Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis. X b) Il vaut mieux permettre tout ce qui n'est pas explicitement interdit. c) Dans un système informatique, il ne sert à rien de multiplier les mesures de sécurité. X d) Plus le système est simple, plus il est facile de le sécuriser. X 2. Quelles attaques sont considérées comme des dénis de service? a) Le spoofing b) Le flooding X c) Les virus d) Le phishing e) Le spamming 3. Le«social engineering» ou le «phishing» consistent le plus souvent à : a) Inonder une machine cible d'applications inutiles b) Récupérer les informations confidentielles pour pénétrer dans un réseau X c) Installer un programme caché dans un autre programme d) Utiliser un analyseur de réseau pour capturer des trames 4. Le but du DNS spoofing est : a) De falsifier l'adresse IP d'un utilisateur b) De rediriger un utilisateur vers un site falsifié c) De falsifier un serveur DNS X 5. Dans une attaque de type DDOS a) Une machine maître contrôle d'autres machines qui pourront réaliser une attaque distribuée sur la cible X b) Une machine maître inonde des machines cible à l'aide d applications distribuées c) L'objectif est de paralyser la machine cible 6. Le rôle d'un Firewall est : a) De créer des connexions sécurisées entre les machines internes et externes b) D'empêcher l'accès à certaines ressources du réseau interne c) De détecter les virus accompagnant les messages d) De filtrer les accès entre l'internet et le réseau local X Exercice 2 Il est décidé d'installer un VPN entre deux sites distants dans une entreprise. Quels sont les protocoles qu il est possible d utiliser? a) WEP // est un protocole de cryptage pour le wi-fi b) PGP // est un protocole de chiffrement de mails niveau application c) IPSec X d) SNMP // ce n est pas un protocole de cryptage mais un protocole d administration de réseau e) SSH // VPN des pauvres X Fonctionnement de Iptables S.EUSCHI Page 1
À l arrivée d un paquet (après décision de routage) : 1: Si le paquet est destiné à l hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n est pas rejeté Alors 9: il poursuit alors sa route Tous les paquets émis par des processus locaux au routeur traversent la chaîne OUTPUT. Exercice1 1. Accepter tous les paquets en provenance de n importe où et destinés à l adresse du routeur 192.168.0.1. iptables -A INPUT -s 0/0 -i eth0 -d 192.168.0.1 -p TCP -j ACCEPT 2. Accepter de router les paquets entrant sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.0.58 1024-65535 80 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.0.58 o eth1 -p TCP -sport 1024:65535 -dport 80 -j ACCEPT 3. Accepter un paquet ICMP echo-request (ping) par seconde iptables -A INPUT -p icmp -icmp-type echo-request m limit -limit 1/s -i eth0 -j ACCEPT Remarque : nmap, nessus,.... Logiciels permettant de diagnostiquer l état d un firewall (trouver les ports ouverts, détecter les services utilisant les ports,... ) Université Kasdi Merbah Ouargla Page 2
Exercice 1. Pour commencer la configuration d'un firewall on doit en premier effacer toute les règles existantes et s'assurer qu'aucune règle n'est appliquée. Donner les règles iptables correspondantes. Iptables F INPUT, Iptables F OUPUT, Iptables F FORWARD, 2. Généralement, lorsqu'on décide de mettre en place un firewall efficace, on commence toujours par appliquer une politique par défaut qui refuse tous les paquets. Donner les règles iptables correspondantes à cette politique. iptables-p INPUT DROP, iptables-p OUTPUT DROP, iptables-p FORWARD DROP 3. On va maintenant permettre tout le tout le trafic rentrant ou sortant du firewall. Donner la règle qui permet de faire cela. 4. Je souhaite pouvoir héberger un