Sécurité des réseaux Firewalls

Documents pareils

Administration réseau Firewall

Formation Iptables : Correction TP

Sécurité GNU/Linux. Iptables : passerelle

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

pare - feu généralités et iptables

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

FILTRAGE de PAQUETS NetFilter

Administration Réseaux

Le filtrage de niveau IP

TP4 : Firewall IPTABLES

avec Netfilter et GNU/Linux

TP 3 Réseaux : Subnetting IP et Firewall

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Exemples de commandes avec iptables.

Linux Firewalling - IPTABLES

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Sécurité et Firewall

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Iptables. Table of Contents

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Les firewalls libres : netfilter, IP Filter et Packet Filter

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

MISE EN PLACE DU FIREWALL SHOREWALL

CONFIGURATION FIREWALL

Devoir Surveillé de Sécurité des Réseaux

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Architectures sécurisées

TCP/IP, NAT/PAT et Firewall

TP SECU NAT ARS IRT ( CORRECTION )

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Figure 1a. Réseau intranet avec pare feu et NAT.

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Architecture réseau et filtrage des flux

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Conférence Starinux Introduction à IPTABLES

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Sécurité des réseaux Les attaques

Réalisation d un portail captif d accès authentifié à Internet

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Les systèmes pare-feu (firewall)

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

acpro SEN TR firewall IPTABLES

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

Linux sécurité des réseaux

GENERALITES. COURS TCP/IP Niveau 1

Environnements informatiques

TAGREROUT Seyf Allah TMRIM

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Rappels réseaux TCP/IP

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LAB : Schéma. Compagnie C / /24 NETASQ

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Projet Système & Réseau

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

1/ Introduction. 2/ Schéma du réseau

SQUID Configuration et administration d un proxy

L3 informatique Réseaux : Configuration d une interface réseau

Plan. Programmation Internet Cours 3. Organismes de standardisation

Aperçu technique Projet «Internet à l école» (SAI)

REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTER DE L ENSEGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE

Firewall d'infrastructure centralisé. et load-balancing. Adrien Urban Responsable R&D

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Cisco Certified Network Associate

Le routeur de la Freebox explications et configuration

Présentation du modèle OSI(Open Systems Interconnection)

Polux Développement d'une maquette pour implémenter des tests de sécurité

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Services Réseaux - Couche Application. TODARO Cédric

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Spécialiste Systèmes et Réseaux

TARMAC.BE TECHNOTE #1

PACK SKeeper Multi = 1 SKeeper et des SKubes

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Introduction. Adresses

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

Réseau - VirtualBox. Sommaire

Chap.9: SNMP: Simple Network Management Protocol

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Transcription:

Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1

Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 2

Plan Firewall? 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 3

Pourquoi un firewall? Firewall? Definition Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local. pourquoi un firewall? Contrôle. Gérer les connexions sortantes a partir du réseau local. Sécurité. Protéger le réseau interne des intrusions venant de l extérieur. Vigilance. Surveiller/tracer le trafic entre le réseau local et internet. A. Guermouche Cours 1 : Firewalls 4

Firewall Firewall? Plusieurs types de firewalls : Pare-feu au niveau réseau Pare-feu au niveau applicatif Pare-feu des applications A. Guermouche Cours 1 : Firewalls 5

Firewall? Différents types de firewalls Pare-feu niveau réseau. (iptables, paquet filter,... ) Firewall fonctionnant à un niveau bas de la pile TCP/IP Basé sur le filtrage des paquets Possibilité (si mécanisme disponible) de filtrer les paquets suivant l état de la connexion Intérêt : Transparence pour les utilisateurs du réseau Pare-feu au niveau applicatif. (inetd, xinetd,... ) Firewall fonctionnant au niveau le plus haut de la pile TCP/IP Généralement basé sur des mécanisme de proxy Intérêt : Possibilité d interpréter le contenu du trafic Pare-feu des applications. (/etc/ftpaccess pour ftp,... ) Restrictions au niveau des différentes applications A. Guermouche Cours 1 : Firewalls 6

