Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble



Documents pareils
Sécurité des réseaux Firewalls

FILTRAGE de PAQUETS NetFilter

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Formation Iptables : Correction TP

Linux Firewalling - IPTABLES

Sécurité GNU/Linux. Iptables : passerelle

Le filtrage de niveau IP

Administration réseau Firewall

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

avec Netfilter et GNU/Linux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

pare - feu généralités et iptables

Administration Réseaux

Sécurité et Firewall

Devoir Surveillé de Sécurité des Réseaux

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Exemples de commandes avec iptables.

Iptables. Table of Contents

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Les systèmes pare-feu (firewall)

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

MISE EN PLACE DU FIREWALL SHOREWALL

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Proxy et reverse proxy. Serveurs mandataires et relais inverses

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

TP 3 Réseaux : Subnetting IP et Firewall

TP4 : Firewall IPTABLES

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Architectures sécurisées

TP SECU NAT ARS IRT ( CORRECTION )

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Figure 1a. Réseau intranet avec pare feu et NAT.

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Les firewalls libres : netfilter, IP Filter et Packet Filter

GENERALITES. COURS TCP/IP Niveau 1

CONFIGURATION FIREWALL

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Présentation du modèle OSI(Open Systems Interconnection)

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

L3 informatique Réseaux : Configuration d une interface réseau

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Introduction. Adresses

TCP/IP, NAT/PAT et Firewall

SQUID Configuration et administration d un proxy

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

acpro SEN TR firewall IPTABLES

Rappels réseaux TCP/IP

Linux sécurité des réseaux

Conférence Starinux Introduction à IPTABLES

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

Documentation technique OpenVPN

CASE-LINUX CRÉATION DMZ

Introduction aux Technologies de l Internet

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Architecture réseau et filtrage des flux

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

A5.2.3, Repérage des compléments de formation ou d'autoformation

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

Polux Développement d'une maquette pour implémenter des tests de sécurité

Serveur de messagerie sous Debian 5.0

Plan. Programmation Internet Cours 3. Organismes de standardisation

Cisco Certified Network Associate

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Présentation du ResEl

Présentation Internet

Administration des ressources informatiques

Services Réseaux - Couche Application. TODARO Cédric

Spécialiste Systèmes et Réseaux

TAGREROUT Seyf Allah TMRIM

LAB : Schéma. Compagnie C / /24 NETASQ

Partie II PRATIQUE DES CPL

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Réalisation d un portail captif d accès authentifié à Internet

Applications en réseau

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Projet Système & Réseau

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Chap.9: SNMP: Simple Network Management Protocol

I. Adresse IP et nom DNS

Chapitre 6 -TP : Support Réseau des Accès Utilisateurs

Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July ENPC.

LABO GNU LINUX: Auteur : Magali CALO, Julien LEBRUN, Kenneth BAAMI, Farid LOUBANN, Jabran ABOUMEROUANE, SALANDRE Grady

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Réseaux. 1 Généralités. E. Jeandel

Transcription:

ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur) tout n'est pas bien administré des machines ne doivent pas être accessibles par tous certaines doivent être «accessibles" (serveur WWW, FTP, Courriel) Contrôler les accès entrant et sortant Contrôler/espionner autoriser certains services seulement dans un sens pas dans l'autre vers/depuis certaines machines seulement 2 Une vue d'ensemble Nécessiter de définir une politique sécurité tout interdire ou ouverture sélective? Structurer le réseau pour séparer les communautés permettre des délégations de "pouvoir" une partie "ouverte" (sans risques) le reste accessible sur critères Penser sécurisation dans les 2 sens! Pare-feu firewall, Mur pare-feu, coupe-feu 3 4 Pare-feu Dispositif informatique qui filtre les paquets IP les segments TCP et ou les datagramme UDP entre un réseau interne et un réseau public qui effectue de la translation d adresses IP Niveau OSI Mandataire - Pare-feu - Firewall applicatif Transport Réseau 5 Types de Pare-feu Dispositif informatique qui filtre les paquets IP les segments TCP et ou les datagramme UDP entre un réseau interne et un réseau public qui effectue de la translation d adresses IP pare-feu : routeur filtrant une station équipée de deux interfaces réseaux appelé parfois bastion 6 1

Translation d'adresses - NAT Network Adresse Translation - Masquerading Mascarade - usurpation d identité Partager une connexion permet de relier plusieurs machines à Internet (ou à un autre réseau) au travers d'une seule machine (la passerelle) 7 Partage de connexion Réseau privé adresses IP privées Ex: 192.168.15.0/24 Une adresse publique : 80.8.128.5 Internet Les hôtes du réseau privé ont accès à tous les services sur Internet 8 Tables type de traitement Parefeu sous Linux module destiné au filtrage réseau: netfilter Commande: iptables filter Cette table permet de filtrer les paquets Typiquement ce sera pour les accepter ou non nat mangle translations d'adresse (ou de ports) utiliser pour partager une connexion modification des entêtes des paquets 9 10 Chaînes prédéfinies : Points de filtrage Filtrage sous Linux Chaînes prédéfinies déterminent les paquets/trames qui seront traités: INPUT les paquets entrants à destination de l hôte OUTPUT des paquets sortant dont la source est l hôte FORWARD les paquets en transit (entrants ou sortants) sur l hôte 11 Une trame/paquet est de type «INPUT», «OUTPUT», ou exclusif «FORWARD» 12 2

