Administration Réseaux



Documents pareils
Sécurité des réseaux Firewalls

FILTRAGE de PAQUETS NetFilter

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Formation Iptables : Correction TP

pare - feu généralités et iptables

Administration réseau Firewall

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Sécurité GNU/Linux. Iptables : passerelle

Exemples de commandes avec iptables.

TP4 : Firewall IPTABLES

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

TP SECU NAT ARS IRT ( CORRECTION )

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

TP 3 Réseaux : Subnetting IP et Firewall

Iptables. Table of Contents

Linux Firewalling - IPTABLES

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Architectures sécurisées

Environnements informatiques

Conférence Starinux Introduction à IPTABLES

Le filtrage de niveau IP

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

avec Netfilter et GNU/Linux

Internet Protocol. «La couche IP du réseau Internet»

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécurité et Firewall

Les firewalls libres : netfilter, IP Filter et Packet Filter

acpro SEN TR firewall IPTABLES

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

MISE EN PLACE DU FIREWALL SHOREWALL

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Architecture réseau et filtrage des flux

Mise en place d'un Réseau Privé Virtuel

Les systèmes pare-feu (firewall)

1/ Introduction. 2/ Schéma du réseau

LAB : Schéma. Compagnie C / /24 NETASQ

Devoir Surveillé de Sécurité des Réseaux

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

CONFIGURATION FIREWALL

SQUID Configuration et administration d un proxy

Proxy et reverse proxy. Serveurs mandataires et relais inverses

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

LABO GNU LINUX: Auteur : Magali CALO, Julien LEBRUN, Kenneth BAAMI, Farid LOUBANN, Jabran ABOUMEROUANE, SALANDRE Grady

Foucart Digeon SISR1-CH7 Mise en place d'un serveur FTP BTS SIO 08/04/2013. SISR1 CH7 Mise en place d'un serveur FTP. - Page 1 -

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Introduction. Adresses

GRETA SISR1 TP Installation et mise en place d un serveur FTP sous Windows Server 2013

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Rappels réseaux TCP/IP

TCP/IP, NAT/PAT et Firewall

Linux sécurité des réseaux

Configuration d un firewall pour sécuriser un serveur WEB

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

7.3 : Ce qu IPv6 peut faire pour moi

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Documentation technique OpenVPN

Travaux Pratiques Introduction aux réseaux IP

Figure 1a. Réseau intranet avec pare feu et NAT.

I. Adresse IP et nom DNS

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Plan. Programmation Internet Cours 3. Organismes de standardisation

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

Polux Développement d'une maquette pour implémenter des tests de sécurité

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

TP réseaux Translation d adresse, firewalls, zonage

MANUEL D INSTALLATION

Contrôle d accès UTIL TP N 1 découverte

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

But de cette présentation. Serveur DHCP (Application à CentOS) Cas des machines virtuelles. Schéma de principe. Hainaut P

Sécurité GNU/Linux. FTP sécurisé

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Présentation du modèle OSI(Open Systems Interconnection)

TAGREROUT Seyf Allah TMRIM

Administration UNIX. Le réseau

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

Réseau - VirtualBox. Sommaire

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Configuration du réseau

Transcription:

M1 Réseaux Informatique et Applications Administration Réseaux Travaux Pratique n 2 : Firewall Auteurs : Professeur : Patrick Guterl A rendre pour le Mardi 27 Mars 2007

Chapitre : / Préliminaires Préliminaires Le but de ce TP est d arriver à la configuration suivante : Pour ce faire, un groupe de deux étudiants s occupera d un PC firewall et d un poste de travail PC. Une autre station de travail se trouvera dans le réseau local protégé par le firewall. Construction de la maquette Avant de se déconnecter du réseau il faut : Modifier le fichier /etc/hosts des postes et ajouter sur la ligne 127.0.0.1 le nom de la station Construire la maquette d après le schéma ci-dessus en utilisant l adressage statique pour les interfaces ethx Configuration du PC_SERV ifconfig eth1 192.168.10.1 netmask 255.255.255.0 On modifie la route par default pour utiliser le FW comme passerelle. route add -net 192.168.10.0/24 gw 192.168.10.254 Configuration du PC ifconfig eth1 192.168.20.1 netmask 255.255.255.0 route add -net 192.168.20.0/24 gw 192.168.20.254 2

Chapitre : / Préliminaires Configuration du FW ifconfig eth1 192.168.10.254 netmask 255.255.255.0 ifconfig eth2 192.168.20.254 netmask 255.255.255.0 Activer le mode forward sur le firewall echo "1" > /proc/sys/net/ipv4/ip_forward Vérifier la connectivité entre le poste PC et PC_SERV PC $ ping 192.168.10.1 Réponse de 192.168.10.1 : octets=32 temps<1ms TTL=64 Réponse de 192.168.10.1 : octets=32 temps<1ms TTL=64 Réponse de 192.168.10.1 : octets=32 temps<1ms TTL=64 Réponse de 192.168.10.1 : octets=32 temps<1ms TTL=64 Statistiques Ping pour 192.168.10.1: Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%), Durée approximative des boucles en millisecondes : Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms On utilisera l outil iptables-save et iptables-restore pour la gestion de règles 3

