Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Qualité de Service sur Linux
FIREWALL Exposé NT Réseaux
Liste de contrôle d’accès
Alain AINA AFNOG VI MAPUTO, Avril 2005
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
Le protocole IPX/SPX Lajouad Rachid.
– Routage. Sommaire 1)Principes fondamentaux 1)Routage statique et dynamique 1)Convergence 1)Routage à vecteur de distance 1)Routage à état de liens 1)Systèmes.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.
Firewall sous Linux Netfilter / iptables.
interface graphique permettant de faciliter la conception de topologies réseaux complexes Logiciel permettant de créer des machines virtuelles sur une.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Module 7 : Résolution de noms NetBIOS à l'aide du service WINS
Firewalling et NAT sous LINUX
Réseaux Privés Virtuels
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.
Cours Présenté par …………..
TP sur le filtrage avec iptables
PLAN Qu’est ce que le routage ?
SECURITE DU SYSTEME D’INFORMATION (SSI)
Pare-feu.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Virtual Local Area Network
Le protocole FTP.
Les relations clients - serveurs
Netfilter/Iptables Introduction.
Digi_TransportWR44 Mise en Route Mode Opératoire.
Les NAC Network Access Control
Les Access-lists sur routeurs Cisco
PLAN 1-Présentation du protocole ICMP: . VIDEO . ICMP
AMPIGNY Christophe - 10/12/2001
SECURITE DES RESEAUX WIFI
 Administration - Système windows, linux..Passerelle Internet sous linux Présenter par : Mounir GRARI 2012/2013.
Cours 5 Le modèle de référence.
Sommaire Dans ce chapitre, nous aborderons :
Suite.
Réseau Infrastructure Partage ressources Protocole Sécurité.
Module Routage Où dois-je envoyer ce paquet ???
Firewall SAOUDI Lalia Ce modèle peut être utilisé comme fichier de démarrage pour présenter des supports de formation à un groupe. Sections Cliquez.
Interconnexion de réseaux par des routeurs sous GNU/Linux
(\> LordLogs </) VIA 09/12/2010
Les listes de contrôle d’accès
Institut Supérieur d’Informatique
Préparer par : Badr Mahdari Othmane Habachi Encadrer par:
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Département de physique/Infotronique
Les Réseaux Informatiques Clients & Serveurs Le protocole FTP Laurent JEANPIERRE DEUST AMMILoR.
Introduction à la sécurité des interconnexions Internet
05 – Couche 3 - Couche réseau Terme anglais = The Network Layer.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Les Réseaux Informatiques
Déploiement d’un pare-feu haute disponibilité
Mise en place de translation d’adresses NAT/PAT
IPSec Formation.
-7- Notions de Routage.
Olivier Allard-Jacquin version juillet 2003 GUILDE:Groupement des utilisateurs Linux du Dauphiné 1 / 37 Introduction I Rappels sur les réseaux.
Sécurité Réseau Alain AINA AFNOG 2003.
Architecture Client/Serveur
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Département Informatique Les Réseaux Informatiques Couche Transport Protocoles UDP & TCP Laurent JEANPIERRE.
Gérald Masquelier Antoine Mottier Cédric Pronzato Les Firewalls.
INSIA SRT 2 IPTABLES. Netfilter ● Netfilter : module qui fournit à Linux les fonctions de – pare-feu – de traduction d'adresse – et d'historisation du.
Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux
Packet Filtering: iptables
Transcription de la présentation:

Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux Firewalls 13/12/2002 Ciefa Poly-informatique 20/06/2002 - Ciefa Poly-informatique

Ciefa Poly-informatique Plan du cours Présentation générale Firewall avec IPChains Firewall avec IPTables (NetFilter) 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Partie 1 Présentation générale Firewall avec IPChains Firewall avec IPTables (NetFilter) 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Définition théorique Firewall Logiciel de contrôle d’accès au niveau du réseau Divers niveaux de filtrage Liaison (adresse MAC, …) Réseau (en têtes IP, IPX, … et type/code ICMP) Transport (ports TCP/UDP) Filtrage adaptatif (« statefull inspection ») ou dynamique Session (« circuit level gateway », SOCKS) Application (relais applicatifs – « application proxys ») Combinaison…. 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Définition pratique Mais pratiquement : Fonctionnalité principale : filtrage IP Fonctionnalité supplémentaire svt présente : traduction d’adresses et de ports Filtrage IP Idée : contrôler les paquets IP autorisés à atteindre un hôte Intérêt : sécuriser un hôte de façon globale (au niveau réseau) Traduction d’adresses et de ports Idée : réécrire les en-têtes des paquets Intérêt : faire face à la pénurie d’adresses routables sur l’Internet. 13/12/2002 Ciefa Poly-informatique

