Le filtrage de niveau IP



Documents pareils
Sécurité des réseaux Firewalls

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

TP4 : Firewall IPTABLES

Sécurité et Firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Formation Iptables : Correction TP

Administration réseau Firewall

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Sécurité GNU/Linux. Iptables : passerelle

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Linux sécurité des réseaux

TCP/IP, NAT/PAT et Firewall

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

FILTRAGE de PAQUETS NetFilter

avec Netfilter et GNU/Linux

Iptables. Table of Contents

Linux Firewalling - IPTABLES

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

SQUID Configuration et administration d un proxy

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

acpro SEN TR firewall IPTABLES

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

MISE EN PLACE DU FIREWALL SHOREWALL

Administration Réseaux

TP 3 Réseaux : Subnetting IP et Firewall

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Spécialiste Systèmes et Réseaux

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

pare - feu généralités et iptables

Les systèmes pare-feu (firewall)

Devoir Surveillé de Sécurité des Réseaux

GENERALITES. COURS TCP/IP Niveau 1

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Aperçu technique Projet «Internet à l école» (SAI)

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Exemples de commandes avec iptables.

TP réseaux Translation d adresse, firewalls, zonage

TAGREROUT Seyf Allah TMRIM

Figure 1a. Réseau intranet avec pare feu et NAT.

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Cisco Certified Network Associate

CONFIGURATION FIREWALL

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

LAB : Schéma. Compagnie C / /24 NETASQ

Architecture réseau et filtrage des flux

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Aménagements technologiques

Serveur FTP. 20 décembre. Windows Server 2008R2

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Présentation Internet

Présentation du Serveur SME 6000

Projet Système & Réseau

ADF Reverse Proxy. Thierry DOSTES

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Présentation du modèle OSI(Open Systems Interconnection)

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

L3 informatique Réseaux : Configuration d une interface réseau

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Installation et Configuration de Squid et SquidGuard sous Debian 7

DSI - Pôle Infrastructures

Le routeur de la Freebox explications et configuration

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Cloud public d Ikoula Documentation de prise en main 2.0

Les firewalls libres : netfilter, IP Filter et Packet Filter

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

MANUEL D INSTALLATION D UN PROXY

TP SECU NAT ARS IRT ( CORRECTION )

Services Réseaux - Couche Application. TODARO Cédric

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Fiche descriptive de module

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines.

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Polux Développement d'une maquette pour implémenter des tests de sécurité

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

2 disques en Raid 0,5 ou 10 SAS

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Transcription:

2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station. Il permet donc de mettre en place des fonctionnalité de type firewall. Nous observerons ensuite comment il peut être couplé avec des mécanismes équivalents au niveau applicatif. 1 Filtrage de type firewall L utilisation d une connexion directe présente l avantage de faciliter l accès à l information et la publication de l information. Elle présente cependant également un gros inconvénient, celui de la sécurité. En effet, s il est possible d accéder à l information et plus généralement aux machines de façon amicale, il est probablement tout aussi simple d y accéder à des fins moins avouables! Une connexion directe à Internet implique donc traditionnellement la mise en place de systèmes de sécurité et de veille. La plupart de ces systèmes est en général rassemblée dans un firewall (littéralement mur pare-feu ). De par sa fonction de protection du réseau, un firewall doit avoir une position particulière dans ce réseau. Il se trouve en général sur le routeur d entrée dans le réseau, comme dans la figure 1. Zone sensible Serveur Web Réseau du fournisseur Routeur du fournisseur Réseau Interne du client Routeur/Firewall du client FIG. 1 Positionnement du firewall. Le firewall se place donc entre Internet et le réseau interne à l organisation. Cependant, les machines de ce réseau interne n ayant pas toutes les mêmes contraintes de sécurité, elles sont généralement divisées en deux zones : le réseau interne, qui contient la plupart des stations de travail et qui doit donc être aussi isolée que possible d Internet ; Le filtrage de niveau IP 1

la zone démilitarisée (ou DMZ) qui contient les serveurs d informations susceptibles d être accédés depuis des stations situées ailleurs sur Internet. Le système Linux intègre des fonctionnalités de firewall, certaines d entre elles (celles relevant du filtrage IP) pouvant être mises en place grâce à la commande iptables. 1.1 Fonctionnement du firewall sous Linux Le fonctionnement est basé sur des chaînes ; chaque chaîne étant une suite ordonnée de règles. Une règle définit une condition à évaluer sur chaque paquet (par exemple d où il provient) et un comportement à adopter pour les paquets qui vérifient cette condition (les refuser par exemple). routage FORWARD routage INPUT OUTPUT FIG. 2 Les chaînes du filtrage. Il existe au minimum trois chaînes liées au filtrage, illustrées par la figure 2 : la chaîne d entrée (INPUT), qui concerne tous les paquets entrants dont le firewall est le destinataire final ; la chaîne de sortie (OUTPUT), pour chaque paquet généré par le firewall ; la chaîne de réexpédition (FORWARD), pour les paquets que le firewall doit faire suivre à une autre station. L administrateur peut manipuler les chaînes par la commande iptables. Cette commande admet de nombreuses options que nous ne décrirons pas ici (voir son manuel en ligne). Voyons cependant quelques exemples. Pour ajouter une nouvelle règle à la fin d une chaîne, on utilise par exemple : # iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP Ici on refuse (DROP) tous les paquets entrants (INPUT) en provenance (-s) de l adresse 127.0.0.1 pour le protocole (-p) ICMP et à destination de la machine locale. On peut alors observer l état des chaînes : # iptables -L Chain INPUT (policy ACCEPT) : target prot opt source destination ports DROP icmp ------ localhost anywhere any -> any Le filtrage de niveau IP 2