Plan DMZ 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 7

DMZ DMZ Definition (DMZ) Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le réseau extérieur. Propriétés : Intérêt : Les connexions à la DMZ sont autorisées de n importe où. Les connexions à partir de la DMZ ne sont autorisées que vers l extérieur. Rendre des machines accessible à partir de l extérieur (possibilité de mettre en place des serveurs (DNS, SMTP,... ). A. Guermouche Cours 1 : Firewalls 8

Plan Proxy 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 9

Proxy ou mandataire Définition : Proxy Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP,... ) Possibilité de modification des informations échangées entre le client et le serveur. A. Guermouche Cours 1 : Firewalls 10

Proxy ou mandataire Définition : Proxy Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP,... ) Proxy Réseau privé 64.233.183.147 140.77.13.5 33210 80 GET index.html 192.168.0.1 192.168.0.10 33210 80 GET www.google.com/index.html Mémorisation de la requête à partir de 192.168.0.10 et réexpédition 64.233.183.147 140.77.13.5 33210 80 192.168.0.10 192.168.0.1 80 33210 <HTML>... <\HTML> <HTML>... <\HTML> Délivrance de la demande initiale A. Guermouche Cours 1 : Firewalls 10

Plan Logiciels de filtrage de paquets 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 11

Logiciels de filtrage de paquets Logiciels de filtrage de paquets Fonctionnalités de firewall filtrant directement implémentée dans le noyau Linux. Filtrage de niveau 3 ou 4. 3 types de firewall filtrants : Ipfwadm. Jusqu à la version 2.1.102 du noyau linux Ipchains. Entre les versions 2.2.0 et 2.4 du noyau linux Iptables. À partir des noyaux 2.4 A. Guermouche Cours 1 : Firewalls 12

Plan Ipfwadm 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 13

Ipfwadm Ipfwadm Firewall permettant la gestion des paquets TCP, UDP et ICMP. 3 types de règles : INPUT. sont appliquées lors de l arrivée d un paquet. FORWARD. sont appliquées lorsque la destination du paquet n est pas le routeur. OUTPUT. sont appliquées dès qu un paquet doit sortir du routeur. Fonctionnement : Demasquerading INPUT Processus local Paquet rejeté OUTPUT Paquet accepté Paquet routé FORWARD A. Guermouche Cours 1 : Firewalls 14

Ipfwadm Ipfwadm Firewall permettant la gestion des paquets TCP, UDP et ICMP. 3 types de règles : INPUT. sont appliquées lors de l arrivée d un paquet. FORWARD. sont appliquées lorsque la destination du paquet n est pas le routeur. OUTPUT. sont appliquées dès qu un paquet doit sortir du routeur. Fonctionnement : 1: lorsqu un paquet entre, il traverse les règles de type INPUT 2: Si il est accepté Alors 3: Si il est destiné à une autre machine Alors 4: il est routé vers les règles FORWARD 5: Sinon 6: il est rejeté 7: le paquet est finalement émis Dans tous les cas, le paquet traverse les règles OUTPUT A. Guermouche Cours 1 : Firewalls 14

Plan Ipchains 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 15

Ipchains Ipchains Module du noyau Linux réalisant le filtrage de paquets. Inspiré du parre-feu BSD (tout comme ipfwadm) Fonctionnement : Boucle locale "Demasquerading" INPUT Routage FORWARD OUTPUT Accepté Rejeté Rejeté Rejeté Processus local A. Guermouche Cours 1 : Firewalls 16

Plan Iptables 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 17

Iptables (1/2) Iptables Module du noyau Linux réalisant le filtrage de paquets (noyaux 2.4). Améliorations en matière de filtrage et de translation d adresses par rapport à Ipchains. Fonctionnement : FORWARD Pré-routage Routage Rejeté Post-routage INPUT Processus local OUTPUT Accepté Rejeté Rejeté A. Guermouche Cours 1 : Firewalls 18

Iptables (1/2) Iptables Module du noyau Linux réalisant le filtrage de paquets (noyaux 2.4). Améliorations en matière de filtrage et de translation d adresses par rapport à Ipchains. Fonctionnement : À l arrivée d un paquet (après décision de routage) : 1: Si le paquet est destiné à l hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n est pas rejeté Alors 9: il poursuit alors sa route A. Guermouche Cours 1 : Firewalls 18