Avantages des firewalls Gestion de la sécurité concentrée Configuration peu sensible à l’échelle du périmètre de sécurité Capacité d’audit du trafic réseau Traces supplémentaires pour certains incidents Concentrer la maintenance à quelques heures/jours sur une ou plusieurs machines plutôt qu’un parc 13/12/2002 Ciefa Poly-informatique

Inconvénients des firewalls Goulet d’étranglement réseau Point névralgique de l’architecture de sécurité Complexe : Connaissance nécessaire des protocoles filtrés (TCP/IP, HTTP, … mais aussi FTP, SQL, …) Compréhension du fonctionnement du pare-feu (interface entre les divers niveaux de filtrage, traduction d’adresse…) 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Firewalls libres Netfilter Filtre de paquets du noyau Linux 2.4 Successeur d’IPChains (Linux 2.2) Développé par Paul Russell IP Filter Filtre de paquets fonctionnant sous Unix libres et propriétaires Intégré dans FreeBSD et NetBSD Conçu et développé par Darren Reed Packet Filter Filtre de paquets dans OpenBSD (à partir de la version 3.0) Conçu par Daniel Hartmeier 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Filtrage IP standard Critères Interface réseau : entrée ou sortie Adresses IP (source et destination) : hôte ou sous-réseau Champs de l’en-tête IP : Fragmentation TOS et TTL Options IP Protocoles de niveau 4 : TCP, UDP et ICMP Ports source et destination (TCP et UDP) Drapeaux (TCP) Types et codes (ICMP) Actions Laisser passer (ACCEPT) Bloquer (DENY ou DROP) Rejeter (REJECT) => message ICMP ou segment TCP avec drapeau RST 13/12/2002 Ciefa Poly-informatique

Filtrage à états (statefull) Principe : Filtrage dynamique, en conservant des états pour les connexions en cours Seuls des paquets correspondants à un état pré-existant sont acceptés Intérêt : Simplifie l’écriture des règles de filtrage Améliore la sécurité, en n’autorisant que le trafic effectivement licite Protocoles : TCP Segments appartenant à une connexion TCP en cours UDP Datagrammes en réponse à un datagramme UDP émis Messages ICMP d’erreur ICMP Messages ICMP en réponse à un message ICMP émis 13/12/2002 Ciefa Poly-informatique

Filtrage à états : mise en oeuvre Mise en œuvre : Création d’un état lors de la traversée du premier paquet Mémorisation de paramètres identifiant de façon unique une connexion Validation des paquets par comparaison des états courants Expiration des états après un temps paramétrable Paramètres conservés : Adresses source et destination Ports source et destination Type, code, identifiant et numéro de séquence (ICMP) TCP : S’assurer que des segments TCP font partie d’une connexion en cours est complexe Real Stateful TCP Packet Filtering in IPFilter => http://home.iae.nl/users/guido/papers/tcp_filtering.ps.gz 13/12/2002 Ciefa Poly-informatique

Traduction d’adresses et de ports (NAT) Uni-directionnelle Traduction en sortie d’adresses (typiquement) privées en adresse(s) publique(s) Possibilité de changer le port source Bi-directionnelle Traduction d’une adresse (typiquement) publique en une phrase (typiquement) privée et réciproquement Redirection de ports Redirection d’un port en entrée vers un autre, en modifiant l’adresse de destination ou non Mise en oeuvre : Fonctionnalités présentes dans Netfilter, IPFilter, Packet Filter Ne sont pas détaillées ici 13/12/2002 Ciefa Poly-informatique

Zone démilitarisée (DMZ) Internet ppp0 – 213.11.32.10 Firewall DMZ eth0 – 213.11.32.50 eth1 – 192.168.1.1 Apache DNS Lotus 213.11.32.20 213.11.32.30 213.11.32.40 LAN – 192.168.0.0/16 13/12/2002 Ciefa Poly-informatique

