Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables



Documents pareils
Sécurité des réseaux Firewalls

TP4 : Firewall IPTABLES

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Administration réseau Firewall

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

FILTRAGE de PAQUETS NetFilter

Formation Iptables : Correction TP

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Conférence Starinux Introduction à IPTABLES

Sécurité GNU/Linux. Iptables : passerelle

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les firewalls libres : netfilter, IP Filter et Packet Filter

Linux Firewalling - IPTABLES

Administration Réseaux

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

pare - feu généralités et iptables

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

avec Netfilter et GNU/Linux

Le filtrage de niveau IP

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Sécurité et Firewall

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

TP 3 Réseaux : Subnetting IP et Firewall

MISE EN PLACE DU FIREWALL SHOREWALL

Exemples de commandes avec iptables.

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Devoir Surveillé de Sécurité des Réseaux

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Firewall et NAC OpenSource

TP SECU NAT ARS IRT ( CORRECTION )

acpro SEN TR firewall IPTABLES

Iptables. Table of Contents

Architectures sécurisées

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Figure 1a. Réseau intranet avec pare feu et NAT.

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LAB : Schéma. Compagnie C / /24 NETASQ

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Les systèmes pare-feu (firewall)

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Présentation du modèle OSI(Open Systems Interconnection)

TCP/IP, NAT/PAT et Firewall

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Projet Système & Réseau

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Environnements informatiques

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Présentation du Serveur SME 6000

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

Mise en route d'un Routeur/Pare-Feu

Réalisation d un portail captif d accès authentifié à Internet

Notions de sécurités en informatique

Architecture réseau et filtrage des flux

Linux sécurité des réseaux

Documentation technique OpenVPN

Groupe Eyrolles, 2006, ISBN : X

Présenté par : Mlle A.DIB

Fiche Technique. Cisco Security Agent

Virtual Box Mettez un PC dans votre... PC

Symantec MessageLabs Web Security.cloud

GESLAB_Pre-Requis_v2.0.doc 01/03/2013. Pré-Requis

VPN. Réseau privé virtuel Usages :

CONFIGURATION FIREWALL

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

NuFW Howto. Eric Leblond Vincent Deffontaines Jean Baptiste Favre

SQUID Configuration et administration d un proxy

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

OXYAN Software : «la communication sécurisée»

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen MAPMO Projet SDS

CAHIER DES CLAUSES TECHNIQUES

1/ Introduction. 2/ Schéma du réseau

Spécialiste Systèmes et Réseaux

Retour d expérience sur Prelude

Bibliographie. Gestion des risques

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Exemple de configuration ZyWALL USG

Fiche descriptive de module

Sécurité GNU/Linux. FTP sécurisé

Réseau - VirtualBox. Sommaire

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

Transcription:

Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences et Technologie 2 Direction Territoriale Sud Ouest France Télécom 13 octobre 2007 Virus Spam Philippe Harrand (Université de La Rochelle) 13 octobre 2007 1 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 2 / 26 Définition Un firewall est un logiciel qui Firewall Analyse les trames qu il reçoit et prend une décision en fonction des adresses de couche 2, 3 et 4 => filtrage sans état La décision peut être prise en fonction de l état d une connexion et/ou des drapeaux TCP => filtrage dynamique La décision peut être prise en fonction du contenu de couche 7 => filtrage applicatif Un firewall protège tout un réseau Philippe Harrand (Université de La Rochelle) 13 octobre 2007 3 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 4 / 26

Pare-feux libres Distributions Linux dédiées Linux Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4 et 2.6 Linux Ipchains, pare-feu libre du noyau Linux 2.2 Packet Filter ou PF, pare-feu libre de OpenBSD IPFilter ou IPF, pare-feu libre de BSD et Solaris 10 Ipfirewall ou IPFW, pare-feu libre de FreeBSD Smoothwall Passerelle, pare-feu, proxy WEB, DNS dynamique, VPN, IDS, etc Existe en libre et en commercial IPCop Passerelle, pare-feu, proxy WEB et DNS, VPN, etc... Philippe Harrand (Université de La Rochelle) 13 octobre 2007 5 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 6 / 26 Logiciels commerciaux Pare-feux dédiés Check Point FireWall-1 logiciel pare-feu commercial commercialisé par Check Point Seclutions AirLock pare-feu applicatif commercial NuFW logiciel pare-feu authentifiant en GPL pour environnement GNU/Linux, client sous licence commerciale pour postes clients Windows Pare-feu personnel de Windows XP Zone Alarm... Il existe un certain nombre de boitiers combinant souvent pare-feu et routeur Cisco Systems NetASQ Juniper Networks... Philippe Harrand (Université de La Rochelle) 13 octobre 2007 7 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 8 / 26