Iptables (1/2) Iptables Module du noyau Linux réalisant le filtrage de paquets (noyaux 2.4). Améliorations en matière de filtrage et de translation d adresses par rapport à Ipchains. Fonctionnement : À l arrivée d un paquet (après décision de routage) : 1: Si le paquet est destiné à l hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n est pas rejeté Alors 9: il poursuit alors sa route Tous les paquets émis par des processus locaux au routeur traversent la chaîne OUTPUT. A. Guermouche Cours 1 : Firewalls 18

Iptables (2/2) Iptables Fonctionnalités : Filtrage de paquets NAT Marquage de paquets Architectures :Trois tables de chaînes (FILTER, NAT et MANGLE). FILTER (filtrage des paquets) INPUT paquet entrant sur le routeur OUTPUT paquet émis par le routeur FORWARD paquet traversant le routeur NAT (translation d adresses) PREROUTING NAT de destination POSTROUTING OUTPUT NAT de source NAT sur les paquets émis localement La table MANGLE sert au marquage des paquets A. Guermouche Cours 1 : Firewalls 19

Iptables Fonctionnalités NAT d Iptables (1/2) eth1 eth0 Routeur 140.77.13.2 192.168.0.2 Réseau privé Modification de la destination du paquet avant le routage (paquet reçu de l extérieur). iptables -t nat -A PREROUTING -d 140.77.13.2 -i eth1 -j DNAT -to-destination 192.168.0.2 Modification de la source du paquet après le routage (paquet émis à partir du réseau privé). iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT -to-source 140.77.13.2 A. Guermouche Cours 1 : Firewalls 20

Iptables Fonctionnalités NAT d Iptables (1/2) eth1 eth0 Routeur 140.77.13.2 192.168.0.2 Réseau privé Exercice : Comment faire pour que le routeur puisse envoyer un paquet à l adresse 140.77.13.2? A. Guermouche Cours 1 : Firewalls 20

Iptables Fonctionnalités NAT d Iptables (1/2) eth1 eth0 Routeur 140.77.13.2 192.168.0.2 Réseau privé Exercice : Comment faire pour que le routeur puisse envoyer un paquet à l adresse 140.77.13.2? Réponse : Il faut modifier la destination du paquet émis localement avant le routage. iptables -t nat -A OUTPUT -d 140.77.13.2 -j DNAT -to-destination 192.168.0.2 A. Guermouche Cours 1 : Firewalls 20

Iptables Fonctionnalités NAT d Iptables (2/2) NAT 192.168.0.0/24 140.77.13.2 eth1 eth0 Routeur 140.77.13.3 eth2 switch 192.168.1.0/24 NAT Réseau privé Association entre toutes les adresses privées du sous-réseau 192.168.0.0/24 avec l interface eth1. iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE Association entre toutes les adresses privées du sous-réseau 192.168.1.0/24 avec l interface eth2. iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE A. Guermouche Cours 1 : Firewalls 21

Transfert de ports Iptables NAT 140.77.13.2 eth1 eth0 Routeur 140.77.13.3 eth2 NAT 192.168.0.0/24 switch 192.168.1.0/24 Réseau privé Transférer les connexions sur le port 80 de l adresse 140.77.13.2 sur la machine ayant l adresse privée 192.168.0.200 sur le port 8080 : iptables -t nat -A PREROUTING -p tcp -i eth0 -d 140.77.13.2 -dport 80 -sport 1024:65535 -j DNAT -to 192.168.0.200:8080 A. Guermouche Cours 1 : Firewalls 22

Plan Iptables et filtrage 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 23

Iptables et filtrage Iptables et filtrage(1/2) Filtrage des paquets IP, TCP, UDP ou ICMP Spécification de règle pour le rejet ou l acceptation de paquet Utilisation de la table FILTER et des chaînes INPUT, OUTPUT et FORWARD Règles traitées de manière séquentielle : Le paquet sort dès qu il rencontre une règle qui peut lui être appliquée Exemples : Accepter tous les paquets en provenance de n importe où et destinés à l adresse du routeur 192.168.1.1. iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT Accepter de router les paquets entrant sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.1.58 1024-65535 80 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -dport 80 -j ACCEPT A. Guermouche Cours 1 : Firewalls 24