Zone démilitarisée (DMZ) : règles On ne peut pas initier de connexion depuis Internet vers le LAN directement. Le contraire est possible, souvent en camouflant les adresses du réseau interne (masquerade sous Linux, ou NAT, …) LAN : stratégie de sécurisation par réseau (sécurisation du point d’accès). Le firewall est alors un élément de cloisonnement. DMZ : stratégie de sécurisation par hôte : chaque serveur est configuré et sécurisé en fonction des services qu’il supporte. 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Partie 2 Présentation générale Firewall avec IPChains Firewall avec IPTables (NetFilter) 13/12/2002 Ciefa Poly-informatique

FireWall avec IP-Chains Possibilités Principe de base Options Mise en service 13/12/2002 Ciefa Poly-informatique

IPChains : possibilités (1/2) ipchains est l'un des systèmes de filtrage utilisable sur les noyaux 2.2 Il est dérivé de ipfw un système présent sur d'autres Unix Il est très puissant : Comptage de traffic Blocage de traffic non souhaité Masquage d'adresses (n : 1) Détournement vers un service local 13/12/2002 Ciefa Poly-informatique

IPChains : possibilités (2/2) Chaque règle sélectionne les paquets sur les critères : Adresse IP source du paquet Adresse IP destination du paquet Type de protocole (TCP, UDP, ICMP) Port de protocle adressé (source, destination) Interface IP traversée Type de paquet (connexion, transfert) Chaque règle permet les actions suivantes : Autorisation du paquet Destruction du paquet Rejet du paquet avec message d'erreur Détournement du paquet sur un serveur local 13/12/2002 Ciefa Poly-informatique

IPChains : principe de base ipchains s'organise par chaînes Une chaîne est un ensemble de règles, qui déterminent ce qui devrait arriver à un certain type de paquet réseau. Il existe 3 chaînes fixes : Input : pour les paquets arrivant Forward : pour les paquets redirigés vers un autre hôte Output : pour les paquets transmis par la filtre Les règles de chaque chaîne dépendent de leur ordre. Quand un paquet arrive, il est comparé aux règles de la chaîne pertinente, depuis la première jusqu’à la dernière. Ipchains CMD [chain] [rule-spec|num] [options] =>Ex : ipchains –A input –i eth0 -s 192.168.0.1 –p TCP –j DENY 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique IPChains : options Cibles (option –j => paquet envoyé sur cible) : ACCEPT DENY REJECT (=> icmp) MASQ (option CONFIG_IP_MASQUERADE nécessaire) Commandes : -A (= ajouter) -D (= supprimer) -R (= remplacer) -C (= vérifier) Options : -p [!] protocol =>icmp, tcp, udp, all -s [!] addr ([!] port) => adresse source (-d pour destination) -i [!] interface -j target => s’il y a correspondance, paquet envoyé vers cette cible 13/12/2002 Ciefa Poly-informatique

IPChains : mise en service Un support noyau est obligatoire (présent de base maintenant) Il faut insérer des options : "Network firewalls" ( CONFIG_FIREWALL=y ) "IP: firewalling" ( CONFIG_IP_FIREWALL=y ) En standard sur noyaux 2.1.x et 2.2.x Les règles peuvent être éditées dynamiquement Il faut sauvegarder une version de filtrage Il faut installer la version sauvegardée au boot Ne pas oublier : De mettre les filtres avant d'activer les interfaces réseau De mettre les filtres avant d'activer le routage de paquets IP 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Partie 3 Présentation générale Firewall avec IPChains Firewall avec IPTables (NetFilter) 13/12/2002 Ciefa Poly-informatique

FireWall avec IP-Tables IPChains vs IPTables Principe de base Options Nouveauté Exemple 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique IPTables vs IPChains iptables est l'un des systèmes de filtrage utilisable sur les noyaux 2.4 (et les dernières versions du noyau 2.3) Il est une évolution de la commande ipchains afin de clarifier certains points (comme le forwarding entre interfaces). Il incorpore les fonctionnalités de différentes commandes issues de ipchains et ipfwadm => regroupe toutes les fonctionnalités Linux relatives au filtrage de paquets. 13/12/2002 Ciefa Poly-informatique

