BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : ACTIVITE N 1 DESCRIPTIF Titre : Partage de connexion Internet avec filtrage de paquets sous Linux Outils utilisés : - un poste passerelle sous Linux SuSE avec pare-feu - un poste client Linux - un modem - une connexion Internet Traitements réalisés : - mise en place de la connexion Internet - partage de la connexion - filtrage des paquets Compétences professionnelles couvertes : C 23 : Installer et configurer un dispositif de sécurité C 25 : Installer un applicatif C 26 : Installer un périphérique C 33 : Assurer la sécurité du réseau
I- Contexte professionnel Une entreprise possède une connexion Internet via un modem qu elle souhaite partager sur tous les postes de son réseau. Soucieuse de sécuriser son réseau avec budget limité, cette entreprise choisi Linux pour gérer le partage de cette connexion et le filtrage des paquets. Comment partager cette connexion Internet avec Linux? Comment filtrer les paquets à l aide de ce même système d exploitation? Quels paquets interdire en entrée et en sortie et pourquoi? II- Présentation 1. La nécessité de filtrer les paquets Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une intrusion pouvant compromettre l'intégrité du système ou bien y altérer les données. Le firewall ou pare-feu analyse chaque paquet de données entrant et sortant et y recherche les enregistrements conformes à la norme qui définit ce type de paquet. Les paquets dont les enregistrements sont conformes sont acheminés vers leur destination; les autres sont abandonnés Trois types de paquet sont vérifiés dans le flux d'information : TCP (protocole de contrôle des transmissions); UDP (protocole de datagramme usager); les paquets qui ne sont ni du type TCP, ni du type UDP. Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet. En effet dans le cas d'une connexion permanente à haut débit : La machine cible est susceptible d'être connectée sans pour autant être surveillée La machine cible est généralement connectée avec une plus large bande passante La machine cible ne change pas (ou peu) d'adresse IP
Ainsi, il est nécessaire, notamment pour les entreprises connectées à Internet et les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en installant un système pare-feu. 2. Qu est ce qu un pare-feu? Un pare-feufirewall en anglais), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il s'agit donc d'une machine (machine spécifique dans le cas d'un firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces réseau : une interface pour le réseau à protéger (réseau interne) une interface pour le réseau externe 3. Schématisation de notre cas
III- Déroulement des opérations 1. Mise en place des modules nécessaires Les modules ppp sont utiles pour établir la connexion sur un poste Linux. On copie donc les fichiers contenus sur la disquette des ressources partagées sur notre poste afin de les exécuter. On commencera par exécuter slhc.o puis ppp_generic.o afin de terminer par les autres modules: # modprob slhc.o # modprob ppp_generic.o # modprob ppp* 2. Connexion du poste passerelle à Internet a) Les paramètres de connexion Fournisseur : free.fr Login : stsig1 Mot de passe : u5dbk5mb Serveur de courrier entrant : pop.free.fr Serveur de courrier sortant : smtp.free.fr DNS 1 : 213.228.0.168 DNS 2 : 212.27.32.5 N de tel Serveur : 08 60 92 20 00 b) Configuration de la connexion Internet L interface de configuration de la connexion est wvdial. # wvdial.tcl
On configure donc cette interface avec les paramètres des notre connexion. c) Lancement de la connexion Vérifier si aucune passerelle par défaut n est indiquée dans les paramètres réseau du poste passerelle. Pour lancer la connexion, on lance le processus wvdial : # wvdial & Pour arrêter la connexion, on met fin à wvdial : # fg Entrée Control + C
linux:~ # wvdial & --> WvDial: Internet dialer version 1.42 [1] 3598 linux:~ # --> Initializing modem. --> Sending: ATZ ATZ OK --> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 ATQ0 V1 E1 S0=0 &C1 &D2 OK --> Modem initialized. --> Dialing free.fr. --> Idle Seconds = 180, disabling automatic reconnect. --> Sending: ATDT0860922000 --> Waiting for carrier. ATDT0860922000 CONNECT 44000/ARQ/V90/LAPM/V42BIS --> Carrier detected. Starting PPP immediately. --> Starting pppd at Wed Dec 4 13:48:27 2002 --> pid of pppd: 3599 --> pppd: Using interface ppp0 --> pppd: Authentication (PAP) started --> pppd: Authentication (PAP) successful --> pppd: local IP address 62.147.215.191 --> pppd: remote IP address 192.168.254.254 --> pppd: primary DNS address 212.27.32.5 --> pppd: secondary DNS address 213.228.0.168 --> pppd: Script /etc/ppp/ip-up run successful --> Default route Ok. --> Nameserver (DNS) Ok. --> Connected... Press Ctrl-C to disconnect fg wvdial Caught signal #2! Attempting to exit gracefully... --> pppd: Terminating on signal 15. --> pppd: Script /etc/ppp/ip-down started --> pppd: Terminate Request (Message: "User request") --> pppd: Connect time 0.5 minutes. --> Disconnecting at Wed Dec 4 13:48:59 2002
3. Partage de connexion Afin de partager la connexion, il est nécessaire d indiquer sur le poste client : - l adresse IP passerelle du poste passerelle, ici 172.16.0.25, - les DNS du fournisseur d accès, ici 213.228.0.168 et 212.27.32.5 avec comme nom de domaine celui du poste passerelle soit mercure.org. Le script concernant le pare-feu indiquera à la passerelle qu il doit partager la connexion. 4. Filtrage de paquets Le filtrage de paquets se fait grâce à l exécution du script SuSEfirewall2 complété préalablement se trouvant dans /etc/sysconfig/ (voir Annexe) On exécute ce script avant de lancer la connexion : # rcsusefirewall start ************************