquement Se placent près de la destination Syntaxe Créer la liste d accès Router(config)# access-list numéro-liste-d accès {deny permit} source [wildcard mask] [log] Associer la liste d accès à une interface du routeur: Router(config)# interface [port du routeur] Router(config-if)# ip access-group numéro-liste-d accès {in/out} 20

Standard IP access lists (1-99) Syntaxe Router(config)# access-list numéro-liste-d d accès {deny permit} source [wildcard mask] [log] Source: Hostname or A.B.C.D; any (n importe quel hôte), host (hôte particulier) wildcard mask (32 bits) Les bits 0 signifient que les mêmes positions de bits doivent être vérifiées (match) Les bits 1 signifient que les bits de mêmes positions sont ignorés Exemples Router(config)# access-list 14 deny 192.168.16.0 0.0.0.255 (tous les hôtes) Router(config)# access-list 14 deny 192.168.16.0 0.0.0.127 (1ère moitié) Router(config)# access-list 14 deny 192.168.16.128 0.0.0.127 (2ème moitié) 21 Standard IP access lists (1-99) Exemple: Permettre l acheminement du trafic du réseau 192.168.1.0168 1 (vers et vers 172.16.0.0) Router(config)# access-list 11 permit 192.168.1.0 19216810000255 0.0.0.255 Router(config)# int S0 Router(config-if)# ip access-group 11 out Router(config)# int E1 Router(config-if)# if)# ip access-group 11 out S0 172.16.0.0 E1 E0 192.168.1.0168 1 22 Extended IP access lists Filtrage en se basant sur: @IP source et @IP destination Port source et port destination (filtrage par service) Type de protocole de transport (, UDP) Se placent près de la source Syntaxe Créer la liste d accès Router(config)# access-list numéro-liste-daccès{deny permit} d accès protocol source [source mask] destination [destination mask] [operator operand] Associer la liste d accès à une interface du routeur: Router(config)# interface [port du routeur] Router(config-if)# ip access-group numéro-liste-d accès {in/out} 23 Extended IP access lists (syntaxe) Router(config)# access-list numéro-liste-d accès {deny permit} protocol source [source mask] destination [destination mask] ][operator operand] Router(config)#access-list 112 deny? <0-255> An IP protocol number eigrp Cisco's EIGRP routing protocol gre Cisco's GRE tunneling icmp It t Control Message Protocol igmp Gateway Message Protocol igrp Cisco's s IGRP routing protocol ip Any Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol 24

Extended IP access lists (syntaxe) Router(config)# access-list numéro-liste-d accès {deny permit} protocol source [source mask] destination [destination mask] ][operator operand] Router(config)#access-list 112 deny tcp? A.B.C.D Source address any Any source host host A single source host Router(config)#access-list 112 deny tcp any? A.B.C.D Destination address any Any destination host host A single destination host 25 Extended IP access lists (syntaxe) Router(config)# access-list numéro-liste-d accès {deny permit} protocol source [source mask] destination [destination mask] ][operatorp operand] Router(config)#access-list 112 deny tcp any host 172.16.30.2? eq Match only packets on a given port number established Match established connections fragments Check fragments gt Mth Match only packets kt with a greater port number log Log matches against this entry log-input Log matches against this entry, including input interface lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value range Match only packets in the range of port numbers tos Match packets with given TOS value 26 Extended IP access lists (syntaxe) Router(config)# access-list numéro-liste-d accès {deny permit} protocol source [source mask] destination [destination mask] ][operator operand] ] Router(config)#access-list 112 deny tcp any host 172.16.30.2 eq? daytime Daytime (13) domain Domain Name Service (53) echo Echo (7) ftp File Transfer Protocol (21) irc Relay Chat (194) lpd Printer service (515) smtp Simple Mail Transport Protocol (25) sunrpc Sun Remote Procedure Call (111) telnet Telnet (23) www World Wide Web HTTP,80).etc 27 Extended IP access lists Exemple 1: refuser l accès du réseau 221.23.123.0 au serveur FTP (/21) 198.150.13.34 et permettre les autres services Extended ACL Placer la règle près de la source Ecrire l ACL dans le routeur C et l appliquer li à l interface E0 Router(config)#access-list 113 deny tcp 221. 23.123.0 0.0.0.255 host 198.150.13.34 eq 21 Router(config)#access-list 113 permit ip 221. 23.123.0 0.0.0.255 0.0.0.0 255.255.255.255 Router(config)# int E0 Router(config-if)# ip access-group 113 in 28

Nommage des ACL Assigner des noms aux ACL Utile lorsqu on a besoin de plus de 99 ACL Exemple Router(config)#ip access-list standard nom_liste Router(config-std-nacl)# deny host 172.16.2.3 Les paramètres access-list et access-list-number sont implicites Router(config)# int E0 Router(config-if)# ip access-group nom_liste out Vérification des ACLs La commande Show: show access-lists Montre toutes les ACLs configuré dans le routeur show access-lists {name number} Montre l ACL spécifié show ip interface Montre l ACL appliqué à l interface (inbound et outbound). show running-config Montre toutes les ACLs et les interfaces où elle sont appliquées 29 30 A retenir Assigner une seule ACL par interface, par protocole et par direction (une seule ACL inbound et une seule ACL outbound par interface) L ajout de nouvelle lignes se fait à la fin de la liste Une ACL se termine par un deny any implicite une liste d accès doit contenir au minimum une ligne permit Les ACL ne permettent pas de filtrer le trafic généré par le routeur Placer les ACL standards près de la destination Placer les ACL eétendues près de la source 31

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back