Illustration des chaînes pour le filtrage Paquet arrivant d une interface réseau INPUT OUTPUT FORWARD Paquets allant à une interface réseau 13 Cibles actions pour le filtrage ACCEPT Les paquets/segments poursuivront leur cheminement au travers des couches réseaux DROP refus des paquets (qui seront donc ignorés) REJECT refus du paquets et envoie d une réponse à l'émetteur pour lui signaler que son paquet a été refusé LOG enregistrement un message dans /var/log/messages 14 Option d iptables -L Affiche toutes les règles de la table indiquée -F Supprime toutes les règles de la table sauf la politique par défaut -P Modifie la politique par défaut -A Ajoute une règle à la fin de la table spécifiée -I Insère la règle avant celle indiquée -D Supprime une règle 15 Exemples de filtrage iptables -t filter F // plus de règles de filtrage mais // Ne change pas les politiques par défaut iptables -t filter -P OUTPUT DROP //Politique par défaut pour la chaîne OUTPUT est «DROP» iptables -t filter L // affiche les règles de filtrage et les politiques de filtrage par défaut 16 Format des règles de filtrage table option iptables chaîne iptables -t filter -A OUTPUT Option de filtrage --source 1.2.3.4 --jump REJECT option de filtrage action 17 18 3

Protocoles liés à TCP/IP Option de filtrages DNS BOOTP FTP SMTP HTTP Trames --in-interface --out-interface Interface réseau d'entrée Interface réseau de sortie ARP ICMP UDP TCP IP par exemple Ethernet Paquet IP --source Adresse IP origine du paquet --destination Adresse IP de destination --protocol tcp, udp, icmp ou all correspondant au champ «protocole» de l entête IP 19 20 Exemples de filtrage iptables -t filter -A OUTPUT --destination 192.168.30.45 --jump ACCEPT // les paquets à destination de 192.168.30.45 (sortant) peuvent partir iptables -t filter -A INPUT --source 192.168.30.45 --jump ACCEPT // les paquets venant de 192.168.30.45 (entrant) sont acceptés Exemples de filtrage iptables -t filter -A FORWARD --protocol ICMP --jump ACCEPT // les paquets ICMP en transit sont routés iptables -t filter -A FORWARD --protocol TCP --jump ACCEPT // les datagrammes TCP en transit sont routés 21 22 Option de filtrages (suites) Uniquement segment TCP ou datagramme UDP --source-port port de la source du segment --destination-port port de la destination du segment Option de filtrages (suites) Uniquement segment TCP --state [«ajouter module state» : -m state] NEW : ouverture de connexion ESTABLISHED : déjà établie RELATED : nouvelle connexion liée à une connexion déjà établie 23 24 4

Exemples de filtrage de segments TCP iptables -t filter -A OUTPUT --protocol tcp --source-port 80 -jump ACCEPT iptables -t filter -A OUTPUT --protocol tcp! --source-port 80 --jump DROP //Ces règles permettent de laisser passer tout le trafic TCP sortant du port 80. Par contre les autres segments sortants TCP sont ignorés 25 Exemples de filtrage de segments TCP iptables -t filter -A INPUT --protocol tcp --destination-port 80 -jump ACCEPT iptables -t filter -A INPUT --protocol tcp! --destination-port 80 -jump DROP Ces règles permettent de laisser passer tout le trafic TCP entrant sur le port 80 Par contre les autres segments entrants TCP sont ignorés 26 M1 Exemples de filtrage (suite) tcp : NEW, RELATED, ESTABLISHED 10.4.2.0/24 tcp : RELATED, ESTABLISHED tcp : NEW Mascarade sous Linux iptables -A FORWARD -source 10.4.2.0/24 --protocol tcp --jump ACCEPT iptables -A FORWARD --destination 10.4.2.0/24 --protocol tcp -m state --state ESTABLISHED, RELATED --jump ACCEPT 27 Translation d adresses 28 Chaînes prédéfinies Points de mascarade Pour «NAT network adresse translation» - Déterminer les paquets qui seront traités: PREROUTING les paquets entrants (destination hôte ou paquet en transit) POSTROUTING Les paquets sortants (en transmis ou crées par l hôte) Illustration des chaînes pour NAT INPUT PREROUTING FORWARD Paquet arrivant d une interface réseau OUTPUT Une trame/paquet est de type «PREROUTING», ou non exclusif «POSTROUTING» 29 POSTROUTING Paquet allant à une interface réseau 30 5