dns/mail/http/ftp sur ma machine qui fait aussi firewall. Donnez les règles qui permettent de faire cela: Mail: iptables I INPUT p tcp--dport25 j ACCEPT DNS: iptables I INPUT p udp--dport53 j ACCEPT http: iptables I INPUT p TCP --dport80 j ACCEPT ftp: iptables I INPUT p TCP --dport21 j ACCEPT Exercice 3 Ci-dessous, la règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2 alors que la règle C devait l'interdire. Comment remédier à cela? Si l on veut interdire l accès du LAN à DMZ2 il faut supprimer la ligne A ou mettre la ligne A après la ligne C. En effet dans les règles de filtrage, les autorisations doivent toujours être interprétées avant la règle de blocage. S.EUSCHI Page 3
Exercice 4 Le tableau suivant représente un ensemble de règles de filtrage sur un firewall. 1. Rappeler le numéro de port associé à l application de transfert de fichier FTP. FTP est accessible via le port 21 2. Compte tenu des règles ci-dessus, est-ce que : a. Les transferts FTP vers un serveur interne sont toujours autorisés? OUI (cf ligne A) b. Les transferts FTP vers un serveur interne sont autorisés seulement si la connexion est initiée de l'extérieur? NON ( il n y a pas de restriction dans la colonne ACK de la ligne A) c. Les transferts FTP vers un serveur externe sont toujours autorisés? OUI (cf ligne C) d. Les transferts FTP vers un serveur externe sont autorisés seulement si la connexion est initiée de l'intérieur? (NON, il n y a pas de restriction dans la colonne ACK de la ligne C) e. Les transferts de courrier SMTP sont autorisés dans les deux sens? NON, car SMTP utilise le port 25 et tous les ports autres que 21 ne sont pas autorisés en ligne E. Exercice5 Essayer la séquence de commandes suivantes et expliquer le comportement. # ping -i 1 127.0.0.1 # iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP # ping -i 1 127.0.0.1 # -i 1 (TTL : durée de vie) Réponses : Vérifiez que votre interface de bouclage fonctionne correctement (0% des paquets perdus) : # ping i 1 127.0.0.1 Appliquez un filtre sur la chaîne d entrée INPUT : # iptables A INPUT p icmp s 127.0.0.1 j DROP Vérifiez que votre modification a bien été prise en compte en affichant la chaîne INPUT : # iptables L INPUT Lancer une 2 ème fois le ping # ping i 1 127.0.0.1 Université Kasdi Merbah Ouargla Page 4
Exercice 6 Lecture de nmap Interprétez les résultats des scan nmap ci-dessous. Vous préciserez en particulier si la machine dispose d un firewall et si elle est vulnérable à des attaques ou non. 1. starting Nmap 6.40 ( http://nmap.org ) at 2014-02-06 14:54 CET Nmap scan report for maachine.unice.fr (134.5.4.3) Host is up (0.00028s latency). Not shown: 988 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0) 25/tcp open smtp Postfix smtpd 53/tcp open domain ISC BIND 9.5.1-P3 80/tcp open http Apache httpd 2.2.9 ((Debian)) 110/tcp open pop3 Dovecot pop3d 143/tcp open imap Dovecot imapd 993/tcp open ssl/imap Dovecot imapd 995/tcp open ssl/pop3 Dovecot pop3d MAC Address: 00:50:56:A7:4E:D0 (VMware) Running: Linux 2.6.X Tous les ports sont ouverts, pas de port filtré donc la machine d @ IP 134.5.4.3 ne dispose pas de Firewall. Les ports ouverts sont vulnérables aux différents attaques réseau 2. Starting nmapv. 2.54BETA31 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.1.2) : (The 1549 ports scanned but not shown below are in state : closed) Port State Service 21/tcp filtered ftp 22/tcp filtered ssh 111/tcp open sunrpc 515/tcp open printer 1024/tcp open kdm Nmap run completed --1 IP address (1 host up) scanned in 1 second Les ports 21 (ftp) et 22 (ssh) sont filtrés, la machine d @IP 192.168.1.2 dispose d un Firewall mais d autres ports sont encore ouverts S.EUSCHI Page 5