Décisions Iptables Accepter ACCEPT Rejeter REJECT Supprimer DROP Philippe Harrand (Université de La Rochelle) 13 octobre 2007 9 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 10 / 26 Stratégie Types de flux POLICY Décision qui s applique quand aucune règle ne correspond au paquet SECURITE : supprimer ce qui n est pas explicitement autorisé Philippe Harrand (Université de La Rochelle) 13 octobre 2007 11 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 12 / 26

Types de flux Exemples Entrant Les paquets à destination des processus internes à la machine Sortant Les paquets issus des processus internes à la machine TRANSIT Les paquets qui traversent la machine Les paquets entrent par une interface et ressortent par une autre Vu du Pare-feu, Le trafic Internet => local est FORWARD local => Internet est FORWARD Une requête "ping request" local => pare-feu est INPUT "ping request" Internet => pare-feu est INPUT "ping reply" pare-feu => Internet est OUTPUT "ping reply" pare-feu => local est OUTPUT Philippe Harrand (Université de La Rochelle) 13 octobre 2007 13 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 14 / 26 Principes Table "filter" Effacer toutes les règles existantes Définir la stratégie par défaut Définir les règles Les règles sont parcourues dans l ordre. Dès qu une règle correspond («match») on «saute» (-j) vers la chaîne indiquée Si aucune règle ne correspond on applique la stratégie par défaut Chaque paquet passe à travers cette table A ajout, D supprime, I insère, F efface toutes les règles mais pas la stratégie par défaut, L liste Chaîne INPUT, OUTPUT ou FORWARD Critères de sélection du paquet Décision iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.2.0.0/16 -d!192.168.12.0/24 sport 1024 :65535 dport 80 -j REJECT reject-with icmp-host-unreachable Philippe Harrand (Université de La Rochelle) 13 octobre 2007 15 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 16 / 26

Filtrage à états Table NAT différents états NEW ESTABLISHED RELATED nécessite -p tcp iptables -A FORWARD -i eth0 -o eth1 -s 10.2.10.134 -d 192.168.12.65 -p tcp state ESTABLISHED, RELATED -j ACCEPT Permet la translation d adresses Le premier paquet de chaque connexion passe à travers cette table 3 chaînes prédéfinies : PREROUTING l adresse de destination est modifiée pour les paquets entrants AVANT la décision de routage POSTROUTING l adresse source est modifiée pour les paquets sortants APRES la décision de routage OUTPUT translation d adresses de destination uniquement pour les paquets créés par cet ordinateur Philippe Harrand (Université de La Rochelle) 13 octobre 2007 17 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 18 / 26 Table Mangle transformation des options des paquets, comme la régulation de la bande passante, très utile pour lutter contre les attaques en «DOS» Virus Philippe Harrand (Université de La Rochelle) 13 octobre 2007 19 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 20 / 26

Définitions Sous le vocable virus on trouve des Virus morceaux de codes binaires qui s insinuent dans un exécutable et s auto-répliquent déclenchent une action à un instant T Vers Exécutables autonomes qui se diffusent par le Net Chevaux de troie exécutables autonomes exécutés comme démons fournissent un accès distant au système Antivirus Méthodes de fonctionnement Méthode par signature Recherche dans les fichiers d une "signature" contenue dans une liste de virus connus sans effet sur les virus inconnus Méthode heuristique Analyse du comportement des processus en cours Gourmand en ressources Faux positifs Les deux Philippe Harrand (Université de La Rochelle) 13 octobre 2007 21 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 22 / 26 Définitions SPAM Courrier non sollicité Généralement commercial Encombre le réseau et les boites aux lettres La loi française réprime cette pratique Philippe Harrand (Université de La Rochelle) 13 octobre 2007 23 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 24 / 26

Anti spam Serveur Mail Antivirus/Antispam La reconnaissance du nom de l émetteur ne fonctionne plus Apprentissage Reconnaissance de mots dans le texte Sans effet sur les images Vérification FQDN GeyListing Philippe Harrand (Université de La Rochelle) 13 octobre 2007 25 / 26 Philippe Harrand (Université de La Rochelle) 13 octobre 2007 26 / 26

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back