Sécurité et Firewall



Documents pareils
Sécurité des réseaux Firewalls

Le filtrage de niveau IP

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Administration réseau Firewall

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

TP4 : Firewall IPTABLES

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

FILTRAGE de PAQUETS NetFilter

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

TP 3 Réseaux : Subnetting IP et Firewall

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Formation Iptables : Correction TP

Les firewalls libres : netfilter, IP Filter et Packet Filter

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

acpro SEN TR firewall IPTABLES

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

avec Netfilter et GNU/Linux

Administration Réseaux

TCP/IP, NAT/PAT et Firewall

MISE EN PLACE DU FIREWALL SHOREWALL

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Figure 1a. Réseau intranet avec pare feu et NAT.

LAB : Schéma. Compagnie C / /24 NETASQ

Iptables. Table of Contents

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Sécurité GNU/Linux. Iptables : passerelle

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Introduction. Adresses

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Services Réseaux - Couche Application. TODARO Cédric

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

TP 6 : Wifi Sécurité

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

L3 informatique Réseaux : Configuration d une interface réseau

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

TP réseaux Translation d adresse, firewalls, zonage

Présentation du modèle OSI(Open Systems Interconnection)

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Linux Firewalling - IPTABLES

Environnements informatiques

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Devoir Surveillé de Sécurité des Réseaux

Rappels réseaux TCP/IP

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

Les systèmes pare-feu (firewall)

TAGREROUT Seyf Allah TMRIM

TP SECU NAT ARS IRT ( CORRECTION )

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

TP7. DHCP. 1 Comportement en présence d un serveur unique

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

1.Introduction - Modèle en couches - OSI TCP/IP

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

Configuration des routes statiques, routes flottantes et leur distribution.

COMMANDES RÉSEAUX TCP/IP WINDOWS.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

TP : Introduction à TCP/IP sous UNIX

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Rapport du projet Qualité de Service

Sécurité des réseaux Les attaques

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Plan. Programmation Internet Cours 3. Organismes de standardisation

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Introduction aux Technologies de l Internet

Travaux pratiques Configuration d un pare-feu sous Windows XP

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

GENERALITES. COURS TCP/IP Niveau 1

pare - feu généralités et iptables

M2-RADIS Rezo TP13 : VPN

QoS Réseaux haut débit et Qualité de service

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Présentation Internet

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

Étude de l application DNS (Domain Name System)

Chap.9: SNMP: Simple Network Management Protocol

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Architectures sécurisées

Sécurisation du réseau

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Transcription:

TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette section est emprunté d un document sur les Firewalls écrit par A. Dudin et M. Andrès en 2002 pour un sujet bibliographique dans le cadre du DESS IIR option Réseaux de Lyon. Le Firewall ou «coupe-feu» ou encore «garde-barrière» est essentiellement un dispositif qui constitue un filtre entre un réseau considéré comme sûr, tel que le réseau local auquel vous appartenez, et un réseau qui ne l est pas, tel qu Internet. Derrière le mot firewall se cache un concept plutôt qu un matériel ou un logiciel bien défini. Nous dirons qu un firewall peut être généralement constitué de plusieurs éléments parmi lesquels nous distinguerons: Un (des) routeur (s) assurants les fonctionnalités de filtrages. Une (des) machine (s) dites «système bastion» qui entre autres assurent les fonctions: de passerelle applicative (proxy) pour les applications les plus connues telles que telnet, FTP, WWW, Mail, etc. D authentification des appels entrants, avec éventuellement mise en oeuvre de systèmes d authentification par clé. D audit/log/trace des appels entrants ainsi que des sessions mail, WWW, etc. Le rôle d un environnement de firewall est d assurer un certain niveau de protection du réseau interne, tout en permettant de travailler sans trop de contraintes. Ceci est possible grâce à des techniques de filtrage de plus en plus rapides et intelligentes. La mise en activité d un environnement firewall doit impérativement s accompagner d une réflexion à propos de l objectif que l on veut réellement atteindre, de la politique de sécurité et d utilisation du réseau que l établissement souhaite voir respectée, ainsi que des moyens que l on est prêt à y mettre. Il faut que la politique de sécurité soit acceptée par tous, sinon, on tentera de la contourner, avec les conséquences que l on peut imaginer. Ce n est qu une fois cette politique définie (dans ses grandes lignes) que le choix de solutions techniques et organisationnelles peut être opéré. Ceci pour dire que ce n est pas la technologie qui doit imposer une politique de sécurité parce que l outil est «joli» et le vendeur agréable, mais bien que la politique de sécurité dicte les solutions. De nombreux constructeurs proposent leurs solutions, et parfois, les moins onéreuses ne sont pas les plus mauvaises! D autre part ce choix devra également prendre en compte le niveau des ressources humaines disponibles, pour l installation, la configuration et la maintenance du produit! Les produits de sécurité nécessitent un investissement de départ pour l installation, mais également un suivi constant. L engagement doit en être pris dès le départ. Ainsi du temps «d administrateurs compétents et rigoureux» doit être prévu pour le suivi de l exploitation. Il faut donc trouver une solution adaptée aux besoins, aux moyens, à l environnement, et à la culture de l entreprise. Grâce à cette analyse vous pourrez connaître les avantages, les inconvénients ainsi que le fonctionnement des différentes architectures firewall. 2 Schéma des sous-réseaux pour le TP Le schéma de départ pour aujourd hui est celui de la figure 5. On réalisera les sous-réseaux en utilisant des hubs. Pour simplicité de lecture, on choisira pour les réseaux R1, R2, R3, R4 et R5 les adresses 192.168.[1-5].0 avec des masques de 255.255.255.0 (adresse de classe C où le troisième octet permet de spécifier 1