Chain FORWARD (policy ACCEPT) : Chain OUTPUT (policy ACCEPT) : puis on peut détruire la première règle de la chaîne input de la façon suivante : # iptables -D INPUT 1 1.2 Définition de règles La mise en place de mécanismes de sécurité avec un firewall Linux consiste donc en l écriture de règles rassemblées dans différentes chaînes. Exercice 1 : Test des règles Expérimentez la commande iptables en créant des règles et en vérifiant leur effet. Évitez d utiliser trop de règles simultanément afin de bien maîtriser ce que vous faîtes. 1.3 Choix d une politique de sécurité La définition puis la mise en place d une véritable politique de sécurité dépassent la responsabilité de l administrateur réseau. La politique doit en effet être définie (ou au moins validée) par les instances dirigeantes car elle doit correspondre aux besoins, aux risques et aux moyens de l organisation. La mise en place d un ensemble de chaînes et de règles ne se fait donc pas au jour le jour et doit être planifiée dans sa globalité. L efficacité de chaque règle peut en effet être remise en cause par une autre règle. Exercice 2 : Développement d une politique Définissez une politique cohérente (mais simple). Par exemple on interdira tous les accès sortants et entrants sur le réseau interne, mais on autorisera tous les accès Web qui en sortent. On autorisera en revanche tous les accès vers et depuis la DMZ sauf les accès telnet (sauf venant du réseau interne). Mettez alors en place les règles nécessaires et vérifiez le bon fonctionnement. 2 Filtrage via une passerelle applicative Tout comme pour une liaison par réseau commuté, il peut être intéressant de mettre en œuvre des mécanismes permettant d optimiser l utilisation de la bande passante de la connexion à Internet. De tels mécanismes nécessitent généralement une souplesse ne pouvant être fournie que par une passerelle applicative. 2.1 Proxy cache La méthode traditionnelle est d utiliser un proxy cache, c est à dire un proxy (tel que vu dans le TP n 2) qui conserve les fichiers dans un cache disque local de façon à pouvoir les fournir plus rapidement (et sans utiliser la connexion à Internet) lors d une prochaine requête. Le filtrage de niveau IP 3

Le serveur Web Apache intègre ces fonctions et permet donc une gestion centralisée des services Web, proxy et cache. Il est cependant souvent préférable, en particulier à des fins de souplesse d administration et d efficacité, de préférer utiliser un outil dédié tel que Squid. Il s agit d un proxy cache applicatif intégrant les protocoles HTTP, HTTPS et FTP. Exercice 3 : Mise en place du cache Lancez l utilitaire Squid (via la commande /etc/init.d/squid start) et assurez-vous de son bon fonctionnement. Sa configuration est faite par le fichier /etc/quid/squid.conf. Notez qu il est configuré pour écouter sur le port 3128. L efficacité d un cache repose sur son utilisation (!) ; il est donc important dans une organisation utilisant un cache de s assurer que tous les postes de travail passent par le proxy cache. Dans une grosse organisation, ceci n est pas possible ; l administrateur réseau doit donc procéder autrement. Une solution est fournie par le firewall qui peut interdire les requêtes Web sortantes. Une station que l on aurait alors oublié de configurer pour utiliser le proxy ne pourrait pas accéder à Internet. Exercice 4 : Forcer l utilisation du cache Changer votre politique de sécurité pour y intégrer une contrainte empéchant les utilisateurs du réseau interne d accéder directement aux serveur Web d Internet. Ajoutons que l utilisation conjointe d une telle pratique et des possibilités de filtrage offertes par certains proxy permet également de s assurer que les pages Web consultées par les personnes de l organisation sont politiquement correctes. 2.2 Proxy transparent L utilisation obligatoire d un proxy nécessite tout de même la configuration (et la maintenance en cas de changement) des stations vis-à-vis de ce proxy. La notion de proxy transparent permet de supprimer toute cette configuration et donc de rendre parfaitement transparent à l utilisateur final l existence même du proxy. Linux intègre une partie de cette notion dans son module de gestion du firewall. En effet le comportement REDIRECT (qui peut être associé à n importe quelle règle, comme tout autre comportement, mais uniquement sur les chaînes PREROUTING ou OUTPUT dans la table nat) signifie que tout paquet validé par la condition liée à la règle sera redirigé vers un port de la machine locale. Par exemple # iptables -t nat -A PREROUTING -s 147.127.0.0/16 -p tcp --destination-port www -j REDI- RECT --to-ports 8000 Cette commande ajoute une règle à la fin de la chaîne d entrée spécifiant que tout paquet provenant du réseau de classe B 147.127 à destination d un serveur Web doit être redirigé vers le port 8000 du firewall. Si la machine hébergeant le firewall offre un proxy qui fonctionne sur le port 8000, alors toutes les requêtes seront traitées par ce proxy. Exercice 5 : Automatiser l utilisation du proxy Réalisez la configuration nécessaire pour forcer et automatiser l utilisation le votre proxy squid Le filtrage de niveau IP 4

par l ensemble des clients du réseau. Attention cependant au fait que le proxy en question doit supporter le proxy transparent. Ce n est pas le cas, à l heure actuelle, du serveur Apache, mais un petit utilitaire, nommé tproxy permet de contourner ce problème : # tproxy -s tproxy-port proxy-host proxy-port Le filtrage de niveau IP 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back