Iptables et filtrage Iptables et filtrage(2/2) Accepter un paquet ICMP echo-request (ping) par seconde iptables -A INPUT -p icmp -icmp-type echo-request -m limit -limit 1/s -i eth0 -j ACCEPT Accepter 5 segments TCP ayant le bit SYN positionné par seconde (permet d éviter de se faire inonder) iptables -A INPUT -p tcp -syn -m limit -limit 5/s -i eth0 -j ACCEPT Accepter de router les paquets entrants sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.1.58 1024-65535 80 ou 443 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -m multiport -dport 80,443 -j ACCEPT A. Guermouche Cours 1 : Firewalls 25

Iptables et filtrage Iptables et suivi des connexions Suivi des connexions disponible (conntrack) Quatre états possibles pour une connexion : NEW. Nouvelle connexion établie ESTABLISHED. La connexion analysée est déjà établie RELATED. La connexion est en relation avec une connexion déjà établie (ftp-data par exemple) INVALID. Le paquet reçu n appartient à aucune des trois catégories précédentes. Exemples : Autoriser tous les paquets émis par le routeur concernant des connexions déjà établies. iptables -A OUTPUT -o eth0 -m state -state ESTABLISHED,RELATED -j ACCEPT A. Guermouche Cours 1 : Firewalls 26

Iptables et filtrage Iptables et suivi des connexions Suivi des connexions disponible (conntrack) Quatre états possibles pour une connexion : NEW. Nouvelle connexion établie ESTABLISHED. La connexion analysée est déjà établie RELATED. La connexion est en relation avec une connexion déjà établie (ftp-data par exemple) INVALID. Le paquet reçu n appartient à aucune des trois catégories précédentes. Exemples : Autoriser le routeur à relayer tous les paquets reçus concernant de nouvelles connexions sur le port 22. iptables -A FORWARD -p tcp -i eth0 -dport 22 -sport 1024:65535 -m state -state NEW -j ACCEPT A. Guermouche Cours 1 : Firewalls 26

Iptables et filtrage Outils de diagnostic Traces iptables. Possibilité de tracer certaines actions iptables. exemple : 1. Tracer toutes les actions iptables : iptables -A OUTPUT -j LOG iptables -A INPUT -j LOG iptables -A FORWARD -j LOG 2. Rajouter une règle pour tracer les paquets rejetés iptables -N LOG_DROP iptables -A LOG_DROP -j LOG -log-prefix [IPTABLES DROP] : iptables -A LOG_DROP -j DROP nmap, nessus,.... Logiciels permettant de diagnostiquer l état d un firewall (trouver les ports ouverts, détecter les services utilisant les ports,... ) A. Guermouche Cours 1 : Firewalls 27

Plan Translation d adresses 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 28

Translation d adresses Pourquoi avoir des adresses privées? Gérer la pénurie d adresses au sein d un réseau Masquer l intérieur du réseau par rapport à l extérieur (le réseau peut être vu comme une seule et même machine) Améliorer la sécurité pour le réseau interne Assouplir la gestion des adresses du réseau interne Faciliter la modification de l architecture du réseau interne Mécanisme de translation d adresses (NAT - Network Address Translation) Deux types de NAT : statique. association entre n adresses publiques et n adresses privées. dynamique. association entre 1 adresse publique et n adresses privées. A. Guermouche Cours 1 : Firewalls 29

NAT statique Translation d adresses NAT statique Association entre une adresse publique et une adresse privée. 147.210.20.235 192.168.0.1... Passerelle... 147.210.20.3 192.168.0.21 Réseau privé A. Guermouche Cours 1 : Firewalls 30

NAT statique Translation d adresses NAT statique Association entre une adresse publique et une adresse privée. Intérêt : Uniformité de l adressage dans la partie privée du réseau (modification de la correspondance @publique/@privée facile) Sécurité accrue (tous les flux passent par la passerelle NAT) Inconvénient : Problème de pénurie d adresses IP publiques non-résolu A. Guermouche Cours 1 : Firewalls 30

