La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Pare-feu. Responsables : Hugo ETIEVANT (côté routeur), Benoît MAYNARD (côté client) Objectifs : sécuriser la passerelle et protéger le réseau privé Outil.

Présentations similaires


Présentation au sujet: "Pare-feu. Responsables : Hugo ETIEVANT (côté routeur), Benoît MAYNARD (côté client) Objectifs : sécuriser la passerelle et protéger le réseau privé Outil."— Transcription de la présentation:

1 Pare-feu

2 Responsables : Hugo ETIEVANT (côté routeur), Benoît MAYNARD (côté client) Objectifs : sécuriser la passerelle et protéger le réseau privé Outil : ipchains

3 Pare-feu Outil ipchains Utilisation de loutil standard de firewalling : ipchains. Permet détablir des règles de filtrage selon une hiérarchie de chaînes arborescentes. Rapide, souple, efficace et très bien documenté.

4 Pare-feu Fonctionnement (I) Les règles de filtrage déterminent le devenir des paquets grâce à une police qui peut être : ACCEPT, REJECT, DENY, MASQ ou encore une redirection vers une chaîne. Les règles sont groupées en chaînes qui peuvent être celles de base : input, forward, output ou dautres définies par lutilisateur.

5 Pare-feu Fonctionnement (II) Les paquets entrants dans le pare-feu arrivent automatiquement dans la chaîne input. Ceux qui sont émis par le pare-feu, passent dans la chaîne output. Et ceux qui sont retransmis passent par la chaîne forward. Un paquet qui entre dans une chaîne teste toutes les règles de la chaîne jusquà en trouver une qui lui corresponde. Et il obéit à la police spécifiée par la règle trouvée.

6 Pare-feu Fonctionnement (III) Si aucune règle sappliquant au paquet na été trouvée, alors cest la police par défaut de la chaîne qui est utilisée pour savoir que faire de ce paquet. Il est donc important, avant de créer les règles, de définir la police par défaut dune chaîne. Par sécurité, on applique REJECT en entrée (input) et en sortie (output) et DENY en redirection (forward).

7 Pare-feu Les polices Les polices de base : ACCEPT : le paquet est accepté REJECT : le paquet est rejeté avec envoi dun message dexplication ICMP DENY : le paquet est rejeté en mode silencieux MASQ : le paquet est redirigé par masquerading (translation dadresses IP NAT)

8 Pare-feu Les critères de sélection Les règles reposent sur des critères de sélection très variés : Machine source Port source Machine destination Port destination Interface TOS Protocole Drapeaux spéciaux du paquet TCP Types et codes spéciaux du paquet ICMP

9 Pare-feu Actions sur les paquets Les règles peuvent définir différentes actions sur un paquet : Mise en fichier de log Application dune police Redirection vers une autre chaîne Marquage du paquet

10 Pare-feu Mode de construction des règles Chaînes création N vidage F suppression X affectation dune police P affichage L Règles ajout en fin de liste A, insertion ordonnée I suppression D remplacement R changement dordre test C

11 Pare-feu Politique de sécurité IP masquerading Prohiber le Ping Palier à lIP Spoofing Restreindre Telnet Gérer laccès aux sites web Limiter les autres services Garder trace du trafic sensible

12 Pare-feu IP masquerading Pour un réseau local invisible de lextérieur. Tout en lui permettant laccès à lextérieur incognito. echo 1 > /proc/sys/net/ipv4/ip_forward ipchains –P forward DENY ifconfig eth0 up netmask ifconfig eth1 up netmask ipchains –b –A forward –s /24 –j MASQ

13 Pare-feu Accès aux sites web Autoriser seulement les connexions HTTP vers lextérieur. ipchains –A forward –p tcp ! –y –s /0 80 –d /24 –j MASQ ipchains –A forward –p tcp –s /24 –d /0 80 –j MASQ

14 Pare-feu IP Spoofing Combattre lusurpation didentité, limité à la plage dadresses de notre réseau privé et à ladresse de notre passerelle. ipchains –N ipspoof ipchains –F ipspoof ipchains –A ipspoof –l –j DENY ipchains –A input –i eth1 –s /24 –j ipspoof ipchains –A input –i eth1 –s –j ipspoof

15 Pare-feu Restrictions Telnet (I) Pour des besoins de maintenance à distance, autorisation est faite à la machine de se connecter à la passerelle sur le port Telnet (port 23 selon /etc/services ). Laccès des autres machines via Telnet est interdit.

16 Pare-feu Restrictions Telnet (II) – en entrée ipchains –N telin ipchains –F telin ipchains –A telin –s –d –j ACCEPT ipchains –A telin –l -j REJECT ipchains –A input –i eth1 –p tcp –s /0 23 –j telin

17 Pare-feu Restrictions Telnet (III) – en sortie ipchains –N telout ipchains –F telout ipchains –A telout –s –d –j ACCEPT ipchains –A telout –l –p tcp ! –y -j REJECT ipchains –A output –i eth1 –p tcp –s /0 23 –j telout

18 Pare-feu Trafic ICMP (I) Internet Control Message Protocol (RFC 950) : mécanisme de contrôle des erreurs au niveau IP. Utilisé par les outils ping et traceroute afin de préparer les attaques par découverte des réseaux. Ping : teste lexistence dune machine sur le réseau. Traceroute : suivi du trajet des paquets.

19 Pare-feu Trafic ICMP (II) – objectifs Pour éviter tout scan futur, la parade pour rester invisible aux outils de découverte du réseau est : Devenir invisible aux requêtes echo- request Malgré tout, on va participer à la gestion normale des erreurs Gérer normalement les autres messages ICMP

20 Pare-feu Ping – avant ping c 1 64 bytes from : icmp_seq=0 ttl=240 time=17.3 ms

21 Pare-feu Ping – après ping c 1 100% packet loss Mise en fichier de log. ???

22 Pare-feu Trafic ICMP (III) – en entrée ipchains -N icmpin ipchains -F icmpin ipchains -A icmpin -l -p icmp --icmp-type echo-request -j DENY ipchains -A input -i eth1 -p icmp -j icmpin

23 Pare-feu Trafic ICMP (IV) – en sortie ipchains -N icmpout ipchains -F icmpout ipchains -A icmpout -l -p icmp --icmp-type echo-reply -j DENY ipchains -A output -i eth1 -p icmp -j icmpout

24 Pare-feu Fichier de log Conserver les traces du trafic sensible (option -l ) /etc/log/messages Exemple de trace : Nov 8 10:25:53 b710pbv kernel: Packet log: input REJECT eth1 PROTO= : :138 L=236 S=0x00 I=51490 F=0x0000 T=128 (#7) date et heure machine, système chaîne, police, interface protocole machine et port source machine et port destination taille du paquet TOS id du paquet IP grapeau et id de fragment durée de vie (TTL) index de la règle utilisée


Télécharger ppt "Pare-feu. Responsables : Hugo ETIEVANT (côté routeur), Benoît MAYNARD (côté client) Objectifs : sécuriser la passerelle et protéger le réseau privé Outil."

Présentations similaires


Annonces Google