Figure 1: Architecture firewall 1. Figure 2: Architecture firewall 2. Figure 3: Architecture firewall 3. Figure 4: Architecture firewall 4. 2

Figure 5: Schéma du réseau. 256 sous-réseaux, on suppose que l administrateur a reçu 5 adresses de sous-réseaux différentes). L adresse IP d une machine sur un sous-réseau s obtiendra en concatenant son numéro de machine à l adresse du sous-réseau: par exemple 3 aura l adresse IP 192.168.1.3 sur le réseau R1. Chaque réseau possède une adresse de diffusion (conventionellement avec les bits de poids faibles à 1), qui permet de diffuser un paquet IP à toutes les machines du réseau. Dans notre cas on prendra comme adresse de diffusion l adresse IP du sous-réseau se terminant en 255 (donc pour R2 on a 192.168.2.255). 3 Firewall sous Linux Le noyeau contient à la base trois listes de règles dans la table "filter"; ces listes sont appelées chaines de firewall ou juste chaines. Les trois chaines sont appelées INPUT, OUTPUT et FORWARD. Entrée / \ Sortie -->[ Décision ]---> FORWARD -------> [de routage] \ / ^ v / \ / \ OUTPUT INPUT \ / \ / ^ ---->Processus local ----- Une chaîne est composé d un ensemble de règles, quand un paquet atteint une chaîne celle ci va examiner cet ensemble règle par règle pour trouver la règle qui lui correspond. Si c est le cas alors cette règle lui sera appliquée. Finalement s il n y a pas de règles qui correspond à ce paquet une politique par défaut sera appliquée. La commande iptables (qui remplace ipfwadm et ipchains) permet de spécifier des règles de sélection des paquets IP dans les trois chaînes. Il est également possible de créer d autres chaînes, mais cela ne sera pas aborder dans ce TP. Les paquets sont sélectionnées suivant la combinaison : adresse source, addresse destination, protocole (tcp, udp, icmp, all) et numéro de port. Pour chaque règle de sélection, on peut soit accepter le paquet, soit l ignorer, soit renvoyer une erreur. Faire man iptables, voici les commandes les plus usuelles. Commandes de manipulations des chaînes : 1. Créer une nouvelle chaîne -N. 2. Supprimer une chaîne vide -X. 3. Changer la politique pour une chaîne -P. 4. Lister les règles d?une chaîne -L. 5. Supprimer toutes les règles existantes dans une chaîne -F. 6. Remettre à zéro tous les compteurs des paquets et des octets dans toutes les règles dans une chaîne -Z. 3

Commandes pour manipuler les règles dans une chaîne: 1. Ajouter une nouvelle règle à une chaîne -A. 2. Insère une nouvelle règle à une position précise dans une chaîne -I. 3. Replacer une règle à une position précise dans une chaîne -R. 4. Supprimer une règle à une position précise dans une chaîne -D. Une syntaxe de iptables pourrait être: iptables -A INPUT -s pn -j DROP pour rejeter toutes les connexions venant de la machine pn. iptables -I INPUT -s 192.168.1.0/24 -j DROP pour rejeter toutes les connexions venant du réseau R1. Exercice Essayer la séquence de commandes suivantes et expliquer le comportement. # ping -i 1 127.0.0.1 # iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP # ping -i 1 127.0.0.1 # Exercice Pour commencer la configuration d un firewall on doit en premier effacer toute les règles existantes et s assurer qu aucune règle n est appliquée. Donner les règles iptables correspondantes. Généralement, lorsqu on décide de mettre en place un firewall efficace, on commence toujours par appliquer une politique par défaut qui refuse tous les paquets. Donner les règles iptables correspondantes à cette politique. On va maintenant permettre tout le trafic rentrant ou sortant du firewall. Donner la règle qui permet de faire cela. Donner les règles iptables qui permettent aux firewall des trois sous réseaux de s échanger des messages icmp. Configurer les machines de telle sorte que seules les machines du même réseau ont accès à telnet, plus la machine 3 qui est autorisé pour tout le monde. Sur les passerelles, interdire le routage des paquets concernant le "portmapper" (port 111 utilisé par exemple par la commande rpcinfo -p <host>. Vérifier l efficacité de vos filtres. 4 tcpdump tcpdump permet de visualiser le trafic TCP sur une station. Faire man tcpdump. Essayer le pour essayer de visualiser les mots de passe qui transitent sur le réseau avec les applications rlogin, ftp... Exemple tcpdump -n -x 4

5 ethereal ethereal est similaire à tcpdump mais avec une interface Essayer le pour essayer de visualiser les mots de passe qui transitent sur le réseau avec les applications rlogin, ftp... 6 Documentation En plus des pages de man sur iptables, vous pourrez consulter la documentation en ligne sur iptables et NetFilter en général. Elle est disponible sur http://www.netfilter.org/documentation/. 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back