I. Expérimentation A. Règles de filtrage Premièrement nous réinitialisons toutes les règles existantes en vidant toutes les tables : iptables -t filter -F iptables -t nat -F iptables -t mangle -F Ensuite, nous appliquons les règles de priorités par default pour la protection du réseau local, nous la règlerons à DROP pour tout sauf pour la sortie (OUTPUT) iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP 1. Fonctionnement de REJECT et DROP Le mode de fonctionnement de REJECT permet en plus de la destruction du paquet, d afficher un message d erreur sur sa destruction. Tandis que DROP effectue la même action au niveau physique, il ne génère lui aucun message d erreur et détruit le paquet en silence. Pour autoriser un accès ssh sur PC_SERV d à partir de PC, il faut insérer la règle suivante : -i eth1 -o eth0 -p tcp -s 192.168.10.1 -d 192.168.20.1 --dport 22 -j REJECT 2. Autorisation du Ping (extérieur vers LAN) -i eth1 o eth0 -p icmp -s 192.168.10.0/24 -d 192.168.20.0/24 -i eth0 -o eth1 -p icmp -s 192.168.20./24 -d 192.168.10.0/24 4

3. Journalisation des événements Pour journaliser les événements il faut se servir de la règle LOG d iptables. Cette fonction possède plusieurs degrés de journalisation correspondant aux différents niveaux du démon SYSLOG. LOG_EMERG Le système est inutilisable. LOG_ALERT Des actions doivent être entreprises immédiatement. LOG_CRIT Les conditions sont critiques. LOG_ERR Des erreurs se produisent. LOG_WARNING Des avertissements se présentent. LOG_NOTICE Condition normale, mais message significatif. LOG_INFO Message d'information simple. LOG_DEBUG Message de debugging. Ici nous utiliserons le niveau notice. De plus pour plus de personnalisations des logs il y a diverses autres options qui permettent une meilleure visualisation : --log-prefix [prefix] : affichera [prefix] devant chaque ligne du fichier de log --log-tcp-sequence : affichera les numéros de séquence tcp dans le fichier de log --log-tcp-option : affichera les flags tcp du paquet --log-ip-option : affichera les options ip du paquet -j LOG --log-level notice 4. Accès SSH au service SSH (extérieur vers PC_SERV) -i eth1 -o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.20.1 --dport 22 -i eth0 -o eth1 -p tcp -s 192.168.20.1 -d 0.0.0.0/0 --sport 22 5

5. Accès au service FTP (extérieur vers PC_SERV) Tout d abord, il faut créer un utilisateur sur PC_SERV pour que l utilisateur puisse s authentifier sur le serveur. Ensuite une chose à savoir sur le protocole FTP est que le port associé au service FTP est le 21. Cependant, lors de l envoie de données en mode actif (DATA), le serveur initialise une connexion avec le client sur son port 20. Il y a 2 ports à ouvrir : le 21 et le 20. -i eth1 -o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.20.1 --dport 21 -m state state NEW,ESTABLISHED -i eth0 -o eth1 -p tcp -s 192.168.20.1 -d 0.0.0.0/0 --sport 21 -m state state ESTABLISHED -i eth1 -o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.210.1 --dport 20 -m state state ESTABLISHED -i eth0 -o eth1 -p tcp -s 192.168.20.1 -d 0.0.0.0/0 --sport 20 -m state state ESTABLISHED,RELATED 6. Correction des problèmes du mode PASV : ip_conntrack _ftp Le problème qui se pose lors d une connexion active est que c est le client qui se trouve à l initiative d une connexion supplémentaire pour les données. Le port annoncé par le client se trouvant dans le contenu applicatif du paquet (via la commande PORT), le serveur initialisera une connexion de son port 20 vers celui annoncé par le client. Il faut ajouter un module à iptables pour récupérer le port de la commande PORT et ainsi classer la connexion ftp-data en RELATED et nous n aurons pas besoin de l état NEW. Chargement du module ip_conntrack_ftp : modprobe ip_conntrack_ftp On vérifie sa présence grâce à la commande : lsmod grep ip_conntrack_ftp 6

On vérifie son bon fonctionnement grâce à la commande : cat /proc/net/ip_conntrack B. Règles de NAT 1. Nat du service ssh du serveur (extérieur vers PC_SERV :22) Le NAT sert à masque un réseau local et donc ses serveurs avec leurs services une ou plusieurs adresses publiques. Ici l adresse publique sera celle située à l extérieur du LAN et donc celle correspondant à l interface eth1 du Firewall. iptables -t nat -A PREROUTING -i eth1 o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.10.254/24 --dport 22 -m state --state! INVALID -j DNAT --to-destination 192.168.20.1:22 2. Nat du service http (80) du serveur(8080) (extérieur vers PC_SERV :8080) iptables -t nat -A PREROUTING -i eth1 o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.10.254/24 --dport 80 -m state --state! INVALID -j DNAT --to-destination 192.168.20.1:8080 7

C. Question subsidiaire La fonction masquerade n'a pas été utilisée. La mascarade est une translation d'adresses qui permet de partager, vis-à-vis de l'extérieur, une seule adresse IP externe (celle du firewall) entre plusieurs machines internes. Dans notre cas, on ne s'occupe pas de partage d adresses externes. 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back