IPTables : principe de base iptables s'organise par tables Chaque table contient une série de chaînes de règles. Il existe 3 tables principales : Filtre : contient les chaînes INPUT, FORWARD et OUTPUT (table par défaut) NAT : s’occupe de la conversion d’adresse de réseau. Contient les chaînes PREROUTING, OUTPUT et POSTROUTING. Mangle : permet une modification des paquets à la volée. Contient les chaînes PREROUTING et OUTPUT. Les règles de chaque chaîne dépendent de leur ordre. Quand un paquet arrive, il est comparé aux règles de la chaîne pertinente appartenant à la table pertinente, depuis la première jusqu’à la dernière. iptables [-t table] CMD [chain] [rule-spec|num] [options] =>Ex : iptables –t filter –A input –i eth0 -s 192.168.0.1 –p TCP –j DENY 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique IPTables : options Cibles (option –j => paquet envoyé sur cible) : Cibles de ipchains… SNAT (=> adresse source convertie => dans chaîne POSTROUTING de table NAT) DNAT (=> adresse dest. Convertie => dans chaîne PREROUTING de table NAT) LOG (nécessité d’avoir chargé le module concerné dans le noyau) Commandes : Commandes de ipchains… -N (--new-chain), -X (--delete-chain) -F (--flush) => supprime toutes les règles de la chaîne et de la table concernée Options : Options de ipchains… -i [!] interface =>spécifie l’interface de réception => chaînes INPUT, FORWARD et PREROUTING -o [!] interface =>spécifie l’interface d’expédition => chaînes OUTPUT, FORWARD et POSTROUTING [!] –syn =>spécifie que cette règle ne devrait satisfaire que des paquets TCP que s’ils initient la connexion 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique IPTables : nouveauté Capacité de créer des règles de comparaison fondées sur les états des paquets => due au module state Syntaxe : iptables –m state –state [!] [state, state,…] Etats possibles : NEW : compare les paquets n’appartenant à aucune connexion en cours ESTABLISHED : compare les paquets appartenant à une connexion déjà ouverte RELATED : compare les paquets qui appartiennent à une autre connexion, par exemple les messages ICMP d’erreur, ou le trafic lié au fonctionnement d’un protocole applicatif (ftp data => modes passif ou actif)… INVALID : compare les paquets qui n’ont aucun sens dans le contexte de la connexion existante, ou ceux qui n’ont pu être reçus pour une raison quelconque. 13/12/2002 Ciefa Poly-informatique

Ciefa Poly-informatique IPTables : exemple Le firewall et le réseau interne peuvent tout faire, pas Internet. Les adresses du réseau interne sont masquées pour sortir vers Internet. IFACE=eth0 # Masque en sortie l’interface eth0 iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE # Crée une chaîne qui bloque tout tentative de connexion de l’extérieur iptables -N block iptables -A block -m state --state INVALID -j DROP iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! $IFACE -p icmp --icmp-type echo-request -j ACCEPT iptables -A block -m state --state NEW -i ! $IFACE -p udp -j ACCEPT iptables -A block -m state --state NEW -i ! $IFACE -p tcp --syn -j ACCEPT iptables -A block -i $IFACE -m limit --limit 3/s -j LOG --log-prefix "Bad packet from $IFACE:" iptables -A block -i ! $IFACE -m limit --limit 3/s -j LOG --log-prefix "Bad packet not from $IFACE: "   iptables -A block -j DROP # Fais correspondre les chaînes INPUT et FORWARD avec cette chaîne iptables -A INPUT -j block iptables -A FORWARD -j block # Active le forwarding IP : echo 1 > /proc/sys/net/ipv4/ip_forward 13/12/2002 Ciefa Poly-informatique

IPChains, IPTables vs FW-1 Argument pour comparer et critiquer les firewall propriétaires (ex Fw-1 de Cisco) et les firewall libres : le caractère « statefull » Entre un firewall type kernel 2.2 (ipchain) et un firewall type kernel 2.4 (iptable), il n'y a pas de comparaison. Ce que l'on appelle communément désormais "statefull", qui consiste a traiter les flux en fonction de leur état (state), connecté, en relation ... FAIT TOUTE LA DIFFERENCE. On ne peut pas comparer FW-1 et linux-2.2 pour cette raison. Un firewall qui ne se souvient pas des états des connexions est obligé de laisser entrer tous les ports hauts (1025-65535) pour laisser passer les réponses aux requêtes émises par les clients du réseau interne, ce qui représente beaucoup de tracas en terme de sécurité. => linux-2.2 est comparable aux routeurs avec acl de cisco. cisco ne les vends pas en temps que "firewall". => linux-2.4 est concurrent de FW-1 (checkpoint) et des pix (cisco). Il est sans doute même meilleur car plus configurable. => donc attention, "statefull" n'est pas juste un argument marketing 13/12/2002 Ciefa Poly-informatique