Cibles actions pour le NAT Option de NAT MASQUERADE - POSTROUTING Elle change l'adresse IP de l'émetteur par adresse IP de l interface spécifiée SNAT - POSTROUTING Elle change l'adresse IP de l'émetteur par la valeur fixe spécifiée DNAT - PREROUTING et OUTPUT Elle change l'adresse IP du destinataire par la valeur fixe spécifiée Trames --in-interface --out-interface Paquet IP --source --destination --protocol Interface réseau d'entrée Interface réseau de sortie Adresse IP origine du paquet Adresse IP de destination tcp, udp, icmp ou all 31 32 Option de NAT (suites) segment TCP ou datagramme UDP --source-port port de la source du segment --destination-port port de la destination du segment --state [«ajouter module state» : -m state] NEW : ouverture de connexion ESTABLISHED : dans conversation déjà établie RELATED : nouvelle connexion liée à une connexion déjà établie 33 Exemple de mascarade iptables -t nat F iptables -t nat -A POSTROUTING --out-interface ppp0 --jump MASQUERADE iptables -t nat -A POSTROUTING --out-interface ppp0 --jump SNAT --to-source xxx.xxx.xxx.xxx // xxx.xxx.xxx.xxx est l adresse IP remplaçant l adresse IP de l émetteur 34 Format des règles NAT iptables -t nat -A POSTROUTING --out-interface ppp0 table option iptables chaîne --jump MASQUERADE Enregistre les règles de iptables sous Unix Sauver les règles avec iptables-save : iptables-save >/etc/iptables.rules Restaurer les règles avec iptables-restore : iptables-restore < /etc/iptables.rules option de filtrage action 35 36 6

Usage des règles de manière permanente (sous Linux Debian) Dans /etc/network/interfaces iface eth0 inet static address x.x.x.x netmask 255.255.0.0 network x.x.0.0 broadcast x.x.255.255 pre-up iptables-restore < /etc/firewall Usage des règles de manière permanente (sous Linux Debian) Dans /etc/network/interfaces iface eth0 inet dhcp [.. option..] pre-up iptables-restore < /etc/firewall 37 38 Serveur de Proximité Serveur de Proximité Dispositif informatique Une application sur un poste qui prend en charge certaines fonctions applicatives à la place d un ensemble de postes Synonymes :, Mandataire Niveau OSI Mandataire - Pare-feu - Firewall applicatif Transport Réseau 39 40 Fonctionnement d un serveur de proximité WEB Fonctionnement d un serveur de proximité WEB 1. Requêtes HTTP 4. URL proxy 2. requête HTTP avec entête «If-Modified-Since» proxy 3. Si URL a été modifié alors URL est envoyé sinon juste une entête 41 42 7

économiseur de ressources réseaux Clients Web Serveur Web client Web Serveur Web 1. GET A 4. A 2. GET A 3. A 5. GET A A, Cache web 6. A Clients perçoivent un débit plus élevé Diminution du trafic Web Plus de services 43 Exemple visualisation des paquet IP No.Source Destination Protocol Info 4 192.168.0.10 11.169.0.253 HTTP GET La requête a été faite au proxy et non pas à la cible. Le proxy transmet la requête à la cible. 11 11.169.0.253 42.16.0.251 HTTP GET La cible répond au proxy : 13 42.16.0.251 11.169.0.253 HTTP 200 qui retransmet au client: 15 11.169.0.253 192.168.0.10 HTTP 200 et ainsi de suite... 44 Rôle d un serveur de proximités A l IUT Serveur de proximité WEB : cache.ens.iut-orsay.fr Hôte du réseau ens.iut-orsay.fr 1 8080 Serveur Serveur web externe 80 2 45 46 A l IUT Serveur de proximité WEB : cache.ens.iut-orsay.fr A l IUT Serveur de proximité WEB : cache.ens.iut-orsay.fr Hôte du réseau ens.iut-orsay.fr 1&4 8080 Serveur 8080 Serveur Serveur web externe 80 2&3 Serveur web externe 80 47 48 8

A l IUT Serveur de proximité WEB : cache.ens.iut-orsay.fr 8080 Serveur Rôle d un serveur de proximité Economiser les ressources réseaux - cache Enregistre les communications Sécuriser le réseau local (Filtre) Serveur web externe Serveur web externe 80 80 49 Partager une connexion à Internet derrière un serveur de proximité, s il y a un réseau privé serveur de proximité remplacer un routeur à translation d'adresse 50 Réseau Domestique Réseau privé = adresses IP privées Ex: 192.168.15.0/24 Ethernet Modem 192.168.15.254 80.8.128.5 Eviter le mascarade pour les services FTP/HTTP/webmail Adresse publique Ex: via DHCP FAI Logiciels Logiciels et protocole Des modules «proxy» pour certains serveurs Web (Apache) Squid is.a full-featured Web proxy cache, Unix open-source Protocoles SOCKS est un protocole «proxy» générique pour les applications communicantes [RFC 1928] 51 52 Architecture Structuration 3 types de zones : Réseau interne (les hôtes) Une zone démilitarisée - DMZ - demilitarized zone serveurs du réseau interne qui doivent être accessibles de l extérieur (DNS, SMTP, HTTP, FTP, News) Réseau Externe (Internet) Pas d accès directe de l extérieur vers l intérieur, intérieur vers extérieur??? 53 54 9

Architecture 1 Architecture 2 coupe-feu pare-feu R. Interne dmz 55 R. Interne dmz 56 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back