Translation d adresses NAT statique : Principe NAT statique Pour chaque paquet sortant (resp. entrant), la passerelle modifie l adresse source (resp. destination). Passerelle Réseau privé 147.210.20.235 140.77.16.192 33210 80 140.77.16.192 147.210.20.235 33210 80 192.168.0.1 140.77.16.192 33210 80 140.77.16.192 192.168.0.1 80 33210 Paquet IP... @IP source @IP... destination Port source Port... destination Paquet TCP Données A. Guermouche Cours 1 : Firewalls 31

Translation d adresses NAT dynamique : Masquerading NAT dynamique : Masquerading Association entre m adresses publiques et n adresses privées (m < n). 192.168.0.1 147.210.20.235 Passerelle... 192.168.0.21 Réseau privé A. Guermouche Cours 1 : Firewalls 32

Translation d adresses NAT dynamique : Masquerading NAT dynamique : Masquerading Association entre m adresses publiques et n adresses privées (m < n). Intérêt : Plusieurs machines utilisent la même adresse IP publique pour sortir du réseau privé Sécurité accrue (tous les flux passent par la passerelle NAT) Inconvénient : Les machines du réseau interne ne sont pas accessibles de l extérieur (impossibilité d initier une connexion de l extérieur) A. Guermouche Cours 1 : Firewalls 32

Translation d adresses NAT dynamique : Masquerading NAT dynamique : Principe (1/2) L association de n adresses privées à 1 adresse publique nécessite, au niveau de la passerelle, de : modifier l adresse source (resp. destination) des paquets sortant (resp. entrants) changer le numéro de port source pour les flux sortant Passerelle Réseau privé 147.210.20.235 140.77.16.192 64111 80 140.77.16.192 147.210.20.235 64111 80 Mémorisation de la translation (192.168.0.1,33210) (147.210.20.235,64111) Inversion de la translation 192.168.0.1 140.77.16.192 33210 80 140.77.16.192 192.168.0.1 80 33210 A. Guermouche Cours 1 : Firewalls 33

Translation d adresses NAT dynamique : Principe (2/2) NAT dynamique : Masquerading Comment est ce que le routeur différencie les paquets qui lui sont destinés de ceux qu il doit relayer? À chaque nouvelle connexion : 1: Modifier l adresse source et le port source : (@source_privée,port_source) (@publique,port_source ) 2: Sauvegarder l association dans la table NAT Pour chaque paquet entrant : 3: Chercher une association correspondant au couple (@destination, port_destination) 4: Si une association dans la table NAT Alors 5: Modifier l adresse de destination et le port de destination 6: Relayer le paquet 7: Sinon 8: /* Erreur de routage */ A. Guermouche Cours 1 : Firewalls 34

Translation d adresses NAT dynamique : Principe (2/2) NAT dynamique : Masquerading Comment est ce que le routeur différencie les paquets qui lui sont destinés de ceux qu il doit relayer? À chaque nouvelle connexion : 1: Modifier l adresse source et le port source : (@source_privée,port_source) (@publique,port_source ) 2: Sauvegarder l association dans la table NAT Pour chaque paquet entrant : 3: Chercher une association correspondant au couple (@destination, port_destination) 4: Si une association dans la table NAT Alors 5: Modifier l adresse de destination et le port de destination 6: Relayer le paquet 7: Sinon 8: /* Erreur de routage */ Le routeur gère toutes les associations Unicité de l association (donc du port source après translation) A. Guermouche Cours 1 : Firewalls 34

Translation d adresses Problèmes liés à NAT dynamique NAT dynamique : Masquerading Comment faire de la translation d adresse sur des protocoles qui ne sont pas basés sur TCP ou UDP (pas de numéro de port)? Nécessité d implémenter une méthode spécifique au protocole (identifiant ICMP pour ICMP par exemple). Dans le cas des protocoles dont les paquets contiennent des données relatives aux adresses IP, il est nécessaire de mettre en place des proxy (FTP en mode actif par exemple). Comment rendre joignables des machines du réseau local? Nécessité de faire de la redirection de port (port forwarding/mapping). Principe. Toutes les connexions entrantes sur un port donné sont redirigée vers une machine du réseau privé sur un port (qui peut être le même ou non). A. Guermouche Cours 1 : Firewalls 35